Comentários do Blog

  1. Avatar de mlrodrig
    Citação Postado originalmente por Josue Guedes
    Se poderemos fazer Nat para IPv4, no caso de redes internas acho que não será problema. Agora para o repasse de Ip válido vamos continuar tendos os mesmos recursos de antes como Proxy, e outros? Como ficaria uma estrutura de Proxy com repasse de Ip Válidos em IPv6? WCCP, Tproxy?
    Hoje faz sentido fazer NAT de IPv4 para IPv6 porque praticamente não existem servidores puro IPv6. Ou seja, hoje mesmo os servidores que possuem IPv6, também possuem IPv4.

    Dessa forma hoje o IPv6 é apenas uma brincadeira, um meio de transporte entre o IPv4 (dentro do NAT) e o IPv4 (servidor externo).

    No entanto quando o IPv4 acabar, vai ser algo meio bruto. Não vai ter muito aviso (pelo menos, não teremos mais avisos do que aqueles que já temos: 2010 ou 2011 é o fim da linha para IPv4). E ai os equipamentos que ficarem atrás de um NAT IPv4 só vão conseguir acessar os servidores IPv4, qualquer novo servidor (repito, com o fim do IPv4, por mais que um provedor queira criar um servidor IPv4, ele não vai ter IP) ficará inacessível por qualquer método de NAT que você imaginar (pois o servidor vai estar apenas com IPv6).

    Imagine que soubéssemos que a partir de 2010 não haveria mais equipamentos de **transmissão** de TV analógica, apenas digital. As emissoras atuais poderiam continuar transmitindo em analógico, mas qualquer nova emissora ou canal seria digital. Quem não tivessem TV digital ficaria eternamente limitado ao mundo analógico. No começo não seria ruim, pois as emissora de TV não mudam ou surgem da noite para o dia. Mas com o tempo as emissoras analógicas teriam que trocar os equipamentos (por exemplo, por ficarem muito velhos) e com o tempo os proprietários de TV analógica teriam menos e menos opções de canais.

    No IPv6 vai ser algo semelhante, com um agravante: na Internet a todo instante surgem novos serviços que se tornam populares em poucos anos (se não meses) então esse processo de "descontentamento" dos usuários deve ser mais rápido. Quando acabar o IPv4, qualquer novo serviço que surgir vai ser exclusivo IPv6 e as ilhas IPv4 não conseguirão acessar.

    Alguém pode pensar em um estratégia de colocar o IPv4 que são usados em clientes (ADSL, Cable modem) para os serviços, e dar mais uma sobrevida aos servidores IPv4. Mas mesmo isso seria pouco. Na verdade, o cenário de esgotamento do IPv4 para 2011 considera isso.
  2. Avatar de Josue Guedes
    Se poderemos fazer Nat para IPv4, no caso de redes internas acho que não será problema. Agora para o repasse de Ip válido vamos continuar tendos os mesmos recursos de antes como Proxy, e outros? Como ficaria uma estrutura de Proxy com repasse de Ip Válidos em IPv6? WCCP, Tproxy?
  3. Avatar de Não Registrado
    Cara, imagine quantas maquinas que antes ficavam "escondidas" atras de um firewall/NAT agora expostas com um ip real, isso eh muito preocupante..
  4. Avatar de alexandrecorrea
    queira ou nao.. voce vai ter que aceitar o ipv6 !! é inevitavel... goste ou não.. ipv4 ta no final... se a demanda continuar na média prevista (o que acontece é que esta SUBINDO a demanda) previsão de esgotamento é para meados de 2010~2011 ..

    respondendo: o cliente nao precisa saber se eh ipv4 e ipv6, alias nem querem saber.. eles querem utilizar o serviço disponivel...
  5. Avatar de mlrodrig
    Citação Postado originalmente por xadouron
    Ola mlrodrig,

    Mas você parece ser contra o IPV6.rs.
    Pelo contrário, sou muito a favor. No entanto o fato de eu gostar de gostar de abacaxi não quer dizer que eu precise esconder que ele dá afta na boca

    Citação Postado originalmente por xadouron
    Eu acho que caras que o desenvolveram prevendo o esgotamento do IPV4 também pensaram na questão de segurança do novo protocolo. Acho difícil eles terem desenvolvidos uma coisa pior que a anterior.
    O IPv4 já vem com criptografia. Ele é bem mais seguro que o IPv4.

    No IPv6 houve muita discussão sobre a proteção e privacidade. Se um firewall no meio do caminho consegue ver a porta TCP ou UDP, um hacker também consegue. Então qual era o mais seguro: criptografar as portas TCP e UDP, impedindo os hackers e os firewall de verem, ou abri-las, com as conseqüências inversas?

    Repare que configurar firewall é um problema de poucos habitantes do planeta Terra. A vasta maioria (que irá usar IPv6) são usuários que não estão nem ai para firewall (mas se preocupam com segurança e confidencialidade).

    Isso foi um quebra pau enorme na discussão do IPv6 e no final ficou assim: cada equipamento que tenha um sistema operacional seguro ou então um personal firewall. A confidencialidade da conexão do cliente ganhou.

    Citação Postado originalmente por xadouron
    Também não entendi a questão que você comentou que não é possível criar regras de firewall baseados em portas. No site IPV6 - IPv6.br | A Internet precisa se adaptar para continuar crescendo - IPv6.br tem vários dicas legais sobre o assunto inclusive um sobre a questão de firewall e portas IPV6 - Construindo um firewall Linux com suporte a IPv6 | A Internet precisa se adaptar para continuar crescendo - IPv6.br .
    Ótimo exemplo. Você chegou a reparar o que esse "Firewall" foi configurado.
    Eu até coloquei um pós comentário no meu post: fazer um firewall para proteger a própria máquina é possível. Não dá para fazer um firewall por portas que fique no meio do caminho.

    Não sou especialista em IPTABLES, mas que eu entenda, linhas com INPUT é para controlar o tráfego da própria máquina e FORWARD é para encaminhar. Veja que no exemplo, quando ele trata de controlar portas, é apenas INPUT e OUTPUT.

    Pelo que entendi, este exemplo é de um servidor de WEB, SSH e SMTP que também é firewall da rede. Mas nas regras de firewall para rede, não encontrei nada especifico de nenhum serviço. Apenas permitindo com que as conexões saiam, mas que não se faça conexão de fora para dentro. Interpretei corretamente?

    Citação Postado originalmente por xadouron
    Também tem vídeos sobre o assunto IPV6 - Segurança na CTBC: Firewalls em IPv6 | A Internet precisa se adaptar para continuar crescendo - IPv6.br e slide ftp://ftp.registro.br/pub/gts/gts11/...walls-ipv6.pdf da palestra onde mostra regras de firewall com portas TCP. Talvez eu não entendi direito sobre o assunto, mas parece que é possível sim.
    Novamente, se é para fazer um personal firewall ou firewall que roda no servidor para cuidar do servidor, é possível sim. O problema é em fazer um firewall de passagem.

    Citação Postado originalmente por xadouron
    Também acho que não devemos nos preocupar tanto com isso, já que só porque eles desenvolveram um novo produto (protocolo no caso) não significa que o atual vai parar de funcionar. Os dois vão terão coexistência.
    Huuummm... o IPv4 deve se esgotar em 2010, melhor caso 2011. Dai acabou acabado... não vai ter o que fazer. A partir daí, os novos datacenters do Google, por exemplo, só serão IPv6 e consequentemente só vão ser acessados via IPv6. Quem ficar em IPv4 vai ficar em um gueto e vai ser uma corrida para migrar tudo para IPv6, não creio que seja algo gradual...

    2010 não está tão longe. Também não tem margem para "eles vão dar um jeito". Não tem muito o que fazer, para o bem ou para o mal, em 2012 o mundo vai ser IPv6
    Atualizado 11-09-2009 em 10:24 por mlrodrig
  6. Avatar de xadouron
    Faltou uma coisinha,

    Claro que terão coexistência no início, mas vai chegar uma hora que teremos que implantar o IPV6 em nossas redes também.

    Abs
  7. Avatar de xadouron
    Ola mlrodrig,

    Mas você parece ser contra o IPV6.rs. Eu acho que caras que o desenvolveram prevendo o esgotamento do IPV4 também pensaram na questão de segurança do novo protocolo. Acho difícil eles terem desenvolvidos uma coisa pior que a anterior. Também não entendi a questão que você comentou que não é possível criar regras de firewall baseados em portas. No site IPV6 - IPv6.br | A Internet precisa se adaptar para continuar crescendo - IPv6.br tem vários dicas legais sobre o assunto inclusive um sobre a questão de firewall e portas IPV6 - Construindo um firewall Linux com suporte a IPv6 | A Internet precisa se adaptar para continuar crescendo - IPv6.br . Também tem vídeos sobre o assunto IPV6 - Segurança na CTBC: Firewalls em IPv6 | A Internet precisa se adaptar para continuar crescendo - IPv6.br e slide ftp://ftp.registro.br/pub/gts/gts11/...walls-ipv6.pdf da palestra onde mostra regras de firewall com portas TCP. Talvez eu não entendi direito sobre o assunto, mas parece que é possível sim. Também acho que não devemos nos preocupar tanto com isso, já que só porque eles desenvolveram um novo produto (protocolo no caso) não significa que o atual vai parar de funcionar. Os dois vão terão coexistência.

    Abs,
  8. Avatar de mlrodrig
    Citação Postado originalmente por alexandrecorrea
    esse negocio dos pacotes serem criptografados.. eh folclore.. eles sao sim caso voce utilize...
    Não estou falando de laboratório, estou falando de coisa prática. O usuário final não vai ser bonzinho com o provedor de backbone. Ele não vai pensar "vou configurar para que meu tráfego seja descriptografado para facilitar a depuração de problemas no meu provedor de backbone".
    Ele vai querer que todo o tráfego seja criptografado e o IPv6 exige que todos os equipamentos suporte IPSec, então não haverá razão para o usuário querer desabilitar o IPSec.

    Citação Postado originalmente por alexandrecorrea
    eu tenho ipv6 nativo aqui.. e consigo ver o dump normal dos mesmos.. ou seja.. o firewall funciona blz :P
    Quando você tiver um problema na sua máquina, fazer dump dos pacotes será fácil. No dia a dia de quem trabalha com redes, o problema nunca é sua máquina. É o PC do cliente ou do usuário, no qual você não tem controle sobre a criptografia ou não.

    Citação Postado originalmente por alexandrecorrea
    da pra fazer nat sim.. mas nao eh bem NAT que chama.. 4to6 ...
    É possível fazer NAT de IPv6 para IPv4, e por enquanto, quando o IPv4 ainda domina, é possível fazer NAT de IPv4 para IPv6. No entanto no IPv4 você tem menos enderecos que no IPv6.
    Você consegue colocar um carro dentro de um caminhão, mas não consegue colocar um caminhão dentro de um carro.

    Hoje não existe nenhum serviço baseado exclusivamente em servidores IPv6, mas quando o IPv4 acabar não vai ter jeito. Teremos sites e serviços só acessíveis via IPv6 e os equipamentos IPv4, mesmo dentro de NAT, não conseguirão acessar.

    Basta pensar um pouco: como um FTP rodando em um equipamento IPv4 vai conseguir acessar um arquivo em um servidor com IPv6 2001:630:1:1:203:baff:fe3a:ffc? Se esse servidor tiver um DNS com registro A e AAAA (IPv4 e IPv6) como ocorre hoje, até podemos criar um mecanismo, mas quando acabar o IPv4, esse servidor não terá registro A, será apenas um registro AAAA. Como o programa FTP IPv4 vai criar um pacote (que depois até poderia ser convertido em NAT por um gateway) para esse IP 2001:630:1:1:203:baff:fe3a:ffc?
  9. Avatar de alexandrecorrea
    ipv6 r0x !!

    aqui ja tem !
  10. Avatar de alexandrecorrea
    esse negocio dos pacotes serem criptografados.. eh folclore.. eles sao sim caso voce utilize...

    eu tenho ipv6 nativo aqui.. e consigo ver o dump normal dos mesmos.. ou seja.. o firewall funciona blz :P

    da pra fazer nat sim.. mas nao eh bem NAT que chama.. 4to6 ...


    pc antigo.. exatamente. ja era... mas funciona sim..

    e vamos para o ipv6 que eh show