Você está aqui: Página Inicial > Eixos de Atuação > Governo > Transição do IPv4 para o IPv6 > Perguntas Frequentes (FAQ)

Perguntas Frequentes (FAQ)

por Catia Parreira publicado 20/06/2016 14h29, última modificação 20/06/2016 14h29

A compilação de perguntas a seguir tem o propósito de auxiliar os órgãos do SISP nas suas dúvidas mais comuns. As respostas são elaboradas em parceria com o Núcleo de Informação e Coordenação do Ponto BR – NIC.br. As perguntas mais frequentes do órgãos são apresentadas abaixo:

Sobre o IPv6 na Intranet

  1. Realmente é obrigatório para os órgãos APF implantar o IPv6 na Intranet?
  2. Em decorrência da pouca utilização pelos usuários e provedores a configuração e gerência da rede IPv6 ainda não se encontra madura o suficiente para suporte possíveis ataques e exploração de vulnerabilidades desse protocolo. Esta colocação procede?
  3. É verdade que existe no mercado um sentimento que os equipamentos dos diversos fabricantes ainda não estão 100% compatíveis no que se refere ao protocolo IPv6?

    Resposta para 1, 2 e 3: Sim, atualmente (início de 2015) isso é verdadeiro. Os equipamentos de maior porte, do core das redes (roteadores e switches usados em redes corporativas, por exemplo) estão maduros já há algum tempo. O mesmo acontece para os sistemas operacionais (Windows, Linux, OS X) e servidores de aplicações (Apache, Nginx, IIS, BIND, etc). Equipamentos de segurança como firewalls, IDSs estão amadurecendo rapidamente, mas pode-se encontrar ainda equipamentos sem suporte ou com funções não disponíveis para IPv6, é preciso ter um cuidado maior. Para equipamentos de menor porte como roteadores wi-fi, telefones voIP, smartphones, impressoras, smart TVs, etc, há opções no mercado com bom suporte a IPv6, mas ainda há muitos modelos sendo produzidos e vendidos sem suporte.

    Contudo, é importante frisar que de forma geral, com algum cuidado no processo de aquisição, é possível obter equipamentos com suporte a IPv6 e funcionamento adequado com custo similar ao de equipamentos que não têm esse suporte. Há exemplos de redes corporativas e em universidades que já operam em pilha dupla (IPv6 + IPv4) há alguns anos sem que isso tenha acarretado problemas operacionais diferentes daqueles que ocorrem em redes apenas IPv4.
  4. Não seria melhor se alguns órgãos preservarem seus serviços e sistemas internos utilizando uma rede oculta, a exemplo da rede 10.0.0.0 em IPv4, podendo endereçar até 16.777.216 dispositivos, somente disponibilizando o que for necessário para a Internet com o IPv6?

    Resposta: No presente momento o mais importante é que os serviços expostos na Internet, como sítios e e-mail, sejam disponibilizados em pilha dupla (IPv6 + IPv4). Vemos isso como urgente, dado que os provedores de acesso já começaram a ofertar IPv6 para seus usuários.

    Como estratégia de curto prazo, manter a rede interna usando endereços IPv4 privados pode funcionar bem. No médio e longo prazos espera-se que a migração da Internet para o IPv6 motive a convergência dos equipamentos e serviços também nas redes corporativas/internas para este protocolo, da mesma forma que a expansão da Internet IPv4 fez praticamente desaparecer outros protocolos usados nesses ambientes, como IPX/SPX, AppleTalk e Netbios. Nos parece uma estratégia inteligente implantar gradualmente IPv6 também nas redes internas.

    É importante considerar também que o NAT IPv4 não é uma solução de segurança, embora se comporte como um firewall stateful. O maior número de comprometimentos em redes atualmente não ocorre por meio de 'invasões' à partir da Internet, mas por usuários que são 'enganados' para abrir arquivos infectados enviados em e-mails ou baixados de sites: nesses casos, endereços privados nada resolvem. Em se tratando de redes completamente isoladas da Internet, deve-se ainda considerar que o IPv6 também provê endereços privados, chamados de ULA, que podem ser usados de forma similar aos endereços privados IPv4, mas sem que seja recomendado o uso de NAT.
  5. Pesquisas feitas à profissionais de mercado de três empresas distintas que atualmente fornecem consultoria e serviço para migração da rede IPv4 para IPv6, obtivemos a informação que ainda não é uma boa recomendação a migração da rede interna para o IPv6. Como seria a perspectiva para o prazo do plano, que já exige um Plano de Endereçamento Interno elaborado até março de 2016?

    Resposta: O plano de disseminação do uso do IPv6 elaborado pelo MPOG/SLTI está em consonância com a visão dessas consultorias, por isso prevê a implantação gradual do protocolo até 2018, e não sua implantação imediata. A elaboração do plano de endereçamento interno é um passo intermediário no planejamento da rede que visa garantir essa meta.

Sobre Segurança em IPv6

  1. A utilização do NAT para alguns órgãos é ainda uma forma mais segura para proteger a rede interna e, o problema de rastreabilidade sempre foi resolvido com uma boa gestão de logs e sincronização do tempo da rede. Qual a vantagem do IPv6?

    Resposta: É importante considerar que o NAT IPv4 não é uma solução de segurança, embora se comporte como um firewall stateful. O maior número de comprometimentos em redes não ocorre por meio de 'invasões' à partir da Internet por causa de IPs que estão visíveis publicamente, mas por usuários que são 'enganados' para abrir arquivos infectados enviados em e-mails ou baixados de sites: nesses casos, endereços privados e NAT nada resolvem.

    É possível obter um comportamento muito similar ao do NAT IPv4, com IPv6 (sem uso de NAT) por meio do uso de um firewall stateful na extremidade da rede. Dessa forma só são recebidos pacotes em resposta a solicitações que se originaram internamente, de forma análoga ao que acontece no NAT IPv4. A vantagem, nesse caso, é que fica mais fácil para o administrador da rede permitir certas conexões entrantes, quando desejadas (por exemplo, para equipamentos de audio/video conferência). O funcionamento de aplicações que usam conceito peer to peer, ou seja, comunicação direta entre computadores sem necessariamente a intermediação de um 'servidor de rede' (novamente, audio/video conferências, também compartilhamento de arquivos, chats, jogos, etc) fica facilitada.

    De forma geral, quem trabalha tratando incidentes de segurança na Internet vê no NAT mais um problema do que uma solução. Muitas vezes ao se reportar a origem de tráfego malicioso para um administrador de rede, este é incapaz de identificar os equipamentos comprometidos, porque o IP é compartilhado e não há uma boa gestão de logs. É uma situação que poderia ser evitada com uma boa gestão de logs e outras políticas de segurança, mas na prática muitas vezes não é.

    Em se tratando de redes ou serviços completamente isolados da Internet, deve-se ainda considerar que o IPv6 também provê endereços privados, chamados de ULA, que podem ser usados de forma similar aos endereços privados IPv4, mas sem que seja recomendado o uso de NAT. Por exemplo, pode-se utilizar endereços ULA em uma rede de telefonia VoIP, ou para um servidor que é acessado apenas na rede corporativa.
  2. Se planejo a utilização de endereços válidos para todos os hosts da minha rede, ainda tenho necessidade de configurar uma DMZ em IPv6?

    Resposta: Deve-se pensar em primeiro lugar nas políticas de acesso dos hosts na DMZ e no restante das redes. Se são diferentes, sim, continua sendo necessária uma DMZ.

    As políticas de acesso diferentes podem ser implantadas por meio de firewalls ou outros tipos de filtros que permitam apenas os tipos de acesso desejados. Por exemplo, na DMZ podem estar servidores web em que o acesso às portas 80 e 443 pode ser feito à partir de qualquer host na Internet, enquanto na rede interna/corporativa, pode-se permitir apenas conexões saintes e suas respostas.