O IPv6 e a mudança de paradigma na segurança

Escrito por Artur Rodrigues

Este artigo apresenta o ponto de vista de Artur Rodrigues sobre a utilização do IPv6 e de algumas questões de segurança que envolvem está versão do protocolo IP, como o suporte obrigatório ao IPSec. A versão original deste artigo e informações sobre seus direitos autorais podem ser obtidos no blog do autor http://blogs.technet.com/arturlr/default.aspx.

Um dos grandes responsáveis pelo sucesso da Internet é a possibilidade se ter conexões seguras, especialmente em transações de lojas virtuais, acessos a bancos on-line, acessos remotos a redes corporativas e etc. Por de trás de tudo isso existe um aparato tecnológico que prove uma camada que permite que as transações se realizem com mais segurança.

Na maioria das soluções de hoje, as informações são encriptadas pelas aplicações antes de serem transportada, como é o caso do SSL/TLS que é usado hoje nos principais sites de comercio eletrônico e bancos. Seria muito mais fácil (e no meu ponto de vista mais seguro) se o ônus de prover a segurança ficasse na camada de rede.

O IPSec é um conjunto de protocolos que permite que o pacote seja encriptado na camada de rede, e prove uma variedade de modelos de comunicação como host-to-host, host-to-gateway, gateway-to-gateway. O IPSec foi originalmente definido em 1995, pelas RFC 1825 a 1829, bem depois das RFCs do protocolo IPv4, e por este motivo algumas implementações de IPv4 não suportam IPSec e com isso a sua utilização sofre restrições em vários casos.

O IPv6 nativamente já suporta IPSec e isso pode mudar bastante o modelo de segurança atual permitindo que a segurança seja movida da camada de transporte/aplicação para a camada de rede. Por exemplo, exercendo a futurologia novamente em uma Internet IPv6, os cartões de crédito de hoje com chip poderiam prover um certificado para cada pessoa, que seria utilizada pelo IPSec para encriptar o pacote até os sites de compra ou do banco. Com isso, apenas com a senha do seu cartão e a posse dele, seria possível se autenticar nos sites e prover a segurança. Isso só seria possível porque cada host com IPv6 teria um endereço IP válido na Internet e garantir a comunicação fim-a-fim, pois o IPSec não foi concebido para funcionar com NAT, solução amplamente utilizada no IPv4. A solução decretaria o fim das senhas nos sites e dos cartões de token para acesso seguros.

Em relação à VPN, hoje eu já utilizo o meu cartão corporativo para acessar a rede da Microsoft por meio de IPv6 e IPsec, sem necessidade de dispositivos de VPN,usando uma tecnologia chamada DirectAccess. O IPv6 não é um onda tecnológica ou uma tese acadêmica, é o futuro que está batendo na sua porta.

Última atualização 29/04/2009 13h17

   Licença:  Creative Commons Atribuição 2.5 Brasil (salvo seja especificada outra)     Válido:  XHTML 1.0 -  CSS 3