Três métodos possibilitam a coexistência dos protocolos IPv6 é IPv4

Neste artigo ser�o apresentadas as principais caracter�sticas do protocolo IPv6, bem como os novos recursos e melhorias introduzidas em rela��o � vers�o anterior. Ser�o descritos os diferentes tipos de endere�os especificados, suas representa��es e os mecanismos de autoconfigura��o implementados. Tamb�m ser� contextualizado um panorama atual da ado��o do IPv6, al�m dos principais fatores que tornam morosa sua aceita��o. Por fim, ser�o expostas as t�cnicas de transi��o, a coexist�ncia entre a nova vers�o do protocolo e o seu antecessor, as ferramentas de seguran�a e os aspectos de mobilidade.

Para que serve:

A Internet continua a expandir-se vertiginosamente. O protocolo IPv4 se apresenta como grande limitador deste crescimento, pois n�o ser� poss�vel alocar um endere�o v�lido para todos os dispositivos que necessitam se conectar a rede. A �nica alternativa para evitar este colapso � a implanta��o maci�a do protocolo IPv6. Desta forma, este artigo tem por objetivo descrever as principais caracter�sticas do novo protocolo, conscientizar os leitores sobre a import�ncia do tema e fornecer a fundamenta��o te�rica para o debate e o planejamento de sua ado��o pelas organiza��es e usu�rios.

Em que situa��o o tema � �til:

Os pontos destacados neste artigo ser�o �teis para a compreens�o do panorama atual da implementa��o do IPv6, bem como de suas principais diferen�as quando comparado ao IPv4. Os conceitos expostos tamb�m permitir�o a contenda e o aprofundamento t�cnico do tema pelos profissionais e usu�rios da �rea de infraestrutura de tecnologia da informa��o.

O IPv6 (Internet Protocol version 6) representa a nova gera��o do protocolo Internet. Impulsionado pelas constantes demandas das ind�strias de comunica��o de dados e tecnologia da informa��o, o IPv6 procura tratar algumas das lacunas de seu antecessor, o protocolo IPv4 (Internet Protocol version 4), entre elas: maior n�mero de endere�os l�gicos, expans�o da tabela de roteamento, melhor suporte � qualidade de servi�o (QoS � Quality of Service), mais seguran�a e autoconfigura��o.

Para a compreens�o destas defici�ncias e das novas caracter�sticas incorporadas, � importante analisar historicamente a evolu��o do protocolo Internet e suas limita��es de crescimento, bem como descrever seu funcionamento b�sico, detalhes do cabe�alho, representa��o e tipos de endere�os. Este artigo detalhar� tamb�m os mecanismos de autoconfigura��o stateless e stateful (respons�veis pela aloca��o din�mica de endere�os aos dispositivos conectados � rede), as principais t�cnicas concebidas para a transi��o, a coexist�ncia entre a nova vers�o do protocolo IP e a sua antecessora, os novos recursos de seguran�a e a mobilidade para os usu�rios.

Origem da Internet e do protocolo IPv4

As redes nasceram a partir da necessidade da troca de dados entre as pessoas e os computadores, possibilitando o acesso a documentos, imagens, planilhas, arquivos de �udio e v�deo, entre outros, armazenados fisicamente em locais diferentes daqueles onde as pessoas se encontravam. As redes de computadores tamb�m permitiram a integra��o entre os sistemas, pois as informa��es podiam ser facilmente localizadas, coletadas, armazenadas e processadas.

A Internet originou-se de um projeto patrocinado pelo governo estadunidense (EUA) no final dos anos 1960, �poca da Guerra Fria, por interm�dio da Ag�ncia de Projetos de Pesquisa Avan�ada de Defesa (DARPA � Defense Advanced Research Projects Agency), que visava o estabelecimento da comunica��o entre os computadores dos centros militares e os de pesquisa. Seu objetivo principal era formar uma rede robusta que pudesse, mesmo com a indisponibilidade de alguns de seus dispositivos (tamb�m chamados n�s), manter operacional a troca de dados entre os componentes restantes.

Os primeiros n�s desta rede, a qual recebeu o nome ARPANET, foram instalados em 1969 em SRI (Stanford Research Institute), UCLA (University of California at Los Angeles), UCSB (University of California at Santa Barbara) e UTAH (University of Utah). A ARPANET cresceu rapidamente com a associa��o de organiza��es militares, acad�micas e de pesquisas. O conjunto de protocolos TCP/IP (Transmission Control Protocol/Internet Protocol) foi consolidado em 1978 e, em 1983, passou a ser requerido para conex�o � rede da DARPA, permitindo seu crescimento ordenado e resolvendo as restri��es dos protocolos anteriores.

A especifica��o do IPv4 foi publicada em setembro de 1981 e sua populariza��o se deu quando passou a ser distribu�do pelo Berkeley Software Distribution UNIX (BSD Unix), vers�o 4.2c, em 1983. O c�lere crescimento da Internet acentuou-se ainda mais com sua utiliza��o comercial, a partir de 1993, com a cria��o do protocolo HTTP (HyperText Transfer Protocol), que iniciou a era WWW (World Wide Web). O Hobbes' Internet Timeline, de Robert H. Zakon, apresentado na Figura 1, ilustra o crescimento do n�mero de hosts (clientes e servidores) conectados � Internet desde dezembro/1969 at� maio/2010.

Figura 1. N�mero de hosts conectados � Internet desde dezembro/1969 at� maio/2010.

O protocolo IPv4 mostrou-se f�cil de ser implantado, interoper�vel e robusto, sendo ainda hoje extensivamente utilizado. Por�m, com o crescimento dos dispositivos conectados � Internet, foi poss�vel observar que o n�mero de endere�os IPv4 (aqueles que identificam unicamente cada cliente ou servidor ligado � rede) seria insuficiente, pois, como s�o formados por 32 bits (4 bytes), tornam poss�vel somente um total de 232 endere�os (pouco mais de 4 bilh�es).

Os bytes do endere�o IPv4, para facilitar sua representa��o, comumente s�o escritos na forma decimal (0 a 255) e separados por pontos, ao inv�s da nota��o bin�ria, conforme ilustrado na Figura 2.

Figura 2. Representa��o do endere�o IPv4.

O conjunto total de endere�os IPv4 (232 combina��es) foi dividido em cinco diferentes faixas, para atender �s necessidades das redes de computadores com diferentes tamanhos, conforme descrito na Tabela 1. Assim, um endere�o de classe A, pode ser usado por organiza��es com grande n�mero de hosts em sua rede, embora atenda somente 126 distintas; j� os endere�os de classe B podem ser empregados em at� 16.384 redes, com at� 65.534 hosts. A classe C satisfaz 2.097.152 empresas com poucos hosts (at� 254) e por fim, as classes D e E foram reservadas para aplica��es espec�ficas, como transmiss�es multicast e pesquisas, respectivamente.

Faixa

End. in�cio

End. t�rmino

Redes

Hosts

Classe A

1.0.0.0

126.255.255.255

126

16.777.214

Classe B

128.0.0.0

191.255.255.255

16.384

65.534

Classe C

192.0.0.0

223.255.255.255

2.097.152

254

Classe D

224.0.0.0

239.255.255.255

Reservado para multicast

Classe E

240.0.0.0

255.255.255.255

Uso experimental

Tabela 1. Faixas de endere�amento IPv4.

� preciso destacar ainda que algumas faixas de endere�os foram reservadas, ou seja, n�o podem ser utilizadas para comunica��o na Internet (Tabela 2). As faixas reservadas para uso interno nas organiza��es (redes privadas) s�o detalhadas na RFC 1918 � veja a Nota DevMan 1.

Faixa

End. in�cio

End. t�rmino

Reserva

Classe A

0.0.0.0

0.255.255.255

N�o utiliz�vel (rede local)

Classe A

10.0.0.0

10.255.255.255

Uso em redes privadas

Classe A

127.0.0.0

127.255.255.255

Testes (loopback)

Classe B

172.16.0.0

172.31.255.255

Uso em redes privadas

Classe C

192.168.0.0.

192.168.255.255

Uso em redes privadas

Tabela 2. Endere�os IPv4 reservados.

Nota DevMan 1. RFC

RFC � Request for Comments � � um conjunto de documentos de refer�ncia junto � comunidade da Internet que descreve, especifica, padroniza e debate a maioria das normas, padr�es, tecnologias e protocolos ligados �s redes.

Com o passar do tempo, a cria��o das faixas de endere�os IPv4 mostrou-se ineficiente: a classe A atendia a um n�mero pequeno de redes e consumia 50% de todos os endere�os dispon�veis. Inicialmente, faixas desta classe foram atribu�das �s grandes empresas, como IBM, Xerox, HP, entre outras. Para redes com cerca de 5.000 hosts, era necess�rio utilizar faixas de classe B, desperdi�ando mais de 60.000 endere�os; j� os 254 endere�os poss�veis na classe C n�o supriam a maior parte das redes das organiza��es.

Diante deste cen�rio, verificou-se a necessidade de solu��es para o esgotamento do endere�amento IPv4. Por�m, antes da resolu��o definitiva, algumas alternativas paliativas foram adotadas, a fim de se racionalizar a forma como os endere�os eram alocados e reduzir a demanda pelos mesmos. Estas op��es ser�o relacionadas na pr�xima se��o.

Alternativas para evitar o esgotamento do endere�amento IPv4

A seguir, est�o descritas as principais alternativas adotadas para evitar o esgotamento dos endere�os IPv4:

1. Endere�amento privado: conforme apresentado na se��o anterior, existem tr�s faixas de endere�os privados (RFC 1918) que podem ser empregadas nas redes locais (Nota DevMan 2), evitando a atribui��o de um endere�o IPv4 p�blico (tamb�m conhecido como endere�o v�lido) para cada host;

2. NAT (Network Address Translation): deve ser utilizado conjuntamente com o endere�amento privado para possibilitar a conex�o � Internet por meio de um n�mero menor de endere�os IPv4 v�lidos (no melhor caso, somente um �nico � necess�rio). Na rede local, cada host recebe um endere�o privado utilizado nas comunica��es internas. Quando um host necessita de acesso � Internet, este � traduzido em um endere�o IPv4 p�blico; v�rios hosts distintos podem utilizar o mesmo endere�o. Tipicamente equipamentos como firewalls e roteadores s�o os respons�veis pela implementa��o desta funcionalidade. Assim, uma organiza��o com 200 hosts pode atribuir endere�os privados a cada um destes e utilizar um �nico endere�o IPv4 v�lido para que todos acessem a Internet. O uso do NAT resulta em diversas limita��es, pois altera o modelo fim-a-fim da Internet, n�o permitindo conex�es diretas entre os hosts, dificultando o funcionamento de aplica��es de voz, seguran�a, entre outras. Al�m disso, possui baixa escalabilidade, pois existe a restri��o no n�mero de conex�es simult�neas;

3. CIDR (Classless Inter Domain Routing): eliminou as classes de endere�os IPv4, permitindo a aloca��o de faixas com tamanho arbitr�rio, conforme a necessidade; deste modo, possibilitou o uso racional dos endere�os dispon�veis. Tamb�m viabilizou a agrega��o da informa��o nas tabelas de roteamento (veja a Nota DevMan 3), que cresciam exageradamente, contribuindo para suportar a expans�o da Internet;

4. DHCP (Dynamic Host Configuration Protocol): protocolo que tornou poss�vel a aloca��o din�mica de endere�os IPv4, por meio de sua reutiliza��o, visto que os hosts n�o est�o todo o tempo conectados � rede. Este recurso � particularmente �til para provedores de acesso � Internet, pois s�o alocados endere�os IPv4 tempor�rios a seus clientes vinculados.

Nota DevMan 2. LAN

Redes locais ou LAN (Local Area Network) s�o interconex�es de hosts localizados em uma mesma sala ou em um mesmo pr�dio.

Nota DevMan 3. Tabela de Roteamento

Tabelas de roteamento s�o registros de endere�os de destino e como chegar at� eles.

Estas alternativas reduziram o consumo de endere�os IPv4, enquanto era especificada sua nova vers�o. Todavia, como efeito colateral, tamb�m contribu�ram para morosidade de sua ado��o. A Figura 3 apresenta um interessante gr�fico do N�cleo de Informa��o e Coordena��o do ponto BR (NIC.br) onde era esperado um crescimento acentuado na implanta��o do protocolo IPv6 concomitantemente � redu��o dos endere�os IPv4 dispon�veis. Por�m, conforme observado na Figura 4, o ritmo de ado��o do IPv6 ficou muito aqu�m da previs�o inicial.

Figura 3. Expectativa inicial de implanta��o do IPv6.

Figura 4. Situa��o atual da implanta��o do IPv6.

Al�m das alternativas desenvolvidas para adiar o esgotamento dos endere�os IPv4, tamb�m contribu�ram para a morosidade da ado��o do IPv6: a necessidade de investimentos na infraestrutura (software e hardware) dos provedores de acesso � Internet, as mudan�as conceituais em sua opera��o que demandam treinamento e capacita��o da equipe t�cnica, a dificuldade de implementa��o das estrat�gias de transi��o, entre outras.

Na pr�xima se��o ser�o descritas as principais caracter�sticas t�cnicas do IPv6. Assim, ser� poss�vel a compreens�o do contexto envolvido e da situa��o atual da implanta��o deste protocolo.

IPv6: Caracter�sticas gerais

O protocolo IPv6, al�m de solucionar a quest�o da quantidade de endere�os dispon�veis, oferece novos servi�os e benef�cios. Segundo a RFC 2460, as principais mudan�as em rela��o ao IPv4 s�o:

� Simplifica��o do formato do cabe�alho: diversos campos do cabe�alho IPv4 foram exclu�dos ou tornados opcionais, gerando um cabe�alho simplificado. Desta forma, foi reduzido o custo do processamento dos pacotes nos roteadores;

� Capacidade para identifica��o do fluxo: o remetente de um determinado fluxo pode solicitar seu tratamento especial, como qualidade de servi�o diferenciada (QoS) ou transmiss�o em tempo real;

� Suporte para campos opcionais e extens�es: os campos opcionais possuem menos restri��es quanto ao seu tamanho e h� maior flexibilidade para a introdu��o de novas extens�es no futuro;

� Capacidade de autentica��o e privacidade: foram especificadas extens�es para a autentica��o, integridade e confidencialidade dos dados;

� Capacidade de endere�amento expandida: cada endere�o IPv6 utiliza 128 bits, ou seja, existem 2128 combina��es distintas (3,4028 x 1038 ou 79 octilh�es de vezes a quantidade dispon�vel no IPv4). Para ilustrar a grandeza deste valor, supondo que a �rea do planeta Terra � 510.065.500 x 1012 mm2, ter�amos 6,6713 x 1017 endere�os IPv6 por mm2. Por�m, como existem faixas reservadas, ou seja, nem todos os endere�os s�o poss�veis, vamos supor que efetivamente sejam utilizados 64 bits dos 128 bits, ainda assim, existiriam mais de 36.000 endere�os IPv6 por m2. Esta expans�o da capacidade do endere�amento proporciona a identifica��o de mais hosts conectados � rede e simplifica a implementa��o de mecanismos de autoconfigura��o, al�m de suportar n�veis mais espec�ficos de hierarquiza��o dos endere�os.

O cabe�alho do protocolo IPv6 tem tamanho determinado (40 bytes) e possui 8 campos obrigat�rios, diferentemente do IPv4, cujo tamanho � vari�vel (ente 20 e 60 bytes) e cont�m 12 campos fixos (pode conter tamb�m campos opcionais). A Figura 5 ilustra estas diferen�as, apresentando os campos que foram mantidos (cor laranja), os descartados (cor rosa), aqueles que sofreram altera��es em seu nome e posicionamento (cor azul) e um novo campo adicionado (cor verde).

Figura 5. Compara��o entre os cabe�alhos dos protocolos IPv4 e IPv6.

A lista a seguir descreve brevemente os campos do protocolo IPv6:

� Version (vers�o) � 4 bits: vers�o do protocolo Internet;

� Traffic class (classe de tr�fego) � 8 bits: utilizado para permitir a diferencia��o de tr�fego (classes de tr�fego) e os mecanismos de prioridade, para que os roteadores possam prover tratamento apropriado em cada caso;

� Flow label (identificador de fluxo) � 20 bits: possibilita que a origem atribua uma identifica��o (padronizada) a um fluxo, para que este receba tratamento especial por um roteador (qualidade de servi�o � QoS, tr�fego de tempo real, reserva de banda, entre outros);

� Payload length (tamanho dos dados) � 16 bits: tamanho (em bytes) dos dados enviados junto ao cabe�alho IPv6. � importante notar que os cabe�alhos de extens�o tamb�m s�o inclu�dos no c�lculo do tamanho;

� Next header (pr�ximo cabe�alho) � 8 bits: identifica o pr�ximo cabe�alho que se segue ao do IPv6;

� Hop limit (limite de encaminhamento) � 8 bits: n�mero m�ximo de roteadores que o pacote pode passar antes de ser descartado;

� Source address (endere�o de origem) � 128 bits: endere�o l�gico do remetente do pacote;

� Destination address (endere�o de destino) � 128 bits: endere�o l�gico do destinat�rio do pacote.

� interessante observar que, mesmo utilizando endere�os com 128 bits (quatro vezes maior que os 32 bits do IPv4), o IPv6 tem o cabe�alho apenas duas vezes o tamanho m�nimo de seu antecessor.

Em rela��o ao suporte para campos opcionais e extens�es, este � tratado por meio do extension header (cabe�alho de extens�o), que possui tamanho vari�vel (necessariamente m�ltiplo de 64 bits). A Figura 6 apresenta a estrutura de um pacote IPv6. Este pode ter um ou mais campos de extens�o, desde que indicado no next header (Figura 7). Geralmente, somente o destinat�rio processar� os extension headers, que devem ser analisados exatamente na ordem em que aparecem. A lista abaixo enumera todos os tipos que devem ser suportados por n�s IPv6:

� Hop-by-hop options (op��es hop-a-hop): informa��es gerais que devem ser processadas por todos os n�s ao longo do caminho do pacote. Por exemplo, uma op��o j� especificada � o suporte aos pacotes maiores que 64kB, tamb�m conhecidos como jumbogramas;

� Routing � type 2 (roteamento � tipo 2): empregado para suporte a mobilidade em IPv6;

� Fragment (fragmento): utilizado quando o pacote a ser enviado � maior que o MTU (Maximum Transmission Unit), para gerenciar sua fragmenta��o;

� Destination options (op��es de destino): tamb�m usado para suporte � mobilidade em IPv6;

� Authentication (autentica��o): habilita a autentica��o dos pacotes;

� Encapsulating security payload (encapsulamento de seguran�a dos dados): garante confidencialidade e integridade aos pacotes.

Figura 6. Estrutura de um pacote IPv6.

Figura 7. Exemplos de IPv6 extension headers.

Para evitar que todos os n�s tenham que percorrer a cadeia de cabe�alhos de extens�o, estes devem respeitar uma determinada ordem. Ou seja, aqueles que s�o importantes para todos os n�s envolvidos no roteamento devem ser colocados em primeiro lugar; j� os cabe�alhos relevantes apenas para o destinat�rio final s�o posicionados ao final da cadeia. Desta maneira, a sequ�ncia recomendada � apresentada abaixo:

1. Hop-by-Hop options;

2. Routing � type 2;

3. Fragment;

4. Authentication;

5. Encapsulating Security Payload;

6. Destination Options.

O endere�o de 128 bits do IPv6 � composto por oito conjuntos de n�meros hexadecimais (16 bits cada) separados por dois pontos, conforme ilustrado na Figura 8.

Figura 8. Exemplo de um endere�o IPv6 (representa��o completa).

� importante notar algumas regras em sua representa��o:

� Podem ser utilizados caracteres mai�sculos ou min�sculos (Figura 9);

� Sequ�ncias cont�nuas de zeros podem ser representadas por �::� (sem aspas), uma �nica vez em cada endere�o, para n�o gerar ambiguidade (Figura 10);

� Os zeros � esquerda podem ser omitidos (Figura 11).

Figura 9. Representa��o do endere�o IPv6 com caracteres mai�sculos e min�sculos.

Figura 10. Representa��o do endere�o IPv6 com supress�o de sequ�ncias cont�nuas de zeros (parte inicial e parte final).

Figura 11. Representa��o do endere�o IPv6 com supress�o de sequ�ncias cont�nuas de zeros (parte inicial e parte final) e omiss�o de zeros � esquerda.

A representa��o de um prefixo IPv6 � similar � nota��o CIDR utilizada no IPv4, ou seja, endere�o �IPv6/prefixo� (sem aspas), conforme apresentado na Figura 12. Note que um mesmo endere�o pode ser representado de formas diferentes, seguindo as regras descritas anteriormente.

Figura 12. Diferentes representa��es de um prefixo IPv6.

Na arquitetura do protocolo IPv6 foram especificados somente tr�s tipos de endere�os, a saber:

� Anycast: endere�o atribu�do a mais de uma interface de rede, sendo que um pacote enviado a esse endere�o ser� entregue � interface mais pr�xima, de acordo com os protocolos de roteamento;

� Multicast: tamb�m � um endere�o alocado a mais de uma interface de rede, por�m, os pacotes ser�o entregues a todas as interfaces associadas a este endere�o;

� Unicast: endere�o de uma �nica interface de rede. Um pacote enviado a esse endere�o ser� entregue somente a esta interface.

O conceito do endere�o de broadcast (pacotes enviados a todos os n�s de um mesmo dom�nio) foi removido.

Os endere�os unicast IPv6 s�o, ainda, decompostos em subtipos. Os mais relevantes s�o:

� Global Unicast: endere�o que ser� globalmente utilizado na Internet, similar ao endere�o p�blico IPv4. Atualmente, a aloca��o de endere�os � feita a partir da faixa 2000::/3, ou seja, dos endere�os de 2000:: a 3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff (cerca de 13% do total de endere�os);

� Unspecified Address: sinaliza a aus�ncia de um endere�o. � definido como 0:0:0:0:0:0:0:0 ou �::� (sem aspas). Usado como endere�o de origem em esta��es que ainda n�o obtiveram um endere�o IPv6 � aquelas que n�o foram inicializadas;

� Loopback Address: utilizado quando um n� envia um pacote para si mesmo (fun��o semelhante em IPv4). Representado por 0:0:0:0:0:0:0:1 ou �::1� (sem aspas);

� Unique-Local: suporta apenas comunica��es locais, com alta probabilidade de ser globalmente �nico. Sua fun��o � similar aos endere�os privados IPv4 (RFC 1918). Identificado pelo prefixo FC00::/7 seguido por 64 bits derivados a partir do endere�o f�sico da interface (MAC Address), segundo o formato IEEE EUI-64 (veja a seguir);

� Link-Local: definido para uso interno apenas no enlace espec�fico onde a interface est� conectada para fun��es como autoconfigura��o, descoberta de vizinho, entre outras. Utiliza o prefixo FE80::/64 e tamb�m deriva os demais 64 bits a partir do endere�o f�sico da interface (MAC Address), segundo o formato IEEE EUI-64.

Para formar o endere�o IEEE EUI-64, basta efetuar a opera��o complemento de 1 para o s�timo bit mais � esquerda (se for 0, troc�-lo por 1 e vice-versa) e inserir os caracteres hexadecimais FF-FE na parte central do endere�o, como apresentado na Figura 13.

Figura 13. Forma��o do endere�o EUI-64 a partir do MAC Address.

Para finalizar, � importante observar que, a uma interface de rede, podem ser atribu�dos m�ltiplos endere�os, independentemente do seu tipo (anycast, multicast ou unicast) ou subtipo (unique-local, loopback, global, entre outros).

A pr�xima se��o apresentar� os mecanismos de autoconfigura��o do IPv6, mostrando como um host obt�m de forma autom�tica um endere�o unicast.

Auto-configura��o do IPv6

O IPv6 oferece suporte � autoconfigura��o, mecanismo que possibilita a aloca��o autom�tica de endere�os unicast aos n�s IPv6. Basicamente esta atribui��o din�mica pode ser implementada por meio de duas abordagens:

� Autoconfigura��o stateless: possibilita a configura��o autom�tica dos endere�os IPv6 unicast sem a necessidade de servidores DHCP. Para tanto, o host utiliza seu endere�o link local (FE80::/64) para enviar uma mensagem multicast RS (Router Solicitation) para todos os roteadores do segmento � esta � parte do Neighbor Discovery Protocol (NDP). Desta maneira, � solicitado o prefixo IPv6 e o endere�o a ser configurado como default gateway. O roteador responde �s informa��es requisitadas em uma mensagem RA (Router Advertisement) � ver Nota DevMan 4. A seguir, o host combina o prefixo recebido com o endere�o f�sico de sua interface (MAC Address), segundo o formato IEEE EUI-64. A Figura 14 ilustra o processo de autoconfigura��o stateless;

Nota DevMan 4. Router Solicitation e Router Advertisement

Router Solicitation, ou RS, � utilizada por hosts para solicitar aos roteadores o envio imediato de mensagens router advertisement.

Router Advertisement, ou RA, � enviada ciclicamente ou em resposta a uma RS. � utilizada pelos roteadores para anunciar sua presen�a no enlace; cont�m diversas informa��es referentes � configura��o da rede.

Figura 14. Mecanismo de auto-configura��o stateless.

� Autoconfigura��o stateful: t�cnica opcional � stateless que utiliza o protocolo DHCPv6 para obten��o do endere�o IPv6, default gateway, servidores DNS (Domain Name System), NTP (Network Time Protocol), entre outros par�metros para configura��o da interface de rede. Os hosts clientes utilizam seu endere�o link local para enviar e receber as mensagens DHCPv6, por interm�dio de mensagens multicast.

Por interm�dio da autoconfigura��o, os hosts IPv6 recebem seu endere�o e podem iniciar a transmiss�o de dados nas redes. Mas, como ocorre a comunica��o com hosts executando a vers�o anterior do protocolo Internet? Pensando nisso, a pr�xima se��o apresentar� as formas de transi��o e a coexist�ncia entre o IPv4 e o IPv6.

Transi��o e a coexist�ncia entre o IPv4 e IPv6

A implementa��o do protocolo IPv6 n�o implica na cria��o de uma nova Internet, paralela � atual, tampouco, ser� programado um dia para desativa��o completa do IPv4. Ambos os protocolos coexistir�o nas redes por um per�odo longo e imprevis�vel. J� existem diversos equipamentos de rede que suportam os protocolos IPv4 e IPv6. As vers�es mais recentes de v�rios sistemas operacionais tamb�m s�o compat�veis, como as distribui��es Linux e Microsoft Windows.

Durante a cria��o do IPv6 foram idealizados diversos procedimentos de transi��o, organizados em tr�s categorias principais:

� Pilha dupla (Dual-stack): neste mecanismo, os dispositivos suportam simultaneamente as duas pilhas de protocolos, permitindo que hosts IPv6 se comuniquem com hosts IPv4 e vice-versa (Figura 15). Esta t�cnica exige duas tabelas de roteamento com fun��es de administra��o e gerenciamento similares, sendo que os hosts tamb�m possuem dois endere�os configurados em sua interface. � muito utilizada, pois, atualmente, grande parte dos hardwares e softwares de rede possuem suporte IPv4 e IPv6. Al�m disso, permite que a implanta��o deste �ltimo seja feita sem mudan�as na arquitetura de redes atual;

Figura 15. Compara��o entre a pilha IPv4 e a pilha dupla IPv4/IPv6.

� T�neis (Encapsulation): neste m�todo, um pacote IPv6 � transmitido como parte dos dados de um pacote IPv4, criando um t�nel entre os n�s (Figura 16). No futuro, este t�nel tamb�m suportar� o inverso, ou seja, redes IPv4 conectadas por redes IPv6. � importante notar que, nos dois cen�rios, os n�s nas extremidades do t�nel devem ser compat�veis com ambos os protocolos.

Figura 16. IPv6 sobre t�nel IPv4.

� Tradu��es: nesta t�cnica, um dispositivo com suporte aos protocolos IPv4 e IPv6 interage com os demais n�s que desejam estabelecer a comunica��o, traduzindo os pacotes IPv6 em IPv4 e vice-versa.

A coexist�ncia entre as diferentes vers�es do IP aumenta ainda mais as preocupa��es com as quest�es relacionadas � seguran�a dos dados, pois, como diversos tipos de transa��es ocorrem por meio da infraestrutura suportada por estes protocolos, as informa��es podem ser capturadas e alteradas por usu�rios mal-intencionados. Assim, a pr�xima se��o apresentar� os principais aspectos de seguran�a em redes IPv6.

Seguran�a da informa��o em redes IPv6

Originalmente, o IPv4 visava o estabelecimento da comunica��o entre os computadores dos centros militares e os de pesquisa, ou seja, as informa��es percorriam somente locais seguros e com acesso restrito. Posteriormente, seu uso comercial demandou um n�vel maior de seguran�a, que possibilitasse a identifica��o dos usu�rios e a privacidade dos dados transmitidos. Neste contexto, o IPSec (IP Security) foi criado para prover os seguintes servi�os:

� Autentica��o: para ratificar a identidade das partes envolvidas na troca de mensagens;

� Integridade: garantindo que os dados n�o fossem alterados durante sua passagem pelos diferentes dispositivos de rede;

� Privacidade: restringindo a compreens�o da mensagem somente ao emissor e ao destinat�rio da comunica��o por interm�dio de t�cnicas de criptografia;

� N�o-rep�dio: para impedir que as partes envolvidas na comunica��o negassem sua participa��o no evento.

O IPSec, suportado opcionalmente pelo IPv4, foi desenvolvido como parte integrante do IPv6, atrav�s dos cabe�alhos de extens�o AH (Authentication Header) � usado para autenticar o emissor dos dados e assegurar a integridade dos mesmos � e ESP (Encapsulation Security Payload) � empregado para prover privacidade entre o originador e o receptor dos dados.

Entretanto, para que duas entidades possam se comunicar utilizando o IPSec, � necess�rio estabelecer uma associa��o de seguran�a (AS) para determinar os algoritmos a serem configurados, as chaves criptogr�ficas, o tempo de expira��o destas chaves, entre outras especifica��es. As associa��es de seguran�a podem ser est�ticas ou din�micas: no primeiro caso, os par�metros s�o configurados manualmente no emissor e no destinat�rio; j� no segundo, s�o determinados automaticamente por protocolos como o IKE (Internet Key Exchange).

A seguir s�o ilustrados dois exemplos de ataques comumente observados em redes IPv4 e a maneira como s�o mitigados pelo IPv6/IPSec:

� IP Spoofing: t�cnica que consiste no envio de pacotes com o endere�o de origem adulterado. Desta maneira, os pacotes de retorno nunca regressam para o falsificador. No IPv6, o cabe�alho de extens�o AH obriga o usu�rio mal-intencionado a calcular um hash (Nota DevMan 5) semelhante �quele que seria gerado entre a entidade falsificada e a v�tima; no entanto, para a obten��o deste, seria necess�rio conhecer os par�metros da AS, incluindo as chaves criptogr�ficas e os algoritmos. Assim, caso a v�tima receba um pacote com o hash incorreto, esta deve descart�-lo;

� Sniffing: ataque em que os pacotes s�o capturados com o objetivo de verificar seu conte�do, explorando aplica��es que n�o utilizam nenhum tipo de criptografia no envio de seus dados, como FTP (transfer�ncia de arquivos), Telnet (acesso/login remoto), entre outras. Para evitar este tipo de ataque, pode-se lan�ar m�o do cabe�alho de extens�o ESP, para criptografar os dados e promover a privacidade entre as partes envolvidas na comunica��o.

Nota DevMan 5. Fun��o Hash

Uma fun��o hash � uma equa��o matem�tica que utiliza dados de entrada para criar um resumo da mensagem (message digest).

� importante destacar que, mesmo suportando nativamente o IPSec, seu uso n�o � obrigat�rio. No entanto, utilizar o IPv6 sem este recurso, torna-o vulner�vel �s mesmas fragilidades de seu antecessor.

Al�m do IPSec, outras ferramentas de seguran�a s�o adicionalmente implementadas pelo protocolo Internet vers�o 6, a saber:

� Cryptographically Generated Address (CGA): segundo a RFC 3972, este tem seus �ltimos 64 bits (identifica��o da interface do host) derivados a partir de uma fun��o hash da chave p�blica do propriet�rio do endere�o;

� Estrutura dos endere�os: a pr�pria estrutura de endere�amento do IPv6 pode impedir alguns tipos de ataque, pois sua varredura torna-se um procedimento complexo e demorado devido ao grande n�mero de combina��es poss�veis; tamb�m contribu�ram as diferentes formas de compor os �ltimos 64 bits, que dificultam a localiza��o dos endere�os efetivamente em uso na rede;

� Extens�es de privacidade: s�o complementares ao mecanismo de autoconfigura��o stateless e possibilitam a gera��o de endere�os aleat�rios e tempor�rios, resultando na inefici�ncia do rastreamento de dispositivos advindos de redes com suporte a este recurso;

� Secure Neighbor Discovery (SEND): extens�o de seguran�a do Neighbor Discovery Protocol (NDP) que imp�e o estabelecimento de uma infraestrutura de chaves p�blicas na rede, com o objetivo de autenticar os dispositivos que possam se anunciar na rede.

A implementa��o nativa do IPSec, bem como das novas ferramentas de seguran�a apresentadas, s�o importantes avan�os do IPv6. Comparado a sua vers�o anterior, este tamb�m permitiu diversas melhorias na mobilidade dos dispositivos conectados � Internet, conforme ser� exposto na pr�xima se��o.

Mobilidade IPv6

A motiva��o para o desenvolvimento de mecanismos de mobilidade � uma consequ�ncia natural da integra��o de redes wireless (sem fio) � Internet. At� a introdu��o desta tecnologia, os usu�rios se limitavam a acess�-la por meio de locais pr�-determinados, como por exemplo, em suas resid�ncias ou nas empresas onde trabalhavam. As conex�es wireless tornaram realidade o uso de laptops, tablets, celulares, entre outros dispositivos, como clientes de acesso � rede.

Desta maneira, foi desenvolvido o MIPv6 (Mobile Internet Protocol version 6), com o objetivo de suportar o deslocamento de um dispositivo m�vel de uma rede para outra sem a necessidade da reconfigura��o de seu endere�o IPv6, tornando esta movimenta��o transparente �s diferentes aplica��es.

Para compreens�o do MIPv6, � importante conhecer as seguintes terminologias (Figura 17):

� Mobile Node (n� m�vel) � MN: dispositivo m�vel que pode transitar entre diferentes redes sem perder suas conex�es estabelecidas, continuando acess�vel atrav�s de seu endere�o de origem;

� Home Address (endere�o de origem) � HoA: endere�o permanente alocado ao MN. � por meio deste que o n� m�vel se conecta a rede de origem;

� Home Network (rede de origem) � HN: rede onde o n� m�vel est� conectado e que fornece seu endere�o de origem;

� Home Agent (agente de origem) � HA: roteador localizado na rede de origem do n� m�vel e que mant�m a associa��o entre seu endere�o de origem e o remoto;

� Care of Address (endere�o remoto) � CoA: endere�o associado ao n� m�vel quando este se encontra em uma rede remota;

� Foreign network (rede remota) � FN: qualquer rede, diferente da HN, onde o n� m�vel se encontra;

� Correspondent node (n� correspondente) � CN: n� (m�vel ou est�tico) com o qual o n� m�vel se comunica.

Figura 17. Principais componentes do MIPv6.

Os passos a seguir descrevem o funcionamento b�sico das redes com suporte ao MIPv6:

1. A rede de origem (HN) aloca um endere�o HoA para o n� m�vel (MN), o qual n�o ser� alterado mesmo quando o MN se desloca para uma rede remota (FN);

2. Quando o MN se dirige a uma FN, este recebe um endere�o CoA por interm�dio de mecanismos de autoconfigura��o (stateless ou stateful), constitu�do por um prefixo v�lido;

3. O n� m�vel associa seu endere�o de origem (HoA) ao remoto (CoA) e registra seu novo endere�o no agente de origem (HA) enviando uma mensagem Binding Update. O HA confirma a recep��o desta por meio da mensagem Binding Acknowledgement (Figura 18). Note que este procedimento assegurar� que os pacotes IPv6 destinados ao endere�o de origem sejam recebidos pelo n� m�vel na rede remota;

Figura 18. Registro do CoA no agente de origem.

4. O agente de origem, ao receber pacotes IPv6 endere�ados ao n� m�vel, intercepta-os e os envia encapsulados para o endere�o remoto atrav�s de um t�nel. Este mecanismo � conhecido como triangula��o (Figura 19);

Figura 19. Triangula��o da comunica��o entre o MN e o CN.

5. Para otimizar o fluxo de dados, � poss�vel habilitar a comunica��o direta entre o n� correspondente (CN) e o n� m�vel (MN), ou seja, sem a necessidade de passar atrav�s da rede de origem e pelo agente de origem (Figura 20). As mensagens Binding Update, Binding Acknowledgement e Binding Refresh Request s�o usadas pelo CN para aprender dinamicamente o endere�o remoto do n� m�vel. � importante observar que neste caso, o CN tamb�m dever� suportar a mobilidade IPv6;

Figura 20. Comunica��o otimizada entre o MN e o CN.

6. Quando o n� m�vel retorna para sua rede, este envia a mensagem Binding Update para informar ao agente de origem que os pacotes n�o devem mais ser encaminhados ao seu endere�o remoto.

A mobilidade utiliza o cabe�alho de extens�o Mobility para suportar a troca de mensagens relacionadas ao estabelecimento e ao gerenciamento das associa��es de endere�os. A lista abaixo descreve brevemente seus campos (Figura 21):

� Next header (pr�ximo cabe�alho): indica o pr�ximo cabe�alho � atualmente, apenas o valor 59 (em decimal) � implementado, sinalizando que n�o existe pr�ximo cabe�alho, por�m h� a possibilidade de uma expans�o futura;

� Length (tamanho): tamanho do cabe�alho de extens�o Mobility, necessariamente m�ltiplo de 8 bytes;

� MH Type (tipo do cabe�alho de mobilidade): identifica o tipo da mensagem de mobilidade: Binding Refresh Request, Binding Update, entre outras;

� Checksum (soma de verifica��o): verifica a integridade dos dados;

� Data (dados): mensagem a ser enviada.

Figura 21. Campos do cabe�alho de extens�o mobility.

Conclus�es

O protocolo IPv6, al�m de resolver a limita��o imposta � expans�o da Internet pelo seu antecessor, oferece novos servi�os e melhorias, tais como: a simplifica��o do formato de seu cabe�alho, a identifica��o dos fluxos de dados, o suporte para campos opcionais e extens�es, recursos para autentica��o e privacidade, mecanismos de autoconfigura��o, entre outros. O espa�o total de endere�os utilizando 128 bits (quatro vezes maior que os 32 bits da vers�o anterior) possibilita 3,4028 x 1038 (340.282.366.920.938.463.463.374.607.431.768.211.456) combina��es diferentes, n�mero suficientemente grande para atender as demandas atuais e projetadas para o futuro.

Embora sua ado��o fosse imprescind�vel, as alternativas criadas para adiar o esgotamento do IPv4 (endere�os privados, NAT, CIDR e DHCP), necess�rias para que houvesse tempo h�bil para a especifica��o do novo protocolo, contribu�ram para a morosidade de sua disponibiliza��o pelas organiza��es e usu�rios. Tamb�m cooperaram para esta realidade, a facilidade de implementa��o, a interoperabilidade e a robustez da vers�o 4 do protocolo Internet.

Atualmente, algumas barreiras ainda dificultam a aceita��o do IPv6, entre elas: a necessidade de investimentos na infraestrutura, pois, muitas vezes, o hardware e o software legados n�o s�o compat�veis com a nova vers�o do protocolo; as mudan�as conceituais em sua opera��o demandam treinamento e capacita��o da equipe t�cnica; por fim, a defini��o da implanta��o das estrat�gias de transi��o requer um planejamento adequado ao particular cen�rio onde est�o inseridas.

Estes fatores permitiram a sobrevida do protocolo IPv4. Entretanto, n�o h� mais como ignorar a situa��o atual, pois brevemente os provedores n�o ter�o endere�os dispon�veis para alocar aos seus usu�rios. Desta forma, a �nica alternativa para evitar um colapso nas comunica��es e a retra��o no crescimento da Internet � a ado��o maci�a do protocolo IPv6.

São técnicas de coexistência do IPv6 com o IPv4?

Quais são as alternativas de migração do IPv4 para IPv6?

Como funciona o IPv4 e IPv6?

Quais são as novidades de IPv6 com relação a IPv4?