Sem dúvida, o lançamento global do protocolo IPv6 em 06 de junho de 2012 inaugura uma nova era na evolução e na adoção generalizada de infraestrutura de internet ao redor do globo. Algumas das principais organizações de tecnologia e líderes da web, como Google, Facebook e Yahoo!, já saltaram para a atualização do protocolo de internet em um lançamento oficial em todo o mundo. Sim, desta vez, ele está aqui para ficar e a transição se tornou cada vez mais necessária.
O atual protocolo IPv4, que pode lidar com cerca de 3,7 bilhões de endereços, foi simplesmente esgotado, em parte graças à explosão dos dispositivos móveis. Enquanto isso, o IPv6, para todos os efeitos, tem capacidade ilimitada de endereços para acomodar uma internet global em rápido crescimento e uma infraestrutura móvel.
No entanto, com o lançamento mundial do protocolo IPv6, pesquisadores e profissionais de TI estão antecipando alguns desafios, especialmente quanto à segurança. Por um lado, a relativa novidade e a falta de conhecimento em torno do protocolo IPv6, inevitavelmente, pavimenta o caminho para erros de configuração, problemas de compatibilidade e outras gafes de implementação. Não há tanto conhecimento institucional em torno do IPv6 quanto há quanto ao IPv4, que tem sido utilizado há décadas e desfruta de uma ampla base de conhecimentos.
Mas talvez o maior problema seja que muitos dispositivos de segurança de rede estejam equipados com capacidades que lhes permitam encaminhar o tráfego IPv6, porém não inspecioná-lo. Também pelo fato do IPv6 estar automaticamente habilitado em muitas plataformas nas redes de hoje, como no Windows 7, os sistemas compatíveis com IPv6 já estão instalados em suas redes.
A maioria dos sistemas não habilitados para o IPv6 tem a capacidade de lidar com uma solução alternativa, que é "embrulhar" um pacote IPv6 com um cabeçalho IPv4. Eles leem o cabeçalho, mas não podem ler o conteúdo do pacote em si. Eles não conseguem realizar a inspeção profunda de pacotes feita normalmente e acabam simplesmente encaminhando o pacote. Somente quando eles tiverem uma implementação dual stack poderão, simultaneamente, permitir a funcionalidade de segurança de rede para ambos processos e inspecionar totalmente pacotes de ambos protocolos IPv4 e IPv6, uma vez que a tecnologia dual stack possibilita a interação das aplicações tanto no protocolo atual como no IPv6.
Vários fornecedores possuem esta funcionalidade – não todos – e isso é um dos riscos que os profissionais de segurança de rede enfrentam hoje. As pessoas precisam se certificar de que seu produto de segurança pode inspecionar o tráfego IPv6. Se ele apenas encaminha o tráfego IPv6, ele também pode encaminhar conteúdos maliciosos.
Mesmo com uma implementação dual stack, as organizações precisam determinar se têm o mesmo conjunto de recursos habilitados do protocolo IPv4 para o IPv6. Caso isso não ocorra, os dispositivos de segurança de rede podem deixar passar peças críticas de tráfegos maliciosos que poderiam comprometer a rede.
Algumas das políticas em IPv4 e tecnologias confiáveis podem trabalhar somente em IPv4 e não em IPv6, significando lacunas na cobertura de segurança. Entretanto, saber neste caso não é nem a metade da batalha. Atualizando a infraestrutura de segurança de rede para acomodar o IPv6 não é uma tarefa pequena e provavelmente vai levar anos para ser implementado completamente. Muitas organizações que enfrentam caras e demoradas atualizações de hardware não estão planejando adotar IPv6 tão cedo.
No entanto, as empresas não podem fugir do problema por muito tempo. Após o lançamento em 5 de junho, um tráfego IPv6 muito maior vai bater suas redes. Quando o IPv6 se tornar algo como 5% a 10% de seus dados – ao invés de uma fração de porcentagem – justificar evitar a atualização irá se tornar muito mais difícil. Os CIOs precisam começar a refletir sobre o problema.
Frederico Tostes, gerente de operações da Fortinet
