O protocolo IPv6 é implementado nas redes de computadores do mundo todo de forma cada vez mais frequente.
Com o número crescente de dispositivos ligados à nuvem, a evolução da Internet das Coisas e o esgotamento do anterior IPv4, é fundamental que os administradores de rede compreendam as potencialidades e os desafios desse novo Internet Protocol.
A fim de contribuir com essa necessária capacitação, a Escola Superior de Redes promoveu um webinar prático sobre as principais ameaças de segurança do IPv6, bem como os mecanismos de proteção mais relevantes para uma rede com esse IP.
Este artigo irá abordar os tópicos mais relevantes do webinar, com informações sobre:
- O que é IPv6
- Mitos sobre o IPv6
- Ameaças às redes IPv6
- Como implementar IPv6 com segurança
O que é IPv6
De forma resumida, o IPv6 é a evolução de um dos principais protocolos de internet (IP) lançado na década de 80, o IPv4.
Para garantir a continuidade da Internet, o IPv6 foi desenvolvido com suportabilidade para até 340 undecilhões desses mesmos endereços.
Além disso, o IPv6 possui endereços de 128 bits e as sub-redes possuem o comprimento de 64 bits (/64), salvo algumas exceções, como enlaces ponto a ponto e loopback.
Foi este protocolo que introduziu o conceito de cabeçalho de extensão para executar tarefas específicas, como fragmentação, segurança, mobilidade, entre outras.
Neste protocolo o cabeçalho base foi otimizado, ficando enxuto e com poucos campos, já as tarefas menos utilizadas foram transportadas para os cabeçalhos de extensão.
O ICMPv6 também foi reformulado e o Protocolo de Descoberta de Vizinhança (NDP) foi desenvolvido, agregando funções de outros protocolos do IPv4.
Somou-se a isso os novos métodos de atribuição dinâmica de endereços, como SLAAC e DHCPv6.
Diante de tantas alterações e de um protocolo que já faz parte da rotina da rede de computadores de maneira global, é preciso que o profissional de TI entenda como garantir a sua implantação de forma segura.
Continue a leitura para se capacitar sobre o tema.
5 mitos sobre segurança em IPv6
Alan Tamer, analista de rede do Supremo Tribunal Federal, mestre em engenharia elétrica na área de segurança cibernética e especialista em redes de computadores, foi o convidado do Webinar da ESR para detalhar a segurança de redes com IPv6.
Abaixo você encontra os principais mitos relacionados ao protocolo que foram destacados pelo profissional.
1) O IPv6 é mais seguro que o IPv4 porque utiliza IPSec;
Informação perigosa, pois dá a sensação de que o Protocolo IPSec é a solução de todos os problemas de segurança do IPv6.
Entretanto, ele não é capaz de proteger a rede contra todos os tipos de ameaça e não vem ativado por padrão nos dispositivos.
A configuração do IPSec não é trivial, sendo necessário entender como funciona para saber como fazer a ativação.
Além disso, não é obrigatório ser implementado nos hosts.
Antigamente, nas primeiras especificações do IPv6, era obrigatório que todos os dispositivos suportassem o IPSec. Entretanto, desde a RFC 6434 que tal obrigatoriedade foi revista.
2) O IPv6 é menos seguro que o IPv4, pois não utiliza NAT
O NAT não é uma solução de segurança. Na verdade, foi uma proposta de preservação de endereços públicos do IPv4, na década de 90, em conjunto com endereços privados na RFC 1918.
Na época já se tinha uma preocupação que os endereços iriam se esgotar em pouco tempo, por isso tal solução do NAT com endereços privados foi desenvolvida.
O NAT provê uma certa obscuridade ao esconder os verdadeiros endereços dos hosts de uma rede, mas por si só não garante que os hosts estejam seguros.
Além disso, existem outras técnicas que podem ser empregadas para dificultar a localização de hosts internos em redes IPv6.
3) Não devo me preocupar com o IPv6 porque não está configurado na minha rede
Este é um mito subestimado pelas organizações e que pode causar danos substanciais.
A maior parte dos sistemas operacionais já vem com IPv6 habilitado por padrão, às vezes, até sem o conhecimento do administrador de redes.
4) Os hackers não estão utilizando IPv6
O IPv6 já está amplamente implantado nos provedores de Internet, provendo conexão nativa para boa parte dos usuários do mundo.
Considerar que essa afirmação é verdadeira, é fechar os olhos para um problema sério.
Os cibercriminosos estão sempre um passo à frente das organizações quando se trata de segurança cibernética, por isso é provável que eles não somente usem o IPv6, como conheçam muito bem o protocolo e estejam buscando possíveis brechas deixadas pelos administradores.
5) É impossível escanear uma sub-rede IPv6 inteira
Escanear uma rede IPv6 com tamanho de prefixo /64 não é computacionalmente viável, pois pode levar milhões de anos para se varrer uma rede inteira.
Entretanto, existem outras técnicas que podem ser empregadas para varrer uma rede, diminuindo consideravelmente o espaço de busca sem comprometer o resultado do escaneamento.
Principais ameaças de redes em IPv6
O especialista Alan Tamer destacou as 8 ameaças abaixo como as principais para que o administrador de redes tenha atenção em redes IPv6:
- Interceptação de tráfego em texto claro – há a captação de dados sensíveis em mensagens não cifradas
- Reconhecimento de rede – relacionado à uma varredura efetiva ou não
- Uso de endereços baseados em informações do host, como endereços MAC
- Falsificação de mensagens Router Advertisement – compartilhamento de informações falsas para deixar um host incomunicável ou capturar informações
- Falsificação de mensagens Neighbor Advertisement – ataque DOS para impedir que hosts atribuam endereços IPv6
- Falsificação de servidores DHCPv6 – implantação de um servidor falso para informar endereços falsos
- Criação de túneis automáticos – burlando a segurança IPv4 existente
- Retorno da comunicação fim-a-fim – hosts da rede interna mais expostos
Quais os mecanismos de defesa para redes IPv6?
Diante de tantas ameaças, é imprescindível conhecer como contorná-las. Para isso, existem rotinas, frameworks e outras ferramentas, contidas nas dicas abaixo.
IPSec (RFC 4301)
O IPsec é um Framework de segurança, que auxilia no combate à interceptação de tráfego em texto claro.
Apesar de ter sido projetado tanto para IPv4 quanto para o IPv6, ganhou maior notoriedade no último por ter sido incorporado ao funcionamento do protocolo.
Ao contrário da maioria dos protocolos de segurança, o IPSec atua na camada de rede (cabeçalhos AH e ESP).
Para entender o funcionamento desse mecanismo de defesa na prática, assista ao webinar completo.
Explicação sobre métodos alternativos de varredura (RFC 7707)
Este item não é um um mecanismo de defesa, mas sim uma explicação de métodos alternativos de varredura, sob os quais há de se ter conhecimento para executar a devida proteção.
Portanto, deve-se levar em consideração os apontamentos abaixo para proteção contra alguns desses métodos de varredura.
- Considerar apenas o último hexadecateto do Identificador de Interface (IID)
- Procurar por endereços que façam um mapeamento do endereço IPv4 em um IPv6
- Buscar palavras conhecidas nos endereços
- Pesquisar endereços baseados no mesmo fabricante de uma interface conhecida (EUI-64)
- Consultar registros em servidores DNS
- Rastrear hosts via traceroute
Extensões de privacidade (RFC 8981)
Para se proteger contra algumas das técnicas de varredura citadas anteriormente, IIDs temporários podem ser gerados randomicamente e trocados periodicamente.
Os endereços temporários podem ser criados em conjunto com um endereço estável, mas podem trazer alguma dificuldade na aplicação de políticas para hosts e na realização de auditorias em arquivos de logs.
Endereços Unique Local (ULA) – fc00::/7
Outra forma de garantir a proteção contra ataques de varredura, seria utilizar endereços do tipo ULA, que são roteáveis apenas dentro da organização (similar aos endereços privados IPv4).
Este processo requer atenção, pois eles devem ser utilizados apenas em redes que não precisam de comunicação com a Internet.
Atenção: não utilizar NAT com esses endereços!
Proteção ao DHCPv6
Para proteger uma rede contra servidores DHCPv6 falsos, a funcionalidade DHCPv6 Shield ou DHCPv6 Guard pode ser configurada nos switches de uma rede.
Proteção ao NDP
Para proteger o protocolo NDP contra ataques diversos, algumas funcionalidades e softwares foram desenvolvidos, como:
- RA-Guard
- ND Inspection
- Software NDPMon
- SEcure ND (SEND)
Para mais detalhes, assista ao webinar.
Proteção com Firewall
Implantar IPv6 em uma rede requer atenção especial à configuração do firewall corporativo.
Como os protocolos não são interoperáveis, é necessário que as regras em IPv4 sejam replicadas para IPv6 e que estas sejam congruentes.
É recomendado que se utilize a filtragem stateful dos pacotes em direção aos hosts internos de uma rede e que a filtragem de mensagens ICMPv6 seja baseada na RFC 4890, uma vez que existem diversas mensagens ICMPv6 que não devem ser bloqueadas no firewall, sob o risco de funcionalidades básicas do IPv6 deixarem de funcionar.
Para evitar a criação de túneis automáticos (6to4, Teredo e ISATAP), deve-se bloquear o protocolo número 41 (IPv6 encapsulado em IPv4) e a porta UDP 3544 (utilizada pelo Teredo).
-Observar: fragmentos que não contenham toda a cadeia de cabeçalhos; pacotes com cabeçalhos de extensão em não conformidade, além da necessidade de filtrar nos firewalls as mensagens ICMPv6 Packet Too Big com MTU menor do que 1280 bytes. Serviços desnecessários devem ser desabilitados no firewall
—————————————
Dominar a implantação, manutenção e a segurança de rede IPv6 é tarefa básica para qualquer bom administrador de redes.
No webinar produzido pela ESR você acompanha a discussão acima com riqueza de detalhes e diversos exemplos práticos, dentre eles o aprendizado para se desativar túneis automáticos no windows.
Indo além, para profissionais que desejam se destacar no mercado e conquistar uma especialização sobre tema, o curso curso IPv6 Básico, da ESR, é uma oportunidade com diversos diferenciais.
O objetivo do treinamento é capacitar administradores de redes LAN e WAN na implantação de suporte ao protocolo IPv6 nas redes de suas organizações, com conteúdo teórico e atividades em laboratório.
As aulas cobrem desde o endereçamento IPv6 até o roteamento entre provedores de acesso, incluindo também questões de gerenciamento, segurança e a transição do IPv4 tradicional para o IPv6, assim como o convívio destes protocolos na mesma rede.
Ficou interessado? Inscreva-se aqui!