Se não está preparado, aborte a migração para IPv6

Hoje é o dia do lançamento do IPv6 – mas não se preocupe se a sua organização não está totalmente compatível com o IPv6. É preferível não haver precipitações.

Os defensores de uma migração em massa para o IPv6 têm, sem dúvida, argumentos bastante convincentes. Mas se as empresas não tiverem a organização totalmente compatível com o IPv6, não vale a pena entrar em pânico.
Em comparação com o IPv4, o IPv6 oferece um endereçamento quase ilimitado, maior mobilidade, melhor desempenho, características de segurança superiores e muito mais. Mas isso não significa que as empresas devam apressar-se e ligar todos os “interruptores IPv6” na sua rede só por uma questão de estar a par dos Googles e dos Facebooks.
Na verdade, se a organização  não estiver preparada, até pode  ser útil desactivar os recursos de IPv6, para que não sejam presas de ciberataques – muitos hackers já desenvolveram formas de se aproveitarem dos “caloiros” do IPv6. Esta advertência vem de especialistas como  o CSO da VeriSign, Danny McPherson, e pode parecer contraditória dadas as célebres vantagens de segurança do IPv6 face ao IPv4.
Por exemplo, o IPv6 traz incorporado o protocolo IPSec, além de suportar as funcionalidades Secure Neighbor Discovery, Privacy Addresses e Unique Local Addresses – todas oferecem novas camadas de segurança.
De acordo com McPherson, “se os operadores de rede não gerirem adequadamente as redes IPv6 – e não perceberem que está activado por norma na maioria dos equipamentos actualmente, isso vai ter um impacto substancial na sua abordagem de segurança”. É uma das maiores armadilhas, na qual é mais fácil cair, mas também se resolve rapidamente.

O problema é que nem todas oferecem as ferramentas e funcionalidades de gestão de rede para o IPv6, como o faziam  para o IPv4. “Essa falta de paridade de recursos significa que as equipas de segurança não têm a mesma visibilidade e capacidade de mitigação quando tentam identificar e bloquear ataques baseados em IPv6″, disse o engenheiro de qualidade de software da Arbor Networks, Cerveny Bill.
Assim, se os gestores de rede não estão preparados para, no IPv6, garantirem a “paridade funcional plena em termos de segurança e operacionais, então precisam realmente de desactivar o IPv6 inteiramente, e implantar novos dispositivos e hardware de uma forma muito calculada”, refere McPherson.
O problema é que os cibercriminosos criaram formas de explorar a falta de preparação de uma organização para o IPv6. Descobriram uma maneira de usar “túneis” para enviar tráfego IPv6 sobre IPv4, vírus e spyware que contornam as defesas de rede, de acordo com a Check Point. Alguns também têm explorado o IPv6 para roubar dados, assim como para activar ataques de comando e controlo de infra-estruturas de botnets e de DDoS.
As preocupações de segurança que envolvem o IPv6 não páram aí. Entre outras ameaças, McPherson explicou que traduzir tráfego IPv4 para o IPv6 pode ser outra armadilha.
“A transferência de volumes de pacotes IPv4 para IPv6 constitui uma oportunidade para uma implantação fraca ou para um interveniente mal intencionado explorar uma potencial vulnerabilidade”. Além disso, o IPv6 introduz cabeçalhos de extensões “que podem estar encadeados e exigem processamento complexo por vários sistemas: estes podem sobrecarregar as firewall e gateways de segurança, podendo mesmo levar à degradação do desempenho de encaminhamento e ser um potencial vector para ataques de negação de serviço [DDoS], entre outros “, disse McPherson.
Durante a transição do IPv4 para o IPv6, as organizações podem precisar de implantar dispositivos e protocolos de Network Address Traslation (NAT). Estes podem complicar a rede e as operações, de acordo com McPherson, e quebrar as funcionalidades e ferramentas (por exemplo, listas negras e filtros de tráfego) que os gestores de segurança usam para monitorizar incidentes de segurança.
Finalmente, a digitalização da infra-estrutura de rede para sistemas não autorizados ou vulneráveis é muito mais complexa com o IPv6 do que com o IPv4, segundo McPherson. O mesmo explica que o IPv6 tem, neste sentido, um espaço de endereçamento escasso. “Esses recursos precisam ser ampliados com controlos de acesso à rede e sistemas activos de medição activos capazes de desencadear o rastreio de vulnerabilidades”, recomenda.

Leave a Reply

Your email address will not be published.