O caminho para a implementação segura do IPv6 se inicia com o alerta de Scott Hogg e Eric Vyncke no livro IPv6 Security: “a segurança de sistemas IPv6 precisa ser avaliada antes que seja habilitado nas redes e sistemas atuais e futuros” .
O primeiro passo é conhecer e estudar o novo protocolo, já que há muitas diferenças em relação ao antigo, e portanto tentar configurar o IPv6 como um “IPv4 com endereço maior” trará sérios problemas de conectividade e segurança. Também se deve estudar e planejar com cuidado a migração e os métodos de coexistência, que como já vimos podem abrir brechas de segurança. Um bom projeto deve levar em conta algumas ações:
- Planejar com cuidado a implementação da nova rede, em especial o roteamento e configuração automática de host. No caso de implantação de DHCP, este também terá diferenças em IPv6, e portanto é necessário estudar as mudanças evitando erros de configuração que criem brechas na segurança.
- Avaliar o status em relação ao IPv6 de todos os equipamentos de rede e sistemas operacionais: (a) compatibilidade com o IPv6 e em que nível; (b) vulnerabilidades e (c) recomendações de cada fabricante para sua implementação.
- Avaliar o status dos sistemas de segurança de rede; nível de compatibilidade, performance e niveis de proteção. É possível que um bom fabricante de segurança em IPv4 deixe de sê-lo para IPv6.
- Na configuração de políticas de firewall ou filtragem no router de perímetro, todos os cuidados observados para IPv4 deverão se repetir para IPv6, como o controle de ICMP e anti-spoofing. Além disso será necessário adicionar novas regras ou filtros para novidades do IPv6, como o sistema de roteamento. Para isto recomendo a consulta de boas práticas indicadas pelos fabricantes. Um bom exemplo é o artigo IPv6 and IPv4 Threat Comparison and Best Practice Evaluation de Sean Convery e Darrin Miller, publicado pela Cisco .
- Planejar com cuidado que métodos de coexistência serão utilizados, como garantir a segurança do seu uso e como bloquear métodos descartados. Por exemplo: como bloquear tunelamento dinâmino, evitando que tuneis sejam configurados sem conhecimento dos administradores.
- No IPv6 os hosts, as pontas da comunicação, tem mais responsabilidades que em IPv4. O tratamento de cabeçalhos, checksum e fragmentação são efetuados pelos hosts, o que implica em maior segurança local. Embora a instalação de personal firewalls seja já uma prática difundida, ela se torna ainda mais importante. Um antivirus simples não irá proteger seu computador!
- Para todas as vulnerabilidades de arquitetura há soluções por configuração. Para reduzir os riscos da configuração automática stateless, recomenda-se a adoção de autenticação em nivel de rede, com IEEE 802.1X ou tecnologia similar de NAC (Network Admission Control). Dessa forma um equipamento terá que autenticar-se com a rede antes de receber um endereço IPv6 e possa comunicar-se com outros dispositivos.
- Adotar o método de dual-stack, onde ambos protocolos existirão nativamente, como duas redes paralelas. Computadores com suporte IPv4 se comunicarão via esse protocolo enquanto hosts compatíveis usarão apenas IPv6, sem tunelamento. Permitirá mais clareza aos administradores para lidar com cada protocolo e seus problemas em separado.
- Em caso de uso de tunelamento, apenas utilizar o tunelamento estático. O método de tunelamento dinâmico é propenso a ser explorado por intrusos, que poderiam configurar um tunel que estaria fora da visão dos administradores de segurança e das medidas de controle e proteção.
- Bloquear no firewall quaisquer tuneis não autorizados, ou hosts não autorizados a estabelecer túneis.
Neste artigo vimos um resumo das características de segurança do IPv6, e discutimos algumas de suas vulnerabilidades e recomendações para uma implantação segura. No entanto o tema é muito mais vasto e requer estudo e planejamento, com o benefício de ao final termos redes com melhores níveis de segurança. Felizmente há também vasto material a respeito, seja em livros ou em artigos disponíveis na Internet, o que permitirá às empresas uma implementação e migração sem surpresas.
Nenhum comentário:
Postar um comentário