SlideShare ist ein Scribd-Unternehmen logo

Comparação da segurança nativa do IPv4 e IPv6

Rafael Pimenta
Rafael Pimenta

1) O documento compara a segurança nativa dos protocolos IPv4 e IPv6, analisando o tráfego de pacotes em cada um. 2) O IPv4 não oferece proteção contra captura de dados em trânsito, ao contrário do IPv6 que implementa o protocolo IPSec de forma nativa, fornecendo criptografia e autenticação. 3) O estudo conclui que o IPv6 permite um incremento na segurança das comunicações sem a necessidade de aplicações externas.

Technologie
1 von 17
Faculdade Área 1 Pós Graduação em Segurança da Informação em Redes de Computadores Rafael Pimenta Tuvo Comparação da segurança nativa nos protocolos IPv4 e IPv6 Salvador/Bahia 2011
Rafael Pimenta Tuvo Comparação da segurança nativa nos protocolos IPv4 e IPv6 Trabalho de conclusão de curso exigido para conclusão do curso de Pós- Graduação em Segurança da Informação em Redes de Computadores da Faculdade Área 1. Orientador: Marco Antônio Chaves Câmara Salvador/Bahia 2011
Resumo: No início das redes de computadores e da própria internet, o maior desafio era a conectividade entre os computadores, sem qualquer preocupação com segurança ou desempenho. Surgia então o protocolo IP versão 4 suprindo esta necessidade. Com o passar dos anos, segurança e desempenho tornaram-se imprescindíveis em praticamente toda comunicação pela internet e o IPv6 se apresenta como a nova solução para estes problemas. Este trabalho tem o objetivo de comparar os recursos de segurança oferecidos pelas versões 4 e 6 do protocolo IP. Abstract: In early of the networks of computers and the Internet, the biggest challenge was connectivity between computers, without any concern for safety or performance. Then came the Internet Protocol, version 4, supplying this need. Over the years, safety and performance have become indispensable in virtually all communication over the Internet and IPv6 introduces himself as the new solution to these problems. This job has the objective to compare the security features offered by versions 4 and 6 of the IP protocol. 1. Introdução A internet surgiu com o objetivo de estabelecer a comunicação entre cientistas e pesquisadores. Não havia, nesta época, preocupações com a segurança nas transmissões dos dados, uma vez que os problemas de conectividade eram o principal obstáculo a ser superado. O protocolo IP versão 4 (IPv4) garantiu essa comunicação de forma eficiente.Contudo, com o passar dos anos, o uso das redes de computadores se popularizou. O que era mera troca de informações tomou outra dimensão, sendo as redes hoje utilizadas de varias maneiras, inclusive para transações bancárias e comércio eletrônico. Atualmente existem diversas ferramentas que permitem a captura dos dados que trafegam nas redes (os sniffers), e o protocolo IPv4 não oferece nenhuma proteção nativa contra isso. Ficou evidente a necessidade de outra tecnologia, ou a evolução desta, que implementasse um nível de segurança maior que o oferecido pelo IPv4. Neste contexto surgiu a versão 6 do protocolo IP, o IPv6. Além de corrigir o problema de escassez na quantidade máxima de hosts do IPv4, a versão 6 trás consigo suporte
nativo ao protocolo IPSec. A idéia é fazer com que a segurança dependa o mínimo do usuário. O IPSec implementa serviços como autenticação e ou criptografia na camada de rede. O objetivo deste trabalho é comparar os protocolos IPv4 e IPv6, no que atine ao aspecto “Segurança”, através da análise do tráfego de pacotes em cada um deles. Este trabalho é dividido em três seções principais, além desta introdução, que dá um breve histórico da internet e do protocolo IP. O próximo tópico trata do IPv4, dando enfoque nas suas limitações e motivos que ensejaram o desenvolvimento de uma nova versão do protocolo. Em seguida é apresentado o IPv6, com as suas características, dando um enfoque principal ao protocolo IPSec, que incrementa a segurança desta nova versão do protocolo IP. Por fim, é realizada a análise dos tráfegos IPv4 e IPv6, demonstrando que o segundo permite um incremento da segurança sem necessidade de aplicações externas, seguida das conclusões finais. 2. O IPv4 e suas limitações 2.1. A Escassez de Endereços Na década de 70, as agências governamentais dos Estados Unidos perceberam a importância da interligação em redes. Entre 1977 e 1979 o TCP/IP tomava seu escopo final e, em 1983, a tecnologia foi transferida para a internet, tomando dimensões globais. [COMER, 1998]. O IPv4 tinha a incumbência de prover todos os computadores com um número identificador único na internet, o endereço IP, para que eles pudessem ter conectividade sem problemas e assim foi por quase três décadas. Com o passar do tempo, percebeu-se que os endereços IPs uma hora se esgotariam. Os 32 bits utilizados para esta finalidade não eram mais suficientes: na teoria, pouco mais de 4 bilhões de endereços. Foram criadas, então, algumas técnicas que deram uma sobrevida ao IPv4. Um exemplo foi o NAT (Network Address Translation), que consiste em manter a rede interna numa faixa de IPs inválidos para a internet, porém válidos localmente, e um gateway com um único endereço IP válido para a internet. Este
gateway faz a “tradução” dos endereços da internet para a rede local e vice-versa. Desta forma, economizou-se uma quantidade significativa de IPs válidos na internet. Além do NAT, a RFC 1518, publicada em setembro de 1993, estabelece o CIDR – Classless Inter-Domain Routing (Roteamento Inter-Domínio sem Classe), que deu maior flexibilidade ao protocolo pois, a partir de então, foi possível o uso de máscaras para criar sub-redes. Assim, não era mais obrigatório o uso apenas dos primeiros 8, 16 ou 24 primeiros bits do endereço IPv4 para identificação da rede, permitindo a adequação da máscara de acordo com a necessidade de cada organização [SMETANA, 2001]. Porém, o NAT e o CIDR não foram as soluções definitivas dos problemas. Os últimos cinco blocos de IP foram disponibilizados pela IANA aos órgãos responsáveis pela distribuição no dia 03/02/20111 . Estima-se que essa distribuição de IP aos usuários seja concluída entre os anos de 2011 e 2012. As figuras 1, 2 e 3 mostram a distribuição dos IPs ao longo dos anos [IANA]: Figura 1- Distribuição dos blocos de IP em 1993 1 Notícia no site do LACNIC: http://lacnic.net/pt/anuncios/2011-agotamiento-ipv4.html. Acesso em 03/02/2011
Figura 2 - Distribuição dos blocos de IP em 2000 Figura 3 - Distribuição dos blocos de IP em janeiro de 2010 Além das limitações quantitativas, o IPv4 não oferece, por padrão, segurança aos dados de forma eficaz. Todo o tráfego é transmitido de forma limpa, sem criptografia. Não há garantia de autenticidade entre emissor e receptor. Para isso, é necessária a utilização de
aplicações externas, que, muitas vezes, geram custos, financeiros e computacionais, ao usuário final e às empresas. 2.2.Ausência de Qualidade de Serviço (QoS) Outro ponto que incentivou a adoção de uma nova tecnologia é a qualidade na transmissão. Hoje em dia é comum a utilização de aplicações multimídia e elas exigem QoS (Quality of Service, ou Qualidade de Serviço) na transmissão dos pacotes para que sejam viáveis e eficazes. O IPv4 não trabalha nativamente uma forma de serviço que garanta essa qualidade, afinal, quem pensava em tráfego multimídia no início dos anos 80?! Existe um campo no cabeçalho IPv4 chamado Type of Service (ver figura 4), mas este tem funcionalidade limitada e os roteadores, na prática, ignoram completamente este campo [TANEMBAUM, 2003]. Figura 4 - Cabeçalho IPv4 [Tanembaum,2003] Assim, ficou claro que um novo protocolo deveria incorporar algumas características que não estavam presentes na versão 4 do protocolo IP. Foi então desenvolvido o IP versão 6. 3. IPv6 O IPv6 manteve grande parte das características que fizeram do IPv4 um padrão mundial. Porém, alterou algumas de suas características e acrescentou algumas funcionalidades [GODINHO, 2005]:
• Cabeçalho simplificado (ver figura 5): alguns campos foram eliminados (como o IHL, Protocol e Checksum, este último por questões de desempenho) e outros se tornaram opcionais (Hop-by-hop options, Destination options, Routing, Fragmentation, Authentication e Encrypted security payload). Isso implica em menos processamento em cada pacote, aumentando o desempenho. Figura 5 - Cabeçalho IPv6 [RFC 2460] • Endereçamento de 128 bits: é possível fornecer 2128 endereços IP, o equivalente a 79 trilhões de vezes o espaço do IPv4, ou seja, 3,4*1027 endereços por habitante do planeta. • Formato do endereço: ao invés de 4 octetos representados em decimal, o IPv6 trabalha com 8 hexatetos representados em hexadecimal. • Rota definida na origem: a rota de transmissão passa a ser definida na origem do envio, e não mais durante, o que elimina custos de processamento dos roteadores envolvidos no tráfego. O campo Flow Label é utilizado para este fim, definindo as características do fluxo de dados necessário para uma conexão eficiente. • Autoconfiguração: Possibilidade de atribuição de endereços IP automaticamente a um host.
3.1. IPSec Contudo, o ponto mais importante do IPv6 no que atine a segurança é a incorporação, de forma nativa, do suporte ao protocolo IPSec (IP Security Protocol). Criado pelo IETF (Internet Engineering Task Force), o IPSec surgiu com o objetivo de prover segurança no tráfego da rede com o auxílio de criptografia, fornecendo proteção tanto no pacote IP quanto em camadas superiores [Silva, 2003 apud Godinho, 2005]. Conforme pode ser observado na Figura 6, o IPSec “cria” uma camada virtual, subdividindo a camada de rede em duas. Figura 6 - IPSec no Modelo OSI 3.1.1. Arquitetura do IPSec O IPSec utiliza mecanismos que fornecem ao pacote IP serviços de integridade, autenticação, controle de acesso e confidencialidade na camada de rede [GODINHO,2005]. A arquitetura básica do IPSec permite os modos de operação AH (Autentication Header), ESP (Encapsulating Security Payload) e IPComp (IP Payload Compression). O primeiro garante integridade e autenticação na origem, mas não faz cifragem, portanto, não garante confidencialidade. Além disso, provê o serviço anti- replay2 . O ESP fornece integridade e confiabilidade, através de criptografia, garantindo que os dados só serão visualizados pelo destinatário e que não sofrerão alterações durante a transmissão. Esses dois modos de operação podem ser utilizados de forma 2 Serviço que impede que uma mensagem legítima seja capturada e retransmitida em outro momento, com fins ilegítimos
independente ou em conjunto. Por fim, o IPComp permite realizar a compressão dos pacotes [KROPIWIEC, 2003]. Existem dois modos de operação para cada um deles, são os modos transporte e túnel. No transporte, habilita-se proteção primária aos protocolos das camadas superiores. Já no modo túnel, os protocolos das camadas superiores são colocados dentro de pacotes AH ou ESP [KROPIWIEC, 2003]. Além desses, ainda há o protocolo IKE (Internet Key Exchange). Ele é utilizado para fazer a gerência automática de chaves criptográficas, disponibilizando-as de forma segura, e para estabelecer as associações de segurança (SA – Security Association) [GODINHO, 2005]. As SAs são um conjunto de diretivas que permitem negociar algoritmos de criptografia a serem utilizados. Para que a comunicação ocorra, tanto o emissor quanto o receptor precisam entrar em acordo sobre quais diretivas serão utilizadas. Para conexões bidirecionais, dois SA são necessários, um para cada sentido, uma vez que as associações são simplex. Na figura 7 é possível visualizar essa arquitetura: Figura 7 - Arquitetura IPSec [KROPIWIEC,2003] Na figura acima, é possível identificar mais dois itens: a SPD e a SAD. A SPD (Security Policy Database) e a SAD (Security Associations Database) são duas bases de dados, relacionadas às SAs, que o IPSec mantém. A SPD define quais serviços de segurança
devem ser utilizados baseado em fatores como protocolo, origem, destino etc. Ela possui uma lista que determina qual tráfego deve passar sem processamento IPSec, qual deve ser descartado e qual deve ser processado pelo IPSec. As entradas nesta base são similares às regras de firewalls de filtro de pacotes. A SAD é uma base de dados de associações de segurança. Ela possui informações de cada SA, como algoritmos e chaves do AH ou ESP, modo utilizado e tempo de vida (TTL) [KROPIWIEC, 2003]. 3.1.2. Impacto no Desempenho Todo método de criptografia utilizado numa comunicação causa um retardo na transmissão, pois a cifragem e decifragem demandam esforço computacional. O mesmo se aplica aos métodos de autenticação, pois é necessário calcular o hash no momento do envio das mensagens e também ao recebê-las, para verificar a integridade dos dados. Quando as aplicações envolvidas são de tempo real, um atraso mínimo pode ser significativo e comprometer a utilização da aplicação. Em outros casos, atrasos pequenos são toleráveis. Todas as aplicações que utilizam a internet como meio para transmissão dos dados devem estar preparadas para atrasos. O IPSec, como protocolo de segurança que criptografa e autentica as conexões, interfere no desempenho dos equipamentos que o utilizam. O IPSec expande o tamanho do pacote, o que pode acarretar fragmentação e remontagem dos mesmos. Além disso, pacotes cifrados provavelmente serão autenticados, o que significa execução de duas operações de criptografia para cada pacote. Outro problema é que os métodos de autenticação em equipamentos que utilizam o IPSec são lentos. Ainda, o algoritmo de troca de chaves usado pelo IKE é uma exponenciação de números entre 768 e 1024 bytes, o que torna seu processamento complexo e o tempo gasto para isso pode ser significativo, chegando a 4 segundos num roteador Cisco 2500 [CISCO, 2011]. Com isso, até pacotes que não são cifrados pelo IPSec sofrerão atrasos ao passarem por um equipamento com IPSec ativo, já que também serão testados pelas regras que determinarão quais pacotes devem ser processados pelo protocolo.
A Cisco recomenda que, para minimizar o impacto do processamento IPSec, se utilize o algoritmo MD53 para autenticação (apesar deste ser extremamente frágil), RC54 para criptografia , além do aumento do TTL. Contudo, essa configuração baixa significativamente o nível de proteção do sistema, devendo as organizações consultarem suas políticas de segurança para saber se esse é um formato aceitável [CISCO, 2011]. 4. SSL (Secure Sockets Layer) Como citado anteriormente, a internet chegou ao grande público sem preocupação com segurança, para distribuição de páginas estáticas. Após algum tempo, passou a abrigar transações financeiras, criando, então, uma demanda por conexões seguras. Assim, a Netscape Communications Corporation, em 1995, criou o pacote de segurança SSL. Segundo Tanembaum (2003), a SSL monta uma conexão segura entre dois soquetes, abordando: 1. Negociação de parâmetros entre cliente e servidor 2. Autenticação entre cliente e servidor 3. Comunicação secreta 4. Integridade dos dados transmitidos Como o próprio nome sugere, a SSL trata-se de uma nova camada posicionada entre as camadas de aplicação e transporte. Depois que a conexão é estabelecida, a principal função da SSL é tratar da criptografia e compactação dos dados. Como exemplo, o usual HTTPS (Secure HTTP), visualizado principalmente em transações financeiras online, trata-se do protocolo padrão HTTP sobre a SSL. Por ser a SSL uma solução proprietária, em 1997 foi criado um grupo de trabalho na IETF (Internet Engineering Task Force) com o objetivo de desenvolver um padrão que garantisse conexões seguras nas comunicações realizadas na internet. O resultado foi o padrão TLS (Transport Layer Security), descrito sobre a RFC 2246, que é baseado na versão 3.0 da SSL [Reivelleau e Schaffer]. 3 Message Digest algorithm 5 – algoritmo que utiliza hash de 128 para verificação de integridade em logins 4 Ron’s Code – Criptografia simétrica que codifica blocos de texto claro utilizando chaves de até 2040 bits
Segundo ALSHAMSI e SAITO, optar pelo IPSec ou pelo SSL depende das necessidades de segurança das comunicações em questão. Se um serviço específico é necessário e suporta SSL, então esta é uma boa escolha. Se todos os serviços são necessários, então o IPSec é a melhor opção. A não ser que IPSec e firewall estejam integrados no mesmo equipamento, o SSL se integra melhor com as soluções de firewall. Diferente do SSL, clientes IPSec necessitam de aplicação externa para trabalharem com acesso remoto. Além disto, o IPSec é capaz de proteger redes wireless. Função IPSec SSL Configuração Difícil Fácil Autenticação do cliente Necessária Opcional Chave Pré-Compartilhada Sim Não Problemas de interoperabildade Sim Não Suporte a aplicações TCP Todas Algumas Suporte a UDP Sim Não Taxa de Throughput Alta Alta Suporte a compressão Sim Apenas com OpenSSL Tempo de handshake Lento Rápido Tabela 1 – IPSec x SSL [ALSHAMI e SAITO] 5. Avaliação da segurança no IPv4 e no IPv6 O objetivo deste trabalho é comparar o nível de segurança nos protocolos IPv4 e IPv6. Para tanto, foram utilizados computadores conectados em rede sem fio, usando IPv4 e sem adicionar opções de segurança, ambos utilizando o sistema operacional Windows 7 Home Basic. Numa das máquinas foi instalado um servidor FTP. Para realizar os testes, o aplicativo de captura de pacotes Wireshark foi instalado numa terceira máquina, que capturou o tráfego do ambiente acima descrito no momento em que a máquina cliente acessava o servidor FTP. Para tanto, foi necessário utilizar uma placa de rede, na máquina sniffer, que operasse em modo promíscuo, para que o tráfego
não destinado à própria máquina pudesse ser capturado. A figura 8 mostra a captura dos dados na rede baseada em IPv4: Figura 8 – Captura do tráfego IPv4 Após aplicar o filtro “FTP”, pôde-se perceber que todo o tráfego é facilmente visualizado pelo atacante, sendo possível identificar os comandos utilizados pelo cliente FTP e até mesmo os dados como login e senha utilizados na autenticação. Após isto, o processo foi repetido, alterando a configuração de IP para IPv6 (ver figura 9). Os dados ainda podem ser visualizados de forma limpa no Wireshark.
Em seguida, foi ativado o IPSec na comunicação entre os computadores, de forma que não foi mais possível identificar quaisquer comandos, arquivos ou outros dados importantes da conexão durante a captura (ver figura 10), em função da criptografia realizada pelo protocolo ESP, descrito no capítulo 3.1.1. Assim, percebe-se que a utilização do IPSec nas configurações de redes IPv6 incrementa sensivelmente a segurança da informação que nela trafega. Além disso, não foi necessária a utilização de nenhuma aplicação externa, retirando do usuário a responsabilidade de implementar a segurança na rede, além de custos para tal implementação. 6. Conclusão A arquitetura do protocolo IPv6, através do suporte ao IPSec nativo, garante uma camada de segurança mais eficiente que o IPv4. Essa implementação, por si só, já justificaria a migração para a nova versão. Somada aos fatos de que o IPv6 apresenta um número absurdamente grande de endereços disponíveis, dos últimos blocos de IPv4 restantes terem sido distribuídos pela IANA, de que foram otimizadas as informações de controle dos pacotes (que gera maior desempenho), da facilidade de configuração e da otimização do uso da banda no uso IPSec sobre IPv6 [Almeida e Santa Inês, 2009], a mudança de padrão parece ser inexorável, sendo apenas uma questão de tempo.
A estrutura de endereços do IPv6, com IPSec, previne diversos ataques, através dos protocolos AH e ESP, como por exemplo Ataques de Replay, Spoofing, Connection Hijacking, Fragmentos de Pacotes Criptografados e sniffer [Almeida e Santa Inês, 2009]. Ademais, o IPSec garante autenticidade, confidencialidade e integridade na transmissão, fazendo ainda o gerenciamento de chaves de segurança, realizado pelo protocolo IKE. A fase de transição gera preocupação na comunidade de tecnologia, mas soluções híbridas já existem para fazer a passagem de forma gradual, com poucos transtornos. O próprio Google, uma das maiores empresas de tecnologia do mundo, já possui seus principais produtos operando sobre a estrutura IPv6, a exemplo do Gmail e Youtube. Os testes aqui apresentados mostraram a fragilidade do protocolo IPv4, uma vez que a não existe suporte nativo ao IPSec (ou a outras soluções que aprimorem a segurança dos dados), situação impensável num mundo em que imensa fatia das operações comerciais ocorrem através da internet. Referências ALSHAMSI, Abdelnasir and SAITO, Takamichi; A Technical Comparison of IPSEC and SSL; Tokyo University of Tecnology. s.d. Disponível em http://eprint.iacr.org/2004/314.pdf . ALMEIDA, Ericson Oliveira de; SANTA INES, Olga Abreu de; Introdução ao Protocolo IPv6 e Análise de Desempenho do IPSec sobre os Protocolos IPv4 e IPv6. Centro Universitário da Bahia – Estácio de Sá – FIB. Monografia. Salvador/Ba. 2009. Disponível em http://www.slideshare.net/ericsonalmeida/monografia-final-desempenho-ipsec-com-i-pv4-e- ipv6. CISCO Documentation; An Introduction to IP Security (IPSec) Encryption., http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203.shtm l; Abril 2011. COMER, Douglas E.; Interligação em Rede com TCP/IP. Editora Campus. 1998. GODINHO JR, Luis; SOUSA, Jarbas Pereira Lopes; NUNES, Robert Mady, BOGO, Madianita. Análise da Segurança em Redes Puramente Ipv6. In: VII Encontro de Estudantes de Informática do Estado do Tocantins, 2005, Palmas. Anais… Palmas: 2005.
KROPIWIEC, Cássio Ditzel; Proposta de um mecanismo de Segurança para Web Services Baseado em IPSec; Dissertação de Mestrado; 2003. REVEILLEAU, Jonathan Giusti e SCHAFFER, Carlos Adriani Lara; Redes Seguras: Uma visão sobre VPN’s e soluções de código aberto para implementá-las. Universidade de Passo Fundo. s.d. [RFC1518] Rekhter, Y., and T. Li, “An Architecture for IP Address Allocation with CIDR”, RFC 1518, September 1993. SANTOS, Cleymone Ribeiro dos. Integração de IPv6 em um Ambiente Cooperativo Seguro. Dissertação de Mestrado. Unicamp. 2004. SMETANA, George Marcel M. A.; IPv4 e IPv6; Escola Politécnica da Universidade de São Paulo; 2001. TANEMBAUM, Andrew S.; Redes de Computadores; 4ª edição; Editora Campus; 2003.

Empfohlen

Diferenças entre IPV4 e IPV6
Diferenças entre IPV4 e IPV6Diferenças entre IPV4 e IPV6
Diferenças entre IPV4 e IPV6José Alyson
 
Ipv4 e ipv6
Ipv4 e ipv6Ipv4 e ipv6
Ipv4 e ipv6Patrícia Morais
 
Redes sem FIO
Redes sem FIORedes sem FIO
Redes sem FIOFagner Mota
 
I Pv4 Vs I Pv6 Final 2
I Pv4 Vs I Pv6 Final 2I Pv4 Vs I Pv6 Final 2
I Pv4 Vs I Pv6 Final 2ptic433
 
Protocolo IPv6
Protocolo IPv6Protocolo IPv6
Protocolo IPv6Gustavo Adolfo Alencar
 
Endereçamento ipv4 e ipv6-
Endereçamento ipv4 e ipv6- Endereçamento ipv4 e ipv6-
Endereçamento ipv4 e ipv6-Mariana Melo
 
Redes De Computadores Internet
Redes De Computadores InternetRedes De Computadores Internet
Redes De Computadores InternetMario Bittencourt
 
Aula 11 redes de computadores - camada OSI e TCPIP pt1
Aula 11 redes de computadores - camada OSI e TCPIP pt1Aula 11 redes de computadores - camada OSI e TCPIP pt1
Aula 11 redes de computadores - camada OSI e TCPIP pt1Henrique Nunweiler
 

Empfohlen

Diferenças entre IPV4 e IPV6
Diferenças entre IPV4 e IPV6Diferenças entre IPV4 e IPV6
Diferenças entre IPV4 e IPV6José Alyson
 
Ipv4 e ipv6
Ipv4 e ipv6Ipv4 e ipv6
Ipv4 e ipv6Patrícia Morais
 
Redes sem FIO
Redes sem FIORedes sem FIO
Redes sem FIOFagner Mota
 
I Pv4 Vs I Pv6 Final 2
I Pv4 Vs I Pv6 Final 2I Pv4 Vs I Pv6 Final 2
I Pv4 Vs I Pv6 Final 2ptic433
 
Protocolo IPv6
Protocolo IPv6Protocolo IPv6
Protocolo IPv6Gustavo Adolfo Alencar
 
Endereçamento ipv4 e ipv6-
Endereçamento ipv4 e ipv6- Endereçamento ipv4 e ipv6-
Endereçamento ipv4 e ipv6-Mariana Melo
 
Redes De Computadores Internet
Redes De Computadores InternetRedes De Computadores Internet
Redes De Computadores InternetMario Bittencourt
 
Aula 11 redes de computadores - camada OSI e TCPIP pt1
Aula 11 redes de computadores - camada OSI e TCPIP pt1Aula 11 redes de computadores - camada OSI e TCPIP pt1
Aula 11 redes de computadores - camada OSI e TCPIP pt1Henrique Nunweiler
 
Redes de computadores
Redes de computadoresRedes de computadores
Redes de computadoresWeslley Andrade
 
TCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃO
TCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃOTCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃO
TCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃOEvandro Donel Foster
 
Protocolos de Redes
Protocolos de RedesProtocolos de Redes
Protocolos de Redesleticia-maria
 
Protocolos de Redes
Protocolos de RedesProtocolos de Redes
Protocolos de RedesWellington Oliveira
 
Modelo TCP/IP
Modelo TCP/IPModelo TCP/IP
Modelo TCP/IPAlberto Felipe Friderichs Barros
 
Protocolos
ProtocolosProtocolos
Protocolosleticia-maria
 
Protocolos de Rede para Internet das Coisas
Protocolos de Rede para Internet das CoisasProtocolos de Rede para Internet das Coisas
Protocolos de Rede para Internet das CoisasNathalia Sautchuk Patricio
 
IPv6 básico - Tiago Valtrick
IPv6 básico - Tiago ValtrickIPv6 básico - Tiago Valtrick
IPv6 básico - Tiago ValtrickTchelinux
 
TCP/IP
TCP/IPTCP/IP
TCP/IPCaroline Ferraz
 
[Antero Jesus] Principais Protocolos de Rede
[Antero Jesus] Principais Protocolos de Rede[Antero Jesus] Principais Protocolos de Rede
[Antero Jesus] Principais Protocolos de Redeajtr98
 
13 ligações inter-redes
13 ligações inter-redes13 ligações inter-redes
13 ligações inter-redesFrancisco Ednardo Gomes Pereira
 
Artigo ipv6
Artigo ipv6Artigo ipv6
Artigo ipv6Clécio Oliveira
 
Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.
Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.
Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.Filipo Mór
 
Como surgiu e evoluiu o tcp
Como surgiu e evoluiu o tcpComo surgiu e evoluiu o tcp
Como surgiu e evoluiu o tcpSuguha
 
Protocolos
ProtocolosProtocolos
ProtocolosJanieles Araujo
 
Fundamentos de redes de computadores 091118
Fundamentos de redes de computadores 091118Fundamentos de redes de computadores 091118
Fundamentos de redes de computadores 091118Anderson Zardo
 
44 sockets[1]
44 sockets[1]44 sockets[1]
44 sockets[1]tomasgongacalunga
 
Serviços e protocolos
Serviços e protocolosServiços e protocolos
Serviços e protocolosDayane Sousa
 
IPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendoIPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendoCampus Party Brasil
 
Modelos TCP/IP e OSI para CCNA
Modelos TCP/IP e OSI para CCNAModelos TCP/IP e OSI para CCNA
Modelos TCP/IP e OSI para CCNAwolkartt_18
 
Protocolo IPv6
Protocolo IPv6Protocolo IPv6
Protocolo IPv6Gustavo Adolfo Alencar
 
Arquitetura tcp ip - 1
Arquitetura tcp ip - 1Arquitetura tcp ip - 1
Arquitetura tcp ip - 1Giovanni Oliveira
 

Weitere ähnliche Inhalte

Was ist angesagt?

TCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃO
TCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃOTCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃO
TCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃOEvandro Donel Foster
 
IPv6 básico - Tiago Valtrick
IPv6 básico - Tiago ValtrickIPv6 básico - Tiago Valtrick
IPv6 básico - Tiago ValtrickTchelinux
 
[Antero Jesus] Principais Protocolos de Rede
[Antero Jesus] Principais Protocolos de Rede[Antero Jesus] Principais Protocolos de Rede
[Antero Jesus] Principais Protocolos de Redeajtr98
 
Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.
Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.
Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.Filipo Mór
 
Como surgiu e evoluiu o tcp
Como surgiu e evoluiu o tcpComo surgiu e evoluiu o tcp
Como surgiu e evoluiu o tcpSuguha
 
Fundamentos de redes de computadores 091118
Fundamentos de redes de computadores 091118Fundamentos de redes de computadores 091118
Fundamentos de redes de computadores 091118Anderson Zardo
 
Serviços e protocolos
Serviços e protocolosServiços e protocolos
Serviços e protocolosDayane Sousa
 
IPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendoIPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendoCampus Party Brasil
 

Was ist angesagt? (19)

Redes de computadores
Redes de computadoresRedes de computadores
Redes de computadores
 
TCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃO
TCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃOTCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃO
TCC - O PROTOCOLO IPV6 E SUAS FORMAS DE IMPLANTAÇÃO
 
Protocolos de Redes
Protocolos de RedesProtocolos de Redes
Protocolos de Redes
 
Protocolos de Redes
Protocolos de RedesProtocolos de Redes
Protocolos de Redes
 
Modelo TCP/IP
Modelo TCP/IPModelo TCP/IP
Modelo TCP/IP
 
Protocolos
ProtocolosProtocolos
Protocolos
 
Protocolos de Rede para Internet das Coisas
Protocolos de Rede para Internet das CoisasProtocolos de Rede para Internet das Coisas
Protocolos de Rede para Internet das Coisas
 
IPv6 básico - Tiago Valtrick
IPv6 básico - Tiago ValtrickIPv6 básico - Tiago Valtrick
IPv6 básico - Tiago Valtrick
 
TCP/IP
TCP/IPTCP/IP
TCP/IP
 
[Antero Jesus] Principais Protocolos de Rede
[Antero Jesus] Principais Protocolos de Rede[Antero Jesus] Principais Protocolos de Rede
[Antero Jesus] Principais Protocolos de Rede
 
13 ligações inter-redes
13 ligações inter-redes13 ligações inter-redes
13 ligações inter-redes
 
Artigo ipv6
Artigo ipv6Artigo ipv6
Artigo ipv6
 
Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.
Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.
Aula 3 - Redes de Computadores A - Administração da Internet. Modelo TCP/IP.
 
Como surgiu e evoluiu o tcp
Como surgiu e evoluiu o tcpComo surgiu e evoluiu o tcp
Como surgiu e evoluiu o tcp
 
Protocolos
ProtocolosProtocolos
Protocolos
 
Fundamentos de redes de computadores 091118
Fundamentos de redes de computadores 091118Fundamentos de redes de computadores 091118
Fundamentos de redes de computadores 091118
 
44 sockets[1]
44 sockets[1]44 sockets[1]
44 sockets[1]
 
Serviços e protocolos
Serviços e protocolosServiços e protocolos
Serviços e protocolos
 
IPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendoIPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendo
 

Ähnlich wie Comparação da segurança nativa do IPv4 e IPv6

Modelos TCP/IP e OSI para CCNA
Modelos TCP/IP e OSI para CCNAModelos TCP/IP e OSI para CCNA
Modelos TCP/IP e OSI para CCNAwolkartt_18
 
ModeloOsi_ModeloTcpIp.pptx
ModeloOsi_ModeloTcpIp.pptxModeloOsi_ModeloTcpIp.pptx
ModeloOsi_ModeloTcpIp.pptxDarioLana1
 
Redes - IPv6 Teoria
Redes - IPv6 TeoriaRedes - IPv6 Teoria
Redes - IPv6 TeoriaLuiz Arthur
 
Protocolos OSI/TCP-IP
Protocolos OSI/TCP-IPProtocolos OSI/TCP-IP
Protocolos OSI/TCP-IPGuimaraess
 
Protocolos 2ªversão
Protocolos 2ªversãoProtocolos 2ªversão
Protocolos 2ªversãoGuimaraess
 
Convergencia e interoperabilidade 2.2013
Convergencia e interoperabilidade 2.2013Convergencia e interoperabilidade 2.2013
Convergencia e interoperabilidade 2.2013viviansg
 
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?!
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?! Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?!
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?! blusolsl
 
1 GEI Introdução ao TCP.pptx
1 GEI Introdução ao TCP.pptx1 GEI Introdução ao TCP.pptx
1 GEI Introdução ao TCP.pptxcasa46
 
Artigo - Redes de Computadores
Artigo - Redes de ComputadoresArtigo - Redes de Computadores
Artigo - Redes de ComputadoresUilber Castagna
 
Paletra ipv6 Estácio de Sá 11/05/10
Paletra ipv6 Estácio de Sá 11/05/10Paletra ipv6 Estácio de Sá 11/05/10
Paletra ipv6 Estácio de Sá 11/05/10lborguetti
 
Redes - Camada de Inter-Redes
Redes - Camada de Inter-RedesRedes - Camada de Inter-Redes
Redes - Camada de Inter-RedesLuiz Arthur
 
Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Kleber Silva
 
Apostila sobre montagem de redes
Apostila sobre montagem de redesApostila sobre montagem de redes
Apostila sobre montagem de redesPaulo Mbanda
 
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...Rute C. Sofia
 

Ähnlich wie Comparação da segurança nativa do IPv4 e IPv6 (20)

Modelos TCP/IP e OSI para CCNA
Modelos TCP/IP e OSI para CCNAModelos TCP/IP e OSI para CCNA
Modelos TCP/IP e OSI para CCNA
 
Protocolo IPv6
Protocolo IPv6Protocolo IPv6
Protocolo IPv6
 
Arquitetura tcp ip - 1
Arquitetura tcp ip - 1Arquitetura tcp ip - 1
Arquitetura tcp ip - 1
 
ModeloOsi_ModeloTcpIp.pptx
ModeloOsi_ModeloTcpIp.pptxModeloOsi_ModeloTcpIp.pptx
ModeloOsi_ModeloTcpIp.pptx
 
Redes - IPv6 Teoria
Redes - IPv6 TeoriaRedes - IPv6 Teoria
Redes - IPv6 Teoria
 
Protocolos OSI/TCP-IP
Protocolos OSI/TCP-IPProtocolos OSI/TCP-IP
Protocolos OSI/TCP-IP
 
Protocolos 2ªversão
Protocolos 2ªversãoProtocolos 2ªversão
Protocolos 2ªversão
 
Convergencia e interoperabilidade 2.2013
Convergencia e interoperabilidade 2.2013Convergencia e interoperabilidade 2.2013
Convergencia e interoperabilidade 2.2013
 
Tcpip
TcpipTcpip
Tcpip
 
Modelo TCP/IP
Modelo TCP/IPModelo TCP/IP
Modelo TCP/IP
 
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?!
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?! Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?!
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?!
 
1 GEI Introdução ao TCP.pptx
1 GEI Introdução ao TCP.pptx1 GEI Introdução ao TCP.pptx
1 GEI Introdução ao TCP.pptx
 
Tcp e ip
Tcp e ipTcp e ip
Tcp e ip
 
Artigo - Redes de Computadores
Artigo - Redes de ComputadoresArtigo - Redes de Computadores
Artigo - Redes de Computadores
 
Paletra ipv6 Estácio de Sá 11/05/10
Paletra ipv6 Estácio de Sá 11/05/10Paletra ipv6 Estácio de Sá 11/05/10
Paletra ipv6 Estácio de Sá 11/05/10
 
Redes - Camada de Inter-Redes
Redes - Camada de Inter-RedesRedes - Camada de Inter-Redes
Redes - Camada de Inter-Redes
 
Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Entenda e Aplique o IPv6
Entenda e Aplique o IPv6
 
Redes aula4
Redes aula4Redes aula4
Redes aula4
 
Apostila sobre montagem de redes
Apostila sobre montagem de redesApostila sobre montagem de redes
Apostila sobre montagem de redes
 
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...
 

Mehr von Rafael Pimenta

Trabalho1 voip voz sobre ip
Trabalho1 voip voz sobre ipTrabalho1 voip voz sobre ip
Trabalho1 voip voz sobre ipRafael Pimenta
 
Projeto de redes enterasys
Projeto de redes enterasysProjeto de redes enterasys
Projeto de redes enterasysRafael Pimenta
 
Artigo frame relay e atm
Artigo frame relay e atmArtigo frame relay e atm
Artigo frame relay e atmRafael Pimenta
 
Trabalho snmp the dude
Trabalho snmp the dudeTrabalho snmp the dude
Trabalho snmp the dudeRafael Pimenta
 
Projeto final rafael pimenta - adauto junior 2
Projeto final rafael pimenta - adauto junior 2Projeto final rafael pimenta - adauto junior 2
Projeto final rafael pimenta - adauto junior 2Rafael Pimenta
 

Mehr von Rafael Pimenta (6)

Trabalho1 voip voz sobre ip
Trabalho1 voip voz sobre ipTrabalho1 voip voz sobre ip
Trabalho1 voip voz sobre ip
 
Trabalho enterasys
Trabalho enterasysTrabalho enterasys
Trabalho enterasys
 
Projeto de redes enterasys
Projeto de redes enterasysProjeto de redes enterasys
Projeto de redes enterasys
 
Artigo frame relay e atm
Artigo frame relay e atmArtigo frame relay e atm
Artigo frame relay e atm
 
Trabalho snmp the dude
Trabalho snmp the dudeTrabalho snmp the dude
Trabalho snmp the dude
 
Projeto final rafael pimenta - adauto junior 2
Projeto final rafael pimenta - adauto junior 2Projeto final rafael pimenta - adauto junior 2
Projeto final rafael pimenta - adauto junior 2
 

Comparação da segurança nativa do IPv4 e IPv6

  • 1. Faculdade Área 1 Pós Graduação em Segurança da Informação em Redes de Computadores Rafael Pimenta Tuvo Comparação da segurança nativa nos protocolos IPv4 e IPv6 Salvador/Bahia 2011
  • 2. Rafael Pimenta Tuvo Comparação da segurança nativa nos protocolos IPv4 e IPv6 Trabalho de conclusão de curso exigido para conclusão do curso de Pós- Graduação em Segurança da Informação em Redes de Computadores da Faculdade Área 1. Orientador: Marco Antônio Chaves Câmara Salvador/Bahia 2011
  • 3. Resumo: No início das redes de computadores e da própria internet, o maior desafio era a conectividade entre os computadores, sem qualquer preocupação com segurança ou desempenho. Surgia então o protocolo IP versão 4 suprindo esta necessidade. Com o passar dos anos, segurança e desempenho tornaram-se imprescindíveis em praticamente toda comunicação pela internet e o IPv6 se apresenta como a nova solução para estes problemas. Este trabalho tem o objetivo de comparar os recursos de segurança oferecidos pelas versões 4 e 6 do protocolo IP. Abstract: In early of the networks of computers and the Internet, the biggest challenge was connectivity between computers, without any concern for safety or performance. Then came the Internet Protocol, version 4, supplying this need. Over the years, safety and performance have become indispensable in virtually all communication over the Internet and IPv6 introduces himself as the new solution to these problems. This job has the objective to compare the security features offered by versions 4 and 6 of the IP protocol. 1. Introdução A internet surgiu com o objetivo de estabelecer a comunicação entre cientistas e pesquisadores. Não havia, nesta época, preocupações com a segurança nas transmissões dos dados, uma vez que os problemas de conectividade eram o principal obstáculo a ser superado. O protocolo IP versão 4 (IPv4) garantiu essa comunicação de forma eficiente.Contudo, com o passar dos anos, o uso das redes de computadores se popularizou. O que era mera troca de informações tomou outra dimensão, sendo as redes hoje utilizadas de varias maneiras, inclusive para transações bancárias e comércio eletrônico. Atualmente existem diversas ferramentas que permitem a captura dos dados que trafegam nas redes (os sniffers), e o protocolo IPv4 não oferece nenhuma proteção nativa contra isso. Ficou evidente a necessidade de outra tecnologia, ou a evolução desta, que implementasse um nível de segurança maior que o oferecido pelo IPv4. Neste contexto surgiu a versão 6 do protocolo IP, o IPv6. Além de corrigir o problema de escassez na quantidade máxima de hosts do IPv4, a versão 6 trás consigo suporte
  • 4. nativo ao protocolo IPSec. A idéia é fazer com que a segurança dependa o mínimo do usuário. O IPSec implementa serviços como autenticação e ou criptografia na camada de rede. O objetivo deste trabalho é comparar os protocolos IPv4 e IPv6, no que atine ao aspecto “Segurança”, através da análise do tráfego de pacotes em cada um deles. Este trabalho é dividido em três seções principais, além desta introdução, que dá um breve histórico da internet e do protocolo IP. O próximo tópico trata do IPv4, dando enfoque nas suas limitações e motivos que ensejaram o desenvolvimento de uma nova versão do protocolo. Em seguida é apresentado o IPv6, com as suas características, dando um enfoque principal ao protocolo IPSec, que incrementa a segurança desta nova versão do protocolo IP. Por fim, é realizada a análise dos tráfegos IPv4 e IPv6, demonstrando que o segundo permite um incremento da segurança sem necessidade de aplicações externas, seguida das conclusões finais. 2. O IPv4 e suas limitações 2.1. A Escassez de Endereços Na década de 70, as agências governamentais dos Estados Unidos perceberam a importância da interligação em redes. Entre 1977 e 1979 o TCP/IP tomava seu escopo final e, em 1983, a tecnologia foi transferida para a internet, tomando dimensões globais. [COMER, 1998]. O IPv4 tinha a incumbência de prover todos os computadores com um número identificador único na internet, o endereço IP, para que eles pudessem ter conectividade sem problemas e assim foi por quase três décadas. Com o passar do tempo, percebeu-se que os endereços IPs uma hora se esgotariam. Os 32 bits utilizados para esta finalidade não eram mais suficientes: na teoria, pouco mais de 4 bilhões de endereços. Foram criadas, então, algumas técnicas que deram uma sobrevida ao IPv4. Um exemplo foi o NAT (Network Address Translation), que consiste em manter a rede interna numa faixa de IPs inválidos para a internet, porém válidos localmente, e um gateway com um único endereço IP válido para a internet. Este
  • 5. gateway faz a “tradução” dos endereços da internet para a rede local e vice-versa. Desta forma, economizou-se uma quantidade significativa de IPs válidos na internet. Além do NAT, a RFC 1518, publicada em setembro de 1993, estabelece o CIDR – Classless Inter-Domain Routing (Roteamento Inter-Domínio sem Classe), que deu maior flexibilidade ao protocolo pois, a partir de então, foi possível o uso de máscaras para criar sub-redes. Assim, não era mais obrigatório o uso apenas dos primeiros 8, 16 ou 24 primeiros bits do endereço IPv4 para identificação da rede, permitindo a adequação da máscara de acordo com a necessidade de cada organização [SMETANA, 2001]. Porém, o NAT e o CIDR não foram as soluções definitivas dos problemas. Os últimos cinco blocos de IP foram disponibilizados pela IANA aos órgãos responsáveis pela distribuição no dia 03/02/20111 . Estima-se que essa distribuição de IP aos usuários seja concluída entre os anos de 2011 e 2012. As figuras 1, 2 e 3 mostram a distribuição dos IPs ao longo dos anos [IANA]: Figura 1- Distribuição dos blocos de IP em 1993 1 Notícia no site do LACNIC: http://lacnic.net/pt/anuncios/2011-agotamiento-ipv4.html. Acesso em 03/02/2011
  • 6. Figura 2 - Distribuição dos blocos de IP em 2000 Figura 3 - Distribuição dos blocos de IP em janeiro de 2010 Além das limitações quantitativas, o IPv4 não oferece, por padrão, segurança aos dados de forma eficaz. Todo o tráfego é transmitido de forma limpa, sem criptografia. Não há garantia de autenticidade entre emissor e receptor. Para isso, é necessária a utilização de
  • 7. aplicações externas, que, muitas vezes, geram custos, financeiros e computacionais, ao usuário final e às empresas. 2.2.Ausência de Qualidade de Serviço (QoS) Outro ponto que incentivou a adoção de uma nova tecnologia é a qualidade na transmissão. Hoje em dia é comum a utilização de aplicações multimídia e elas exigem QoS (Quality of Service, ou Qualidade de Serviço) na transmissão dos pacotes para que sejam viáveis e eficazes. O IPv4 não trabalha nativamente uma forma de serviço que garanta essa qualidade, afinal, quem pensava em tráfego multimídia no início dos anos 80?! Existe um campo no cabeçalho IPv4 chamado Type of Service (ver figura 4), mas este tem funcionalidade limitada e os roteadores, na prática, ignoram completamente este campo [TANEMBAUM, 2003]. Figura 4 - Cabeçalho IPv4 [Tanembaum,2003] Assim, ficou claro que um novo protocolo deveria incorporar algumas características que não estavam presentes na versão 4 do protocolo IP. Foi então desenvolvido o IP versão 6. 3. IPv6 O IPv6 manteve grande parte das características que fizeram do IPv4 um padrão mundial. Porém, alterou algumas de suas características e acrescentou algumas funcionalidades [GODINHO, 2005]:
  • 8. • Cabeçalho simplificado (ver figura 5): alguns campos foram eliminados (como o IHL, Protocol e Checksum, este último por questões de desempenho) e outros se tornaram opcionais (Hop-by-hop options, Destination options, Routing, Fragmentation, Authentication e Encrypted security payload). Isso implica em menos processamento em cada pacote, aumentando o desempenho. Figura 5 - Cabeçalho IPv6 [RFC 2460] • Endereçamento de 128 bits: é possível fornecer 2128 endereços IP, o equivalente a 79 trilhões de vezes o espaço do IPv4, ou seja, 3,4*1027 endereços por habitante do planeta. • Formato do endereço: ao invés de 4 octetos representados em decimal, o IPv6 trabalha com 8 hexatetos representados em hexadecimal. • Rota definida na origem: a rota de transmissão passa a ser definida na origem do envio, e não mais durante, o que elimina custos de processamento dos roteadores envolvidos no tráfego. O campo Flow Label é utilizado para este fim, definindo as características do fluxo de dados necessário para uma conexão eficiente. • Autoconfiguração: Possibilidade de atribuição de endereços IP automaticamente a um host.
  • 9. 3.1. IPSec Contudo, o ponto mais importante do IPv6 no que atine a segurança é a incorporação, de forma nativa, do suporte ao protocolo IPSec (IP Security Protocol). Criado pelo IETF (Internet Engineering Task Force), o IPSec surgiu com o objetivo de prover segurança no tráfego da rede com o auxílio de criptografia, fornecendo proteção tanto no pacote IP quanto em camadas superiores [Silva, 2003 apud Godinho, 2005]. Conforme pode ser observado na Figura 6, o IPSec “cria” uma camada virtual, subdividindo a camada de rede em duas. Figura 6 - IPSec no Modelo OSI 3.1.1. Arquitetura do IPSec O IPSec utiliza mecanismos que fornecem ao pacote IP serviços de integridade, autenticação, controle de acesso e confidencialidade na camada de rede [GODINHO,2005]. A arquitetura básica do IPSec permite os modos de operação AH (Autentication Header), ESP (Encapsulating Security Payload) e IPComp (IP Payload Compression). O primeiro garante integridade e autenticação na origem, mas não faz cifragem, portanto, não garante confidencialidade. Além disso, provê o serviço anti- replay2 . O ESP fornece integridade e confiabilidade, através de criptografia, garantindo que os dados só serão visualizados pelo destinatário e que não sofrerão alterações durante a transmissão. Esses dois modos de operação podem ser utilizados de forma 2 Serviço que impede que uma mensagem legítima seja capturada e retransmitida em outro momento, com fins ilegítimos
  • 10. independente ou em conjunto. Por fim, o IPComp permite realizar a compressão dos pacotes [KROPIWIEC, 2003]. Existem dois modos de operação para cada um deles, são os modos transporte e túnel. No transporte, habilita-se proteção primária aos protocolos das camadas superiores. Já no modo túnel, os protocolos das camadas superiores são colocados dentro de pacotes AH ou ESP [KROPIWIEC, 2003]. Além desses, ainda há o protocolo IKE (Internet Key Exchange). Ele é utilizado para fazer a gerência automática de chaves criptográficas, disponibilizando-as de forma segura, e para estabelecer as associações de segurança (SA – Security Association) [GODINHO, 2005]. As SAs são um conjunto de diretivas que permitem negociar algoritmos de criptografia a serem utilizados. Para que a comunicação ocorra, tanto o emissor quanto o receptor precisam entrar em acordo sobre quais diretivas serão utilizadas. Para conexões bidirecionais, dois SA são necessários, um para cada sentido, uma vez que as associações são simplex. Na figura 7 é possível visualizar essa arquitetura: Figura 7 - Arquitetura IPSec [KROPIWIEC,2003] Na figura acima, é possível identificar mais dois itens: a SPD e a SAD. A SPD (Security Policy Database) e a SAD (Security Associations Database) são duas bases de dados, relacionadas às SAs, que o IPSec mantém. A SPD define quais serviços de segurança
  • 11. devem ser utilizados baseado em fatores como protocolo, origem, destino etc. Ela possui uma lista que determina qual tráfego deve passar sem processamento IPSec, qual deve ser descartado e qual deve ser processado pelo IPSec. As entradas nesta base são similares às regras de firewalls de filtro de pacotes. A SAD é uma base de dados de associações de segurança. Ela possui informações de cada SA, como algoritmos e chaves do AH ou ESP, modo utilizado e tempo de vida (TTL) [KROPIWIEC, 2003]. 3.1.2. Impacto no Desempenho Todo método de criptografia utilizado numa comunicação causa um retardo na transmissão, pois a cifragem e decifragem demandam esforço computacional. O mesmo se aplica aos métodos de autenticação, pois é necessário calcular o hash no momento do envio das mensagens e também ao recebê-las, para verificar a integridade dos dados. Quando as aplicações envolvidas são de tempo real, um atraso mínimo pode ser significativo e comprometer a utilização da aplicação. Em outros casos, atrasos pequenos são toleráveis. Todas as aplicações que utilizam a internet como meio para transmissão dos dados devem estar preparadas para atrasos. O IPSec, como protocolo de segurança que criptografa e autentica as conexões, interfere no desempenho dos equipamentos que o utilizam. O IPSec expande o tamanho do pacote, o que pode acarretar fragmentação e remontagem dos mesmos. Além disso, pacotes cifrados provavelmente serão autenticados, o que significa execução de duas operações de criptografia para cada pacote. Outro problema é que os métodos de autenticação em equipamentos que utilizam o IPSec são lentos. Ainda, o algoritmo de troca de chaves usado pelo IKE é uma exponenciação de números entre 768 e 1024 bytes, o que torna seu processamento complexo e o tempo gasto para isso pode ser significativo, chegando a 4 segundos num roteador Cisco 2500 [CISCO, 2011]. Com isso, até pacotes que não são cifrados pelo IPSec sofrerão atrasos ao passarem por um equipamento com IPSec ativo, já que também serão testados pelas regras que determinarão quais pacotes devem ser processados pelo protocolo.
  • 12. A Cisco recomenda que, para minimizar o impacto do processamento IPSec, se utilize o algoritmo MD53 para autenticação (apesar deste ser extremamente frágil), RC54 para criptografia , além do aumento do TTL. Contudo, essa configuração baixa significativamente o nível de proteção do sistema, devendo as organizações consultarem suas políticas de segurança para saber se esse é um formato aceitável [CISCO, 2011]. 4. SSL (Secure Sockets Layer) Como citado anteriormente, a internet chegou ao grande público sem preocupação com segurança, para distribuição de páginas estáticas. Após algum tempo, passou a abrigar transações financeiras, criando, então, uma demanda por conexões seguras. Assim, a Netscape Communications Corporation, em 1995, criou o pacote de segurança SSL. Segundo Tanembaum (2003), a SSL monta uma conexão segura entre dois soquetes, abordando: 1. Negociação de parâmetros entre cliente e servidor 2. Autenticação entre cliente e servidor 3. Comunicação secreta 4. Integridade dos dados transmitidos Como o próprio nome sugere, a SSL trata-se de uma nova camada posicionada entre as camadas de aplicação e transporte. Depois que a conexão é estabelecida, a principal função da SSL é tratar da criptografia e compactação dos dados. Como exemplo, o usual HTTPS (Secure HTTP), visualizado principalmente em transações financeiras online, trata-se do protocolo padrão HTTP sobre a SSL. Por ser a SSL uma solução proprietária, em 1997 foi criado um grupo de trabalho na IETF (Internet Engineering Task Force) com o objetivo de desenvolver um padrão que garantisse conexões seguras nas comunicações realizadas na internet. O resultado foi o padrão TLS (Transport Layer Security), descrito sobre a RFC 2246, que é baseado na versão 3.0 da SSL [Reivelleau e Schaffer]. 3 Message Digest algorithm 5 – algoritmo que utiliza hash de 128 para verificação de integridade em logins 4 Ron’s Code – Criptografia simétrica que codifica blocos de texto claro utilizando chaves de até 2040 bits
  • 13. Segundo ALSHAMSI e SAITO, optar pelo IPSec ou pelo SSL depende das necessidades de segurança das comunicações em questão. Se um serviço específico é necessário e suporta SSL, então esta é uma boa escolha. Se todos os serviços são necessários, então o IPSec é a melhor opção. A não ser que IPSec e firewall estejam integrados no mesmo equipamento, o SSL se integra melhor com as soluções de firewall. Diferente do SSL, clientes IPSec necessitam de aplicação externa para trabalharem com acesso remoto. Além disto, o IPSec é capaz de proteger redes wireless. Função IPSec SSL Configuração Difícil Fácil Autenticação do cliente Necessária Opcional Chave Pré-Compartilhada Sim Não Problemas de interoperabildade Sim Não Suporte a aplicações TCP Todas Algumas Suporte a UDP Sim Não Taxa de Throughput Alta Alta Suporte a compressão Sim Apenas com OpenSSL Tempo de handshake Lento Rápido Tabela 1 – IPSec x SSL [ALSHAMI e SAITO] 5. Avaliação da segurança no IPv4 e no IPv6 O objetivo deste trabalho é comparar o nível de segurança nos protocolos IPv4 e IPv6. Para tanto, foram utilizados computadores conectados em rede sem fio, usando IPv4 e sem adicionar opções de segurança, ambos utilizando o sistema operacional Windows 7 Home Basic. Numa das máquinas foi instalado um servidor FTP. Para realizar os testes, o aplicativo de captura de pacotes Wireshark foi instalado numa terceira máquina, que capturou o tráfego do ambiente acima descrito no momento em que a máquina cliente acessava o servidor FTP. Para tanto, foi necessário utilizar uma placa de rede, na máquina sniffer, que operasse em modo promíscuo, para que o tráfego
  • 14. não destinado à própria máquina pudesse ser capturado. A figura 8 mostra a captura dos dados na rede baseada em IPv4: Figura 8 – Captura do tráfego IPv4 Após aplicar o filtro “FTP”, pôde-se perceber que todo o tráfego é facilmente visualizado pelo atacante, sendo possível identificar os comandos utilizados pelo cliente FTP e até mesmo os dados como login e senha utilizados na autenticação. Após isto, o processo foi repetido, alterando a configuração de IP para IPv6 (ver figura 9). Os dados ainda podem ser visualizados de forma limpa no Wireshark.
  • 15. Em seguida, foi ativado o IPSec na comunicação entre os computadores, de forma que não foi mais possível identificar quaisquer comandos, arquivos ou outros dados importantes da conexão durante a captura (ver figura 10), em função da criptografia realizada pelo protocolo ESP, descrito no capítulo 3.1.1. Assim, percebe-se que a utilização do IPSec nas configurações de redes IPv6 incrementa sensivelmente a segurança da informação que nela trafega. Além disso, não foi necessária a utilização de nenhuma aplicação externa, retirando do usuário a responsabilidade de implementar a segurança na rede, além de custos para tal implementação. 6. Conclusão A arquitetura do protocolo IPv6, através do suporte ao IPSec nativo, garante uma camada de segurança mais eficiente que o IPv4. Essa implementação, por si só, já justificaria a migração para a nova versão. Somada aos fatos de que o IPv6 apresenta um número absurdamente grande de endereços disponíveis, dos últimos blocos de IPv4 restantes terem sido distribuídos pela IANA, de que foram otimizadas as informações de controle dos pacotes (que gera maior desempenho), da facilidade de configuração e da otimização do uso da banda no uso IPSec sobre IPv6 [Almeida e Santa Inês, 2009], a mudança de padrão parece ser inexorável, sendo apenas uma questão de tempo.
  • 16. A estrutura de endereços do IPv6, com IPSec, previne diversos ataques, através dos protocolos AH e ESP, como por exemplo Ataques de Replay, Spoofing, Connection Hijacking, Fragmentos de Pacotes Criptografados e sniffer [Almeida e Santa Inês, 2009]. Ademais, o IPSec garante autenticidade, confidencialidade e integridade na transmissão, fazendo ainda o gerenciamento de chaves de segurança, realizado pelo protocolo IKE. A fase de transição gera preocupação na comunidade de tecnologia, mas soluções híbridas já existem para fazer a passagem de forma gradual, com poucos transtornos. O próprio Google, uma das maiores empresas de tecnologia do mundo, já possui seus principais produtos operando sobre a estrutura IPv6, a exemplo do Gmail e Youtube. Os testes aqui apresentados mostraram a fragilidade do protocolo IPv4, uma vez que a não existe suporte nativo ao IPSec (ou a outras soluções que aprimorem a segurança dos dados), situação impensável num mundo em que imensa fatia das operações comerciais ocorrem através da internet. Referências ALSHAMSI, Abdelnasir and SAITO, Takamichi; A Technical Comparison of IPSEC and SSL; Tokyo University of Tecnology. s.d. Disponível em http://eprint.iacr.org/2004/314.pdf . ALMEIDA, Ericson Oliveira de; SANTA INES, Olga Abreu de; Introdução ao Protocolo IPv6 e Análise de Desempenho do IPSec sobre os Protocolos IPv4 e IPv6. Centro Universitário da Bahia – Estácio de Sá – FIB. Monografia. Salvador/Ba. 2009. Disponível em http://www.slideshare.net/ericsonalmeida/monografia-final-desempenho-ipsec-com-i-pv4-e- ipv6. CISCO Documentation; An Introduction to IP Security (IPSec) Encryption., http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203.shtm l; Abril 2011. COMER, Douglas E.; Interligação em Rede com TCP/IP. Editora Campus. 1998. GODINHO JR, Luis; SOUSA, Jarbas Pereira Lopes; NUNES, Robert Mady, BOGO, Madianita. Análise da Segurança em Redes Puramente Ipv6. In: VII Encontro de Estudantes de Informática do Estado do Tocantins, 2005, Palmas. Anais… Palmas: 2005.
  • 17. KROPIWIEC, Cássio Ditzel; Proposta de um mecanismo de Segurança para Web Services Baseado em IPSec; Dissertação de Mestrado; 2003. REVEILLEAU, Jonathan Giusti e SCHAFFER, Carlos Adriani Lara; Redes Seguras: Uma visão sobre VPN’s e soluções de código aberto para implementá-las. Universidade de Passo Fundo. s.d. [RFC1518] Rekhter, Y., and T. Li, “An Architecture for IP Address Allocation with CIDR”, RFC 1518, September 1993. SANTOS, Cleymone Ribeiro dos. Integração de IPv6 em um Ambiente Cooperativo Seguro. Dissertação de Mestrado. Unicamp. 2004. SMETANA, George Marcel M. A.; IPv4 e IPv6; Escola Politécnica da Universidade de São Paulo; 2001. TANEMBAUM, Andrew S.; Redes de Computadores; 4ª edição; Editora Campus; 2003.