Mobilidade sobre IPv6

Escrito por Dairton Luiz Bassi Filho

Comunicação

Para uma unidade móvel é extremamente importante saber quando o seu roteador padrão, se tornou inacessível, assim ela pode rapidamente percorrer sua Router list a procura de outro roteador ao seu alcance, e, se necessário, percorrer a Prefix list para conseguir outro care-of address.

O método para saber se um roteador está alcançável é o Neighbor Unreachability Detection, entretanto muitas vezes é possível perceber a presença do roteador sem enviar mensagens perguntando explicitamente que ele está sob alcance. Esta característica é muito importante para dispositivos móveis, pois a comunicação consome muito mais energia que o processamento e evita-la aumenta o tempo de vida da bateria. A unidade móvel pode inspecionar os pacotes recebidos para saber se eles passaram pelo roteador procurado. Ou verificar o progresso da comunicação das camadas superiores.

Quando uma unidade móvel envia um binding update, pode acontecer dele ou do Binding Acknowledgement não chegar ao seu destino, neste caso, após um segundo sem receber resposta, é enviado outro binding update, caso este também não seja respondido o reenvio acontece após dois segundos, a cada reenvio o tempo de espera pela resposta é dobrado até obter uma resposta ou o período de time-out atingir o seu valor máximo, que geralmente é 256 segundos.

Se um nó comunicante recebe uma mensagem ICMP - Host Unreachable ou Network Unreachable após enviar pacotes ao care-of address de uma unidade móvel, a entrada da binding list que corresponde a esta unidade móvel será deletada e os pacotes são reenviados ao home address até que chegue um binding update com o novo care-of address.

Autoconfiguração

Uma das novidades que o IPv6 provê é o recurso da autoconfiguração, através do qual os endereços dos roteadores são descobertos dinamicamente. Existem dois tipos de autoconfiguração, stateless e statefull, que utiliza o serviço DHCPv6.

Durante o processo de inicialização do IPv6, além do endereço, o host automaticamente se adiciona no grupo multcast all nodes, isto é feito configurando suas interfaces para receber todos os pacotes enviados para o endereço de multicast FF02::1. Envia uma mensagem ICMP “Router Solicitation” para o endereço de multicast all routers, FF02::2, em resposta os roteadores enviam mensagens do tipo “Router Advertisement”. Com estas respostas a unidade móvel não só conhece os roteadores da daquela rede como também preenche a Home Agent List.

Caso prefira a unidade móvel pode apenas aguardar que o recebimento de mensagens “Router Advertisements” que são enviadas periodicamente pelos roteadores para o endereço multicast all hosts a fim de manter atualizada a Router List. A partir do endereço do roteador a unidade móvel também cria uma entrada na Prefix List com o prefixo da rede que ela está conectada.

Quando um nó se conecta a uma rede, automaticamente lhe é atribuído um endereço IP, esta é a “stateless autoconfiguration”. Para dispositivos móveis este processo acontece quando a unidade móvel muda de rede e adquire o care-of address.

Opcionalmente para permitir maior controle sobre redes grandes, os roteadores podem não permitir a autoconfiguração stateless, neste caso, a autoconfiguração é stateful que consiste em conseguir um IP a partir de um servidor de nomes. Este processo é menos simples porém mais seguro que através de mensagens e é fornecido pelo DHCPv6.

Inicialmente o nó móvel não conhece o endereço IP do seu home agent, para descobri-lo é utilizado um mecanismo chamado Dynamic Home Agent Discovery. O processo consiste em enviar um Binding Update para um endereço anycast de home agents, que irá alcançar um dos roteadores que operam como home agent. O roteador que recebeu devolverá a lista dos roteadores que operam naquela região da rede. A unidade móvel segue enviando Binding Updates para os próximos roteadores da lista até que um deles registre o seu home address.

Otimização de caminhos

Uma questão bastante significativa é a ausência do agente estrangeiro, necessário no IPv4. Esta mudança promove ganho de performance, diminui o volume de tráfego na rede e diminui o delay de comunicação. A comunicação com uma unidade móvel em uma rede estrangeira acontece com auxilio apenas do home agent.

Quando uma unidade móvel fora de sua rede comunica-se com outro host, seja ele fixo ou móvel, este host envia os pacotes para o home address da unidade móvel, estes pacotes são capturados pelo home agent que os encapsula e endereça ao care-of address. A unidade móvel desencapsula os pacotes e descobre o endereço do nó que o enviou, enviando os pacotes diretamente para ele sem passar pelo home agent. Para evitar uma comunicação com Rota Triangular a unidade móvel envia um Binding update ao host comunicante para que ele possa enviar os pacotes diretamente ao care-of address. Esta otimização torna ainda mais salientes as vantagens proporcionadas pela eliminação do agente estrangeiro.

Durante este tipo de comunicação é importante perceber que quando o home agent intercepta um pacote para o home address, ele não pode inserir um cabeçalho ou alterar o destino do pacote, pois estaria modificando o conteúdo e causaria uma falha na autenticação feita pela unidade móvel. Por isso o home agent cria um novo pacote para transportar os dados interceptados.

Segurança

A especificação de segurança define que todo nó IPv6 deve ser capaz de realizar a autenticação dos dados recebidos através do IPsec, isto garante estabelecer uma comunicação segura com um host comunicante. Os mecanismos de segurança são dois: a autenticação de cabeçalho (Authentication Header) ou autenticação IP, e a segurança do encapsulamento IP (Encrypted Security Payload). A autenticação de cabeçalho assegura ao destinatário que os dados IP são realmente do remetente indicado no endereço de origem, e que o conteúdo foi entregue sem modificações. A autenticação utiliza o algoritmo MD5 (Message Digest 5). A segurança do encapsulamento assegura a confidencialidade dos dados através do algoritmo de criptografia DES (Data Encryption Standard) baseado em chaves de 56 bits acordadas previamente entre o transmissor e o receptor.

Os algoritmos de autenticação e criptografia utilizam o conceito de associação de segurança entre o transmissor e o receptor. Neste modelo o transmissor e o receptor devem concordar com uma chave secreta e com alguns parâmetros relacionados à segurança, conhecidos apenas pelos membros da associação.

Algumas das vulnerabilidades do IPv4 são conseqüência do uso do protocolo ARP, no IPv6 estes problemas estão superados pois em substituição ao ARP foi criado o mecanismo Neighbor Discovery eliminando as fraquezas do ARP.

No IPv4 há vários pontos onde a segurança não funciona como o desejado. Um deles é com a “ingress filtering” em muitos roteadores e firewalls que implementam um algoritmo de segurança que verifica se o endereço de origem dos pacotes pertence à rede de onde eles estão vindo. Caso não seja o pacote é descartado em resposta a uma possível tentativa de fraude. Este tipo de comportamento pode comprometer a comunicação entre dois nós quando um deles está fora de sua rede, pois o endereço de origem do pacote será o home address, que não pertence à rede de origem. No IPv6 uma simples medida resolve os com a “ingress filtering”, a unidade móvel endereça os pacotes com o care-of address no campo de origem do pacote.

Uma possível maneira de ataque sobre o IPv6 seria enviando pacotes com binding Update a fim de redirecionar dados do seu destino correto. Para evitar este tipo de fraude sempre que um Binding Update é enviado, é adicionado ao pacote um cabeçalho de autenticação garantindo a autenticidade do pedido.

Alguns problemas decorrentes do uso do NAT (Network Address Translation) não ocorrem mais na nova versão do IP pois o NAT é usado para suavizar o limitado número de endereços. No IPv6 a grande quantidade de endereços dispensa o uso de NAT e acaba com qualquer problema que ele possa gerar.

Última atualização 02/09/2008 17h32

   Licença:  Creative Commons Atribuição 2.5 Brasil (salvo seja especificada outra)     Válido:  XHTML 1.0 -  CSS 3