Ver Feed RSS

Tecnologia de Redes, Mobilidade e Inovação

Dificuldades do IPv6

Avalie este Post de Blog
O IPv6 vai ficar muito mais fácil para o usuário final, mas irá representar uma série de desafios para quem trabalha com instalação ou manutenção de redes. Não é apenas porque é algo novo (tudo que é novo é sempre mais difícil), mas também porque ele - para ser mais fácil para o usuário - tem uma série de coisas automáticas (ou "automágicas"), que se funcionarem bem, vai ser ótimo, mas se não funcionarem vai ser uma tragédia para depurar.

A idéia não é jogar pedra no IPv6, até porque ele tem muito mais coisa boa que ruim. Esta lista é para alertar quais são os desafios que enfrentaremos quando for necessário fazer uma intervenção na rede ou depurar um problema.

Segue aqui então uma lista dos itens que eu já vi como possíveis fontes de problemas:

1) É práticamente impossível se criar um firewall.

Todos os pacotes são criptografados. Inclusive as portas UDP e TCP. As únicas informações que ficarão disponíveis serão o Flow (que é um número único para cada sessão), Class (prioridade) e os IPs de origem e destino.

Não vai dar para fazer IDS, IPS, controle de site acessado, limitar P2P, etc.

Até vai ser possível, mas com um Application Layer Gateway, que é muito mais complexo, difícil de configurar e que hora ou outra vai dar problema.

NOTA POSTERIOR: Para ficar mais claro esta questão, vamos definir dois tipos de firewall. O firewall local (que seria o IPTABLES instalado no servidor que ele protege) e o firewall para a rede (que protegeria vários servidores ou equipamentos ao mesmo tempo). O firewall local sempre terá acesso completo a todo o pacote de dados, inclusive portas TCP e UDP. No entanto o firewall de rede (que protege no atacado) não consegue descriptografar, e ai fica limitado aos endereços, flow e class.

2) Não dá para fazer NAT

Isso também vai ser um risco, já que todos os IPs serão válidos. Sem um firewall e sem o mascaramento do NAT, os computadores ficarão diretamente expostos na Internet e não há muito que possa ser feito.

3) É impossível decorar os IPs.

Tente decorar este número IP:
3ffe:8114:2fff:1391:45e3:11a2:5522:a231

4) Não dá para fazer captura de pacotes na rede

Um usuário está gerando uma quantidade grande de pacotes, o que será? Será que ele está transferindo um arquivo grande? Será que ele está fazendo P2P? Será que ele foi tomado por um vírus?
Você só vai saber indo na máquina dele. Não adianta tentar fazer sniff (tipo tcpdump ou wireshark) no meio do caminho, pois as únicas informações que você vai ver serão IP de origem e destino, Flow e Class. Novamente, nem as portas UDP ou TCP você vai saber.

5) Performance de equipamentos antigos

Em PC mais antigos, o trabalho de criptografar todos os pacotes será grande e irá seguramente causar impacto, principalmente nas taferas que demandem muitos pacotes por segundo como transferência de arquivos ou VoIP.




Assim que eu lembrar de mais dificuldades que o IPv6 irá trazer, vou postar aqui. Sugestões são bem vindas.

Atualizado 11-09-2009 em 08:31 por mlrodrig

Categorias
Não Categorizado

Comentários

Página 1 de 4 1234 ÚltimoÚltimo
  1. Avatar de xadouron
    Ola mlrodrig,

    Ouvi falar que já existe Firewall Iptables versão 6. ip6tables. Me parece que as regras são configuradas do mesmo jeito que iptables da versão 4.

    Abs,
  2. Avatar de mlrodrig
    Citação Postado originalmente por xadouron
    Ola mlrodrig,

    Ouvi falar que já existe Firewall Iptables versão 6. ip6tables. Me parece que as regras são configuradas do mesmo jeito que iptables da versão 4.

    Abs,
    Tem e não tem. Tem firewall Iptable versão 6, porém é o que eu comentei: só tem regra para IP de origem, IP de destino (com respectivas máscaras), flow e classe.

    Agora eu pergunto: para que serve isso? Por exemplo, a famigerada porta 135, como você vai impedir que os usuários sejam atacados se você não tem NAT para esconder o usuário e não pode criar regrar levando em conta a porta?

    O jeito vai ser colocar Linux para todo mundo...
  3. Avatar de osmano807
    Então o IPv4 ainda irá reinar nas redes, tendo o gateway recebendo internet via IPv6, compartilhando via IPv4.
  4. Avatar de alexandrecorrea
    esse negocio dos pacotes serem criptografados.. eh folclore.. eles sao sim caso voce utilize...

    eu tenho ipv6 nativo aqui.. e consigo ver o dump normal dos mesmos.. ou seja.. o firewall funciona blz :P

    da pra fazer nat sim.. mas nao eh bem NAT que chama.. 4to6 ...


    pc antigo.. exatamente. ja era... mas funciona sim..

    e vamos para o ipv6 que eh show
  5. Avatar de mlrodrig
    Citação Postado originalmente por alexandrecorrea
    esse negocio dos pacotes serem criptografados.. eh folclore.. eles sao sim caso voce utilize...
    Não estou falando de laboratório, estou falando de coisa prática. O usuário final não vai ser bonzinho com o provedor de backbone. Ele não vai pensar "vou configurar para que meu tráfego seja descriptografado para facilitar a depuração de problemas no meu provedor de backbone".
    Ele vai querer que todo o tráfego seja criptografado e o IPv6 exige que todos os equipamentos suporte IPSec, então não haverá razão para o usuário querer desabilitar o IPSec.

    Citação Postado originalmente por alexandrecorrea
    eu tenho ipv6 nativo aqui.. e consigo ver o dump normal dos mesmos.. ou seja.. o firewall funciona blz :P
    Quando você tiver um problema na sua máquina, fazer dump dos pacotes será fácil. No dia a dia de quem trabalha com redes, o problema nunca é sua máquina. É o PC do cliente ou do usuário, no qual você não tem controle sobre a criptografia ou não.

    Citação Postado originalmente por alexandrecorrea
    da pra fazer nat sim.. mas nao eh bem NAT que chama.. 4to6 ...
    É possível fazer NAT de IPv6 para IPv4, e por enquanto, quando o IPv4 ainda domina, é possível fazer NAT de IPv4 para IPv6. No entanto no IPv4 você tem menos enderecos que no IPv6.
    Você consegue colocar um carro dentro de um caminhão, mas não consegue colocar um caminhão dentro de um carro.

    Hoje não existe nenhum serviço baseado exclusivamente em servidores IPv6, mas quando o IPv4 acabar não vai ter jeito. Teremos sites e serviços só acessíveis via IPv6 e os equipamentos IPv4, mesmo dentro de NAT, não conseguirão acessar.

    Basta pensar um pouco: como um FTP rodando em um equipamento IPv4 vai conseguir acessar um arquivo em um servidor com IPv6 2001:630:1:1:203:baff:fe3a:ffc? Se esse servidor tiver um DNS com registro A e AAAA (IPv4 e IPv6) como ocorre hoje, até podemos criar um mecanismo, mas quando acabar o IPv4, esse servidor não terá registro A, será apenas um registro AAAA. Como o programa FTP IPv4 vai criar um pacote (que depois até poderia ser convertido em NAT por um gateway) para esse IP 2001:630:1:1:203:baff:fe3a:ffc?
Página 1 de 4 1234 ÚltimoÚltimo

+ Enviar Comentário




Visite: BR-Linux ·  VivaOLinux ·  Dicas-L