Contar com fornecedores confiáveis é a melhor saída para empresas deixarem para trás preocupação com proteção da rede.
Mesmo que sua empresa esteja postergando a implementação do IPv6, ainda assim não pode deixar para depois a preocupação com as questões de segurança que envolvem o novo protocolo de internet.
A maior ameaça à segurança está no fato de que as redes empresariais já têm toneladas de sistemas habilitados para IPv6, incluindo dispositivos com Windows Vista ou Windows 7, Mac OS/X e Linux.
No IPv6, ao contrário de seu antecessor, a configuração de rede do Dynamic Host Configuration Protocol (DHCP) não é manual. Essa característica de autoconfiguração significa que “o IPv6 habilitado para dispositivos está apenas esperando por um roteador para se identificar na rede”, diz Eric Vyncke, engenheiro emérito de sistemas da Cisco e coautor do livro ” IPv6 Security”.
Ele adverte que o “IPv4 direcionado para roteadores e switches não reconhece ou responde ao dispositivos de IPv6. Entretanto, um roteador IPv6 não autorizado pode enviar e interpretar esse tráfego.”r
De acordo com ele, a autoconfiguração do IPv6 permite que qualquer sistema habilitado se comunique com outros dispositivos de rede IPv6 e serviços na mesma LAN. Para fazer isso, o dispositivo anuncia sua presença e localização por meio do IPv6 Neighbor Discovery Protocol (NDP).
Por outro lado, o NDP pode eventualmente expor os dispositivos para os criminosos ansiosos por colher informações sobre o que está acontecendo na rede, ou até mesmo permitindo que o próprio dispositivo transforme-se em “zumbi”.
Vyncke diz que a ameaça é real. “Temos observado em todo o mundo que os bots estão aumentando o uso de IPv6 como canal secreto para se comunicar com seus botmasters”. Entre os seus muitos disfarces, o malware do IPv6 pode assumir a forma de uma carga maliciosa encapsulada em uma ou mais mensagens IPv4.
Sem medidas de segurança específicas para IPv6, como inspeção profunda de pacotes, esse tipo de carga pode passar pelo perímetro IPv4 e defesas DMZ [perímetro de rede] sem ser detectado.
Segundo o consultor, Microsoft e Apple não contam com solução para evitar ameaças do tipo e que a Cisco está em processo de implementação do mesmo mecanismo de segurança do IPv4 no novo protocolo, atividade que deverá ser finalizada em 2012.
Vyncke aponta que alguns dos riscos mais comuns de segurança do IPv6 são acidentalmente criados por usuários finais que realizam configuração de dispositivos inadequadas na rede, e que a configuração adequada e as medidas de segurança eliminariam muitos desses riscos.
“A resposta para esse tipo de problema é implementar o IPv6 nativo e proteger o tráfego IPv6 no mesmo nível e contra os mesmos tipos de ameaças que as companhias já se defendem no IPv4”, explica Vyncke.
O mito IPSec
Entre os analistas do mercado de TI, há um consenso que o IPv6 é nativamente mais seguro que o IPv4 porque o suporte ao Internet Protocol Security (IPSec) é obrigatório no IPv6. “Isso é um mito que precisa ser desmistificado”, diz Vyncke.
Ele ressalta que, além dos desafios práticos associados à implementação em larga escala de IPSec, o conteúdo do IPSec encapsulado torna-se invisível para os dispositivos [roteadores, switches, firewalls], interferindo em funções importantes de segurança.
Por esta razão, Vyncke, que também é membro ativo do Internet Engineering Task Force (IETF), que desenvolve e promove padrões de internet, relata que um grupo de trabalho do IETF está considerando uma mudança que alteraria o status do suporte IPSec de “necessário” para “recomendado” em implementações IPv6.
Sobre desabilitar o IPv6, Vyncke diz que é uma má ideia por duas razões. Uma, a Microsoft disse que a desativação do IPv6 no Windows 2008 constitui uma configuração sem suporte. Além disso, o executivo diz que tentar desativar o IPv6 é uma estratégia que atrasa o inevitável.
Migração é inevitável
Deixando um pouco de lado às ameaças de segurança, é notável que há um crescimento da adoção do IPv6 e está ficando mais difícil adiar a migração. Bancos e corretoras on-line já enfrentam o desafio de perder a comunicação com clientes internacionais cujas redes já não suportam o IPv4.
Empresas como Telefônica e T-Mobile estão abraçando IPv6 em grande escala, especialmente para em suas bases europeias. E o governo dos EUA, que tem migrado para o IPv6, está clamando por provedores e fornecedores que ofereçam mais produtos e serviços no novo protocolo.
Keith Stewart, diretor de Applications da Brocade Communications Systems, vê uma migração gradual para o IPv6. “A atualização no atacado para IPv6 por meio da internet não é prática nem eficaz”, diz Stewart.
“Os clientes precisam de uma abordagem equilibrada e prática.” Ele observa que os provedores de serviço, que consomem endereços mais rápido do que qualquer outra companhia, são os primeiros na fila para migrar para o IPv6, seguido por hosts de conteúdo (Google e Facebook) e, finalmente, os usuários finais, cujos roteadores são 99% baseados em IPv4.
De acordo com a Juniper Networks, até agora, a maioria dos clientes que solicitaram serviços IPv6 são dos setores de educação e governo, especialmente laboratórios de pesquisa universitários e unidades governamentais que procuram cumprir regulamentações federais.
A Juniper prevê aumento da demanda por IPv6 em 2012, especialmente entre os prestadores de serviços. “O esgotamento dos endereços IPv4 está se tornando um problema para os nossos clientes ao redor do mundo”, diz Alain Durand, diretor de engenharia da divisão de software, plataforma e sistemas CTO da companhia.
Mesmo assim, Durand espera que a maioria das implementações de IPv6 seja direcionada para projetos “add-on” (dual-stack). “Para lidar com a crescente escassez de endereços IPv4, os clientes têm sempre a opção de adicionar mais uma camada de Network Address Translation (NAT)”, diz Durand.
Enquanto não há como prever com certeza quanto tempo vai demorar até que todos os endereços IPv4 estejam esgotados, estatísticas de Geoff Huston, cientista-chefe da Asia Pacific Network Information Centre (APNIC), apontam que isso pode acontecer em 2014.
No entanto, é importante notar que essa previsão não inclui endereços de organizações privadas para uso futuro ou venda. Por exemplo, a Microsoft adquiriu 600 mil endereços com a compra da Nortel. Embora possa ser seguro assumir que endereços IPv4 estarão disponíveis no curto prazo, muitos preveem que os custos da oferta do protocolo de internet vão aumentar.
A verdade é que sem estabelecer as melhores práticas para o IPv6, muitos gerentes de rede têm sido relutantes em implementar o novo padrão. Mas com crescentes ameaças de segurança e preocupações sobre a perda de comunicação com os clientes que já estão migrando para o IPv6 o assunto está vindo à tona.
A fase de planejamento é um bom momento para estabelecer ou restabelecer os laços com um fornecedor de rede de confiança que pode oferecer arquitetura de segurança e orientação, juntamente com soluções escaláveis para uma ampla gama de opções de migração.
