SEGURANÇA | Segurança com IPv6O que você precisa saber sobre segurança com IPv6SEGURANÇAModo de segurançaO protocolo IPv6 surgiu nos primeiros dias da web e contémalguns recursos que eram realmente importantes nos anos90. Mas pelos padrões de hoje, alguns deles podem nãoser vistos como melhorias em relação ao IPv4, exigindode administradores atenção extra com a segurança.por Ralf SpennebergOIPv6 traz diversas mudançasao protocolo de Internet(IP). As mais conhecidassão o aumento do espaço de endereçode 32 para 128 bits e máscaras derede mais fáceis. Em vez de máscarasde rede de comprimento variável(VLSM), o IPv6 é compatível apenascom máscaras de 64 bits (/64);e os endereços de broadcasts foramabandonados dando lugar a endereçosunicast, multicast e anycast.Além do escopo global que garantea acessibilidade na InternetIPv6, o protocolo IPv6 usa escoposlocais diferentes para restringir aacessibilidade de uma área menor.O escopo link-local restringeo intervalo de endereços IP à redelocal; os escopos site-local e organization-localcombinam múltiplasredes através de roteadores. NoIPv6, os sistemas ainda precisam doendereço MAC das placas de redepara se comunicarem. O protocoloICMPv6 encontra esse dado na camada3 (do modelo OSI), enquantoo IPv4 ainda usa o Address ResolutionProtocol (ARP) na camada 2.Os desenvolvedores renomearamesse processo para Neighbor DiscoveryProtocol (NDP) [1] .A técnica de Path MTU Discoveryagora é obrigatória no IPv6; então, oICMPv6 tem um papel muito maisimportante do que em redes IPv4.Também há compatibilidade com afamília de protocolos IPsec – antigacompanheira da área de segurançae que administradores usam regularmentepara configurar redes virtuaisprivadas.Fãs do Network Address Translation(NAT) inicialmente ficarãodesapontados. Apesar dos desenvolvedorescontinuarem tentando [2] ,ainda não há NAT para endereçosIPv6 (NAT66). Em outras palavras,cada sistema que precisa se comunicarcom outros na Internet IPv6necessita de um endereço global.Isso significa que os sistemas – sejameles impressoras de rede ancestrais,clientes Windows sem atualizaçõesou dispositivos esquecidos – estãosempre acessíveis, a menos que umfirewall os bloqueie.Nada de novo?Muitos recursos de segurança nãomudaram em relação ao IPv4. Osprotocolos de transporte na Camada4 (TCP, UDP) ainda funcionam domesmo modo; e não há necessidadede configurar os protocolos de aplicativoscomo HTTP, SMTP e FTP denenhuma outra maneira, além dosnovos endereços. O IPv6 tambémnão aumenta a segurança dos protocolos:um agressor ainda poderiarealizar um ataque SYN flood (umavariação do DoS) no IPv6 do mesmomodo que no IPv4.Além disso, há pouquíssimas mudançasna camada 2 do modelo OSI.60 www.linuxmagazine.com.br
Segurança com IPv6 | SEGURANÇAO protocolo ARP foi abandonado, oque vai ajudar a evitar alguns tiposde ataques de falsificação, mas nãotodos ( quadro 1 ). Um agressor poderiaobter os mesmos resultados comfalsificação NDP. Desenvolvedoresdo IPv6 reconheceram essa formade ataque e especificaram modificaçõesno protocolo com o RFC3791 ( Secure Neighbor DiscoveryProtocol , SEND) [3] . O SEND usaendereços gerados com criptografiade chaves públicas para autenticarmensagens NDP. Infelizmente,poucos sistemas operacionais sãocompatíveis com essa extensão,incluindo o Windows 7.Um administrador só pode combatera falsificação NDP com switchesmultilayer inteligentes que mantêmuma tabela interna com todos osendereços IPv6 e endereços MAC,para poder identificar e descartarmensagens falsificadas. Fornecedoreschamam essa abordagem no IPv4 deDynamic ARP Inspection (DAI) [4].O NAT não existe mais – semnenhum substituto à vista – o quenão é uma notícia totalmente boa.Inicialmente, administradores queprecisam gerenciar FTP, Oracle SQLNet ou H.323 ficarão felizes com aconveniência que essa mudança traz.Esses protocolos negociam novasportas dinamicamente durante asoperações. Mapear isso corretamentecom tradução de endereços se tornavamuitas vezes um grande desafio:o algoritmo NAT precisa entender erastrear o protocolo para identificara nova porta negociada.Outros protocolos que não usamportas, como o ESP do IPsec, podemfinalmente ser implementados semsoluções provisórias (como NAT Traversal)através de encapsulamentoUDP, do modo que seus desenvolvedoresoriginalmente projetaram.Privacidade ameaçadaA falta de proteção para os dados éoutro aspecto negativo:➧ Administradores precisam de umfirewall confiável para proteger suaestrutura interna de rede e esconderos IPs utilizados.➧ Provedores de Internet podemrelacionar conexões individuais acomputadores específicos da redecliente sem a necessidade de cookies➧ Computadores são acessíveisde fora da rede local através de seusendereços IPv6.Usuários domésticos não precisammais configurar o encaminhamentode portas em roteadores DSL parapoderem acessar seus computadoresa partir de outros endereços. Noentanto, essa nova rota direta paradentro da rede também está abertapara agressores: políticas de firewallrobustas são vitais para proteger sistemasglobalmente acessíveis.O IPv6 gera um endereço baseadono endereço MAC (leia a seçãosobre configuração automática,mais adiante neste artigo). Comoo computador sempre cria a partehost de seu endereço IP (o identificadorEUI) do mesmo jeito – baseadono endereço MAC – ele temum identificador único por váriosdias ( figura 1 ). Se a máquina é umlaptop que se conecta a várias redes,apenas o endereço de rede muda.Se o usuário acessar um servidorna Internet, o dono do servidorpode saber que se trata da mesmamáquina devido ao identificadoridêntico no endereço IPv6.Um operador de website tambémpode ver a partir de qualrede o usuário do laptop visitou osite. Tudo o que ele precisa fazeré consultar o endereço de redeusando whois ( listagem 1 ). Os endereçosIPv6 são registrados peloprovedor como os anteriores; ocomando whois pode identificara empresa para quem o endereçoestá designado. No pior cenário,seria possível, por exemplo, criarum perfil de movimentação paraum vendedor que está viajando.Figura 1 O ID de um endereço IPv6 éconstruído com o endereçoMAC: acrescenta-se FFFE eo segundo bit do primeirobyte é invertido.IdentificadorEUI aleatórioPara evitar o rastreamento, o RFC4941 introduziu as extensões de privacidadedo IPv6 [5] , que faz o sistemaoperacional criar o identificador EUIde modo aleatório (em vez de usar oendereço MAC). Todos os sistemasoperacionais modernos são compatíveiscom essa função, e o WindowsVista e Windows 7 habilitam isso porpadrão. No <strong>Linux</strong>, o administradorpode habilitar a função temporariamentecom o comando:sysctl -w net.ipv6.conf.all.use_tempaddr=2Para tornar essa mudança permanente,é preciso modificar as definiçõesdo arquivo /etc/sysctl.conf ,conforme a distribuição ou sistemaoperacional [6] .Mas esse tipo de designação temum lado ruim: sempre que um sis-Figura 2 O computador pode gerarum endereço link-local semajuda externa.<strong>Linux</strong> <strong>Magazine</strong> #<strong>83</strong> | Outubro de 201161