City University of New York - É normal termos medo das mudanças. Faz parte do nosso instinto de sobrevivência. Uma das preocupações mais comuns quando se fala em implantar IPv6 em uma rede é com as questões de segurança. Medo de dar tudo errado e de que a rede, que é tão importante, pare de funcionar, seja invadida, de que informações vitais vazem, etc. O medo foi essencial para o homem das cavernas sobreviver e gerar descendentes: nós. Mas não estamos mais vivendo em cavernas e não podemos deixar que o medo nos impeça de fazer as mudanças necessárias. Este é o vídeo: 'Como o IPv6 afeta a segurança das redes', feito pelo NIC.br. Conheça o Claudio. Não, não… Ele não é um homem das cavernas. Ele é o responsável pela área de segurança da informação na ACME. Quando soube que o departamento de TI planejava implantar o IPv6 na rede, ficou realmente muito preocupado. Ele já não tinha problemas suficientes? O primeiro impulso do Claudio foi dizer não. Não era hora de fazer isso. Havia tarefas com maior prioridade para garantir a segurança das informações da empresa e ele não poderia permitir uma mudança com essa magnitude agora. No próximo ano, talvez… Claudio era um excelente profissional, mas não sabia ainda nada de IPv6, e não queria se arriscar. A ACME convocou os principais gestores para algumas reuniões sobre o tema, incluindo o Claudio. O pessoal de redes já havia estudado a fundo o assunto. Eles apresentaram muitos argumentos confirmando a importância do IPv6 para a Internet e para a ACME. Mas o que chamou mesmo a atenção do Claudio, foi quando explicaram que a rede da ACME já há algum tempo não tinha apenas pacotes IPv4 circulando por ela… Muitos equipamentos e softwares que a empresa havia comprado nos últimos anos já funcionavam com IPv6 por padrão. Mesmo ninguém tendo configurado nada, havia já algum tráfego IPv6 na rede. Por exemplo, computadores com algumas versões de Windows tentavam navegar na Internet usando IPv6, fechando túneis automaticamente por meio de técnicas chamadas 6to4 e Teredo. Claudio percebeu que a situação atual da rede, na verdade, era insustentável. Sua área teria que apoiar a implantação do IPv6, e ele teria que se preparar para lidar com todos os aspectos de segurança. Se não fizesse isso, de qualquer maneira teria que estudar o IPv6 à fundo e providenciar para que não fosse usado indevidademente, mesmo de forma automática, na rede. Trabalhar logo na implantação efetiva do IPv6 seria mais produtivo, já que era inevitável. Começar imediatamente era a melhor alternativa. Claudio começou a estudar o assunto. Em um primeiro momento ele achou que teria trabalho dobrado, tendo que se preocupar com a segurança no IPv4 e no IPv6. Mas logo percebeu que os principais problemas de segurança com que lidava não dependiam diretamente do protocolo IP. Por exemplo, não haveria mudança no tratamento de spam ou vírus, e a política de atualização de softwares também não mudaria. Claudio se animou quando descobriu que o IPv6 havia sido projetado com requisitos de segurança em vista. Mas depois de pesquisar mais à fundo, entendeu que na prática o IPv6 não é nem mais seguro, nem menos seguro que o IPv4. Ele encontrou em muitos lugares mitos sobre IPv6 e segurança. Mas com sua experiência, foi fácil separar o que era um exagero da realidade: Alguns dizem, por exemplo, que o IPv6 é mais seguro porque tem suporte obrigatório a IPSec. IPSec é um conjunto de protocolos que provêem segurança na camada IP, sendo capaz de garantir a confiabilidade, integridadae e autenticidade nas comunicações. Na verdade dizer que o IPSec é obrigatorio significa apenas que os dispositivos que suportam IPv6 têm também que suportá-lo. Não quer dizer que ele é usado automaticamente. É verdade que a maior parte dos dispositivos que suportam IPv6 suportam também IPSec, mas hoje isso não é mais obrigatório e alguns dispositivos inteligentes de pequena capacidade de processamento não o implementam. Por exemplo, lâmpadas inteligentes usando 6lowpan provavelmente não terão suporte a IPSec. As mesmas dificuldades que existem para usar IPSec no IPv4, por exemplo a dificuldade de distribuir chaves criptográficas, existem também no IPv6. Uma das dificuldades, porém, não existe: o uso do NAT. NAT e IPSec são incompatíveis, e como no IPv6 não se usa NAT, pode ser viável utilizar IPSec em casos em que seria impossível com IPv4. O NAT é justamente o ponto central do segundo mito. Alguns dizem que usar endereços globais em todos os dispositivos da rede com acesso à Internet é algo ruim, que fará a rede mais insegura. Isso não é verdade. É importante lembrar que a comunicação fim a fim é um dos princípios básicos do projeto da Internet, essencial para seu funcionamento. O uso do NAT em redes privadas quebrou esse princípio e inviabilizaria certos tipos de aplicações, como conferências de audio e vídeo, voIP, alguns tipos de jogos online e trocas de arquivo peer to peer, se não fossem alguns truques. Esses truques incluem o uso de port-forwarding manual ou automático e escrever aplicações muito mais complexas, que identificam o tipo de NAT usado na rede e conseguem contorná-lo. Por exemplo, o uso de STUN em conjunto com SIP. O NAT também pode atrapalhar a identificação de dispositivos comprometidos com malware em uma rede. Um bom profissional, como o Claudio, sabe bem que NAT não é uma solução de segurança, embora ele se comporte como um firewall stateful. Com o IPv6 a comunicação fim a fim é possível, contudo, se o administrador da rede quiser um comportamento similar àquele do NAT no IPv4, ou seja, só entram pacotes na rede em resposta a alguma comunicação iniciada por equipamentos dentro dela, basta usar um firewall stateful. Outro mito que Claudio encontrou é o de que o IPv6 é mais seguro porque é impossível alguém com más intenções verificar uma rede inteira, IP por IP, buscando equipamentos para atacar. É verdade que uma rede típica IPv6 tem 2ˆ64 (dois elevado a sessenta e quatro) endereços, ou seja, mais de 18 quintilhões de IPs, contudo, muitas vezes os endereços são baseados no MAC address, quando criados automaticamente, ou então o administrador da rede usa números pequenos e fáceis, ou palavras formadas com os algarismos hexadecimais, ou ainda embutem parte do endereço IPv4 ou a porta em que roda algum serviço no endereço IPv6. Nesses casos, alguns dos bits dos endereços podem ser adivinhados e passa a ser possível fazer o scan de toda a rede. Mais um mito comum é o de que o IPv6 vai acabar com a privacidade dos usuários, já que os endereços são fixos. Na verdade os endereços não precisam ser fixos, e nem ser baseados no MAC address. É possível configurar os hosts para criar endereços aleatórios para si próprios, quando a privacidade for uma preocupação. E é possível usar DHCPv6 ou outras formas para se controlar os endereços nas empresas, quando necessário. Depois de desvendar os principais mitos, Claudio percebeu que o IPv6 e o IPv4 são diferentes em muitos aspectos técnicos, e que há preocupações de segurança e vulnerabilidades novas relacionadas a essas diferenças: Por exemplo, o próprio formato do endereço IPv6. São oito hexadecatetos, representados por hexadecimais, separados por dois pontos. Mas os algarismos hexadecimais podem ser escritos em maiúsculas ou minúsculas e os zeros nos endereços podem ser abreviados. Há diversas formas válidas para se escrever um mesmo endereço. Todas as ferramentas que lidam com análise e cruzamento de informações em logs teriam que ser adaptadas… O ICMPv6 é usado para mais funções do que o ICMP no IPv4. Por exemplo, substitui o ARP na descoberta de vizinhança e o MLD, na descoberta de ouvintes multicast. É usado também para o anúnciar roteadores na rede e para um novo tipo de autoconfiguração, stateless, nos dispositivos. Falando em multicast, este também tem um papel importante no IPv6, ao menos nas redes locais. Alguns administradores de rede consideram uma boa prática bloquear todos os pacotes multicast e ICMP no IPv4, nos firewalls de cada host e na extremidade da rede. No IPv6 o bloqueio de pacotes multicast ou ICMPv6 fará a rede parar de funcionar. É possível ainda criar ataques de negação de serviço e man-in-the-middle usando vulnerabilidades na autoconfiguração stateless. E há também vulnerabilidades novas no DHCPv6. Técnicas de mitigação especificas teriam que ser utilizadas. No IPv6 são distribuídas grandes redes, cada LAN usa um /64. Uma empresa ou outra corporação trabalha com um bloco /48. Usuários domésticos trabalham com blocos entre /64 e /56. Além disso, é possível atribuir diversos endereços IPv6 simultaneamente a uma mesma interface. Esse cenário afeta as blacklists ou outras ferramentas que lidam com reputação. No caso de se identificar um ataque vindo de um endereço IPv6 específico o que bloquear? O endereço? O /64 onde está o endereço? Um bloco ainda maior? Qual a granularidade ideal pra isso? Claudio teria que estudar melhor essa questão. No IPv6 há cabeçalhos de extensão. São cabeçalhos opcionais inseridos no pacote depois do cabeçalho IP e antes do cabeçalho da camada de transporte. Eles são usados, por exemplo, quando há fragmentação de pacotes, ou quando se utiliza o IPSec. Isso gera dificuldades adicionais para os firewalls, IDSs e qualquer equipamento que use deep packet inspection. Pacotes podem ser malformados propositalmente por atacantes, com a adição de vários cabeçalhos de extensão, para enganar firewalls e IDSs. Equipamentos com suporte adequado ao IPv6 e regras específicas teriam que ser usados. Claudio percebeu que teria que tomar um cuidado muito especial com a paridade de funcionalidades nos equipamentos. Os sistemas operacionais dos computadores e os equipamentos no core da rede tinham suporte já bastante maduro para o IPv6, mas o mesmo não acontecia em alguns equipamentos ligados à segurança, como Firewalls, IDSs, SIEMs, etc. Além disso, entendeu que nem sempre ele deveria buscar uma paridade completa de funcionalidades, mas sim funcionalidades equivalentes, afinal, as diferenças entre os protocolos tinham que ser respeitadas. O Claudio teria muito trabalho pela frente. Mas com tudo que aprendeu ele não tinha mais medo do futuro. Ele já podia imaginar que muito em breve a rede da ACME funcionaria muito bem com IPv6, e que em algum momento ele começaria a se preocupar com as consequências da desativação do IPv4… E você? Vai carregar uma pedra bem grande para a frente da sua caverna, e isolar a rede da sua empresa do resto do mundo? Não... Seguramente você já está também se preparando para implantar IPv6! Há muitos outros vídeos sobre Internet e redes no canal NICbrVideos, no Youtube. Confira!.
Como se inscrever para exame da oab sptv 1 edicao sergipe São João de Meriti curso massoterapia bh. Leme cisco business outcomes exam Paráfrases, gestao do conhecimento rivadavia Artigo, plano de negocio sebrae slide Proposta de Pesquisa, cambridge exams english second language Textos criativos. Cartao dia dos pais educacao infantil em eva curso de gastronomia gratuito em santo andre como se inscrever para exame da oab Itapevi acao de cobranca juizado novo cpc. Cursos online gratuitos senai mt cuiaba Outros tipos Taubaté sumario monografia abnt 2020, cursos crash farmacologia.
Garanhuns:
Jean Washington, Putnam County: York College, Jamaica, Queens. Ourinhos: Sophie Davis School of Biomedical Education; 2018.
Jack Allford, Onondaga. Parintins: School of Music; 2013.
Krystal Cook, Lafayette Street zip 10003. São José: Watson School of Biological Sciences, at Cold Spring Harbor Laboratory; 2015.