IPv6 chegou, mas não em todos os lugares

Author Photo
11:47 am - 13 de junho de 2012

O dia 06 de junho talvez tenha sido o primeiro dia oficial de operação do IPv6 na internet, mas nem todos estão prontos para adotar o novo protocolo.

Cerca de 1% da internet é executada agora em IPv6, mas isso é na verdade uma grande mudança, com 150% de aumento quando comparado ao ano passado. A firmação é do Google, que estima que metade dos usuários de toda a web estarão online por meio do IPv6 nos próximos seis anos.

O Gartner prevê que até 2015, 17% dos usuários do mundo todo usarão IPv6 e 28% das novas conexões da internet serão por meio do novo protocolo. Vint Cerf, considerado o pai da internet, afirma que espera uma maior taxa de adoção do protocolo, que está sendo feito há mais de duas décadas. “Não há mais desculpas. É preciso executar IPv4 e IPv6 o tempo todo”, afirmou Cerf no IPv6 Day (Dia do IPv6).

Para a maioria das empresas a adoção do IPv6 não é imprescindível se elas têm muitos endereços IP e não estão sob pressão de implantação. E se não há a implantação correta, pode haver riscos de segurança – outra razão para adotar com calma.

Provedores de serviço de internet (ISPs) e provedores de equipamentos de rede, especialmente aqueles no mercado de consumo, tomaram a frente o IPv6. Entre as empresas que oficialmente “ligaram” o IPv6, estão A Akamai, AT&T, Bing para Microsoft, Cisco, Comcast, Facebook, Google, Internode e Yahoo.

Então, o que é preciso observar em segurança para fazer a mudança? Falhar em reconfigurar ou atualizar firewalls e defesas de perímetro para dar apoio ao novo protocolo é um grande erro.  Segundo James Lyne, diretor de estratégia tecnológica da Sophos, as empresas devem desabilitar completamente o IPv6 a não ser que estejam realmente prontos para a implantação, para que não haja invasão de dispositivos que usam IPv6 por padrão.

E também há a inevitável descoberta de novas vulnerabilidades, bem como as empresas configurando de forma errada seu sistema e deixando a porta aberta para vulnerabilidades e ataques. Um exemplo de configuração errada é quando se configura o tunelamento entre IPv4 e IPv6: é possível possibilitar tráfego externo livremente por meio do túnel.

Há também outras pegadinhas que estão sendo experimentadas pelos pioneiros no IPv6. O gerente de rede da Central Michigam University (CMU), Ryan Laus, trabalha com o novo protocolo desde junho passado. Como muitas universidades, o que levou à adoção foi a explosão de dispositivos móveis na rede do campus.

A universidade já tem o IPv6 habilitado em seus roteadores de ponta, e trabalha na garantia de que sua infraestrutura possa lidar com o novo protocolo tanto nos roteadores quanto no firewall. Seu sistema de detecção de intrusos (IDS – intrusion detection system) também é habilitado para IPv6.

Nossa maior preocupação é prevenir o tráfego de tunelamento por meio do tráfego na rede da universidade. “A grande preocupação é visibilidade. Temos que ver o que as pessoas estão usando e garantir que o IPv6 é tratado no hardware. Podemos realizar isso com o StealthWatch e classificar tráfego no túnel IPv6”.

Segundo Laus, algumas empresas bloqueiam tunelamento IPv4/ IPv6, mas isso não funciona para a universidade, porque muitos países asiáticos usam apenas IPv6 e a CMU precisa permitir esse tráfego por razões e pesquisas e operações com os usuários de lá. “Quando me sentir confiante com a segurança e monitoramento, executaremos o IPv6 completamente”, por ora, a rede interna é hibrida IPv4/ IPv6, e até o final de setembro o tráfego do site e externa da universidade será habilitado para o novo protocolo.

A universidade experimentou alguns problemas de segurança, incluindo um incidente onde um usuário de laptop Windows Vista com Internet Connection Sharing (ICS) habilitado conectado à rede do campus por meio da rede com fio e por meio de adaptadores sem fio. A ICS permite aos usuários compartilharem suas máquinas como um roteador caseiro e pode responder à consultas DNS.

O adaptador com fio da máquina havia sido registrado na rede do campus, mas a sem fio, não; como o Windows Vista e o Windows 7, por padrão, selecionam a rede sem fio em vez da com fio e IPv6 em vez de IPv4, as coisas ficaram interessantes. “Compartilhamento faz coisas engraçadas com solicitações DNS. Sua conexão era compartilhada com outras máquinas na mesma rede local” com IPv6 ativado direcionando ao laptop, que recebia suas solicitações DNS.

Como a rede sem fio tem preferência sobre a com fio no IPv6, a máquina retornou a resposta DNS, fornecido por cartão sem fio, que era a URL para a página de registro do dispositivo de rede da CMU. “Essencialmente, todos as máquinas com fio na sub-rede com IPv6 habilitado eram capazes apenas de visualizar a página de registro, não importa qual URL fosse digitada no navegador. Máquinas com IPv6 desabilitadas não foram afetadas”.

Mas especialistas dizem que esses problemas são comuns em áreas novas. Chris Smithee, gerente de segurança de rede da Lancope, afirma que é difícil dizer se o IPv6 dará mais segurança à internet. “Parece que a forma que os hosts se comunicam é mais segura, mas não há pessoas suficientes testando as formas de explorações”.

Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini

Saiba mais:

IPv6 será 40% de todo hardware mundial em 2016

Brasil testa IPv6 nesta semana; entenda como ele afeta a web

Especial IPv6: se mundo migrar de uma vez, gastos serão de bilhões

Especial IPv6: Gartner indica prazos de adoção da tecnologia

 

 

Notícias relacionadas

Notícias
SpaceX, Anthropic e OpenAI enfrentam riscos em possíveis IPOs
Notícias
Sem equipes preparadas, IA não entrega transformação
Notícias
Cohesity obtém patente para aplicar IA diretamente em dados de backup corporativos
Notícias
Para Diogo Cortiz, maior desafio da IA é a falta de capacidade crítica para questionar suas respostas
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.