Blog da ESR

A compreensão dos protocolos de roteamento é parte essencial da fundamentação teórica de qualquer profissional da tecnologia da informação. Por isso, para contribuir com a sistematização do tema, a Escola Superior de Redes (ESR) abordou um deles em um novo webinar gratuito – Roteamento OSPF: Fundamentos e Projetos.  De forma geral, o Protocolo de Roteamento OSPF (Open Shortest Path First) faz referência ao processo de “escolher o caminho mais curto primeiro”, em uma análise de informações de diversos roteadores conectados entre si.  O objetivo desse modelo é observar dentre esses elementos interconectados qual apresenta um melhor trajeto e desempenho para  entregar um pacote de rede, representando um trabalho mais efetivo. Dessa forma o Protocolo de roteamento OSPF é um protocolo de roteamento dinâmico, eficiente e não-proprietário, projetado para operar dentro de um sistema autônomo, e, portanto, atuando como um protocolo do tipo IGP (Interior Gateway Protocol).  Ao contrário do protocolo RIP (Routing Information Protocol), que adota o algoritmo vetor-distância (distance vector), o protocolo OSPF baseia-se no algoritmo estado de enlace (link-state) para propagar e processar as informações de roteamento.  Embora seja considerado bastante efetivo, para que seus benefícios sejam extraídos, o projeto de redes OSPF deve ser cuidadoso, além de demandar antecipação para seu planejamento e também a devida documentação durante toda a sua implementação.  Neste contexto, o Professor universitário Gledson Elias foi o convidado do novo webinar da ESR, que objetivou a apresentação dos fundamentos do protocolo OSPF, entrelaçando e discutindo os benefícios e desafios associados à adoção do protocolo no projeto de redes grandes e complexas. Veja os principais tópicos abordados abaixo.  O que é o Protocolo OSPF?  Como dissemos anteriormente, o protocolo OSPF é um protocolo de roteamento dinâmico.  De forma geral, podemos compará-lo com um GPS que observa as rotas para se chegar a um determinado destino e opta por aquela que será concluída em menor tempo ou sem trânsito.  Inclusive, diversos mecanismos do Google, que têm o objetivo de avaliar rotas de mapas e trânsito, utilizam este algoritmo para oferecer ao usuário uma resposta mais assertiva.  O protocolo OSPF consegue analisar, interpretar e registrar dados dos roteadores conectados à rede, para, posteriormente, escolher um melhor caminho para entregar os pacotes da rede.  É considerado pertencente à classe dos protocolos de roteamento dinâmico.  Todos os protocolos que priorizam a observação da quantidade de roteadores até chegada do destino são conhecidos como de vetor distância, como RIP, RIPv2 e EIGRP, enquanto os que priorizam chegar mais rápido de acordo com a banda são chamados de protocolos link state (estado de link), como o OSPF e IS-IS.  Dessa forma, o Protocolo OSPF é aquele do tipo link state que, antes de tomar qualquer decisão, irá avaliar a topologia de todos os roteadores integrados aos seus processos, optando pela jornada mais curta para encaminhamento dos pacotes. Em tempo, já abordamos o funcionamento do Protocolo OSPF de forma detalhada em outro artigo (você pode acessá-lo por aqui).  6 Aprendizados do Webinar “Protocolo de Roteamento OSPF” De acordo com o Professor Gledson, o Protocolo de Roteamento OSPF se apresenta em duas versões similares, com uma diferença em seu tipo de endereçamento – uma operando pelo IPv4 e outra para o IPv6. Além disso, o profissional destacou alguns outros pontos importantes em relação ao Protocolo de Roteamento OSPF, os quais você confere logo abaixo na sistematização dos aprendizados do evento online! 1) Características do Protocolo OSPF  Dentre suas principais características, destacam-se: Algoritmo de estado de enlace (link-state): esse protocolo utiliza o algoritmo link-state para fazer a propagação das informações de roteamento, favorecendo a rápida convergência das tabelas de roteamento. Quando comparado ao modelo de vetor de distância, utilizado no protocolo RIP, por exemplo, se apresenta como mais vantajoso em relação à sua velocidade, pois, ao invés de propagar toda a tabela de roteamento, o algoritmo propaga apenas a informação sobre as interfaces dos roteadores. Este processo ganha o nome de “inundação”, pelo qual rapidamente as informações do estado dos enlaces são propagadas para todos os roteadores da rede, resultando em uma rápida convergência das tabelas de roteamento.  Algoritmo SPF: proposto por Dijkstra, este algoritmo calcula as rotas de menor custo dentro da rede. É bastante conhecido e, embora seja um pouco pesado, é utilizado por diversos softwares que buscam melhores rotas de mapa, por exemplo. Quanto maior uma determinada rede, mais nós e enlaces ela terá em seu grafo, o que consome recursos de processamento e memória. O OSPF dedica uma boa parte de suas funcionalidades à melhorias que vão acelerar o processo de cálculo dessas rotas, tentando, a todo momento, minimizar as informações divulgadas, para que o grafo fique mais enxuto e para que se consiga  executar o algoritmo SPF de forma mais rápida. Estrutura de roteamento hierárquica: o protocolo de roteamento OSPF divide a rede em regiões, chamadas de áreas, e executa o algoritmo SPF nessas áreas. Essa característica transforma o protocolo em uma solução mais adequada para redes de médio a grande porte 2) Diferenças entre Protocolo OSPF e Protocolo RIP OSPF: Adota o algoritmo do estado do enlace (link-state)  RIP: Adota o algoritmo vetor de distância (distance vector) OSPF: Propaga informações na inicialização e após mudanças na rede para todos os roteadores  RIP: Propaga tabela de roteamento de forma periódica para roteadores vizinhos  OSPF: Rápida convergência da tabela de roteamento  RIP: Lenta convergência da tabela de roteamento – demora a detectar falhas  OSPF: Não impõe limite no tamanho da rede RIP: Limita a rede a 15 saltos (hops)  OSPF: Métrica das rotas é baseada no custo dos enlaces  RIP: Métrica das rotas é baseada no número de saltos (hops) Ambos suportam o endereçamento classless e VLSM (Variable Length Subnet Mask)  OSPF: Adota estratégia de roteamento hierárquico  RIP: Adota estratégia de roteamento plano  OSPF: Suporta múltiplas rotas de custos iguais  RIP: Sem suporte a múltiplas rotas  OSPF: Opera diretamente sobre o protocolo de rede IP  RIP: Opera sobre o protocolo de transporte UDP  OSPF: Adotado em redes de médio e grande portes  RIP: Adotado em redes de pequeno porte    OSPF: Configuração requer conhecimento de conceitos do protocolo  RIP: Configuração mais simples  3) Hierarquia de roteamento Para reduzir a quantidade de informações que o algoritmo SPF utiliza para calcular os caminhos, o protocolo OSPF divide a rede em áreas, onde cada área é composta por um conjunto de roteadores e redes contíguas.  As áreas estão interconectadas de acordo com uma topologia exigida dentro do próprio OSPF – uma área central (backbone) e áreas auxiliares ao entorno do backbone. Estas últimas precisam estar conectadas fisicamente ao backbone, formando uma topologia estrela entre as regiões.  Além disso, cada área tem um identificador de 32 bits, em uma representação na qual o backbone se configura como área 0. Nessa dinâmica, uma instância do algoritmo SPF é executada dentro de cada área.  Com isso, todos os roteadores dentro de cada área divulgam suas informações das redes e roteadores e, por estarem interconectados, todos os roteadores recebem as mesmas informações e anúncios, possuindo, portanto, o mesmo banco de dados topológico (LSDB). Isso significa dizer que a topologia de uma área é completamente abstraída para outra área, simplificando o trabalho do SPF pois o mesmo só precisa encontrar uma rota dentro de uma área.  Os roteadores, por sua vez, desempenham diferentes funções, dependendo de onde estão inseridos (backbone router, internal router, area border router e AS border router). Cada roteador pode participar de várias áreas, mas cada interface participa apenas de uma área.  Por fim, a estrutura hierárquica possibilita diferentes tipos de rotas anunciadas no OSPF: Rota intra-área – origem e destino dentro da mesma área Rota inter-area – origem e destino em áreas diferentes Rota externa – redistribuída para dentro do OSPF de outro sistema autônomo, podendo ser do “Tipo 1” (custo externo + interno) ou do “Tipo 2” (apenas custo externo). A prioridade de escolha das rotas se dá da seguinte forma: Intra-área > Inter-area > Externa Tipo 1 > Externa tipo 2 4) Tipos de áreas Backbone: distribui informações de roteamento  Stub: ABR não distribui rotas externas na área  Not-So-Stubby (NSSA): área stub que permite ASBR distribuir rotas externas na área  Totally Stub / NSSA: distribui apenas rota default via ABR  5) Bancos de Dados Topológicos  Tipos de LSAs (anúncios)  -Router LSA (link-state advertisement): descreve o estado e o custo de uma interface do roteador na área -Network LSA: descreve os roteadores conectados a enlaces multiacesso -Summary LSA: ABR informa uma rede em outra área -AS/NSSA External LSA: ASBR informa uma rede externa 6) Funcionamento do Protocolo de Roteamento OSPF Fechando o Webinar, o professor Gledson Elias aborda o funcionamento prático de um OSPF, que poder ser compreendido dentro das etapas abaixo:  Descoberta de vizinhos baseada no Protocolo Hello;  Estabelecimento de adjacência via sincronização dos bancos de dados topológicos usando pacotes OSPF;  Cálculo da tabela de roteamento usando algoritmo SPF – o custo da rota é o custo cumulativo dos enlaces ao longo do caminho; Propagação de mudanças nos estados dos enlaces para todos os roteadores da área via flooding de LSAs Outros detalhes sobre o funcionamento do Protocolo de Roteamento OSPF você confere por aqui no nosso primeiro artigo sobre o tema.  Recorde os pontos do Webinar Protocolo de Roteamento OSPF  Dessa forma, temos que o Webinar produzido pela ESR abordou o Protocolo de Roteamento OSPF com riqueza de detalhes, a fim de fornecer bases teóricas e práticas para que qualquer profissional de TI se especialize sobre o tema.  Vamos recordar os principais pontos abordados?  O OSPF é um protocolo de roteamento dinâmico, efetivo e não-proprietário; Possui autenticação dividida em 3 tipos (nula, senha simples e criptografia MD5); Foi projetado para operar dentro de um sistema autônomo e, portanto, atua como um protocolo intra-AS; Baseado no algoritmo estado de enlace (link-state) para propagar e processar as informações de forma rápida; Configuração de redes grandes e complexas requer conhecimento de conceitos e funcionalidades do protocolo; Projetos de redes OSPF devem ser planejados e documentados  de forma bastante cuidadosa e antecipada;  _____________________________________ Ao longo do tempo o protocolo de roteamento OSPF passou por melhorias, como é o caso do protocolo fast hello, que identifica o erro em um roteador de forma mais rápida, ou do BFD (bidirectional forwarding detection), um protocolo de teste de conectividade que monitora enlaces entre roteadores e detecta falhas em dezenas ou centenas de milissegundos Esse modelo se adapta bem para redes de médio a grande porte e é um importante conhecimento para quem deseja atuar na área de TI.  No webinar sobre o tema, os participantes ainda aprendem a calcular os custos dos enlaces e a entender aplicações práticas para o OSPF.  Para assisti-lo na íntegra, clique aqui! Sobre a Escola Superior de Redes (ESR) A Escola Superior de Redes (ESR) promove a capacitação, o desenvolvimento profissional e a disseminação de conhecimento de tecnologias da informação para todo o Brasil há mais de 16 anos.  Durante a sua trajetória já atendeu mais de 1100 instituições, além de ter contribuído para a capacitação de mais de 31 mil alunos. A escola, única parceira do maior instituto de cibersegurança do mundo, o Sans, oferece mais de 100 cursos, distribuídos em diferentes trilhas de conhecimento.  Sobre o Professor Gledson Elias Gledson Elias é doutor em Ciência da Computação (UFPE) e mestre em Informática (PUC-Rio), atuando, desde 1993, como professor universitário inicialmente na UFRN, e, a partir de 2004, na UFPB.  Na UFRN foi responsável pela implantação da Internet no Rio Grande do Norte Já na UFPB leciona e orienta na graduação e pós-graduação nas áreas de redes de computadores, sistemas distribuídos e engenharia de software.  Atuou como colaborador técnico da RNP, de 1991 até 1993, cuja contribuição na Rede Acadêmica Brasileira e na Internet no Brasil foi reconhecida através da distinção Construtores da Internet.br, em 2017. De 2005 até o presente, atua como coordenador local da unidade João Pessoa da ESR-RNP, local onde também leciona diversos cursos, incluindo: arquitetura e protocolos de rede TCP/IP, gerência de redes de computadores, IPv6 básico, protocolos de roteamento IP, tecnologias de redes sem fio, segurança em redes sem fio, e virtualização de servidores. _________________________________________ Curtiu? Compartilhe esse conteúdo com  quem é fã de tecnologia e, logo depois, siga conosco por esse universo.  Principais softwares para virtualização de servidores Web 3.0: o que é, impactos e benefícios da nova era da Internet

Você já conhece os benefícios da virtualização em nuvem e o que se espera de um profissional de TI que mexa com esta área. Porém, o conceito do que é um hipervisor e sua aplicação está sedimentado por aí?  Neste conteúdo você vai encontrar a explicação sobre o que são hipervisores e quais os seus tipos com riqueza de detalhes.  Até porque para executar uma virtualização em nuvem, necessariamente você irá contar com a presença desses softwares. Vamos lá?  O que é um hipervisor Durante a sua prática profissional você provavelmente teve contato com diversos hipervisores ou hypervisors.  Afinal, quem mexe com datacenters sabe que eles são muitos no mercado e de diferentes marcas, como é o caso do Oracle, VMWare, Hyper-V da Microsoft e KVM.  De maneira direta, os hipervisores, ou monitores de máquina virtual, são softwares, firmware ou hardwares, gratuitos ou licenciados, capazes de criar e rodar máquinas virtuais (VMS). Este é o conceito básico. Entretanto, para compreender o papel de um hipervisor na prática é preciso ir até a base do funcionamento de uma máquina. É o que você confere abaixo.  Qualquer equipamento que tenha o mínimo de inteligência tem também os componentes abaixo:  Sistema Operacional CPU – processador Memória RAM Memória não volátil Entradas (teclado, mouse, sensores de um carro, etc) e saídas (monitor, luz do painel do carro, tela do tablet, por exemplo) Esses componentes se relacionam da seguinte forma:  O CPU é iniciado >>> a partir disso há uma busca na memória não volátil >>> posteriormente a informação ali encontrada é passada para a memória RAM >>> e, assim, há o processamento de programas e instruções >>> depois disso as informações passam das entradas para a saída.  Relaxe, estamos chegando lá!  Caminhe conosco: depois dessa pincelada teórica sobre o funcionamento de uma máquina, pedimos para que você imagine o desenvolvimento de um software para esse sistema, ok?  Você já sabe que existe uma maneira específica para que haja uma comunicação entre as entradas e saídas. Isso quer dizer que cada máquina tem esses componentes de forma singular e individualizada, mesmo que haja um mínimo padrão entre eles. Por esse motivo, desenvolver um software para cada um dos tipos de entradas e saídas e demais componentes é bastante complexo e pouco rentável. Para facilitar a compreensão deste tópico, vamos pensar agora em conjuntos matemáticos. O CPU, Memória RAM, Memória não Volátil, as Entradas e Saídas estão contidos no Sistema Operacional, que, por sua vez, “empacota todos esses elementos”. Há, assim, a criação de uma camada entre as aplicações e o hardware em si.  O sistema operacional é o elemento que se preocupa em se comunicar com todas as peças e todos os hardwares.  Quando o fabricante faz uma nova placa de rede, ele cria o driver para o sistema operacional e não para o Chrome ou Microsoft Office, por exemplo. Quem desenvolve também desenvolve para o sistema operacional, como é o caso do Libreoffice para o Windows.  Ou seja, um fabricante de sistema operacional faz um gerenciamento, traduzindo esse processo, e servindo como um “benjamin” mágico, que vai permitir que quem desenvolve um programa não tenha que se preocupar com cada tipo de hardware e, por sua vez, quem fabrica hardware não precisará se preocupar com cada tipo de aplicação.  Em suma, essa é a função de um sistema operacional, abstrair o hardware. Quem desenvolve o Chrome precisa entender o Windows e Linux, por exemplo, para saber como enviar uma requisição de informação para eles.    De maneira geral, estes sistemas operacionais de desktop e servidor são idênticos, tendo alteração somente sob ponto de vista da forma como se faz a sintonia fina de cada um deles.  Sistema operacional Desktop – roda mais coisa em background  Sistema operacional Servidor – requisições vem via rede Portanto, o sistema operacional garante que haja comunicação entre as  aplicações internamente. Indo além, devemos refletir agora sobre a possibilidade de se colocar vários serviços dentro de um mesmo servidor. Essa ação é interessante até certo ponto, pois a partir de determinado momento ela pode se tornar insustentável e, até mesmo, oferecer riscos de segurança. Para suprir essa defasagem, existe a possibilidade dos servidores dedicados – um servidor para apenas uma aplicação, rodando apenas os softwares necessários e na versão adequada para essa aplicação.  O problema dessa opção é que ela requer uma grande quantidade de máquinas, ocasionando gasto de energia, espaço, além de maior consumo de licenças. É neste complexo cenário que o hypervisor aparece como uma solução a esse desafio. Afinal ele atua como outro software, além do sistema operacional, que fica em cima do hardware, entrando no lugar do sistema operacional e “fingindo” ser o hardware.  Quando instalamos o hypervisor podemos colocar diversos sistemas operacionais rodando na mesma máquina (sem que eles sejam os mesmos), pois cada um deles irá enxergar uma máquina fantasma.  O hipervisor tem o controle do hardware e dá uma atenção exclusiva para cada sistema operacional, dividindo o tempo de operação. Quando cada sistema operacional precisa acessar as placas de rede, o hypervisor pega essas requisições e as joga para as placas de rede efetivamente.  Portanto o hipervisor funciona como o sistema operacional, garantindo a comunicação de outros sistemas com o hardware e vice-versa.  Mesmo que nestes caso ainda haja a necessidade de licenças e seja também necessário um maior consumo de CPU, essa tecnologia guarda algumas vantagens: Criação de vários servidores – cada um rodando o seu próprio banco de dados   Sem hardware adicionais  Não precisam ser os mesmos sistemas operacionais Menor desperdício de recursos  Permite monitorar e controlar os sistemas operacionais Isolamento entre os sistemas operacionais (cada S.O pode ter seu próprio administrador, um não vê o outro) Facilidade de migração (transferir serviços ou replicá-los de um servidor para o outro sem comprometimento) Em caso de problema de um servidor, automaticamente o outro assume a sua posição Resumindo o hypervisor é uma tecnologia que garante a virtualização, mesmo que esse conceito tenha sido estendido e enquadrado, por exemplo, uma virtualização de desktop. Já a virtualização de servidor é uma forma de otimizar o uso de recursos dentro de um datacenter com múltiplas aplicações. O hypervisor é a base dessa virtualização. Tipos de hipervisores Existem 2 modelos de hipervisores que garantem essa integração entre hardware e sistema operacional, o TIPO 1 e o TIPO 2.  • Hipervisor TIPO 1:  É o hipervisor conhecido também como hipervisor nativo ou bare-metal.  Esse modelo roda no hardware “host” gerenciando os sistemas operacionais “guest” de uma maneira que o hipervisor substitua  o sistema operacional host. Além disso, os recursos da máquina virtual são programados diretamente no hardware pelo hipervisor. O Tipo 1 é comum em data centers empresariais ou em ambientes baseados em servidor. Alguns exemplos desse hipervisor são o KVM, Microsoft Hyper-V e VMware vSphere • TIPO 2 O hipervisor Tipo 2 ou hosted funciona como uma camada de software ou aplicação em um sistema operacional convencional.  Neste modelo há a abstração de um sistema operacional guest do sistema operacional host. Os recursos de máquina virtual são efetuados em sistema operacional host, que é efetivado no hardware.  É o tipo indicado para situações em que se deseja executar vários sistemas operacionais em um mesmo computador, como é o caso da máquina pessoal, por exemplo.  Exemplos: VMware Workstation e Oracle VirtualBox  ——————————————— O profissional de TI que visa ter mais espaço no mercado precisa compreender o processo de virtualização e seus componentes. Este é um assunto tendência no segmento e também de grande demanda. Na ESR você encontra diversos conteúdos sobre o tema que podem garantir a sua inicialização na área.  >> Webinar: Papel de um administrador de sistemas na área de virtualização  >> Principais softwares para virtualização de servidores  >> 6 benefícios de aprender virtualização em nuvem  Entretanto, é somente com uma especialização e certificação certa que as oportunidades de emprego podem se concretizar.  Um dos cursos mais buscados na ESR é o de Virtualização de Servidores, com emenda desenvolvida cuidadosamente para times de TI que desejam ir além.  Saiba mais sobre o curso aqui!   Curtiu este conteúdo? Compartilhe com seus colegas de profissão e leve o conhecimento adiante! 

O protocolo IPv6 é implementado nas redes de computadores do mundo todo de forma cada vez mais frequente. Com o número crescente de dispositivos ligados à nuvem, a evolução da Internet das Coisas e o esgotamento do anterior IPv4, é fundamental que os administradores de rede compreendam as potencialidades e os desafios desse novo Internet Protocol.  A fim de contribuir com essa necessária capacitação, a Escola Superior de Redes promoveu um webinar prático sobre as principais ameaças de segurança do IPv6, bem como os mecanismos de proteção mais relevantes para uma rede com esse IP. Este artigo irá abordar os tópicos mais relevantes do webinar, com informações sobre:  O que é IPv6 Mitos sobre o IPv6 Ameaças às redes IPv6 Como implementar IPv6 com segurança O que é IPv6 De forma resumida, o IPv6 é a evolução de um dos principais protocolos de internet (IP) lançado na década de 80, o IPv4.  Para garantir a continuidade da Internet, o IPv6 foi desenvolvido com suportabilidade  para até 340 undecilhões desses mesmos endereços.  Além disso, o IPv6 possui endereços de 128 bits e as sub-redes possuem o comprimento de 64 bits (/64), salvo algumas exceções, como enlaces ponto a ponto e loopback.  Foi este protocolo que introduziu o conceito de cabeçalho de extensão para executar tarefas específicas, como fragmentação, segurança, mobilidade, entre outras.  Neste protocolo o cabeçalho base foi otimizado, ficando enxuto e com poucos campos, já as tarefas menos utilizadas foram transportadas para os cabeçalhos de extensão.  O ICMPv6 também foi reformulado e o Protocolo de Descoberta de Vizinhança (NDP) foi desenvolvido, agregando funções de outros protocolos do IPv4. Somou-se a isso os novos métodos de atribuição dinâmica de endereços, como SLAAC e DHCPv6. Diante de tantas alterações e de um protocolo que já faz parte da rotina da rede de computadores de maneira global, é preciso que o profissional de TI entenda como garantir a sua implantação de forma segura.  Continue a leitura para se capacitar sobre o tema.  5 mitos sobre segurança em IPv6 Alan Tamer, analista de rede do Supremo Tribunal Federal, mestre em engenharia elétrica na área de segurança cibernética e especialista em redes de computadores, foi o convidado do Webinar da ESR para detalhar a segurança de redes com IPv6.  Abaixo você encontra os principais mitos relacionados ao protocolo que foram destacados pelo profissional.  1) O IPv6 é mais seguro que o IPv4 porque utiliza IPSec;  Informação perigosa, pois dá a sensação de que o Protocolo IPSec é a solução de todos os problemas de segurança do IPv6.  Entretanto, ele não é capaz de proteger a rede contra todos os tipos de ameaça e não vem ativado por padrão nos dispositivos.  A configuração do IPSec não é trivial, sendo necessário entender como funciona para saber como fazer a ativação.  Além disso, não é obrigatório ser implementado nos hosts.  Antigamente, nas primeiras especificações do IPv6, era obrigatório que todos os dispositivos suportassem o IPSec. Entretanto, desde a RFC 6434 que tal obrigatoriedade foi revista. 2) O IPv6 é menos seguro que o IPv4, pois não utiliza NAT O NAT não é uma solução de segurança. Na verdade, foi uma proposta de preservação de endereços públicos do IPv4, na década de 90, em conjunto com endereços privados na RFC 1918. Na época já se tinha uma preocupação que os endereços iriam se esgotar em pouco tempo, por isso tal solução do NAT com endereços privados foi desenvolvida.  O NAT provê uma certa obscuridade ao esconder os verdadeiros endereços dos hosts de uma rede, mas por si só não garante que os hosts estejam seguros.  Além disso, existem outras técnicas que podem ser empregadas para dificultar a localização de hosts internos em redes IPv6. 3) Não devo me preocupar com o IPv6 porque não está configurado na minha rede  Este é um mito subestimado pelas organizações e que pode causar danos substanciais.  A maior parte dos sistemas operacionais já vem com IPv6 habilitado por padrão, às vezes, até sem o conhecimento do administrador de redes. 4) Os hackers não estão utilizando IPv6 O IPv6 já está amplamente implantado nos provedores de Internet, provendo conexão nativa para boa parte dos usuários do mundo.  Considerar que essa afirmação é verdadeira, é fechar os olhos para um problema sério.  Os cibercriminosos estão sempre um passo à frente das organizações quando se trata de segurança cibernética, por isso é provável que eles não somente usem o IPv6, como conheçam muito bem o protocolo e estejam buscando possíveis brechas deixadas pelos administradores.  5) É impossível escanear uma sub-rede IPv6 inteira Escanear uma rede IPv6 com tamanho de prefixo /64 não é computacionalmente viável, pois pode levar milhões de anos para se varrer uma rede inteira.  Entretanto, existem outras técnicas que podem ser empregadas para varrer uma rede, diminuindo consideravelmente o espaço de busca sem comprometer o resultado do escaneamento.  Principais ameaças de redes em IPv6 O especialista Alan Tamer destacou as 8 ameaças abaixo como as principais para que o administrador de redes tenha atenção em redes IPv6:  Interceptação de tráfego em texto claro – há a captação de dados sensíveis em mensagens não cifradas  Reconhecimento de rede – relacionado à uma varredura efetiva ou não  Uso de endereços baseados em informações do host, como endereços MAC  Falsificação de mensagens Router Advertisement – compartilhamento de informações falsas para deixar um host incomunicável ou capturar informações Falsificação de mensagens Neighbor Advertisement – ataque DOS para impedir que hosts atribuam endereços IPv6 Falsificação de servidores DHCPv6 – implantação de um servidor falso para informar endereços falsos Criação de túneis automáticos – burlando a segurança IPv4 existente Retorno da comunicação fim-a-fim – hosts da rede interna mais expostos Quais os mecanismos de defesa para redes IPv6? Diante de tantas ameaças, é imprescindível conhecer como contorná-las. Para isso, existem rotinas, frameworks e outras ferramentas, contidas nas dicas abaixo.  IPSec (RFC 4301) O IPsec é um Framework de segurança, que auxilia no combate à interceptação de tráfego em texto claro. Apesar de ter sido projetado tanto para IPv4 quanto para o IPv6, ganhou maior notoriedade no último por ter sido incorporado ao funcionamento do protocolo.  Ao contrário da maioria dos protocolos de segurança, o IPSec atua na camada de rede (cabeçalhos AH e ESP).  Para entender o funcionamento desse mecanismo de defesa na prática, assista ao webinar completo.  Explicação sobre métodos alternativos de varredura (RFC 7707) Este item não é um um mecanismo de defesa, mas sim uma explicação de métodos alternativos de varredura, sob os quais há de se ter conhecimento para executar a devida proteção. Portanto, deve-se levar em consideração os apontamentos abaixo para proteção contra alguns desses métodos de varredura. Considerar apenas o último hexadecateto do Identificador de Interface (IID) Procurar por endereços que façam um mapeamento do endereço IPv4 em um IPv6 Buscar palavras conhecidas nos endereços  Pesquisar endereços baseados no mesmo fabricante de uma interface conhecida (EUI-64) Consultar registros em servidores DNS Rastrear hosts via traceroute Extensões de privacidade (RFC 8981)  Para se proteger contra algumas das técnicas de varredura citadas anteriormente, IIDs temporários podem ser gerados randomicamente e trocados periodicamente. Os endereços temporários podem ser criados em conjunto com um endereço estável, mas podem trazer alguma dificuldade na aplicação de políticas para hosts e na realização de auditorias em arquivos de logs. Endereços Unique Local (ULA) – fc00::/7 Outra forma de garantir a proteção contra ataques de varredura, seria utilizar endereços do tipo ULA, que são roteáveis apenas dentro da organização (similar aos endereços privados IPv4). Este processo requer atenção, pois eles devem ser utilizados apenas em redes que não precisam de comunicação com a Internet. Atenção: não utilizar NAT com esses endereços! Proteção ao DHCPv6 Para proteger uma rede contra servidores DHCPv6 falsos, a funcionalidade DHCPv6 Shield ou DHCPv6 Guard pode ser configurada nos switches de uma rede. Proteção ao NDP  Para proteger o protocolo NDP contra ataques diversos, algumas funcionalidades e softwares foram desenvolvidos, como: RA-Guard ND Inspection Software NDPMon SEcure ND (SEND) Para mais detalhes, assista ao webinar. Proteção com Firewall  Implantar IPv6 em uma rede requer atenção especial à configuração do firewall corporativo. Como os protocolos não são interoperáveis, é necessário que as regras em IPv4 sejam replicadas para IPv6 e que estas sejam congruentes. É recomendado que se utilize a filtragem stateful dos pacotes em direção aos hosts internos de uma rede e que a filtragem de mensagens ICMPv6 seja baseada na RFC 4890, uma vez que existem diversas mensagens ICMPv6 que não devem ser bloqueadas no firewall, sob o risco de funcionalidades básicas do IPv6 deixarem de funcionar. Para evitar a criação de túneis automáticos (6to4, Teredo e ISATAP), deve-se bloquear o protocolo número 41 (IPv6 encapsulado em IPv4) e a porta UDP 3544 (utilizada pelo Teredo). -Observar: fragmentos que não contenham toda a cadeia de cabeçalhos; pacotes com cabeçalhos de extensão em não conformidade, além da necessidade de filtrar nos firewalls as mensagens ICMPv6 Packet Too Big com MTU menor do que 1280 bytes. Serviços desnecessários devem ser desabilitados no firewall  ————————————— Dominar a implantação, manutenção e a segurança de rede IPv6 é tarefa básica para qualquer bom administrador de redes.  No webinar produzido pela ESR você acompanha a discussão acima com riqueza de detalhes e diversos exemplos práticos, dentre eles o aprendizado para se desativar túneis automáticos no windows.  Indo além, para profissionais que desejam se destacar no mercado e conquistar uma especialização sobre tema, o curso curso IPv6 Básico, da ESR, é uma oportunidade com diversos diferenciais.  O objetivo do treinamento é capacitar administradores de redes LAN e WAN na implantação de suporte ao protocolo IPv6 nas redes de suas organizações, com conteúdo teórico e atividades em laboratório.  As aulas cobrem desde o endereçamento IPv6 até o roteamento entre provedores de acesso, incluindo também questões de gerenciamento, segurança e a transição do IPv4 tradicional para o IPv6, assim como o convívio destes protocolos na mesma rede. Ficou interessado? Inscreva-se aqui!

Dentre as práticas de capacitação da Escola Superior de Redes encontram-se ricos webinars sobre diferentes temas da tecnologia, tal qual redes modernas de computadores.  Em maio a escola realizou outro deles recebendo, pela segunda vez, Robert McMillen – consultor de rede com mais de 50 certificações técnicas, ex-presidente fundador da All Tech 1 e professor universitário de Administração de Sistemas.  Na ocasião, o webinar online gratuito foi realizado em parceria com a Ascend Education, referência em certificações para a área, sobre os principais componentes de uma rede de computadores atualmente, bem como dicas práticas para o dia a dia de um profissional administrador de redes.  Neste artigo você irá encontrar os principais tópicos deste segundo evento, que também pode ser conferido na íntegra bem aqui!  Principais tópicos do webinar “Redes modernas de computadores e o papel do administrador de sistemas”, com Robert McMillen   Parte fundamental da formação de um profissional de tecnologia da informação é compreender o design das redes modernas e qual é o papel de um administrador de redes na atualidade. Isso foi o que o Professor Robert McMillen se propôs a responder no recente Webinar da ESR, com cerca de 50 minutos.  O especialista apresentou conceitos teóricos e abordou a sua experiência mercadológica em um bate-papo objetivo, repleto de exemplos práticos.  Abaixo você confere um pequeno roteiro do exposto no evento online:  1) Explicação sobre como é o desenho de uma rede moderna Segundo o professor McMillen, uma rede moderna é feita de vários componentes, aos quais nos referimos como redes locais.  O primeiro desses elementos é o chamado de “espinha dorsal”, núcleo da rede ou ainda switch de camada 3.  Antes tal componente se configurava como um fio de cobre espesso que se conectava a todos os servidores físicos de forma “mecânica”. Entretanto, a evolução o transformou primeiro em rede de malhas (tudo conectado com tudo) e depois em uma rede chamada de “Star”.  A rede Star, assim denominada por lembrar uma estrela, comporta outros dois switch de camada 2 para diferentes sub-redes.  Além disso, na rede também se encontram os firewalls, capazes de conectar esse sistema à internet e de impedir que fluxos externos causem dano à rede principal, bem como uma série de servidores diferentes, como AD/DC, DHCP, DNS, Files & Printers junto a um sistema de armazenamento ISCSI San, banco de dados e aplicativos e servidor de e-mails.  Nesta estrutura há ainda uma rede virtual privada (VPN), necessidade de pontos de acesso para internet e impressoras de rede, um possível Phone VOIP, e um software SD Wan que substitui os túneis de internet que conectam um lugar ao outro, funcionando assim como servidores de internet. O serviço de nuvem, IOT e backup também figuram um papel de destaque neste design.  Um profissional de TI deve compreender cada um desses elementos e entender como eles se relacionam e se comunicam.  2) Detalhes sobre roteamento  Ainda no Webinar, Robert McMillen apresenta o uso de roteadores e sua substituição por switches de camada 2. Dentro deste tópico, o professor explica a importância das Vlans (redes de área locais virtuais) para as redes modernas. Elas são os responsáveis por minimizar ruídos entre tráfegos de diferentes segmentos. Ou seja, sub redes que querem conversar umas com as outras.  As Vlans simplificaram o processo de comunicação entre redes, dando mais funcionalidade e possibilidade de controle de acesso para as mesmas.  O dispositivo Vlan roteia cada uma das subredes. 3) Computação em Nuvem Na continuação do Webinar, o professor Robert McMillen explica na prática como fazer uso da cloud computing por meio da Microsoft Azure e Amazon Web Services. O profissional ensina de forma guiada como uma máquina virtual e recursos em nuvem podem ser criados. 4) Dúvidas e comentários Finalizando a trilha de conhecimento as seguintes perguntas são abordadas e respondidas no webinar: Existem diferentes níveis de dificuldades quando se usa determinado software para virtualização em nuvem? Há uma forma mais simples de aprender e começar a fazer máquinas virtuais?  Qual a sua visão da computação em nuvem para a educação? O que fazer para passar da certificação de Az 900 para a Az 104? Quais certificações você indicaria para a área? ————————————– Para conferir as respostas aos questionamentos anteriores e outros detalhes sobre os tópicos mencionados, assista ao Webinar gratuito “Redes modernas de computadores e o papel do administrador de sistemas” na íntegra.  Veja também a primeira edição realizada em abril com o tema de virtualização em nuvem e o que se espera de um profissional de TI nesta área.