fevereiro 03, 2011

[Segurança] O IPv4 está morto. Vida longa para o IPv6

Após vários meses de agonia, com direito até mesmo a um contador de quantos endereços IP permaneciam disponíveis na versão 4 (o padrão utilizado desde os primórdios da Internet), a Internet Assigned Numbers Authority (IANA) finalmente anunciou no dia 03 de Fevereiro o fim dos blocos de endereço IPv4 disponíveis para uso (veja o vídeo abaixo).



Os endereços IP são utilizados para identificar os equipamentos colocados em uma rede local que segue o padrão TCP/IP. Para que estes equipamentos possam se comunicar através da Internet, os equipamentos precisam ter um endereço IP único em todo o mundo, que serve como forma de identificação do equipamento. Como disse a WIRED, os endereços IP são como números telefónicos. E é aí que começam os problemas. O padrão IPv4 utiliza endereços formados por 4 octetos (quatro conjuntos de números que, em notação binária, possuem 8 bis cada um, e portanto podem variar entre 0 e 255). Esta é uma numeração fácil de entender e simples. Porém, também é muito limitada: há cerca de apenas 4.3 bilhões de endereços IP únicos possíveis, contra cerca de 2 bilhões de usuários Internet hoje em dia. E os endereços IP não identificam apenas os micros dos usuários: também são utilizados por servidores, roteadores, access points wireless, e diversos equipamentos de rede. Além do mais, com a proliferação dos dispositivos pessoais como smartphones e tablet PCs, a tendência é que cada pessoa tenha em seu poder vários dispositivos conectados a Internet ao mesmo tempo, e cada um deles precisa de um endereço IP.

Conforme explicou a IANA, "a atribuição dos últimos endereços IPv4 é análogo a quando os últimos caixotes de um produto deixam o armazém da fábrica e vão para as lojas regionais ou centros de distribuição, onde eles ainda podem ser distribuídos aos clientes finais. Uma vez que eles acabem, a oferta estará esgotada. Neste caso, os registers regionais vão distribuir os endereços IPv4 restante para os ISPs (Internet Service Providers), universidades, governos, empresas de telecomunicações e outras empresas." Assim que as autoridades regionais esgotarem os endereços IP remanescentes, seus clientes (como os ISPs e empresas) terão dificuldade em atribuir endereços IP aos seus equipamentos e a conectá-los na Internet. Neste novo cenário, qualquer nova empresa ou provedor de acesso que queira operar na Internet terá que utilizar o novo padrão de endereçamento IP, conhecido como IPv6.

Os endereços no padrão IPv6 tem 128 bits, logo há 2 elevado a 128 endereços disponíveis, ou algo na ordem de 10 elevado a 38. Isso é muita coisa. Mas... Embora o IPv6 exista desde Dezembro de 1998 e há muitos anos se fala no fim dos endereços IP disponíveis, pouco foi feito até hoje para migrar os sites atuais para o novo padrão. Segundo uma pesquisa realizada recentemente pelo pessoal do grupo de pesquisas Sucuri, apenas 1.981 entre o 1 milhão de sites mais acessados utilizam o IPv6 em seu domínio principal. Isso significa que apenas 0,19% destes sites estão prontos para o IPv6.

Essa demora na adoção do IPv6, na minha opinião, é devido ao fato do protocolo IPv6 ser bem mais complexo do que o IPv4 (eu lembro da dificuldade que tive para entender o IPv6 na primeira vez que eu abordei esse assunto em um curso de Pós-graduação em segurança no início dos anos 2000). O endereçamento de rede, no IPv6, é muito mais complicado do que no padrão IPv4, sem falar de vários outros aspectos de configuração de rede no padrão IPv6. Isso significa que os administradores de rede e de servidores terão que apreender a utilizar o novo padrão e deverão reconfigurar todos os seus equipamentos conectados em rede. Isto também pode significar a necessidade de atualizar os equipamentos de rede existentes ou a compra de novos equipamentos, um gasto que as empresas terão que assumir. Uma alternativa para as empresas é a implementação de gateways específicos ou de soluções que mascarem os endereços IPv4 existentes e os convertam para endereços IPv6, através do conceito de Network Address Translation (NAT), que atualmente já é muito utilizado em redes IPv4 para que vários computadores compartilhem um mesmo endereço IP. De qualquer forma, os administradores de rede e de servidores terão de enfrentar diversos cenários em que endereçamentos IPv4 e IPv6 devem coexistir por algum tempo, o que irá aumentar a complexidade dos ambientes de Internet.

Além disso tudo, o padrão IPv6 tem sido pouco utilizado e pouco testado, principalmente nos aspectos de segurança. Isso significa que novas vulnerabilidades e novas ameaças podem surgir no futuro. Outro potencial problema de segurança que pode surgir diz respeito ao uso de NAT nas redes corporativas. Hoje o NAT é muito utilizado, pela necessidade das empresas de "economizarem" endereços IP válidos. Como uma vantagem de segurança adicional, o NAT permite que as empresas escondam os endereços reais dos seus computadores internos, e assim dificultem um acesso direto aos equipamentos, que não passe passem pelas ferramentas de controle de tráfego existentes. Normalmente, o NAT é implementado nos mesmos equipamentos que fazem a segurança da rede. Com o uso do IPv6, os equipamentos das redes internas terão endereços IP válidos na Internet - logo, as empresas devem ter um maior controle das configurações de suas ferramentas de segurança.

Como bem lembrou o SANS Institute, é pouco provável que a Internet IPv4, conforme conhecemos hoje em dia, vai parar tão cedo, pois existem alguns mecanismos de transição que podem ser utilizados. As duas "Internets" podem coexistir por um tempo através do uso de de proxies e túneis. Além do mais, as mudanças serão imperceptíveis para os usuários finais, logo não há motivo para desespero.

ipv6.brA boa notícia é que várias empresas e entidades tem se esforçado em divulgar o conhecimento. Por exemplo, o comitê gestor da Internet brasileira lançou um site específico com informações sobre IPv6 em português para usuários finais, profissionais da área e provedores (http://ipv6.br). O site inclui diversas apostilas e palestras sobre IPv6. Um site similar foi criado no Chile (em Espanhol): http://www.ipv6.cl

Além disso, diversas empresas e entidades estão organizando o "Dia Mundial do IPv6" (World IPv6 Day), que acontecerá no dia 08 de Junho de 2011. O objetivo é oferecer os seus conteúdos através do protocolo IPv6 para testes por 24 horas, motivando as organizações em todos os setores a prepararem os seus ambientes para o padrão IPv6 e garantirem uma transição bem sucedida assim que os endereços IPv4 acabarem. Recentemente, Vint Cerf (que é considerado "o pai da Internet) sugeriu que o governo britânico poderia proporcionar incentivos para ajudar as empresas a se prepararem para o esgotamento dos endereços IPv4 e atualizarem suas redes. Essa é uma boa idéia, quando pensamos em governos sérios.

A propósito, a ZDNet publicou uma ótima reportagem sobre o assunto.

O fato principal é que agora não há mais opção: todos devemos aprender IPv6 o mais rápido possível.

Nota: Adicionado em 04/02 o vídeo da conferência de imprensa da ICANN que anunciou o fim dos endereços IPv4 e os links para o pequeno FAQ do SANS Institute e para a reportagem da ZDNet. Aproveitei para aumentar o comentário sobre as preocupações de segurança associados ao uso do IPv6.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.