Ver Feed RSS

Tecnologia de Redes, Mobilidade e Inovação

Dificuldades do IPv6

Avalie este Post de Blog
O IPv6 vai ficar muito mais fácil para o usuário final, mas irá representar uma série de desafios para quem trabalha com instalação ou manutenção de redes. Não é apenas porque é algo novo (tudo que é novo é sempre mais difícil), mas também porque ele - para ser mais fácil para o usuário - tem uma série de coisas automáticas (ou "automágicas"), que se funcionarem bem, vai ser ótimo, mas se não funcionarem vai ser uma tragédia para depurar.

A idéia não é jogar pedra no IPv6, até porque ele tem muito mais coisa boa que ruim. Esta lista é para alertar quais são os desafios que enfrentaremos quando for necessário fazer uma intervenção na rede ou depurar um problema.

Segue aqui então uma lista dos itens que eu já vi como possíveis fontes de problemas:

1) É práticamente impossível se criar um firewall.

Todos os pacotes são criptografados. Inclusive as portas UDP e TCP. As únicas informações que ficarão disponíveis serão o Flow (que é um número único para cada sessão), Class (prioridade) e os IPs de origem e destino.

Não vai dar para fazer IDS, IPS, controle de site acessado, limitar P2P, etc.

Até vai ser possível, mas com um Application Layer Gateway, que é muito mais complexo, difícil de configurar e que hora ou outra vai dar problema.

NOTA POSTERIOR: Para ficar mais claro esta questão, vamos definir dois tipos de firewall. O firewall local (que seria o IPTABLES instalado no servidor que ele protege) e o firewall para a rede (que protegeria vários servidores ou equipamentos ao mesmo tempo). O firewall local sempre terá acesso completo a todo o pacote de dados, inclusive portas TCP e UDP. No entanto o firewall de rede (que protege no atacado) não consegue descriptografar, e ai fica limitado aos endereços, flow e class.

2) Não dá para fazer NAT

Isso também vai ser um risco, já que todos os IPs serão válidos. Sem um firewall e sem o mascaramento do NAT, os computadores ficarão diretamente expostos na Internet e não há muito que possa ser feito.

3) É impossível decorar os IPs.

Tente decorar este número IP:
3ffe:8114:2fff:1391:45e3:11a2:5522:a231

4) Não dá para fazer captura de pacotes na rede

Um usuário está gerando uma quantidade grande de pacotes, o que será? Será que ele está transferindo um arquivo grande? Será que ele está fazendo P2P? Será que ele foi tomado por um vírus?
Você só vai saber indo na máquina dele. Não adianta tentar fazer sniff (tipo tcpdump ou wireshark) no meio do caminho, pois as únicas informações que você vai ver serão IP de origem e destino, Flow e Class. Novamente, nem as portas UDP ou TCP você vai saber.

5) Performance de equipamentos antigos

Em PC mais antigos, o trabalho de criptografar todos os pacotes será grande e irá seguramente causar impacto, principalmente nas taferas que demandem muitos pacotes por segundo como transferência de arquivos ou VoIP.




Assim que eu lembrar de mais dificuldades que o IPv6 irá trazer, vou postar aqui. Sugestões são bem vindas.

Atualizado 11-09-2009 em 08:31 por mlrodrig

Categorias
Não Categorizado

Comentários

  1. Avatar de xadouron
    Ola mlrodrig,

    Ouvi falar que já existe Firewall Iptables versão 6. ip6tables. Me parece que as regras são configuradas do mesmo jeito que iptables da versão 4.

    Abs,
  2. Avatar de mlrodrig
    Citação Postado originalmente por xadouron
    Ola mlrodrig,

    Ouvi falar que já existe Firewall Iptables versão 6. ip6tables. Me parece que as regras são configuradas do mesmo jeito que iptables da versão 4.

    Abs,
    Tem e não tem. Tem firewall Iptable versão 6, porém é o que eu comentei: só tem regra para IP de origem, IP de destino (com respectivas máscaras), flow e classe.

    Agora eu pergunto: para que serve isso? Por exemplo, a famigerada porta 135, como você vai impedir que os usuários sejam atacados se você não tem NAT para esconder o usuário e não pode criar regrar levando em conta a porta?

    O jeito vai ser colocar Linux para todo mundo...
  3. Avatar de osmano807
    Então o IPv4 ainda irá reinar nas redes, tendo o gateway recebendo internet via IPv6, compartilhando via IPv4.
  4. Avatar de alexandrecorrea
    esse negocio dos pacotes serem criptografados.. eh folclore.. eles sao sim caso voce utilize...

    eu tenho ipv6 nativo aqui.. e consigo ver o dump normal dos mesmos.. ou seja.. o firewall funciona blz :P

    da pra fazer nat sim.. mas nao eh bem NAT que chama.. 4to6 ...


    pc antigo.. exatamente. ja era... mas funciona sim..

    e vamos para o ipv6 que eh show
  5. Avatar de mlrodrig
    Citação Postado originalmente por alexandrecorrea
    esse negocio dos pacotes serem criptografados.. eh folclore.. eles sao sim caso voce utilize...
    Não estou falando de laboratório, estou falando de coisa prática. O usuário final não vai ser bonzinho com o provedor de backbone. Ele não vai pensar "vou configurar para que meu tráfego seja descriptografado para facilitar a depuração de problemas no meu provedor de backbone".
    Ele vai querer que todo o tráfego seja criptografado e o IPv6 exige que todos os equipamentos suporte IPSec, então não haverá razão para o usuário querer desabilitar o IPSec.

    Citação Postado originalmente por alexandrecorrea
    eu tenho ipv6 nativo aqui.. e consigo ver o dump normal dos mesmos.. ou seja.. o firewall funciona blz :P
    Quando você tiver um problema na sua máquina, fazer dump dos pacotes será fácil. No dia a dia de quem trabalha com redes, o problema nunca é sua máquina. É o PC do cliente ou do usuário, no qual você não tem controle sobre a criptografia ou não.

    Citação Postado originalmente por alexandrecorrea
    da pra fazer nat sim.. mas nao eh bem NAT que chama.. 4to6 ...
    É possível fazer NAT de IPv6 para IPv4, e por enquanto, quando o IPv4 ainda domina, é possível fazer NAT de IPv4 para IPv6. No entanto no IPv4 você tem menos enderecos que no IPv6.
    Você consegue colocar um carro dentro de um caminhão, mas não consegue colocar um caminhão dentro de um carro.

    Hoje não existe nenhum serviço baseado exclusivamente em servidores IPv6, mas quando o IPv4 acabar não vai ter jeito. Teremos sites e serviços só acessíveis via IPv6 e os equipamentos IPv4, mesmo dentro de NAT, não conseguirão acessar.

    Basta pensar um pouco: como um FTP rodando em um equipamento IPv4 vai conseguir acessar um arquivo em um servidor com IPv6 2001:630:1:1:203:baff:fe3a:ffc? Se esse servidor tiver um DNS com registro A e AAAA (IPv4 e IPv6) como ocorre hoje, até podemos criar um mecanismo, mas quando acabar o IPv4, esse servidor não terá registro A, será apenas um registro AAAA. Como o programa FTP IPv4 vai criar um pacote (que depois até poderia ser convertido em NAT por um gateway) para esse IP 2001:630:1:1:203:baff:fe3a:ffc?
  6. Avatar de xadouron
    Ola mlrodrig,

    Mas você parece ser contra o IPV6.rs. Eu acho que caras que o desenvolveram prevendo o esgotamento do IPV4 também pensaram na questão de segurança do novo protocolo. Acho difícil eles terem desenvolvidos uma coisa pior que a anterior. Também não entendi a questão que você comentou que não é possível criar regras de firewall baseados em portas. No site IPV6 - IPv6.br | A Internet precisa se adaptar para continuar crescendo - IPv6.br tem vários dicas legais sobre o assunto inclusive um sobre a questão de firewall e portas IPV6 - Construindo um firewall Linux com suporte a IPv6 | A Internet precisa se adaptar para continuar crescendo - IPv6.br . Também tem vídeos sobre o assunto IPV6 - Segurança na CTBC: Firewalls em IPv6 | A Internet precisa se adaptar para continuar crescendo - IPv6.br e slide ftp://ftp.registro.br/pub/gts/gts11/...walls-ipv6.pdf da palestra onde mostra regras de firewall com portas TCP. Talvez eu não entendi direito sobre o assunto, mas parece que é possível sim. Também acho que não devemos nos preocupar tanto com isso, já que só porque eles desenvolveram um novo produto (protocolo no caso) não significa que o atual vai parar de funcionar. Os dois vão terão coexistência.

    Abs,
  7. Avatar de xadouron
    Faltou uma coisinha,

    Claro que terão coexistência no início, mas vai chegar uma hora que teremos que implantar o IPV6 em nossas redes também.

    Abs
  8. Avatar de mlrodrig
    Citação Postado originalmente por xadouron
    Ola mlrodrig,

    Mas você parece ser contra o IPV6.rs.
    Pelo contrário, sou muito a favor. No entanto o fato de eu gostar de gostar de abacaxi não quer dizer que eu precise esconder que ele dá afta na boca

    Citação Postado originalmente por xadouron
    Eu acho que caras que o desenvolveram prevendo o esgotamento do IPV4 também pensaram na questão de segurança do novo protocolo. Acho difícil eles terem desenvolvidos uma coisa pior que a anterior.
    O IPv4 já vem com criptografia. Ele é bem mais seguro que o IPv4.

    No IPv6 houve muita discussão sobre a proteção e privacidade. Se um firewall no meio do caminho consegue ver a porta TCP ou UDP, um hacker também consegue. Então qual era o mais seguro: criptografar as portas TCP e UDP, impedindo os hackers e os firewall de verem, ou abri-las, com as conseqüências inversas?

    Repare que configurar firewall é um problema de poucos habitantes do planeta Terra. A vasta maioria (que irá usar IPv6) são usuários que não estão nem ai para firewall (mas se preocupam com segurança e confidencialidade).

    Isso foi um quebra pau enorme na discussão do IPv6 e no final ficou assim: cada equipamento que tenha um sistema operacional seguro ou então um personal firewall. A confidencialidade da conexão do cliente ganhou.

    Citação Postado originalmente por xadouron
    Também não entendi a questão que você comentou que não é possível criar regras de firewall baseados em portas. No site IPV6 - IPv6.br | A Internet precisa se adaptar para continuar crescendo - IPv6.br tem vários dicas legais sobre o assunto inclusive um sobre a questão de firewall e portas IPV6 - Construindo um firewall Linux com suporte a IPv6 | A Internet precisa se adaptar para continuar crescendo - IPv6.br .
    Ótimo exemplo. Você chegou a reparar o que esse "Firewall" foi configurado.
    Eu até coloquei um pós comentário no meu post: fazer um firewall para proteger a própria máquina é possível. Não dá para fazer um firewall por portas que fique no meio do caminho.

    Não sou especialista em IPTABLES, mas que eu entenda, linhas com INPUT é para controlar o tráfego da própria máquina e FORWARD é para encaminhar. Veja que no exemplo, quando ele trata de controlar portas, é apenas INPUT e OUTPUT.

    Pelo que entendi, este exemplo é de um servidor de WEB, SSH e SMTP que também é firewall da rede. Mas nas regras de firewall para rede, não encontrei nada especifico de nenhum serviço. Apenas permitindo com que as conexões saiam, mas que não se faça conexão de fora para dentro. Interpretei corretamente?

    Citação Postado originalmente por xadouron
    Também tem vídeos sobre o assunto IPV6 - Segurança na CTBC: Firewalls em IPv6 | A Internet precisa se adaptar para continuar crescendo - IPv6.br e slide ftp://ftp.registro.br/pub/gts/gts11/...walls-ipv6.pdf da palestra onde mostra regras de firewall com portas TCP. Talvez eu não entendi direito sobre o assunto, mas parece que é possível sim.
    Novamente, se é para fazer um personal firewall ou firewall que roda no servidor para cuidar do servidor, é possível sim. O problema é em fazer um firewall de passagem.

    Citação Postado originalmente por xadouron
    Também acho que não devemos nos preocupar tanto com isso, já que só porque eles desenvolveram um novo produto (protocolo no caso) não significa que o atual vai parar de funcionar. Os dois vão terão coexistência.
    Huuummm... o IPv4 deve se esgotar em 2010, melhor caso 2011. Dai acabou acabado... não vai ter o que fazer. A partir daí, os novos datacenters do Google, por exemplo, só serão IPv6 e consequentemente só vão ser acessados via IPv6. Quem ficar em IPv4 vai ficar em um gueto e vai ser uma corrida para migrar tudo para IPv6, não creio que seja algo gradual...

    2010 não está tão longe. Também não tem margem para "eles vão dar um jeito". Não tem muito o que fazer, para o bem ou para o mal, em 2012 o mundo vai ser IPv6
    Atualizado 11-09-2009 em 10:24 por mlrodrig
  9. Avatar de alexandrecorrea
    queira ou nao.. voce vai ter que aceitar o ipv6 !! é inevitavel... goste ou não.. ipv4 ta no final... se a demanda continuar na média prevista (o que acontece é que esta SUBINDO a demanda) previsão de esgotamento é para meados de 2010~2011 ..

    respondendo: o cliente nao precisa saber se eh ipv4 e ipv6, alias nem querem saber.. eles querem utilizar o serviço disponivel...
  10. Avatar de Não Registrado
    Cara, imagine quantas maquinas que antes ficavam "escondidas" atras de um firewall/NAT agora expostas com um ip real, isso eh muito preocupante..
  11. Avatar de Josue Guedes
    Se poderemos fazer Nat para IPv4, no caso de redes internas acho que não será problema. Agora para o repasse de Ip válido vamos continuar tendos os mesmos recursos de antes como Proxy, e outros? Como ficaria uma estrutura de Proxy com repasse de Ip Válidos em IPv6? WCCP, Tproxy?
  12. Avatar de mlrodrig
    Citação Postado originalmente por Josue Guedes
    Se poderemos fazer Nat para IPv4, no caso de redes internas acho que não será problema. Agora para o repasse de Ip válido vamos continuar tendos os mesmos recursos de antes como Proxy, e outros? Como ficaria uma estrutura de Proxy com repasse de Ip Válidos em IPv6? WCCP, Tproxy?
    Hoje faz sentido fazer NAT de IPv4 para IPv6 porque praticamente não existem servidores puro IPv6. Ou seja, hoje mesmo os servidores que possuem IPv6, também possuem IPv4.

    Dessa forma hoje o IPv6 é apenas uma brincadeira, um meio de transporte entre o IPv4 (dentro do NAT) e o IPv4 (servidor externo).

    No entanto quando o IPv4 acabar, vai ser algo meio bruto. Não vai ter muito aviso (pelo menos, não teremos mais avisos do que aqueles que já temos: 2010 ou 2011 é o fim da linha para IPv4). E ai os equipamentos que ficarem atrás de um NAT IPv4 só vão conseguir acessar os servidores IPv4, qualquer novo servidor (repito, com o fim do IPv4, por mais que um provedor queira criar um servidor IPv4, ele não vai ter IP) ficará inacessível por qualquer método de NAT que você imaginar (pois o servidor vai estar apenas com IPv6).

    Imagine que soubéssemos que a partir de 2010 não haveria mais equipamentos de **transmissão** de TV analógica, apenas digital. As emissoras atuais poderiam continuar transmitindo em analógico, mas qualquer nova emissora ou canal seria digital. Quem não tivessem TV digital ficaria eternamente limitado ao mundo analógico. No começo não seria ruim, pois as emissora de TV não mudam ou surgem da noite para o dia. Mas com o tempo as emissoras analógicas teriam que trocar os equipamentos (por exemplo, por ficarem muito velhos) e com o tempo os proprietários de TV analógica teriam menos e menos opções de canais.

    No IPv6 vai ser algo semelhante, com um agravante: na Internet a todo instante surgem novos serviços que se tornam populares em poucos anos (se não meses) então esse processo de "descontentamento" dos usuários deve ser mais rápido. Quando acabar o IPv4, qualquer novo serviço que surgir vai ser exclusivo IPv6 e as ilhas IPv4 não conseguirão acessar.

    Alguém pode pensar em um estratégia de colocar o IPv4 que são usados em clientes (ADSL, Cable modem) para os serviços, e dar mais uma sobrevida aos servidores IPv4. Mas mesmo isso seria pouco. Na verdade, o cenário de esgotamento do IPv4 para 2011 considera isso.
  13. Avatar de alexandrecorrea
    pense em um "porém" .. daqui alguns anos.. vai sair so suporte a IPV6.. se fizer tunel 4to6 ... podera nao ter acesso a estes serviços..

    o ipv4 será abandonado em um futuro.. igualmente foi com o tipo de redes ipx (alguem lembra ou usa novel ?)
  14. Avatar de osmano807
    Alguém me explica: Alguma operadora, como Oi, vai querer liberar mais que 1 ipv6 para o usuário? Como fica sua redezinha?
  15. Avatar de mlrodrig
    Citação Postado originalmente por osmano807
    Alguém me explica: Alguma operadora, como Oi, vai querer liberar mais que 1 ipv6 para o usuário? Como fica sua redezinha?
    O IPv6 vai disponibilizar buzilhões de endereços IP. As operadoras como a Oi vão disponibilizar mais de 65.000 para cada redezinha doméstica. E isso sem pestanejar.

    Em termos de disponibilidade, o IPv6 tem 79.228.162.514.264.337.593.543.950.336 mais endereços IP que o IPv4. Ou, falando de outra forma, se déssemos 1 bilhão de endereços IP para cada redezinha existente hoje, ainda sobraria alguns bilhões de planetas para entrar na rede.

    Obviamente que o IPv6 só vai ocorrer quando as operadoras atualizarem os equipamentos de **todo** o backbone para IPv6. Por isso estou igual ao pregador do apocalipse avisando: o dia do juízo final virá, o IPv4 vai acabar e tem pouca gente pensando em IPv6...
    Atualizado 12-09-2009 em 22:13 por mlrodrig
  16. Avatar de osmano807
    Sim, eu sei que as operadoras podem oferecer esse monte de endereço ip, mas: Se elas não dão nem ip fixo, para que elas vão querer distribuir mais de 65 mil endereços para um usuário do "Velox", por exemplo.

    Isso vai dar merda... Sem NAT, vai ter a taixa adicional para instalação de rede local.

    Isso aqui que é pensamento apocalíptico:
    Gazeta do Triângulo - Bodejando: O que é ruim, pode ficar pior...
    Atualizado 12-09-2009 em 22:43 por osmano807
  17. Avatar de Josue Guedes
    Pois é, também não acredito muito que as operadoras vão abrir as pernas com os Ip´sv6, contudo tem os túneis, podemos conseguir de fora, certo?
  18. Avatar de scraipt
    como diria o capitão nascimento:


    Isso vai dar #&!*&#!..

    hahaha
  19. Avatar de Não Registrado(s)
    Será impossivel bloquear o torrent ?
    e precisarei mudar de modem ?

+ Enviar Comentário



Visite: BR-Linux ·  VivaOLinux ·  Dicas-L