Tecnologia de Redes, Mobilidade e Inovação
Dificuldades do IPv6
por em 10-09-2009 às 15:37 (6218 Visualizações)
O IPv6 vai ficar muito mais fácil para o usuário final, mas irá representar uma série de desafios para quem trabalha com instalação ou manutenção de redes. Não é apenas porque é algo novo (tudo que é novo é sempre mais difícil), mas também porque ele - para ser mais fácil para o usuário - tem uma série de coisas automáticas (ou "automágicas"), que se funcionarem bem, vai ser ótimo, mas se não funcionarem vai ser uma tragédia para depurar.
A idéia não é jogar pedra no IPv6, até porque ele tem muito mais coisa boa que ruim. Esta lista é para alertar quais são os desafios que enfrentaremos quando for necessário fazer uma intervenção na rede ou depurar um problema.
Segue aqui então uma lista dos itens que eu já vi como possíveis fontes de problemas:
1) É práticamente impossível se criar um firewall.
Todos os pacotes são criptografados. Inclusive as portas UDP e TCP. As únicas informações que ficarão disponíveis serão o Flow (que é um número único para cada sessão), Class (prioridade) e os IPs de origem e destino.
Não vai dar para fazer IDS, IPS, controle de site acessado, limitar P2P, etc.
Até vai ser possível, mas com um Application Layer Gateway, que é muito mais complexo, difícil de configurar e que hora ou outra vai dar problema.
NOTA POSTERIOR: Para ficar mais claro esta questão, vamos definir dois tipos de firewall. O firewall local (que seria o IPTABLES instalado no servidor que ele protege) e o firewall para a rede (que protegeria vários servidores ou equipamentos ao mesmo tempo). O firewall local sempre terá acesso completo a todo o pacote de dados, inclusive portas TCP e UDP. No entanto o firewall de rede (que protege no atacado) não consegue descriptografar, e ai fica limitado aos endereços, flow e class.
2) Não dá para fazer NAT
Isso também vai ser um risco, já que todos os IPs serão válidos. Sem um firewall e sem o mascaramento do NAT, os computadores ficarão diretamente expostos na Internet e não há muito que possa ser feito.
3) É impossível decorar os IPs.
Tente decorar este número IP:
3ffe:8114:2fff:1391:45e3:11a2:5522:a231
4) Não dá para fazer captura de pacotes na rede
Um usuário está gerando uma quantidade grande de pacotes, o que será? Será que ele está transferindo um arquivo grande? Será que ele está fazendo P2P? Será que ele foi tomado por um vírus?
Você só vai saber indo na máquina dele. Não adianta tentar fazer sniff (tipo tcpdump ou wireshark) no meio do caminho, pois as únicas informações que você vai ver serão IP de origem e destino, Flow e Class. Novamente, nem as portas UDP ou TCP você vai saber.
5) Performance de equipamentos antigos
Em PC mais antigos, o trabalho de criptografar todos os pacotes será grande e irá seguramente causar impacto, principalmente nas taferas que demandem muitos pacotes por segundo como transferência de arquivos ou VoIP.
Assim que eu lembrar de mais dificuldades que o IPv6 irá trazer, vou postar aqui. Sugestões são bem vindas.
Enviar Post de Blog por EmailComentários
+ Enviar Comentário
Ir para Perfil
Marcar como Lido
