Acesso a IPv6 com o Túnel 6to4

Escrito por José Maria Fonseca de Almeida

Segurança no túnel 6to4

Seria aparentemente possível, pelo menos, restringir este tipo de tráfego (o protocolo 41: IPv6 sobre IPv4) ao túnel usado pelo nosso ISP, bloqueando todos os outros. O problema é que a resposta aos nossos pacotes pode não ter origem no IP anycast usado mas no IP do "relay 6to4" mais próximo do nosso destino. Obrigando no mínimo ao uso uma ACL do tipo: "access-list 111 permit 41 any any" (ou ao uso de uma lista permanentemente atualizada de legítimos servidores "_relay 6to4_")

E a proteção assim oferecida é quase nula. Até porque o IP está sujeito a spoofing dada a ausência de qualquer tipo de autenticação. Mas neste túnel temos a grande vantagem (ao contrário dos "tunnel brokers") de poder controlar o tráfego IPv6 que circula na rede local (entre as máquinas e o roteador onde foi estabelecido o túnel).

• Controle do tráfego IPv6 que passa dentro do túnel

Neste túnel o endereço 2000:xxxx:xxxx:0\64 varia em função do IPv4 (convertido em formato hexadecimal) atribuído pelo ISP à interface ADSL do roteador. Desta forma, para quem não tenha um acesso com IPv4 fixo, passa a ser impossível de uma forma estável filtrar corretamente os endereços com base do IPv6 global de origem, pois este não é constante, já que (como já foi referido) é construído a partir endereço IPv4 público.

Seria teoricamente filtrar pelo interface ID, mas a construção da ACL não o permite (baseia-se no prefixo, à semelhança do que acontece no IPv4). Mas tal também não seria muito seguro pois o Windows por omissão atribui endereços temporários (para garantir o anonimato do utilizador).

É assim pouco eficaz tentar filtrar o tráfego com base no IP de origem em IPv6, sem o recurso a um servidor de DHCPv6.

Outra possibilidade seria usar um "general prefix name", mas ACLs da Cisco não comportam esta possibilidade.

Mas continua a ser possível estabelecer políticas de segurança com base no porto de origem, no porto destino, ou ainda com base no valor da "Flow Label" e outros parâmetros específicos do IPv6.

Como se demonstra:

# sh ipv6 access-list RedeInterna-Net
IPv6 access list RedeInterna->Net
deny ipv6 host 2002:529A:4036:1:21D:60FF:FEBA:266 any (24 matches) sequence 10
permit ipv6 host FD00:A:B:3:21D:60FF:FEBA:266 any log (36 matches) sequence 20
permit ipv6 host FD00:A:B:3:2E0:FF:FE9B:B0CF any log (635 matches) sequence 30
permit tcp host 2002:529A:4036:1:2E0:FF:FE9B:B0CF gt 1024 any eq www flow-label 43946
log sequence 40
permit tcp host 2002:529A:4036:1:2E0:FF:FE9B:B0CF gt 1024 any eq www flow-label 0 log
(66 matches) sequence 50
deny tcp host 2002:529A:4036:1:2E0:FF:FE9B:B0CF gt 1024 any eq telnet (3matches)
sequence 60
permit icmp any any nd-na (44 matches) sequence 70
permit icmp any any nd-ns (22 matches) sequence 80
deny ipv6 any any log-input (59 matches) sequence 90

NOTA:

Não é possível neste roteador implementar IPSec em IPv6 devido a limitações do IOS, o que me parece constituir uma importante incoerência perante as promessas de segurança do novo protocolo IP.

Última atualização 27/01/2009 10h55

   Licença:  Creative Commons Atribuição 2.5 Brasil (salvo seja especificada outra)     Válido:  XHTML 1.0 -  CSS 3