I pv4para ipv6-final

6,348 views
6,149 views

Published on

This document aims to be a practical migration reference to the IPv6
protocol suite and its issues. With the increase of the Internet, the growing of
P2P applications, video conferences and always-on computers, the standard
IPv4 will not support all needed addresses soon. IPv6 was designed to solve
this and other IPv4 issues as well as bringing new features.
This document shows a practical implementation in a managed local
network and its services, describing the migration from IPv4 and making the
analysis of this implementation.

Published in: Technology
0 Comments
9 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
6,348
On SlideShare
0
From Embeds
0
Number of Embeds
33
Actions
Shares
0
Downloads
0
Comments
0
Likes
9
Embeds 0
No embeds

No notes for slide

I pv4para ipv6-final

  1. 1. INSTITUTO DE EDUCAÇÃO SUPERIOR DE BRASÍLIA CURSO DE ENGENHARIA ELÉTRICA MELHORES PRÁTICAS DE MIGRAÇÃO DE UMA REDE IPv4 PARA IPv6 Alexandre José Camilo Gomes Carlos Botelho da Trindade MAIO DE 2009
  2. 2. ii INSTITUTO DE EDUCAÇÃO SUPERIOR DE BRASÍLIA CURSO DE ENGENHARIA ELÉTRICA MELHORES PRÁTICAS DE MIGRAÇÃO DE UMA REDE IPv4 PARA IPv6 Alexandre José Camilo Gomes Carlos Botelho da Trindade Trabalho de Graduação apresentada ao Curso de Engenharia Elétrica com ênfase em Telecomunicações do Instituto de Educação Superior de Brasília como requisito parcial à obtenção do título de Engenheiro Elétrico. Orientador: Eduardo Wolski. MAIO DE 2009
  3. 3. iii Alexandre José Camilo Gomes Carlos Botelho da Trindade MELHORES PRÁTICAS DE MIGRAÇÃO DE UMA REDE IPv4 PARA IPv6 Banca Examinadora: __________________________________________________________ Prof. __________________________________________________________ Prof. __________________________________________________________ Prof.
  4. 4. iv Dedico esta monografia à minha esposa Manoela e minha filha Nathália, que abriram mão de uma grande parcela de nosso convívio familiar e que não mediram esforços para me apoiar; amo vocês ! aos meus pais, Eloizo e Helenice, pela fé e confiança demonstrada, sempre investindo em mim e no meu futuro; ao meu amigo Saulo pelo apoio incondicional em todas as minhas decisões tanto nas acertadas como nas erradas; e a todos os familiares e amigos que permitiram e incentivaram esse passo a ser dado. Alexandre Gomes Agradeço e dedico à conquista de mais um passo na vida, à minha esposa Lísian, que suportou pacientemente minha ausência e incentivou-me a persistir em busca do meu objetivo; à minha mãe Eloíza que sempre esteve ao meu lado; ao meu saudoso Pai Carlos Luiz, que foi fundamental para que pudesse chegar onde cheguei; ao meu irmão Rangel, que me apoiou nos momentos difíceis; aos meus amigos e companheiros, os meus agradecimentos pela amizade e por tudo que convivemos. Carlos Botelho
  5. 5. v Agradecemos ao nosso orientador Eduardo Wolski, pela paciência, didática e principalmente pelo compromisso de estar sempre à disposição e presente em nossa orientação. Alexandre Gomes e Carlos Botelho
  6. 6. vi RESUMO Com o crescimento de aplicações como Ponto a Ponto e vídeo- conferência, e com a necessidade de computadores sempre conectados e disponíveis, o novo protocolo IPv6 fará a substituição gradual do atual IPv4 que, num futuro próximo, se tornará inviável por escassez de endereços. Este documento tem como finalidade servir de referência ao processo de migração da tecnologia IPv4 para IPv6 de uma rede local gerenciada, de tamanho médio ou grande, e problemas relacionados à mesma. É, portanto, um documento para subsidiar as ações de um administrador de rede. O protocolo IPv6 não só aumenta a quantidade de endereços como também possui diversos benefícios sobre o IPv4, sendo esses descritos neste documento. A abordagem adotada neste trabalho trata, especificamente, da implantação de IPV6 em uma rede com serviços comumente utilizados, mostrando, de forma prática e por meio de análises, a migração a partir de uma rede IPv4.
  7. 7. vii ABSTRACT This document aims to be a practical migration reference to the IPv6 protocol suite and its issues. With the increase of the Internet, the growing of P2P applications, video conferences and always-on computers, the standard IPv4 will not support all needed addresses soon. IPv6 was designed to solve this and other IPv4 issues as well as bringing new features. This document shows a practical implementation in a managed local network and its services, describing the migration from IPv4 and making the analysis of this implementation.
  8. 8. viii LISTA DE FIGURAS Figura 2.1 – Retirada de campos cabeçalho IPv4 ............................................................. 7 Figura 2.2 – Cabeçalho IPv6 ............................................................................................ 8 Figura 2.3 – Utilização ilustrativa do IPSec ..................................................................... 8 Figura 2.4 – Rede com endereçamento Anycast ............................................................ 11 Figura 2.5 – Cabeçalho IPv6 e IPv4 ............................................................................... 13 Figura 2.6 – Cabeçalho de expansão IPv6 e IPv4 .......................................................... 14 Figura 2.7 – Cabeçalho de extensão IPv6....................................................................... 14 Figura 2.8 – Campos do pacote ICMPv6 ....................................................................... 15 Figura 2.10 – Exemplo de vídeo conferência ................................................................. 21 Figura 2.11 – Cabeçalho IPv4 e IPv6 - apresentação QoS ............................................. 23 Figura 2.11 – Cabeçalho AH e ESP ............................................................................... 26 Figura 3.1 – Coexistência - IPv6 e IPv4 ......................................................................... 30 Figura 3.2 – Tráfego de pacotes com a arquitetura de pilha dupla................................. 31 Figura 3.3 – Configuração Host a Host .......................................................................... 33 Figura 3.4 – Configuração Host a Roteador ................................................................... 34 Figura 3.5 – Configuração Roteador a Roteador ............................................................ 34 Figura 3.6 – Pilha Dupla IPv6 encapsulado IPv4 ........................................................... 35 Figura 3.8 – Estrutura de pacote ISATAP ...................................................................... 36 Figura 3.9 – Topologia utilizando túnel ISATAP .......................................................... 36 Figura 3.10 – Inicialização do ISATAP ......................................................................... 38 Figura 3.11 – Comunicação entre máquinas com ISATAP configurada no mesmo segmento de rede. ........................................................................................................... 39 Figura 3.12 – Comunicação entre máquinas com ISATAP configurada em diferentes segmentos de rede. .......................................................................................................... 39 Figura 3.13 – Comunicação entre máquinas com ISATAP – diferentes segmentos de rede IPv6 ......................................................................................................................... 40 Figura 3.14 – Estrutura do endereço do túnel 6to4 ........................................................ 42 Figura 3.15 – Estrutura da conexão 6to4 ........................................................................ 43 Figura 3.16 – Comunicação do túnel 6to4...................................................................... 45 Figura 3.17 – Comunicação relay/roteador 6to4 com servidor IPv6 ............................. 47 Figura 3.18 – Comunicação túnel Broker....................................................................... 51 Figura 3.19 – Inicialização do túnel Broker ................................................................... 52 Figura 3.21 – Configuração Teredo ................................................................................ 57 Figura 3.22 – Conexão Teredo com NAT do tipo restrito ............................................. 60 Figura 3.23 – Logo Silver Fase I .................................................................................... 68 Figura 3.24 – Logo Gold Fase 2 ..................................................................................... 69 Figura 4.1 – Ambiente de Laboratório. .......................................................................... 72 Figura 4.2 – Cenário 0 – Rede Interna e operadora IPv4 - túnel Broker IPv6 ............... 74 Figura 4.3 – Cenário 1 – Rede Interna IPv4 e operadora IPv4 e IPv6 (dual-stack) ....... 75 Figura 4.4 – Cenário 2 – Rede Interna IPv4 e operadora IPv6 ....................................... 75 Figura 4.5 – Cenário 3 – Rede Interna IPv4 e IPv6 (dual-stack) e operadora IPv4 ....... 76 Figura 4.6 – Cenário 4 – Rede Interna e operadora IPv4 e IPv6 (dual-stack) ................ 77 Figura 4.7 – Cenário 5 – Rede Interna IPv4 e IPv6 (dual-stack) e operadora IPv6 ....... 77 Figura 4.8 – Cenário 6 – Rede Interna IPv6 e operadora IPv4 ....................................... 78 Figura 4.9– Cenário 7 – Rede Interna IPv6 e operadora IPv4 e IPv6 (dual-stack) ........ 79 Figura 4.10 – Cenário 8 – Rede Interna e operadora IPv6 ............................................. 79 Figura 4.11 – Roteador de borda ................................................................................... 82 Figura 4.12 – Configuração UDHCP ............................................................................ 85
  9. 9. ix Figura 4.13 – Configuração Gateway6 .......................................................................... 85 Figura 4.14 – Configuração RADVd ............................................................................. 87 Figura 4.15 – Indicação do pacote RA – desabilitado ................................................... 88 Figura 4.16 – Indicação do pacote RA – habilitado ...................................................... 88 Figura 4.17 – Inicialização do túnel Broker .................................................................. 89 Figura 4.18 – Configuração da interface Eth0 – rede WAN ......................................... 89 Figura 4.19 – Configuração da interface eth1 ............................................................... 90 Figura 4.20 – Configuração da interface SIT1 .............................................................. 91 Figura 4.21 – Configuração da interface Loopback ...................................................... 91 Figura 4.22 – Teste de ping versão 6 ............................................................................. 91 Figura 4.23 – Tabela de roteamento do servidor – IPv4 ............................................... 92 Figura 4.24 – Roteamento default Eth0 ......................................................................... 92 Figura 4.25 – Roteamento – comando routel ................................................................ 92 Figura 4.26 – Arquivo de log do named ........................................................................ 94 Figura 4.27 – Campos configurados no dhcp6s ............................................................ 95 Figura 4.28 – Diretório do shorewall ............................................................................ 96 Figura 4.29 – Associação de zonas................................................................................. 96 Figura 4.30 – Configuração de tráfegos ......................................................................... 97 Figura 4.32 – Tipo de zonas ........................................................................................... 97 Figura 5.1 – Topologia – Transferência de arquivos – Cabo ......................................... 99 Figura 5.2 – Transferência de arquivo – comparação IPv4 x IPv6 – Via Cabo ........... 100 Figura 5.3 – Topologia – Transferência de arquivos - Wireless .................................. 101 Figura 5.4 – Transferência de arquivo – comparação IPv4 x IPv6 – Wireless ............ 102 Figura 5.5 – Hops para alcance do Freenet6 ................................................................ 103 Figura 5.6 – Teste de Ping – Comparação IPv4 x IPv6 – Servidor Freenet6 ............... 104 Figura 5.7 – Mapa de interligação de redes – através do mar ...................................... 105 Figura 5.8 – Teste de Ping – comparação IPv4 x IPv6 – Servidor Kame.net .............. 105 Figura 5.9 – Teste de Ping – Comparação IPv4 x IPv6 – Servidor IPv6.br ................. 106 Figura 5.10 – Tela de configuração – túneis desabilitados........................................... 107 Figura 5.11 – Topologia – Comunicação através de túnel 6to4 ................................... 108 Figura 5.13 – Sucesso no ping com site Google IPv6 – 6to4 IP válido ....................... 109 Figura 5.14 – Configuração endereço IP através de NAT – 6to4................................. 110 Figura 5.15 – Insucesso no ping com site Google IPv6 – 6to4 IP Nat ......................... 110 Figura 5.16 – Topologia – Comunicação através de túnel Teredo ............................... 111 Figura 5.17 – Configuração endereço IP através de NAT – Túnel Teredo .................. 111 Figura 5.18 – Tela de configuração – Túnel Teredo habilitado – IP NAT................... 112 Figura 5.19 – Sucesso no ping com site Google IPv6 – Túnel Teredo IP NAT.......... 112 Figura 5.20 – Tela de configuração – Túnel Teredo habilitado – IP Público............... 113 Figura 5.21 – Teste de Ping – comparação 6to4 x Teredo – servidor IPv6.google.com ...................................................................................................................................... 113 Figura 6.1 – Layout – Distribuição Zonas Lógicas ...................................................... 117 Figura 6.2 – Layout – WAN ......................................................................................... 117 Figura 6.3 – Layout – LAN .......................................................................................... 119 Figura 6.4 – Layout – firewall ...................................................................................... 123
  10. 10. x LISTA DE TABELAS Tabela 4.1 – Cenários para implantação de redes ................................................... 72 Tabela 4.2 – Configuração dos Ativos ...................................................................... 73
  11. 11. xi LISTA DE ABREVIATURAS E SIGLAS ADM Administrador de Redes ADSL Assymmetric Digital Subscriber Line AH Authentication Header AP Access Point ARP Address Resolution Protocol ARPANET Advanced Research Projects Agency Network BC Broker Cliente BIND Berkeley Internet Name Domain CPE Customer Premises Equipament or Provider Equipament CIDR Classless Interdomain Routing DAD Duplicate Address Detection DDos Denial of Service DHCP Dynamic Host Configuration Protocol DHCPv6 Dynamic Host Configuration Protocol version 6 DNS Domain Name System DNSv6 Domain Name System version 6 DSTM Dual Stack Transition Mechanism ESP Encapsulation Security Payload Header HTML HyperText Markup Language IAB Internet Association Board IANA Assingned Numbers Autority ICMP Internet Control Message Protocol ICMPv6 Internet Control Message Protocol version 6 IDD Interface Identifier IESG Internet Enginnering Steering Group IETF Internet Engineering Task Force IKE Internet Key Exchange IPAE IP Address Encapsulation IPng IP The Next Generation IP Internet Protocol IPv4 Internet Protocol Version 4
  12. 12. xii IPv6 Internet Protocol Version 6 ISC Internet Systems Consortuim LAN Local Area Network MIPv6 Mobile Internet Protocol Version 6 MLD Multicast Listener Discovery MTU Maximum Transmit Unit MSDP Multicast Source Discovery Protocol NAT Network Address Translation ND Neighbor Discovery NGTrans Next Generation Transition OP Operadora de Telecom OSPF Open Shortest Path First OSPFv3 Open Shortest Path First version 3 P2P Peer to peer PAA PANA Authentication Agent PANA Protocol for Autentication and Network Access PDA Personal digital assistants PIM Protocol Independent Multicast PKI Public Key Infrastructure QoS Quality fo Services RA Router Advertisement RIPng Routing Information Protocol next generation ROAD Routing and Addressing RS Router Solicitation SIP Simple Internet Protocol SSM Source Specific Multicast TB Tunnel Broker TCP Transmission Control Protocol TI Tecnologia da Informação TS Tunnel Server TTL Time to Live UDP User Datagram Protocol
  13. 13. xiii SUMÁRIO 1. INTRODUÇÃO ........................................................................................................................ 1 2. FUNDAMENTAÇÃO TEÓRICA ................................................................................................. 4 2.1 Sobre o IPv6............................................................................................................................. 4 2.1.1 Histórico da Evolução do Protocolo IPv6 .................................................................. 4 2.1.2 Instituições Ligadas ao IPv6.............................................................................................. 5 2.1.2.1 IETF ............................................................................................................................ 5 2.1.2.2 NGtrans ..................................................................................................................... 6 2.1.2.3 6Bone ........................................................................................................................ 6 2.2 Características do Protocolo IPv6 2.2.1 Concepção do IPv6................................................... 7 2.2.2 Endereçamento no IPv6 ................................................................................................... 9 2.2.2.1 Formação do Endereço ............................................................................................. 9 2.2.2.2 Endereçamento Unicast .......................................................................................... 11 2.2.2.3 Endereçamento Anycast ......................................................................................... 11 2.2.2.4 Endereçamento Multicast ....................................................................................... 12 2.2.3 Cabeçalho IPv6 ............................................................................................................... 12 2.2.4 Serviços Básicos do IPv6 2.2.4.1 ICMPv6....................................................................... 15 2.2.4.2 Neighbor Discovery ................................................................................................. 16 2.2.4.3 Autoconfiguração: ................................................................................................... 17 2.2.4.4 DHCPv6 .................................................................................................................... 18 2.2.4.5 DNSv6 ...................................................................................................................... 20 2.2.4.6 Multicasting............................................................................................................. 21 2.2.4.7 QoS .......................................................................................................................... 22 2.2.5 Segurança no IPv6 ...................................................................................................... 23 2.2.5.1 Ameaça I – Procura de Gateways ........................................................................... 23 2.2.5.2 Ameaça II – Procura de Endereços Multicast......................................................... 24 2.2.5.3 Ameaça III – Acesso não Autorizado ...................................................................... 24 2.2.5.4 Ameaça IV – Pontos Fracos nos Firewalls .............................................................. 25 2.2.5.5 Ameaça V – Ataques Através de Cabeçalhos .......................................................... 25 2.2.5.6 Ameaça VI – Pontos Fracos do Protocolo ............................................................... 26 2.2.5.7 Ameaça VII – Ataques de DDoS ............................................................................... 26 3. PROCESSOS DE UMA MIGRAÇÃO – COEXISTÊNCIA IPv4/IPv6 E SUPORTE ......................... 28 3.1 Premissas............................................................................................................................... 28
  14. 14. xiv 3.2 Mecanismos de coexistência e suas falhas ........................................................................... 29 3.2.1 Pilha dupla (dual-stack) .................................................................................................. 31 3.2.1.1 Segurança em dual-stack (Pilha Dupla) ................................................................... 32 3.2.2 Tunelamento .................................................................................................................. 32 3.2.2.1 Túneis ISATAP .......................................................................................................... 36 3.2.2.1.1 Modelo de comunicação ISAPTAP ....................................................................... 37 3.2.2.1.2 Segurança de Túnel ISATAP.................................................................................. 41 3.2.2.2 Túnel 6to4 ............................................................................................................... 42 3.2.2.2.1 Comunicação Cliente 6to4/Roteador 6to4 com Servidor IPv6 Nativo................. 46 3.2.2.2.2 Segurança e Limitações do Túnel 6to4 ................................................................ 49 3.2.2.3 Túnel Broker ............................................................................................................ 50 3.2.2.3.1 Segurança Túnel Broker ....................................................................................... 53 3.2.2.4 Túnel Teredo .......................................................................................................... 55 3.2.2.4.1 Segurança do túnel Teredo .................................................................................. 61 3.2.2.4.2 Problemas com Túneis: ........................................................................................ 62 3.3.3 Tradução......................................................................................................................... 63 3.3.3.1 Mecanismos de Tradução ....................................................................................... 64 3.3.3.1.1 Staless IP/ICMP Translation( SIIT) ........................................................................ 64 3.3.3.1.2 Network Address Translation with Protocol Translation (NAT/NAPT-PT)............ 64 3.3.3.1.3 Network Address Port Translation and Packet Translation (NAPT-PT) ................ 65 3.3.4 Problemas Adicionais de Segurança em IPv6................................................................. 65 3.3.4.1 Roteamento............................................................................................................. 65 3.3.4.2 Router Advertisement e do Neighbor Discorvery .................................................... 65 3.3.4.3 DHCPv6 .................................................................................................................... 66 3.3.5 Compatibilidade de Software, Sistemas Operacionais e Hardwares (Firmwares) ......... 67 3.3.5.1 Fase 1 - Silver Logo .................................................................................................. 68 3.3.5.2 Fase 2 - Gold Logo .................................................................................................. 69 4. CONFIGURAÇÕES DO AMBIENTE DE TESTE ........................................................................ 71 4.1 Cenários................................................................................................................................. 71 Tabela 4.1 – Cenários para implantação de redes .................................................................. 72 Tabela 4.2 – Configuração dos ativos...................................................................................... 73 4.1.1 - Cenário 0 ...................................................................................................................... 73 4.1.2 - Cenário 1 ...................................................................................................................... 74 4.1.3 - Cenário 2 ...................................................................................................................... 75
  15. 15. xv 4.1.4 - Cenário 3 ...................................................................................................................... 75 4.1.5 - Cenário 4 ...................................................................................................................... 76 4.1.6 - Cenário 5 ...................................................................................................................... 77 4.1.7 - Cenário 6 ...................................................................................................................... 78 4.1.8 - Cenário 7 ...................................................................................................................... 78 4.1.9 - Cenário 8 ...................................................................................................................... 79 4.2 Configurações Realizadas ...................................................................................................... 80 4.2.1 Roteador de Borda ......................................................................................................... 80 4.2.1.1 Sistema Operacional utilizado e sua distribuição ................................................... 80 4.2.1.2 Configuração do Roteador de Borda....................................................................... 81 4.2.1.2 Sincronia da árvore do Portage # emerge –sync ................................................... 83 4.2.1.3 Programas Instalados .............................................................................................. 84 4.2.1.3.1 Kernel ................................................................................................................... 84 4.2.1.3.2 DHCPv4 ................................................................................................................. 84 4.2.1.3.3 Router Advertisement Daemon ............................................................................ 85 4.2.1.3.4 Túnel Broker (freenet6) ........................................................................................ 86 4.2.1.3.5 DNS (BIND9) ......................................................................................................... 93 4.2.1.3.6 DHCPv6 ................................................................................................................. 94 4.2.1.3.7 Shorewall .............................................................................................................. 95 4.2.1.3.7.1 Arquivo Interfaces ............................................................................................. 96 4.2.1.3.7.2 Arquivo policy.................................................................................................... 96 4.2.1.3.7.3 Arquivo masq .................................................................................................... 97 4.2.1.3.7.4 Arquivo zones ................................................................................................... 97 4.2.1.3.7.5 Arquivo shorewall.conf .................................................................................... 98 4.2.1.3.7.6 Firewall (IPtables) ............................................................................................. 98 5. TESTES E ANÁLISE DE RESULTADOS .................................................................................... 99 5.1 Teste Rede Local ( Sem utilização de Túnel) ......................................................................... 99 5.2 Teste utilizando Mecanismos de Tunelamento .................................................................. 102 5.2.1 Túnel Broker ................................................................................................................. 102 5.2.2 Túnel 6to4 .................................................................................................................... 107 5.2.3 Túnel Teredo ................................................................................................................ 110 6. MELHORES PRÁTICAS PARA MIGRAÇÃO ........................................................................... 116 6.1 WAN ( Roteador de borda IPv6) .......................................................................................... 117 6.1.1 Criar conta no túnel Broker ................................................................................... 118
  16. 16. xvi 6.1.2 Implantar roteador de borda do túnel .................................................................. 118 6.1.3 Configurar o serviço de RA com o prefixo recebido pelo Broker .......................... 119 6.2 LAN ( Exceto firewall) .......................................................................................................... 119 6.2.1 Geral ...................................................................................................................... 119 6.2.1.1 Levantar firmwares e softwares em produção mapeando os que possuem suporte somente à IPv4 .................................................................................................................. 120 6.2.1.2 Dividir firmware e software que possuem suporte em duas fases do IPv6 Ready (Fase 1 e Fase 2) ................................................................................................................ 120 6.2.1.3 Atualizar os SO's e firmwares que possuírem atualização de suporte ao IPv6..... 120 6.2.1.4 Habilitar a pilha-dupla (IPv6/IPv4) e DHCPv6 nos hosts ....................................... 120 6.2.1.5 Verificar atualizações de versionamento e segurança referente ao IPv6............. 121 6.2.2 Específicos ............................................................................................................. 121 6.2.2.1 Servidores 6.2.2.1.1 DHCPv6 6.2.2.1.1.1 Implantar o serviço DHCPv6 e habilitar o IPv6 na interface de rede .................................................................................................. 121 6.2.2.1.1.2 Inserir o(s) endereço(s) de escopo link-local do DNS nos pacotes do DHCPv6 ........................................................................................................................................... 122 6.2.2.1.2 DNSv6 6.2.2.1.2.1 Habilitar DNS para suportar IPv6 e habilitar o IPv6 em sua interface de rede ............................................................................................................... 122 6.2.2.1.2.2 Configurar as zonas Internas para o IPv6 ....................................................... 122 6.2.2.1.2.3 Habilitar endereços na interface IPv6 fec0:0:0:ffff::1 a ::3 (Site-Local) para uso de equipamentos IPv6 Ready Fase 1................................................................................. 122 6.2 Firewall ................................................................................................................................ 123 6.2.1 Habilitar o IPv6 nas interfaces de rede ................................................................. 123 6.2.2 Habilitar o roteamento IPv6 e bloquear seu tráfego ............................................ 123 6.2.3 Criar regras no firewall .......................................................................................... 124 6.2.3.1 IPv4 ........................................................................................................................ 124 6.2.3.1.1 Bloquear o protocolo 41 e portas UDP 3544 .................................................... 124 6.2.3.2 IPv6 ....................................................................................................................... 124 6.2.3.2.1 Liberar as portas dos serviços a serem utilizados (basear nos serviços IPv4) ... 124 6.2.3.2.2 Filtrar o tráfego de tipos ICMPv6 que não são essenciais................................. 124 6.2.3.2.3 Permitir o tráfego de pacote RA para LAN provenientes do roteador de borda (Túnel IPv6), sentido “1” (Figura 6.1) ................................................................................ 125 7. CONCLUSÃO ...................................................................................................................... 127 BIBLIOGRAFIA ............................................................................................................................ 129 APÊNDICE A ............................................................................................................................... 133 A.1 - Configuração do Kernel ( parte referente ao IPv6)....................................................... 133
  17. 17. xvii A.2 - Configuração do BIND ................................................................................................... 139 A.3 - Configuração do Broker ................................................................................................ 141 A.4 - Configuração do Shorewall ........................................................................................... 146 A.5 - Configuração do UDHCPd ............................................................................................. 148 A.6 - Configuração do DHCP6s .............................................................................................. 148 APÊNDICE B ............................................................................................................................... 148 B.1 - Lista de Verificação ....................................................................................................... 149 B.2 - Fluxograma.................................................................................................................... 150
  18. 18. 1 1. INTRODUÇÃO Em 1969, a ARPANET foi criada com a intenção de interligar centros de pesquisa nos Estados Unidos e foi o grande marco para o avanço das redes de telecomunicações, culminando na criação do que hoje é conhecido como Internet e na utilização extensiva do IPv4. O IPv4 suportou a interligação entre redes em nível global, tendo a Internet atingido à dimensão que hoje se conhece. Devido ao recente crescimento exponencial da Internet e seus usuários e equipamentos “on-line” e do surgimento da Web2.0, o IPv4 não será mais capaz de suprir esse potencial aumento do número de utilizadores ou das necessidades geográficas da expansão da Internet. Segundo a Internet Assigned Numbers Authority (IANA), restam cerca de 11% de endereços IPv4 disponíveis no mundo (fonte: http://www.inetcore.com/project/IPv4ec/ index_pt.html). O tempo de vida do IPv4 vem se estendendo pelo uso de técnicas paliativas para a reutilização de endereços, tais como o Network Address Translation (NAT), Classless Interdomain Routing (CIDR), e atribuições de endereços de forma temporária com o serviço Dynamic Host Configuration Protocol (DHCP). Essas técnicas surgiram para aumentar o espaço de endereçamento e satisfazer o tradicional modelo cliente/servidor, mas não cumprem os requisitos da verdadeira mobilidade entre rede e utilizador, assim como o novo modelo emergente de serviços voltados ao Peer to Peer (P2P), onde todos passam a ser clientes e servidores em determinado nível de serviço. Às aplicações têm sido fornecidas maiores larguras de banda, e delas é demandada melhor desempenho. A necessidade de ambientes sempre disponíveis proíbe estas técnicas de conversão e de alocação temporária de endereços IP, feitas hoje pelo DHCP. Além disso, o “plug and play” requerido pelas aplicações aumentam, significativamente, o requisito do protocolo, de forma a facilitar a utilização dos equipamentos. Milhões de novos dispositivos tecnológicos não serão capazes de obter endereços IPv4 globais, e isso é inapropriado para os novos serviços emergentes. O IPv4 chegará, brevemente, à fase em que tem de ser feita a escolha entre novas capacidades ou uma rede
  19. 19. 2 maior, mas não as duas. Por outras palavras, faz-se necessário um novo protocolo para fornecer características novas e melhoradas, além de resolver o problema da escassez de endereços IP. Esse novo protocolo é o IPv6. O IP versão 6, ou na sua forma abreviada IPv6, é a nova versão do protocolo de Internet para substituir o atual IPv4. Apesar da escassez do espaço de endereçamento IPv4 ter sido a razão principal para o desenvolvimento de um novo protocolo, os arquitetos do IPv6 adicionaram novas características em um conjunto de aperfeiçoamentos críticos do IPv4. Neste trabalho serão apresentados os vários aspectos do protocolo, incluindo endereçamento, autoconfiguração e coexistência entre IPv4 e IPv6. Considerando o cenário apresentado, este trabalho tem como escopo a elaboração e verificação, por meio de estudo, observação, implantação e testes, de regras de melhores práticas para uma migração de uma rede IPv4 para uma rede mista (IPv4/IPv6) e, futuramente, IPv6 pura, minimizando os impactos e falhas de segurança, considerando os serviços mais comumente usados em uma rede, assim como a interação com equipamentos legados IPv4 puros. O objetivo geral do trabalho é, portanto, elaborar e verificar regras de melhores práticas na migração de uma rede IPv4 para IPv6, tanto na questão executiva, quanto na questão de segurança, considerando que será necessário que se tenha um ambiente de convivência entre as duas versões do protocolo. Os objetivos específicos são os seguintes: • Estudar a arquitetura do IPv6 e suas diferenças em relação ao IPv4; • Estudar as formas de interação de coexistência entre as duas tecnologias; • Estudar quais são os serviços que sofrem alterações com a migração;
  20. 20. 3 • Implementar, em laboratório, os serviços que interagem, diretamente, com endereçamento da camada de rede: DNS, DHCP; • Avaliar o impacto da migração na segurança da rede; • Avaliar o impacto da migração no desempenho da rede; • Levantar requisitos importantes para as mudanças em um projeto de migração; • Elaborar um documento para auxiliar uma migração de forma estável e segura, tendo como público-alvo os administradores de redes. Nos próximos capítulos, será apresentado um histórico da evolução do protocolo IPv6, comparando com o protocolo IPv4, de utilização atual, demonstrando as características do novo protocolo, como a nova formação do endereçamento, mudança do cabeçalho, dos serviços básicos, aumento da segurança e a coexistência entre os dois protocolos. Serão vistos, também, os processos de uma migração, mecanismos de interoperação e tradução, desempenho e problemas conhecidos da migração, configurações realizadas no laboratório, realização de testes e, por fim, as melhores práticas para que a migração seja feita de forma estável, segura e eficiente.
  21. 21. 4 2. FUNDAMENTAÇÃO TEÓRICA Serão apresentados, neste capítulo, a evolução do protocolo IPv6, as instituições responsáveis pela introdução do novo protocolo e as principais características, desde a sua concepção, nova forma de endereçamento, alteração na forma de comunicação dos serviços e os recursos de segurança. 2.1 Sobre o IPv6 2.1.1 Histórico da Evolução do Protocolo IPv6 Segundo o IPv6.org “O projeto IP the Next Generation (IPng) - representa o resultado da evolução de diferentes propostas da Internet Engineering Task Force (IETF), bem como o esforço conjunto de vários grupos de trabalho. Conforme aponta a RFC 1752 (BRANDER & MANKIN, 1995), o projeto IPng sofreu a seguinte evolução: a. 1990 - No encontro Internet Engineering Task Torce (IETF) de Vancouver, Frank Solensky, Phill Gross e Sue Hares afirmaram que à taxa de atribuição do espaço de endereçamento IPv4, existente à época, as classes do tipo B estariam esgotadas, possivelmente, por volta de Março de 1994. b. 1991 - A IETF forma o grupo de trabalho Routing and Addressing (ROAD), no encontro de Santa Fé, com o objetivo de encontrar uma solução para a exaustão do espaço de endereçamento IPv4. c. 1992 - A Internet Association Board (IAB) apresenta o documento IP version 7, paralelamente aos esforços do grupo de trabalho ROAD, em que recomenda à IETF a preparação de um plano detalhado para o sucessor do protocolo IP. A IETF rejeita esta sugestão e apresenta pedido de propostas recomendadas pelo grupo ROAD. Como resposta a
  22. 22. 5 este pedido surgiram algumas propostas: IP Encaps, Nimrod e Simple CLNP. No mesmo ano surgem mais três propostas: - The P Internet Protocol (PIP), The Simple Internet Protocol (SIP). d. 1993 – Phil Gross do Internet Engineering Steering Group (IESG) apresenta um memorando intitulado "A Direction for IPng", onde anuncia a criação de uma área temporária para o IPng. CLNP e IP Encaps evoluem, dando origem, respectivamente, ao TCP e ao UDP, TUBA e IPAE. Neste mesmo ano, o SIP evoluiu, abrangendo características do IP Address Encapsulation IPAE. O IPAE foi adotado como estratégia de transição para o SIP, proposto por Steve Deering em Novembro de 1992. O SIP aumentava o endereço IP para 64 bits, tornava a fragmentação de pacotes opcional e eliminava vários aspectos obsoletos do IP. g. Em 1994, a comissão do IPng revisou todas as propostas; SIP e PIP deram origem à proposta The Simple Internet Protocol Plus (SIPP) e publicou-se sua recomendação sugerindo o SIPP como a base para o novo protocolo IP, mas com mudanças em algumas características chaves da especificação original. Particularmente, o novo protocolo teria 128 bits e se chamaria IPv6. Ocorreu, então, a aprovação do documento The Recommendation for the IP Next Generation Protocol como norma oficial de desenvolvimento do IPng. A primeira conexão com o protocolo IPv6 foi estabelecida em março de 1998 com a Cisco System, nos EUA.” 2.1.2 Instituições Ligadas ao IPv6 2.1.2.1 IETF O IETF é uma sociedade internacional, composta de técnicos, agências, fabricantes de equipamentos, fornecedores e pesquisadores, preocupados com
  23. 23. 6 a evolução da arquitetura da Internet e seu perfeito funcionamento. O IETF tem como missão identificar e propor soluções e problemas relacionados à utilização da Internet, além de propor padronização das tecnologias e protocolos envolvidos. 2.1.2.2 NGtrans O IPng Transition (NGTrans) é um grupo de trabalho da IETF que estuda e define procedimento para a transição do IPv4 para o IPv6. Sua estratégia é baseada em: • Produzir um documento detalhando a infra-estrutura, como será e o que será necessário para a transição; • Definir e especificar os mecanismos obrigatórios e opcionais a serem implementados pelos fabricantes nos hosts, roteadores e outros equipamentos de rede, a fim de suportar o período de transição; • Articular um plano operacional concreto, quando da transição entre o IPv4 e o IPv6. 2.1.2.3 6Bone O 6Bone, Backbone IPv6 coordenado pelo NGTrans, foi um teste de campo para auxiliar na evolução, no desenvolvimento e no aperfeiçoamento do protocolo IPng, tendo integrado vários países. Operacional desde 1996, este Backbone é implementado através de uma rede virtual sobre a rede física IPv4 da atual Internet. A rede virtual é composta de redes locais IPv6 ligadas entre si por túneis ponto-a-ponto IPv6 sobre IPv4. Os túneis são realizados por roteadores com pilha dupla (IPv6 e IPv4) com suporte para roteamento estático e dinâmico e as redes locais IPv6 são compostas por estações com sistemas operacionais com suporte a IPv6 e IPv4.
  24. 24. 7 2.2 Características do Protocolo IPv6 2.2.1 Concepção do IPv6 O IPv6 foi concebido para satisfazer aos requisitos da potencial expansão da Internet e irá permitir uma comunicação global, onde as regras de endereçamentos serão novamente transparentes para as aplicações, como feitas anteriormente ao uso do NAT, através da autoconfiguração e do suporte plug and play, os dispositivos de rede conseguirão ligar-se à rede sem configuração manual. O IPv6 consegue propiciar isso através dos seguintes benefícios às redes e aos profissionais de TI: • Primeiramente, o IPv6 possui bastante espaço para endereços, permitindo uma disponibilidade e escalabilidade globais. Isso resultará em um número quase que ilimitado de endereços IP e numa arquitetura hierárquica de rede para um encaminhamento eficiente dos dados; isso elimina os problemas associados ao NAT como, por exemplo, a dificuldade de se abrir a porta de um serviço que está atrás do NAT. A capacidade de fornecer endereços globais para cada dispositivo de rede permite uma escalabilidade “fim-a-fim”; conseqüentemente, a gestão da rede será mais simples e fácil. • Segundo; um formato simplificado do cabeçalho para uma manipulação eficiente dos pacotes. No IPv6, seis dos doze campos do cabeçalho IPv4 foram retirados (campos em verde claro); Figura 2.1 – Retirada de campos cabeçalho IPv4
  25. 25. 8 Alguns campos continuam a existir, mas com nomenclatura diferentes (campos em vermelho); e também foi adicionado um novo campo (campo em laranja) para aumentar a eficiência e introduzir novas funcionalidades; Figura 2.2 – Cabeçalho IPv6 • Em terceiro lugar; uma arquitetura de redes hierárquica para um encaminhamento eficiente que segue alguns princípios do CIDR no IPv4. Outra vantagem importante do IPv6 é a segurança incorporada com a implementação mandatória do IP Security Protocol (IPSec), diferentemente do IPv4, em que a utilização do IPSec é opcional e teve que ser adaptada para o funcionamento. O IPSec faz parte intrínseca do protocolo e, por isto, sua habilitação na rede as tornam potencialmente mais seguras; Figura 2.3 – Utilização ilustrativa do IPSec
  26. 26. 9 Adicionalmente, o IPv6 oferece um número crescente de endereços multicast e não utilizará o broadcast, diminuindo assim o tráfego. Também no IPv6, o protocolo Internet Control Message Protocol (ICMP) foi revisto, tornando-se mais eficaz, e incluindo novas funcionalidades para suportar a autoconfiguração, multicast, varredura e descobrimento de vizinhança (antes realizado por broadcasts na rede). E, finalmente, o IPv6 oferece mobilidade integrada, uma vez que o surgimento esperado de serviços de dados em redes sem fio será um impulsionador chave do IPv6. 2.2.2 Endereçamento no IPv6 2.2.2.1 Formação do Endereço Em seguida, é feita a apresentação da sintaxe do endereçamento utilizado pelo IPv6, incluindo o prefixo e, também, são mostrados os diferentes tipos de endereços e como os hosts podem, automaticamente, montar seu próprio endereço a partir de seu endereço físico - MAC Adresss. O formato do endereçamento IP muda, drasticamente, da versão 4 para a versão 6. Em vez de 32 bits do endereço IPv4, um endereço IPv6 possui 128 bits. Considerando a população atual da terra, resultaria em pelo menos 1000 endereços por pessoa. Embora seja uma quantidade exagerada para as necessidades atuais, ele elimina qualquer possibilidade de escassez de endereços IP. (HAGEN, 2002) Os endereços em IPv6 são escritos no seguinte formato: XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX Sendo que cada grupo de quatro “X” representa um campo de 16 bits em hexadecimal e, diferentemente do IPv4, os separadores no IPv6 são “:”, sendo anteriormente representados por “.”. Os números em hexadecimal não são sensíveis a letras maiúsculas ou minúsculas. Sendo assim, o endereço escrito como no exemplo: 2001:0000:1234:0000:0000:C1C0:ABCD:0876
  27. 27. 10 Pode ser representado como o endereço: 2001:0000:1234:0000:0000:c1c0:abcd:0876 Adicionalmente, os zeros não significativos em um campo podem ser comprimidos e o endereço acima poderá ser escrito da seguinte forma: 2001:0:1234:0:0:C1C0:ABCD:0876 O IPv6 também utiliza uma outra importante convenção para abreviar os endereços, fazendo com que seqüências sucessivas de “0” sejam representados por “::”, de forma a acontecer, nessa representação, somente uma vez o artifício e, dessa forma, o endereço acima se tornaria: 2001:0:1234::C1C0:ABCD:0876 Porém, não poderia se tornar: 2001::1234::C1C0:ABCD:0876 Pois, o artifício estaria sendo utilizado mais de uma vez. Um endereço IPv6 pode ser expresso no seguinte formato IPv6 address / prefix length da mesma forma que um endereço IPv4 é representado na notação CIDR. Por exemplo: 1080:6809:8086:6502/64 é um prefixo IPv6 completamente válido e corresponderia ao endereço 1080:6809:8086:6502:: ou seja representando o resto dos zeros do endereço. O valor “/64” é um decimal que representa o número de bits que ficam à esquerda e que representam o prefixo. Um prefixo IPv6 também pode caracterizar um grupo de endereços como os utilizados para identificar redes como, por exemplo, um segmento, um conjunto de LAN’s ou até mesmo uma rede de uma operadora. Um segmento de rede, usualmente, possui um prefixo de 64 bits, enquanto que um conjunto de redes locais tem normalmente um prefixo de 48 bits e, no último caso, os 16 bits estão alocados livremente como um ID de sub- rede, para se poder segmentar uma rede da mesma forma de como é feita no IPv4.
  28. 28. 11 Existe uma diferença importante entre um endereço de um host IPv4 para um host IPv6. Um host IPv4 tem, normalmente, um endereço IP, mas um host IPv6 possui geralmente mais do que um endereço IP. Existem três tipos principais de endereços IPv6: o unicast, o anycast e o multicast. 2.2.2.2 Endereçamento Unicast O endereço unicast identifica um único host da rede, e qualquer pacote endereçado a este endereço unicast é entregue na interface do host que o possui. Os 64 últimos bits, os menos significativos possuem o nome de Interface Identifier (IID). Os endereços unicast podem ser divididos em quatro tipos: endereços unicast globais; endereços locais únicos ou ULA’s; endereços unicast Link-local e, finalmente, endereços IPv6 com mapeamento IPv4. (Hinden & Haberman, 2005). Maiores informações sobre os endereços unicast, podem ser obtidas através da RFC 4193. 2.2.2.3 Endereçamento Anycast Um endereço anycast identifica um conjunto de interfaces, mas que pertencem a hosts diferentes. Como na figura abaixo: Figura 2.4 – Rede com endereçamento Anycast
  29. 29. 12 Um pacote enviado para um endereço anycast só é entregue à interface do host mais próximo identificado pelo endereço anycast. A interface mais próxima é determinada pelos protocolos de encaminhamento em utilização. Isso permite que um host passe pelo caminho mais curto quando procura um servidor Domain Name System (DNS). 2.2.2.4 Endereçamento Multicast Um endereço multicast é um identificador para um “conjunto” de interfaces, que pertencem a hosts diferentes. Mas, diferentemente do anycast, os pacotes são entregues a todos os hosts que subscreveram esse endereço de multicast. É replicado em todo caminho entre o host emissor e os múltiplos receptores. Endereços multicast possuem prefixo FF00::/8 obrigatoriamente. O IPv6 não utiliza broadcast, que, no caso do IPv4, a utilização diminui em o desempenho da rede, uma vez que todos os hosts têm de processar todos os broadcasts deste mesmo segmento. Sendo que a maior parte dos broadcasts não é aproveitada pela a maioria dos hosts. O problema fica cada vez maior, quanto maior o tamanho de um determinado segmento da rede. A solução dada pelo IPv6 para o problema do broadcast é a implementação do endereço Multicast “all-nodes-on-link” que possui o seguinte formato: FF02::1. Este endereço Multicast é utilizado para substituir broadcasts essenciais e, em outros casos, são utilizadas mensagens Multicast mais limitadas. 2.2.3 Cabeçalho IPv6 O cabeçalho IPv6 é mais simples e eficiente que o cabeçalho IPv4, simplesmente pelo fato de ter um comprimento de tamanho fixo e um número inferior de campos como mostrado na figura abaixo:
  30. 30. 13 Figura 2.5 – Cabeçalho IPv6 e IPv4 Essa característica permite ao IPv6 ter um encaminhamento mais eficaz, com maior desempenho e escalabilidade. O campo “Version” continua a existir e tem que ter o valor igual a “6” para indicar que é um pacote IPv6. Os campos “Source Address” e “Destination Address” são mantidos, mas com o detalhe que ambos os campos possuem 128 bits para suportar o endereçamento IPv6. Diferentemente do IPv6, no IPv4 os campos opcionais faziam parte do cabeçalho, sendo que no IPv6 foram substituídos por uma cadeia de cabeçalhos de extensão, opcional posicionados logo depois do cabeçalho IPv6. Os cabeçalhos de extensão IPv6 permitem que sejam implementadas opções sem diminuir o desempenho, uma vez que já não é necessário que todos os roteadores o processem. Em comparação com o IPv4 foram retirados cinco campos de cabeçalho, sendo eles: o “Header Checksum”, tendo em vista que a qualidade dos links hoje é muito superior a antigamente, em relação à quantidade de erros e à velocidade na transmissão, além do que as verificações de integridade já são efetuadas em camadas superiores e inferiores à camada IP. O Campo “Header Length” foi removido já que, no IPv6, o tamanho do cabeçalho é fixo. No IPv6 foram também retirados os três campos relacionados à fragmentação de dados do IPv4: os campos “Identification”, “Flags” e “Fragment offset”. Sendo assim, a fragmentação pode ser feita utilizando a extensão apropriada. Foram também modificados e atribuídos novos nomes
  31. 31. 14 para quatro campo do cabeçalho IPv4; o campo “type of service” foi substituído por “Trafic Class”; o campo “Protocol Type” pelo campo “Next Header”; o campo “Total Length” pelo campo “Payload Lenth” e o campo “Time to Live” substituído pelo campo “Hop Limit” no IPv6. E, finalmente, foi adicionado um campo denominado “Flow Label”, fazendo com que um cabeçalho IPv4 com treze campos se torna um IPv6 de oito campos com quarenta octetos fixos. Ao contrário do IPv4, que define opções para o cabeçalho, no IPv6 as opções são abrangidas por cabeçalhos de extensão, sendo que estes podem ser inseridos quando necessários e, se possível, omitidos como mostrado na figura abaixo: Figura 2.6 – Cabeçalho de expansão IPv6 e IPv4 Caso exista, cada cabeçalho de extensão é alinhado a 64 bits, pois, em um pacote IPv6, não existe um número fixo de cabeçalhos de extensão; por isso a denominação de “cadeia de cabeçalhos”. O campo “Next Header” do cabeçalho anterior identifica o cabeçalho de extensão e, sendo assim, o último cabeçalho de extensão possui no campo “Next Header” um nome de um protocolo de camada de transporte, como TCP ou UDP: Figura 2.7 – Cabeçalho de extensão IPv6 Os cabeçalhos de extensão IPv6 estão ligados em série e, quando no mesmo pacote, são utilizados múltiplos cabeçalhos de extensão. Os mesmos
  32. 32. 15 devem seguir a seguinte ordem: primeiro, o cabeçalho “Hop-by-Hop Options”, depois o cabeçalho “Destination Options”, seguido pelo cabeçalho “Routing”, o cabeçalho “Fragment”, o cabeçalho “Authentication”, depois o cabeçalho “Encapsulation Security Payload” e por último o cabeçalho “Upper-Layer”. Como alternativa, o cabeçalho “Destination Options” pode ser posicionado após o cabeçalho “Authentication”. Na transmissão dos pacotes, o host de origem deve manter esta ordem para a montagem dos cabeçalhos, mas os hosts de destino devem estar preparados para receber em qualquer ordem. Adicionalmente, é utilizado um cabeçalho “Mobility” pelos hosts que forem implementar mobilidade em IPv6 ou MIPv6. (BRADNER,1996). 2.2.4 Serviços Básicos do IPv6 2.2.4.1 ICMPv6 Os hosts IP necessitam de um protocolo específico para a transferência de mensagens relacionadas com os pressupostos IP’s de outros hosts. Este protocolo é denominado Internet Control Message Protocol (ICMP), sendo utilizado para reportar situações de falha, informações e funções de diagnóstico. Através da geração de relatórios de erros e de mensagens de informação, o ICMP no IPv6 funciona, basicamente, da mesma forma que o ICMP no IPv4, mas, adicionalmente, os pacotes IPv6 são utilizados no processo de “Neighbor Discovery”, “path MTU Discovery” e no “Multicast Listener Discovery”. O cabeçalho ICMPv6 é identificado por um “Next Header” com um valor de 58. A figura abaixo mostra os campos de um pacote ICMPv6: Figura 2.8 – Campos do pacote ICMPv6
  33. 33. 16 Nos pacotes ICMPv6, o campo “Type” indica o tipo de mensagem e o campo “Code” fornece mais informações para mensagens específicas. O valor do campo “Checksum” é construído, tendo por base os campos do pacote ICMPv6 e do cabeçalho IPv6. Já o campo “Message Body” do ICMPv6 contém informações de erro ou de diagnóstico, relevantes para o processamento de pacote IP. Tal como o ICMPv4, o ICMPv6 é, muitas vezes, bloqueado por políticas de seguranças implementadas nos “firewalls” devido a ataques baseados em ICMP. O campo “Type” do cabeçalho define o tipo de mensagem, nomeadamente: “destination unreachable”, “packet too big”, “time exceeded”, “parameter problem”, “echo request” e “echo reply”. 2.2.4.2 Neighbor Discovery O Protocolo “Neighbor Discovery” do IPv6 utiliza mensagens ICMPv6 e assemelha-se a uma junção melhorada dos protocolos ARP, ICMP Router Discover e ICMP Redirect do IPv4. No IPv6 os hosts, sejam eles hosts ou roteadores, utilizam o Neighbor Discovery para determinar o endereço de camada 2 dos vizinhos que se encontram no mesmo segmento de rede e para, rapidamente, apagarem os endereços armazenados que se tornaram inválidos. Os hosts utilizam também do Neighbor Discovery para encontrar roteadores vizinhos dispostos a reencaminhar os seus pacotes. Finalmente, os hosts utilizam o protocolo para manter um registro atualizado dos vizinhos que podem, ou não, ser acessados, e para detectarem alterações nos endereços da camada de enlace. O Neighbor Discovery resolve um conjunto de problemas relacionados à interação de hosts associados ao mesmo segmento de rede, definindo mecanismos para solucionar esse conjunto: (RFC2461, 1998) • Router Discovery: Processo utilizado para que os hosts possam descobrir os roteadores existentes em seu enlace. • Prefix Discovery: Faz a distinção do prefixo para os endereçamentos link local ou link global direrecionando o pacote para o seu destino. • Parameter Discovery: Como os hosts aprendem os parametros dos links, como a ligação da MTU ou parametros da Internet.
  34. 34. 17 • Address Autoconfiguration: Realiza a configuração dos endereços das interfaces automoaticamente. • Next-hop Determination: Algoritmo para mapear os endereços IPs de destinos. • Duplicate Address Detection: Como os hosts determinam que o endereço que se deseja utilizar em sua interface já esteja sendo utilizado na rede. • Neighbor Unreachability Detection: Recurso do IPv6 no qual um host controla se um host vizinho está acessível, proporcionando uma melhor detecção de erros e recuperação quando os hosts se tornam indisponíveis repentinamente Para cumprir estas tarefas são utilizados cinco tipos distintos de pacote ICMPv6: • Router Solicitation: Mensagem enviada pelos terminais para os roteadores, solicitando uma mensagem Router Advertisement. • Router Advertisement: Mensagem enviada pelos roteadores, periodicamente ou por solicitação, para informar as configurações. • Redirect Messages: Mensagem enviada pelos roteadores para informar um terminal do primeiro “salto” para um destino. • Neighbor Solicitation: Mensagem enviada por um host para determinar o endereço de nível lógico do host vizinho; • Neighbor Advertisement: Mensagem enviada em resposta à mensagem Neighbor Solicitation. 2.2.4.3 Autoconfiguração: O IPv6 define dois mecanismos de autoconfiguração dos endereços IP: o “stateful” e o “stateless”.
  35. 35. 18 A autoconfiguração do tipo stateless, não necessita de configuração manual de hosts, nem de servidores adicionais, necessitando apenas de uma configuração mínima dos roteadores. Esse tipo de configuração é uma característica chave do IPv6, permitindo que o próprio host gere suas próprias configurações, a partir de uma combinação de informações disponíveis localmente e de informações anunciadas pelos roteadores. Em alguns cenários, a autoconfiguração stateless simplifica muito o processo de renumeração de endereços de rede, exigindo somente que a interface de rede seja capaz de enviar e receber pacotes multicast. Os hosts IPv6 (hosts e roteadores) criam, automaticamente, endereços link-local únicos para todas as interfaces de rede, combinando o endereço da camada de enlace no formato EUI-64 com os 64 bits do prefixo local. O endereço EUI-64 de 64 bits é definido pelo Instituto de Engenheiros Elétricos e Eletrônicos (IEEE). O host IPv6 utiliza o mecanismo Duplicade Address Detection (DAD) para determinar se o endereço já está sendo utilizado. Os hosts IPv6 utilizam as mensagens Router Advertisement recebidas para montar o restante da configuração como o default gateway, o valor pré-definido para o campo “Hop Limit” no cabeçalho IPv6, os contadores utilizados nos processos de ND, a MTU da ligação local e a lista de prefixos de rede definidos para o segmento de rede em que se encontra. Cada mensagem de RA contém o prefixo da rede IPv6 e seus Time to Live (TTL’s) válidos. Se indicado, o prefixo de rede é combinado com o endereço MAC da interface e, assim, o endereço stateless IPv6 é criado. Os pacotes RA’s possuem duas flags que indicam para o host se deve ou não utilizar da autoconfiguração stateful ou stateless. Essas flags são: managed address configuration e a outra é a stateful configuration indicando aos hosts a utilização da configuração stateful para obter informações adicionais (excluindo seu próprio endereços) como, por exemplo, o endereço do servidor DNS da rede. Isto é importante, pois na autoconfiguração stateless não há como enviar para os clientes o endereço de um servidor DNS. 2.2.4.4 DHCPv6 O DHCP para o IPv6 ou DHCPv6 funciona num modelo cliente/servidor assim como era no IPv4, permitindo aos servidores DHCP atribuir endereços
  36. 36. 19 IPv6 e outros parâmetros de configuração aos host IPv6. Este protocolo é a alternativa statefull à autoconfiguraçao stateless. Para um cliente IPv6, o processo de aquisição de dados de configuração é semelhante ao utilizado no IPv4. Se for encontrado um roteador na rede, primeiramente o cliente examina os RA’s provenientes desse roteador para, assim, determinar se o DHCP deve ou não ser utilizado ou, caso não encontrem nenhum roteador, o cliente irá contactar diretamente o servidor DHCP. Os clientes e o servidor trocam mensagens DHCP utilizando o protocolo de transporte UDP; para isso os servidores recebem as mensagens dos clientes no endereço link-local multicast reservado, denominado All DHCP Relay Agents and Servers. Este endereço possui o seguinte formato: FF02::1:2 .Um cliente DHCP envia a maioria das mensagens para este endereço multicast reservado. Para um cliente DHCP enviar mensagens para o servidor DHCP que não está no mesmo segmento de rede existe um DHCP Relay Agent responsável por transmitir as mensagens entre o cliente e o servidor, de forma ao cliente não ficar “desamparado”. Opcionalmente, o servidor pode oferecer ao cliente, além de endereços IPv6, outros parâmetros de configuração como DNS, NTP, BOOTP, etc. Mas, não é possível enviar o endereço do default gateway, pois esta informação deve sempre ser obtida através da autoconfiguração stateless. O DHCPv6 fornece um maior controle do que somente as configurações obtidas na autoconfiguração stateless que, ao contrário do DHCPv6, não permitem, por exemplo, que um administrador de rede defina políticas de acessos. Com isso, todos os hosts que se ligam à rede podem obter endereços IPv6 e os servidores DHCPv6 possuem os meios para assegurar o controle de acesso a recursos de rede, verificando, primeiro, as políticas de controle de acesso, antes mesmo de responder aos pedidos dos clientes. Outros benefícios do DHCPv6 são: pode ser utilizado, simultaneamente, com as configurações stateless, por exemplo; pode-se obter um endereço IPv6 da autoconfiguração stateless e o endereço do servidor DNS do DHCPv6 pode ser utilizado para delegar um prefixo IPv6 para equipamentos terminais.(BRADNER,1996)
  37. 37. 20 2.2.4.5 DNSv6 O serviço de DNS é o que faz o mapeamento dos nomes para os endereços IP e vice-versa. O DNS utiliza um espaço de nomes hierárquico no qual os servidores ajudam a relacionar os nomes com os endereços em cada nível hierárquico, mas ele foi concebido para processar endereços IPv4 de 32 bits. Dessa forma, nos últimos anos, foram criadas algumas extensões para tornar o DNS compatível com o IPv6. Algumas delas ainda estão em utilização e outras já foram descontinuadas. Em utilização estão: o registro quad-A “AAAA”, a nova representação textual no registro, o domínio ip6.arpa e novas consultas DNS. Dentre as extensões experimentais ou descontinuadas estão: os registros A6 e DNAME, o Binary Labels Type e o domínio ip6.int. Não é suficiente ter registros IPv6 (AAAA) no DNS, é também de grande importância efetuar consultas e obter respostas DNS utilizando a camada de transporte IPv6 com todas suas características. É claro que os dados obtidos via IPv6 têm de ser iguais aos obtidos via IPv4 para que haja interação entre as duas versões. Relativamente aos servidores DNS Raiz, apenas alguns destes podem ser alcançados através do IPv6. O registro AAAA faz o mapeamento do nome de um host para um endereço IPv6, sendo equivalente ao registro A do IPv4. Este registro AAAA possui o seguinte formato: “www.xxxxx.com AAAA 3FFE:B00:C18:1::2” . O IETF decidiu utilizar este registro para a resolução do nome no correspondente endereço IPv6; já o registro PTR faz o inverso; ou seja; é um “apontador” que mapeia endereços para nomes; ou também conhecido como mapeamento reverso (BRADNER,1996). Esses registros utilizam o seguinte formato: 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.8.1.c.0.0.0.b.e.f.f.3. ip6.arpa PTR www.xxxxx.com exatamente como no IPv4, ou seja, o endereço invertido, mas colocado de forma explícita, e com um ponto separando cada conjunto de 4 bits. Foi também definido um domínio específico para pesquisar os registros que contém endereços IPv6, e a intenção deste domínio é fornecer uma forma de mapear um endereço IPv6 para um nome, embora possa ser utilizado para outros fins também, e tem sua raiz em IP6.ARPA. Finalmente, as “queries”
  38. 38. 21 DNS foram alteradas de modo a ser possível localizarem e processarem não somente endereços IPv4, mas também os novos endereços IPv6. 2.2.4.6 Multicasting O multicasting é, sobretudo, utilizado por aplicações multimídia. Estas, freqüentemente, precisam de muita largura de banda para transmitir dados de uma única fonte para vários destinatários. Um exemplo é o de videoconferência como na figura abaixo: Figura 2.10 – Exemplo de vídeo conferência É também utilizado por alguns provedores de acesso à Internet para fornecer serviço de TV por assinatura aos seus clientes Asymmetric Digital Subscriber Line (ADSL). Os endereços IPv6 multicast têm o prefixo FF00::/8. É utilizado um campo “Scope ID” de 4 bits para especificar o intervalo de endereços multicast reservado para cada âmbito, permitindo assim, um controle fácil da fronteira multicast. Um host pode subscrever a diferentes endereços multicast e, ao mesmo tempo, obter todo fluxo de dados referente aos endereços multicast que subscreveu. Comparativamente ao IPv4, o IPv6 fornece um leque maior de endereços multicast, que oferece novas perspectivas para atribuição de endereços. Uma das principais inovações introduzidas pelo IPv6 na área de multicasting é a de que todas as
  39. 39. 22 implementações IPv6 terão de incluir suporte nativo a este serviço IP. O protocolo Multicast Listener Discovery (MLD), definido na RFC 2710, é utilizado para determinar os membros de grupos num segmento de rede e também responsável pela gestão multicasting entre hosts e roteador já não é delegado para um protocolo em separado como no IPv4 e, por isso, tem de ser suportado em todas as pilhas do protocolo IPv6. O protocolo MLD faz, de fato, parte do pacote ICMPv6 e pode ser utilizado por um roteador IPv6 para descobrir a presença de Multicast Listeners nas suas ligações diretas e para descobrir, especificamente, que endereços multicast têm interesse para com os hosts vizinhos. Existem três tipos de mensagens MLD, que são distinguidas pelo campo “type”: “Multicast Listener Query”, “Multicast Listener Report” e “Multicast Listener Done”. O MLD já obteve uma atualização para o MLDv2 e a novidade nesta versão é que o receptor pode especificar grupos e fontes de interesse, sendo necessário para serviços SSM. Dos dados fornecidos por esta nova versão do MLD, são criadas árvores de distribuição em toda a rede Multicast IPv6, utilizando o protocolo PIM. A grande diferença no multicast IPv4 está relacionada com o problema de inter-domínio. O protocolo Multicast Source Discovery Protocol (MSDP) foi concebido para o IPv4, para permitir que as informações da origem fossem trocadas entre domínios. 2.2.4.7 QoS A expressão Qualidade de Serviço, em inglês Quality of Service (QoS) é muitas vezes utilizada para descrever as garantias de desempenho que uma rede fornece ao tráfego transportado. Os novos requisitos, com maiores exigências impostas pelas novas aplicações on-line, como Voz sobre IP, videoconferência de alta qualidade, jogos on-line, necessitando de garantia de banda no tráfego das aplicações e, também, sendo sensíveis aos retardos maiores e perda de pacote. As atuais redes de alta velocidade seguem a filosofia de Differentiated Service (DiffServ), de forma que o QoS cumpra os requisitos mencionados. O cabeçalho IPv6 inclui dois campos relativos ao QoS: Traffic Class e Flow Label.
  40. 40. 23 O campo “Traffic Class” de 8 bits permite ao host de origem ou a um roteador identificar a prioridade do pacote. Este campo é análogo ao campo “Type of Service” do cabeçalho IPv4. Figura 2.11 – Cabeçalho IPv4 e IPv6 - apresentação QoS Já o campo “Flow Label” possui 24 bits e foi proposto para identificar pacotes de um fluxo específico; para isso, o host de origem atribui o mesmo valor ao campo “Flow Label” para cada pacote transmitido pertencente a um fluxo e os valores permanecem inalterados à medida que o pacote é transportado pelas redes. Também é esperado que o campo “Flow Label” no cabeçalho IPv6 simplifique o fornecimento de serviços que necessitam diretamente do QoS para funcionarem satisfatoriamente. 2.2.5 Segurança no IPv6 Os principais objetivos de segurança do IPv6 são iguais aos objetivos de segurança em qualquer infra-estrutura de redes. Estes incluem: robustez da infra-estrutura; autenticação, confidencialidade e integridade; não rejeição explícita, controle de acesso e contabilização e registro. Em IPv6, para atingir estes objetivos, tem de ser verificadas diversas ameaças existentes e, dentre elas, serão discutidas sete: pesquisa de pontos fracos em gateway e hosts, pesquisa de endereços multicast, acesso não autorizado, exposição de pontos fracos devido ao NAT e pontos fracos do próprio, firewall, ataques de desempenho com cabeçalhos fragmentados, pontos fracos do protocolo e ataques do tipo Denial of Service (DDoS). (BRADNER,1996). 2.2.5.1 Ameaça I – Procura de Gateways Uma primeira ameaça de segurança é a procura de gateways, por hackers ou sistemas que pretendem entrar na rede ou atacá-la. Estes analisam todos os endereços externos de gateways ou hosts que encontram e procuram pontos fracos na sua segurança. Devido ao tamanho do espaço IPv6, a pesquisa por sistemas vulneráveis na rede tornou-se mais complexa, por
  41. 41. 24 exemplo, a varredura por exaustão ficou bastante dificultada. Além disso, o software de análise de portas, tal como NMAP, não suporta sequer a análise de rede em IPv6. Por esta razão, os métodos de análise em IPv6 poderão vir a ser alterados, mas, obviamente, a pesquisa continuará a ocorrer. Como são necessários que os servidores públicos estejam registrados no DNS, os atacantes continuarão a ter hosts para atacar. Além disso, os administradores podem também adotar endereços fáceis de lembrar e, neste caso, a parte do endereço EUI-64 facilita o trabalho do atacante. Sendo assim, as novas técnicas para os endereços obtidos podem utilizar informações de zonas DNS ou arquivos “logs”. 2.2.5.2 Ameaça II – Procura de Endereços Multicast A segunda ameaça consiste na procura de endereços multicast, pois é esperado que todas as implementações IPv6 suportem multicast. Os novos endereços multicast suportados pelo IPv6 podem permitir aos atacantes identificar, no segmento de rede, recursos essenciais e atacá-los. Os endereços multicast “all-node” e “all-router” podem, também, ser usados como novas formas de intrusão. De forma a tornar os endereços multicast inacessíveis do exterior, regras de firewall devem ser criadas nas bordas para a filtragem. A segurança dos endereços IPv6 pode ser melhorada utilizando endereços gerados com auxilio de cifras, ou também conhecidos como CGA’s. Estes são endereços IPv6 que transportam, no identificador, informação de hash sobre a chave pública e, apesar de manterem a privacidade, é também possível aos administradores de rede a manutenção de registros. Os endereços gerados com auxilio de cifras estabelecem um vinculo entre endereços IP e chaves públicas, sem a necessidade de uma infra-estrutura de gestão de chaves. Adicionalmente, CGA’s podem ajudar a proteger o protocolo e reforçar a proteção de informações em mobilidade IPv6. 2.2.5.3 Ameaça III – Acesso não Autorizado A terceira ameaça é o acesso não autorizado, e no IPv6, a implementação de políticas das camadas 3 e 4 ainda é efetuada nos firewalls. No entanto, existem algumas considerações sobre essa arquitetura: os
  42. 42. 25 endereços multicast (direcionados ao tráfego interno) devem ser filtrados nos limites do domínio de rede; os endereços “IPv4 mapped IPv6” devem ser filtrados em tempo real; e devem existir múltiplos endereços por interface de rede. A mobilidade em IPv6 utiliza o Protocol for Autentication and Network Access (PANA), de forma a evitar acessos não autorizados. O PANA fornece uma solução para a camada de enlace, permitindo a autenticação no acesso à rede, diferentemente do que ocorria no IPv4, onde um host interagia com um agente externo para efetuar sua autenticação. Nas redes IPv6 móveis, esta função de autenticação não é mais efetuada pelo Agente Externo, mas sim pelo PANA Authentication Agent (PAA). 2.2.5.4 Ameaça IV – Pontos Fracos nos Firewalls Os pontos fracos em firewalls são a quarta ameaça. Em IPv6 os firewalls podem ser configurados de diversas formas No entanto, para eliminar os pontos fracos, tanto a arquitetura do IPv6 como a do próprio firewall têm de cumprir determinados requisitos. No IPv6 o nível de segurança é aumentado devido ao fechamento de túnel “fim-a-fim” oferecida pela implementação do IPSec que é intrínseca ao protocolo . Por não ter a necessidade de utilização do NAT, os pontos fracos da filtragem de pacotes já não podem ser mais ocultados. Adicionalmente, a arquitetura IPv6 e a dos firewalls tem que suportar o encadeamento do cabeçalho IPv6, assim como a transição e coexistência IPv4/IPv6. Apesar da complexidade adicional dos gateways, deve ser assegurada a inexistência de pontos fracos. 2.2.5.5 Ameaça V – Ataques Através de Cabeçalhos A quinta ameaça consiste em ataques de desempenho através de cabeçalhos fragmentados. De forma a evitá-los, o administrador de rede IPv6 deve rejeitar os fragmentos IPv6, recusando, por exemplo, todos os pacotes com um cabeçalho de encaminhamento, caso a rede não suporte Mobile Internet Protocol Version 6 (MIPv6). Todos os fragmentos com menos do que 1280 octetos podem ser potencialmente descartados com exceção do último fragmento. E finalmente, todos os fragmentos devem ser entregues em, no máximo, 60 segundos e recusados, caso contrário.
  43. 43. 26 2.2.5.6 Ameaça VI – Pontos Fracos do Protocolo A sexta ameaça deriva de pontos fracos do próprio protocolo. No IPv4, estes pontos fracos podem conduzir a spoofing de nível 3 e 4 ou ataques Address Resolution Protocol (ARP) ou DHCP, no entanto, os gateways entre os dois mundos IP ainda continuam a ser um potencial alvo. Embora o spoofing na camada 3 permaneça similar, os endereços IPv6 são agregados globalmente, facilitando, assim, a atenuação de spoofing em pontos de agregação. A atenuação do spoofing é facilitada, visto que o endereçamento IPv6 é hierárquico. Por uma questão de registro e contabilização, é necessário mapear o endereço IPv6 para um endereço MAC. Com o ND, as ferramentas de ataque, tais como “ARP cache poisoning” e “DHCP Snooping” desapareceram. 2.2.5.7 Ameaça VII – Ataques de DDoS A última ameaça recai nos ataques de DDoS. Os ataques de “broadcast amplification” e “Smurf”, que enviam pacotes ICMP para endereços broadcast, são completamente eliminados no IPv6, já que, no IPv6, não se utiliza broadcast, e sim endereços multicast globais em seu lugar; além disso, a própria especificação do protocolo IPv6 proíbe a geração de pacotes ICMPv6 em resposta a mensagens para endereços multicast globais. Tal como nas redes IPv4, as redes IPv6 tem de lidar com diversas ameaças como descrito acima. Os serviços de segurança IPSec dependem inteiramente destes mecanismos: Authentication Header (AH) e Encapsulation Security Payload Header (ESP). Figura 2.11 – Cabeçalho AH e ESP
  44. 44. 27 Estes cabeçalhos são definidos tanto para IPv4 quanto para o IPv6 mas quando utilizados no IPv4, são adicionados como opções ao cabeçalho IPv4 normal. A utilização é então opcional no IPv4, mas é obrigatória no IPv6. O IPSec fornece os seguintes serviços de segurança de rede opcionais: confidencialidade dos dados, pois o emissor IP pode cifrar os pacotes antes de enviá-los através da rede, integridade dos dados, pois o destinatário IPSec pode autenticar os pacotes enviados pelo emissor IPSec, e assegurar que os dados não sofreram qualquer tipo de alteração durante a transmissão. A gestão de chaves requer uma infra-estrutura Public Key Infrastructure (PKI) e uma nova e simplificada Internet Key Exchange (IKE) denominada IKEv2. Outra opção é a autenticação da origem dos dados, pois o destinatário, para autenticar a origem dos pacotes IPSec enviados, depende diretamente do serviço de integridade dos dados. O IPSec impede assim a observação, modificação e spoofing dos dados enviados através de uma rede pública. A funcionalidade IPSec é, essencialmente, idêntica no IPv6 e no IPv4; no entanto, o IPSec no IPv6 pode ser utilizado fim-a-fim e os dados podem ser cifrados em todo o caminho entre o host de origem e o host de destino. Com o IPSec, o IPv6 terá uma menor probabilidade de ser vítima de sniffing ou de um ataque do tipo “man in the middle” do que o IPv4. Adicionalmente, para prevenir ataques de encaminhamento no IPv6, o IPSec pode proteger protocolos como o Open Shortest Path First Version 3 (OSPFv3) e o RIPng. Por estas razões, os administradores de rede devem ativar o IPSec em todos os hosts IPv6 tornando a rede potencialmente mais seguras. Foram descritas, neste capítulo, as principais características do protocolo IP versão 6, feita uma comparação com sua versão 4 e expostas suas diferenças e melhorias. No próximo capítulo serão descritas as formas de coexistência e interações entre as duas versões do protocolo.
  45. 45. 28 3. PROCESSOS DE UMA MIGRAÇÃO – COEXISTÊNCIA IPv4/IPv6 E SUPORTE Será apresentado neste capítulo, os mecanismos de coexistência e interação entre as duas versões do protocolo IP abordando os processos de: tunelamentos, traduções, segurança dos mecanismos e sistemas operacionais e o grau de maturidade da pilha IPv6 nos software e firmware. 3.1 Premissas O “gatilho” inicial de uma migração de uma estrutura estável e funcional não é disparado facilmente. Ele deve ser convincente e extremamente necessário, pois se estará mexendo diretamente com a confiabilidade, estabilidade e robustez da rede e seus serviços. Esse “gatilho” poderá ter início, na maior parte dos casos, a partir de duas entidades distintas que são as mais interessadas: a operadora de telecom ou o administrador da rede. O administrador da rede teria necessidade de migrar sua rede de IPv4 para IPv6 pelos seguintes motivos: 1) A operadora iniciar a oferta de pools IPv6 e a restrição de endereços IPv4 válidos; 2) O aumento de sites e serviços on-line baseados puramente em IPv6 3) Em menor escala, mas também possível, é a necessidade de utilização do IPSec nativo do IPv6 para aumento da segurança da comunicação interna entre os hosts. Supondo que a operadora de Telecom forneça apenas um pool IPv6 válido e somente um único IPv4 (prefixo de 30 bits) para o cliente. Entra-se, então, no cenário em que a rede interna, controlada pelo administrador, é IPv4 pura, e a operadora oferece 1 (um) único endereço IPv4 público e um pool de endereços (/48 a /56) IPv6, ou seja, se houver necessidade de se ter mais serviços e IP’s válidos, o uso de IPv6 torna-se obrigatório. Sob esse cenário o administrador da rede pode-se ver compelido a iniciar o processo de migração.
  46. 46. 29 3.2 Mecanismos de coexistência e suas falhas Para facilitar a transição entre o IPv4 e o IPv6 foram desenvolvidas técnicas, de forma a manter sua coexistência e compatibilidade por todo o processo de transição para o IPv6 puro. Essas técnicas, por sua vez, possuem características específicas com seus PRÓS e CONTRAS, podendo ser utilizadas concomitante ou individualmente, de acordo com a necessidade. Existem atualmente três categorias mais usuais para esses mecanismos de transição: 1) Dual-stack ou simplesmente pilha dupla: que é o IPv4 e o IPv6 habilitados na mesma interface de rede; 2) Tunelamento: tráfego de pacotes IPv6 sobre redes IPv4 ou vice-versa; 3) Tradução: que se restringe à comunicação entre hosts IPv4 puros com hosts IPv6 puros. Apesar de, num futuro próximo, ser possível ter redes totalmente IPv6, o mais comum será ter IPv4 e IPv6 na mesma infra-estrutura; e, para permitir isto, são necessários ferramentas e mecanismos de coexistência e integração (HAGEN, 2002). Considerando que haverá diversos serviços que ainda utilizarão o protocolo IPv4, a coexistência entre as duas versões de protocolos será duradoura, tornando os mecanismos acima de vital importância para esse período, chamado de “misto” e, assim, tentar garantir que a migração seja suave, segura e que não surjam isolamentos de comunicação em nenhum momento. A internet é constituída por centenas de milhares de redes IPv4 e milhões de hosts IPv4. Para que a adoção do IPv6 seja bem sucedida, é necessária uma introdução gradual, sendo que o principal desafio passa por efetuar a integração e a transição o mais transparente possível para os usuários (SILVA,2002).
  47. 47. 30 Figura 3.1 – Coexistência - IPv6 e IPv4 Há a expectativa de que o IPv4 e o IPv6 coexistam durante um longo período de tempo e, considerando este cenário, os três tipos de mecanismos podem ser empregados: Em algumas redes, como por exemplo, pequenas redes empresariais, será possível a coexistência de IPv4 e de IPv6 na mesma infra-estrutura, usando o dual-stack (pilha dupla) e, assim, as aplicações e serviços podem utilizar um dos protocolos, fazendo com que este mecanismo seja o preferido. Contudo, é necessária uma forma destas redes IPv6 se comunicarem entre si, isto é, transportar IPv6 sobre a rede IPv4 existente hoje das operadoras. Para estes casos os túneis são a resposta mais certa. E em alguns casos, os sistemas IPv4 necessitam se comunicar com sistemas IPv6. Essa é a situação mais complexa de implantação, pois são necessários sistemas de “tradução” entre o IPv4 e o IPv6. A tradução, neste caso, pode ocorrer na camada IP, de transporte ou de aplicação. A forma mais simples de introduzir IPv6 numa rede passa pela utilização de dual-stack, o que permite que as aplicações IPv4 e IPv6 coexistam na mesma rede, sendo que a comunicação IPv4 é efetuada pela pilha IPv4 e a IPv6 pela pilha IPv6. Os mecanismos de tunelamento obrigam que os hosts finais do túnel suportem o dual-stack e uma interface virtual de tunelamento. Um equipamento dual-stack com interface virtual de tunelamento pode enviar pacotes IPv6 através de um túnel IPv4, para um host remoto IPv6, sem existência de infra-estrutura IPv6.
  48. 48. 31 3.2.1 Pilha dupla (dual-stack) O dual-stack é um método para integrar, ativamente, o IPv6 e, assim, não são necessários mecanismos reais de tradução. Na maioria das plataformas, para que um host passe a ser dual-stack é necessário que se habilite o IPv6 ou uma atualização de firmware, para que o IPv6 seja incorporado. Deste modo, o host passa a ter uma stack híbrida, com capacidades IPv4 e IPv6 completas. A comunicação por IPv4 utiliza esse protocolo para o encaminhamento de pacotes IPv4, baseados em rotas aprendidas por protocolos de encaminhamento específicos do IPv4. A comunicação IPv6, por sua vez, utiliza a pilha IPv6, através das rotas descobertas pelos protocolos de encaminhamento IPv6. A introdução de dual- stack em uma rede permite que os hosts terminais e as aplicações efetuem uma migração baseada do IPv4 para o IPv6. Foi, também, definida uma nova API com suporte de endereços e de pedidos DNS IPv4 e IPv6. Quando os dois protocolos estão disponíveis, as aplicações utilizam IPv4 ou IPv6 dependendo da resposta do servidor DNS. A aplicação, então, seleciona o endereço de destino, com base no tipo de tráfego IP e nos requisitos particulares da comunicação. Assim que o IPv6 é habilitado, há certas medidas de segurança que devem ser tomadas para proteger a rede, esta medidas serão descritas no capítulo de configurações e melhores práticas. Atualmente, o encaminhamento dual-stack é a melhor estratégia para introdução do IPv6. Figura 3.2 – Tráfego de pacotes com a arquitetura de pilha dupla
  49. 49. 32 Assim, cada host que possuir o método dual-stack vai possuir endereçamento IPv4 atribuído por DHCPv4, ou mesmo manualmente, e IPv6 atribuído por DHCPv6 ou stateless, de acordo com a configuração adotada pelo administrador. Este método permite uma transição gradual, para que, caso um host específico (como uma impressora de rede) que, em seu firmware, possua suporte somente a IPv4 possa se comunicar com os demais hosts da rede (hosts IPv4 ou IPv4/IPv6). Com isso, o administrador pode ir implantando serviços e, com o tempo, ir trocando o hardware obsoleto por dispositivos que suportem IPv6 até o momento em que toda a rede utilize somente tráfego IPv6 e, então desabilitar a pilha IPv4 nos hosts. O método dual-stack não é livre de falhas, e possui algumas implicações nas configurações de alguns serviços de rede, que devem ser analisadas antes de sua implementação. Alguns dos serviços que precisam sofrer alterações são o DNS, o DHCP, a configuração dos protocolos de roteamento e, principalmente, regras do firewall. 3.2.1.1 Segurança em dual-stack (Pilha Dupla) A maior parte dos problemas do dual-stack está relacionada à forma com que o sistema operacional que realiza a função de pilha dupla vai tratar a obtenção e manutenção desses dois ou mais endereços. Dar preferência à comunicação IPv6 sobre a IPv4 é o que prescreve a RFC 3484: “The default policy table gives IPv6 addresses higher precedence than IPv4 addresses. This means that applications will use IPv6 in preference to IPv4 when the two are equally suitable.”. Mas a implementação depende do fabricante do software. Basicamente a utilização de dual-stack não aumenta em si as falhas de segurança individuais do protocolo IPv4 ou IPv6 como é descrito na RFC 4477: “... There are no security considerations in this problem statement per se, as it does not propose a new protocol”. Maiores detalhes estão descritos na RFC 4477. 3.2.2 Tunelamento O tunelamento se baseia em encapsular todo o tráfego IPv6 em pacote IPv4, de forma a permitir uma comunicação entre dois hosts puramente IPv6,
  50. 50. 33 através de uma rede puramente IPv4. Essas técnicas são tratadas na RFC 4213 e tem sido muito utilizadas no início da implantação e testes da tecnologia do IPv6. Várias formas de layout de túneis podem ser configuradas, entre eles são: a) Host-a-Host – permite a hosts dual-stack conversarem entre si por uma rede IPv4, utilizando pacotes IPv6 encapsulados em pacote IPv4. Consiste em uma comunicação direta tipo P2P, é utilizada na maioria dos tipos de tunelamento e será bastante citada neste capitulo. Figura 3.3 – Configuração Host a Host b) Host-a-Roteador - Hosts IPv6/IPv4 enviam pacotes IPv6 a um roteador IPv6/IPv4 intermediário via rede IPv4, ligando o primeiro segmento no caminho entre dois hosts, permitindo a comunicação entre esses dois hosts por IPv6;
  51. 51. 34 Figura 3.4 – Configuração Host a Roteador c) Roteador-a-Roteador – gateways dual-stack IPv6/IPv4 e com uma conexão IPv4 entre si são configurados para trocarem pacotes IPv6 de redes IPv6 passando por uma rede IPv4 (por exemplo a rede da operadora de Telecom) permitindo a comunicação de dois segmentos de rede IPv6; Figura 3.5 – Configuração Roteador a Roteador

×