Tecnologia IPV6

More documents

Recommendations

Info

IPv6: Nova alvorada para o protocolo Internet tocolos IPv4 e IPv6. As versões mais recentes de vários sistemas operacionais também são compatíveis, como as distribuições Linux e Microsoft Windows. Durante a criação do IPv6 foram idealizados diversos procedimentos de transição, organizados em três categorias principais: • Pilha dupla (Dual-stack): neste mecanismo, os dispositivos suportam simultaneamente as duas pilhas de protocolos, permitindo que hosts IPv6 se comuniquem com hosts IPv4 e vice-versa (Figura 15). Esta técnica exige duas tabelas de roteamento com funções de administração e gerenciamento similares, sendo que os hosts também possuem dois endereços configurados em sua interface. É muito utilizada, pois, atualmente, grande parte dos hardwares e softwares de rede possuem suporte IPv4 e IPv6. Além disso, permite que a implantação deste último seja feita sem mudanças na arquitetura de redes atual; Figura 15. Comparação entre a pilha IPv4 e a pilha dupla IPv4/IPv6 • Túneis (Encapsulation): neste método, um pacote IPv6 é transmitido como parte dos dados de um pacote IPv4, criando um túnel entre os nós (Figura 16). No futuro, este túnel também suportará o inverso, ou seja, redes IPv4 conectadas por redes IPv6. É importante notar que, nos dois cenários, os nós nas extremidades do túnel devem ser compatíveis com ambos os protocolos. Figura 16. IPv6 sobre túnel IPv4 • Traduções: nesta técnica, um dispositivo com suporte aos protocolos IPv4 e IPv6 interage com os demais nós que desejam estabelecer a comunicação, traduzindo os pacotes IPv6 em IPv4 e vice-versa. 20 Infra Magazine • Edição 03 A coexistência entre as diferentes versões do IP aumenta ainda mais as preocupações com as questões relacionadas à segurança dos dados, pois, como diversos tipos de transações ocorrem por meio da infraestrutura suportada por estes protocolos, as informações podem ser capturadas e alteradas por usuários malintencionados. Assim, a próxima seção apresentará os principais aspectos de segurança em redes IPv6. Segurança da informação em redes IPv6 Originalmente, o IPv4 visava o estabelecimento da comunicação entre os computadores dos centros militares e os de pesquisa, ou seja, as informações percorriam somente locais seguros e com acesso restrito. Posteriormente, seu uso comercial demandou um nível maior de segurança, que possibilitasse a identificação dos usuários e a privacidade dos dados transmitidos. Neste contexto, o IPSec (IP Security) foi criado para prover os seguintes serviços: • Autenticação: para ratificar a identidade das partes envolvidas na troca de mensagens; • Integridade: garantindo que os dados não fossem alterados durante sua passagem pelos diferentes dispositivos de rede; • Privacidade: restringindo a compreensão da mensagem somente ao emissor e ao destinatário da comunicação por intermédio de técnicas de criptografia; • Não-repúdio: para impedir que as partes envolvidas na comunicação negassem sua participação no evento. O IPSec, suportado opcionalmente pelo IPv4, foi desenvolvido como parte integrante do IPv6, através dos cabeçalhos de extensão AH (Authentication Header) – usado para autenticar o emissor dos dados e assegurar a integridade dos mesmos – e ESP (Encapsulation Security Payload) – empregado para prover privacidade entre o originador e o receptor dos dados. Entretanto, para que duas entidades possam se comunicar utilizando o IPSec, é necessário estabelecer uma associação de segurança (AS) para determinar os algoritmos a serem configurados, as chaves criptográficas, o tempo de expiração destas chaves, entre outras especificações. As associações de segurança podem ser estáticas ou dinâmicas: no primeiro caso, os parâmetros são configurados manualmente no emissor e no destinatário; já no segundo, são determinados automaticamente por protocolos como o IKE (Internet Key Exchange). A seguir são ilustrados dois exemplos de ataques comumente observados em redes IPv4 e a maneira como são mitigados pelo IPv6/IPSec: • IP Spoofing: técnica que consiste no envio de pacotes com o endereço de origem adulterado. Desta maneira, os pacotes de retorno nunca regressam para o falsificador. No IPv6, o cabeçalho de extensão AH obriga o usuário mal-intencionado a calcular um hash (Nota DevMan 5) semelhante àquele que seria gerado entre a entidade falsificada e a vítima; no entanto, para a obtenção deste, seria necessário conhecer os parâmetros da AS, incluindo as chaves criptográficas e os algoritmos. Assim, caso a vítima receba um pacote com o hash incorreto, esta deve descartá-lo;
• Sniffing: ataque em que os pacotes são capturados com o objetivo de verificar seu conteúdo, explorando aplicações que não utilizam nenhum tipo de criptografia no envio de seus dados, como FTP (transferência de arquivos), Telnet (acesso/login remoto), entre outras. Para evitar este tipo de ataque, pode-se lançar mão do cabeçalho de extensão ESP, para criptografar os dados e promover a privacidade entre as partes envolvidas na comunicação. Nota do DevMan 5 Função Hash: Uma função hash é uma equação matemática que utiliza dados de entrada para criar um resumo da mensagem (message digest). É importante destacar que, mesmo suportando nativamente o IPSec, seu uso não é obrigatório. No entanto, utilizar o IPv6 sem este recurso, torna-o vulnerável às mesmas fragilidades de seu antecessor. Além do IPSec, outras ferramentas de segurança são adicionalmente implementadas pelo protocolo Internet versão 6, a saber: • Cryptographically Generated Address (CGA): segundo a RFC 3972, este tem seus últimos 64 bits (identificação da interface do host) derivados a partir de uma função hash da chave pública do proprietário do endereço; • Estrutura dos endereços: a própria estrutura de endereçamento do IPv6 pode impedir alguns tipos de ataque, pois sua varredura torna-se um procedimento complexo e demorado devido ao grande número de combinações possíveis; também contribuíram as diferentes formas de compor os últimos 64 bits, que dificultam a localização dos endereços efetivamente em uso na rede; • Extensões de privacidade: são complementares ao mecanismo de autoconfiguração stateless e possibilitam a geração de endereços aleatórios e temporários, resultando na ineficiência do rastreamento de dispositivos advindos de redes com suporte a este recurso; • Secure Neighbor Discovery (SEND): extensão de segurança do Neighbor Discovery Protocol (NDP) que impõe o estabelecimento de uma infraestrutura de chaves públicas na rede, com o objetivo de autenticar os dispositivos que possam se anunciar na rede. A implementação nativa do IPSec, bem como das novas ferramentas de segurança apresentadas, são importantes avanços do IPv6. Comparado a sua versão anterior, este também permitiu diversas melhorias na mobilidade dos dispositivos conectados à Internet, conforme será exposto na próxima seção. Mobilidade IPv6 A motivação para o desenvolvimento de mecanismos de mobilidade é uma consequência natural da integração de redes wireless (sem fio) à Internet. Até a introdução desta tecnologia, os usuários se limitavam a acessá-la por meio de locais pré-determinados, como por exemplo, em suas residências ou nas empresas onde trabalhavam. As conexões wireless tornaram realidade o uso de laptops, tablets, celulares, entre outros dispositivos, como clientes de acesso à rede. Desta maneira, foi desenvolvido o MIPv6 (Mobile Internet Protocol version 6), com o objetivo de suportar o deslocamento de um dispositivo móvel de uma rede para outra sem a necessidade da reconfiguração de seu endereço IPv6, tornando esta movimentação transparente às diferentes aplicações. Para compreensão do MIPv6, é importante conhecer as seguintes terminologias (Figura 17): • Mobile Node (nó móvel) – MN: dispositivo móvel que pode transitar entre diferentes redes sem perder suas conexões estabelecidas, continuando acessível através de seu endereço de origem; • Home Address (endereço de origem) – HoA: endereço permanente alocado ao MN. É por meio deste que o nó móvel se conecta a rede de origem; • Home Network (rede de origem) – HN: rede onde o nó móvel está conectado e que fornece seu endereço de origem; • Home Agent (agente de origem) – HA: roteador localizado na rede de origem do nó móvel e que mantém a associação entre seu endereço de origem e o remoto; • Care of Address (endereço remoto) – CoA: endereço associado ao nó móvel quando este se encontra em uma rede remota; • Foreign network (rede remota) – FN: qualquer rede, diferente da HN, onde o nó móvel se encontra; • Correspondent node (nó correspondente) – CN: nó (móvel ou estático) com o qual o nó móvel se comunica. Figura 17. Principais componentes do MIPv6 Os passos a seguir descrevem o funcionamento básico das redes com suporte ao MIPv6: 1. A rede de origem (HN) aloca um endereço HoA para o nó móvel (MN), o qual não será alterado mesmo quando o MN se desloca para uma rede remota (FN); 2. Quando o MN se dirige a uma FN, este recebe um endereço CoA por intermédio de mecanismos de autoconfiguração (stateless ou stateful), constituído por um prefixo válido; 3. O nó móvel associa seu endereço de origem (HoA) ao remoto (CoA) e registra seu novo endereço no agente de origem (HA) enviando uma mensagem Binding Update. O HA confirma a recepção desta por meio da mensagem Binding Acknowledgement Edição 03 • Infra Magazine 21
Page 3 and 4: Sumário Web Infra Infra, Seguranç
Page 6 and 7: Monitoramento: Internet e e-mails E
Page 8 and 9: Monitoramento: Internet e e-mails 3
Page 10 and 11: Gerência de Redes Práticas e desa
Page 12 and 13: Gerência de Redes Um outro ponto d
Page 14 and 15: IPv6: Nova alvorada para o protocol
Page 24 and 25: Instalação de Clientes via Push C
Page 26 and 27: Instalação de Clientes via Push
Page 28 and 29: Instalação de Clientes via Push 3
Page 30 and 31: Instalação de Clientes via Push F
Page 32 and 33: Instalação de Clientes via Push L
Page 34 and 35: Instalação de Clientes via Push t
Page 36 and 37: Gerenciando Ambientes Complexos •
Page 38 and 39: Gerenciando Ambientes Complexos Est
Page 40 and 41: Qualidade de Serviço e Controle de
Page 52 and 53: Os atuais riscos da Engenharia Soci
Page 54: Os atuais riscos da Engenharia Soci
Page 57 and 58: Diferentemente da conexão discada,
Page 59 and 60: emoto, no qual você tem uma estaç
Page 61 and 62: Na Listagem 4 é possível ver o ar
Page 63 and 64: Logo em seguida é informado onde o

Tecnologia IPV6

Create successful ePaper yourself

Delete template?

Save as template?