Desafios de segurança surgem a partir do lançamento do IPv6

0

Sem dúvida, o lançamento global do protocolo IPv6 em 06 de junho de 2012 inaugura uma nova era na evolução e na adoção generalizada de infraestrutura de internet ao redor do globo. Algumas das principais organizações de tecnologia e líderes da web, como Google, Facebook e Yahoo!, já saltaram para a atualização do protocolo de internet em um lançamento oficial em todo o mundo. Sim, desta vez, ele está aqui para ficar e a transição se tornou cada vez mais necessária.

O atual protocolo IPv4, que pode lidar com cerca de 3,7 bilhões de endereços, foi simplesmente esgotado, em parte graças à explosão dos dispositivos móveis. Enquanto isso, o IPv6, para todos os efeitos, tem capacidade ilimitada de endereços para acomodar uma internet global em rápido crescimento e uma infraestrutura móvel.

No entanto, com o lançamento mundial do protocolo IPv6, pesquisadores e profissionais de TI estão antecipando alguns desafios, especialmente quanto à segurança. Por um lado, a relativa novidade e a falta de conhecimento em torno do protocolo IPv6, inevitavelmente, pavimenta o caminho para erros de configuração, problemas de compatibilidade e outras gafes de implementação. Não há tanto conhecimento institucional em torno do IPv6 quanto há quanto ao IPv4, que tem sido utilizado há décadas e desfruta de uma ampla base de conhecimentos.

Mas talvez o maior problema seja que muitos dispositivos de segurança de rede estejam equipados com capacidades que lhes permitam encaminhar o tráfego IPv6, porém não inspecioná-lo. Também pelo fato do IPv6 estar automaticamente habilitado em muitas plataformas nas redes de hoje, como no Windows 7, os sistemas compatíveis com IPv6 já estão instalados em suas redes.

A maioria dos sistemas não habilitados para o IPv6 tem a capacidade de lidar com uma solução alternativa, que é "embrulhar" um pacote IPv6 com um cabeçalho IPv4. Eles leem o cabeçalho, mas não podem ler o conteúdo do pacote em si. Eles não conseguem realizar a inspeção profunda de pacotes feita normalmente e acabam simplesmente encaminhando o pacote. Somente quando eles tiverem uma implementação dual stack poderão, simultaneamente, permitir a funcionalidade de segurança de rede para ambos processos e inspecionar totalmente pacotes de ambos protocolos IPv4 e IPv6, uma vez que a tecnologia dual stack possibilita a interação das aplicações tanto no protocolo atual como no IPv6.

Vários fornecedores possuem esta funcionalidade – não todos – e isso é um dos riscos que os profissionais de segurança de rede enfrentam hoje. As pessoas precisam se certificar de que seu produto de segurança pode inspecionar o tráfego IPv6. Se ele apenas encaminha o tráfego IPv6, ele também pode encaminhar conteúdos maliciosos.

Mesmo com uma implementação dual stack, as organizações precisam determinar se têm o mesmo conjunto de recursos habilitados do protocolo IPv4 para o IPv6.  Caso isso não ocorra, os dispositivos de segurança de rede podem deixar passar peças críticas de tráfegos maliciosos que poderiam comprometer a rede.

Algumas das políticas em IPv4 e tecnologias confiáveis podem trabalhar somente em IPv4 e não em IPv6, significando lacunas na cobertura de segurança. Entretanto, saber neste caso não é nem a metade da batalha. Atualizando a infraestrutura de segurança de rede para acomodar o IPv6 não é uma tarefa pequena e provavelmente vai levar anos para ser implementado completamente. Muitas organizações que enfrentam caras e demoradas atualizações de hardware não estão planejando adotar IPv6 tão cedo.

No entanto, as empresas não podem fugir do problema por muito tempo. Após o lançamento em 5 de junho, um tráfego IPv6 muito maior vai bater suas redes. Quando o IPv6 se tornar  algo como 5% a 10% de seus dados – ao invés de uma fração de porcentagem – justificar evitar a atualização irá se tornar muito mais difícil. Os CIOs precisam começar a refletir sobre o problema.

 Frederico Tostes, gerente de operações da Fortinet

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.