Redes

Começo ou não a me preocupar com IPv6 em minha rede corporativa? SIM!!!

Marcelo Brenzink do Nascimento - 30 de abril de 2014

Olá caros amigos, leitores do blog e alunos! Ontem assisti uma palestra sobre segurança em IPv6 ministrada online pela Cisco para verificar se tinha alguma novidade e fiquei contente porque pude perceber que nosso curso de IPv6 continua “up to date”! Mas porque então resolvi escrever esse artigo? Por um motivo muito sério que é divulgar a necessidade de nos prepararmos para essa onda que virá de implantações do IPv6.

Para aqueles que pensam que não tem IPv6 rodando em suas redes estão muito enganados, pois maioria dos sistemas operacionais de computadores, laptops, smartphones e tablets já vem preparados para o IPv6 e suportam mais de um método de atribuição de endereço, sendo que podem receber seu endereço IPv6 via SLAAC ou DHCPv6. Além disso maioria dos switches propagarão esses quadros através da LAN. Já com os roteadores e switches camda-3 a coisa muda, porém eles são facilmente transpostos utilizando túneis que também já vem pré-configurados em diversos sistemas operacionais, tais como túneis Teredo e ISATAP.

Você mesmo pode testar seu computador abrindo o prompt de comando e digitando “ping6 ::1” no Linux ou MAC e “ping ::1” no Windows. 

C:\ ping ::1

Pinging ::1 with 32 bytes of data:
Reply from ::1: time<1ms
Reply from ::1: time<1ms
Reply from ::1: time<1ms
Reply from ::1: time<1ms

Ping statistics for ::1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Se o seu host suporta IPv6 e seu switch encaminha os quadros na sua rede corporativa, mesmo que via Internet você não tenha uma saída com IPv6 ativado sua rede roda sim IPv6, basta que um “espertão” conecte um dispositivo que envie mensagens de RA e com DHCPv6 ensine um DNS “fake” e está feito o estrago. Além disso, mesmo não propositalmente o IPv6 sem nenhum controle pode gerar problemas por pura desinformação e ativação de aplicativos indevidos em dispositivos dos usuários.

Ataque MITM via RA

Portanto, qual a realidade da minha rede e o risco atual? A realidade é que você não está seguro, pode silenciosamente ser atacado via IPv6 e nem saber! Sofrer ataques de DoS, roubo de informações, sequestro de sessão com ataques de Man-in-the-Middle e também por problemas não intencionais de falha em configurações.

Então devo desativar o IPv6? O conselho atual é não desativar o IPv6 e sim começar a “ter controle da situação”, preparando a rede, monitorando o tráfego e implementando aos poucos para que o pessoal de TI comece a se acostumar e praticar, pois apesar dos protocolos IPv4 e IPv6 terem a mesma função e estarem na mesma camada do modelo OSI, cada um deles tem suas características e peculiaridades. Nosso curso de IPv6 é um bom começo, ele traz tudo que um administrador de redes precisa saber para entrar nessa fase de migração e convivência entre os dois protocolos IP.

Quais outras medidas que podem ser tomadas para verificar se o IPv6 está sendo utilizado na rede? Monitorar a rede usando sniffers ou se seus equipamentos suportarem utilizando o Netflow da Cisco procurando os seguintes tráfegos:

  • Pacotes IP utilizando protocolo 41 (túneis IPv6 over IPv4 ou túneis 6to4)
  • Conexões com o IPv4 192.88.99.1 (servidor anycast 6to4)
  • Conexões com a porta UDP 3544 – túneis Teredo
  • Pacotes com ICMPv6, mais especificamente mensagens de RA
  • Via IPS verificar tráfego de ICMPv6
  • Olhar nas resoluções de DNS do seu servidor se servidores de túneis públicos ISATAP e/ou Microsoft Teredo estão sendo procurados

Outra dica é que o IPv6 não usa mais ARP e sim um protocolo chamado NDP para descobrir vizinhos, sendo que esse protocolo utiliza uma mensagem com um MAC específico para solicitar informações que inicia com “33-33-xx-xx-xx-xx” (multicast no IPv6), por isso se você consultar as tabelas de endereço MAC dos seus switches e encontrar MACs com esse início é mais um indício de comunicação IPv6 pela sua rede local, pois pode significar que está havendo solicitação de endereços entre vizinhos para envio de tráfego IPv6 entre eles.

Espero que vocês tenham gostado do artigo e comecem a se preparar! O mais importante é realmente abrir os olhos e a mente para essa realidade, pois não é mais promessa uma vez que vários sistemas operacionais já deixam suas placas de rede se configurar via IPv6!

Prof Marcelo Nascimento

Sou um dos fundadores do Portal da DlteC do Brasil, graduado em Engenharia Eletrônica/Telecomunicações em 1998 pela UTFPR e pós-graduado em Redes e Sistemas Distribuídos pela PUC-PR em 2003. Trabalho na área de Tecnologia da Informação e Telecomunicações desde 1996. Já passei por empresas como Siemens, Impsat (atualmente CenturyLink), Senai-PR, Dimension Data (atualmente NTT) e outras empresas. Sou certificado ITIL Foundations, CCNA, CCNP Enterprise, IPv6 Fórum Certified Network Engineer (Gold), IPv6 Fórum Certified Security Engineer (Silver) e Hurricane Electric IPv6 Certification Sage.

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.