Lançamento do curso básico de teoria e prática do IPv6

Sejam todos bem-vindos ao primeiro curso gratuito do blog sobre o IPv6. Nesta primeira aula apresentarei  de forma bastante resumida os motivos que levaram à obsolescência do IPv4 e ao desenvolvimento do IPv6. À medida do lançamento de novos vídeos irei disponibilizando material das aulas.

Slide: Do IPv4 ao IPv6
 

Um firewall para IPv6

Com a elevada necessidade de implementar o procolo IPv6 com urgência em diversos sistemas autônomos, há o receio do fato, por parte de muitos administradores de rede e de infra-estrutura, pois o IPv6 além de ser um protocolo totalmente diferente do seu antecessor o mesmo não mais utilizará o NAT para o compartilhamento da internet. Muitas perguntas surgem sobre a implantação, uma delas é em relação a segurança, quais as melhores práticas de regras de firewall exigidos por este novo protocolo para manter o mesmo nível de segurança já conhecido no IPv4?

Diante do contexto de implementação do IPv6 e da chegada da última fase do esgotamento do IPv4 é interessante para a comunidade científica a necessidade de estudos que tenham como objetivo analisar essa implantação na prática como um modelo viável e assim, portanto, estimular a outras instituições que por ventura também estejam em fase de implantação ou que ainda pretendem, sem prazo definido, implementar o IPv6, mas não o fazem em face das dúvidas e receios que acaso possam estar relacionados a respeito da segurança. Que este artigo possa dirimir suas dúvidas em realizá-lo.

As regras que se seguirão fazem parte de um ambiente que requer regras bastantes restritivas em conjunto com as boas práticas requiridas pelo protocolo:

• Firewall restritivo: todas as conexões entrantes, saintes e passantes são bloqueadas e só é permitido o que é definitivamente liberado;
• Bloqueio total do trânsito de pacotes que possuam os prefixos reservados;
• Permitir a entrada de pacotes que possuam os prefixos reservados aos endereços multicast e com o protocolo ICMPv6, pois eles não podem ser bloqueados. 
• Permitir somente um único servidor DNS local sirva as consultas externas pelo protocolo;
• Permitir a passagem de pacotes à internet com destino aos serviços web que só tenha como origem o bloco IPv6 alocado à instituição;

Outro tipo de configuração seria abordar o uso do firewall statefull, pois permite somente a entrada de pacotes oriundos das respostas de conexões originadas na rede interna, isto é, uma configuração que interrompe a conexão fim-a-fim semelhantemente ao NAT. Este post foi baseado em um artigo científico que desenvolvi para apresentar em um curso de pós-graduação em redes de computadores.

Nesta próxima imagem é a representação gráfica de um cenário hipotético:

Ambiente topológico para testes

Material para aprendizado sobre o IPv6

Que a falta de livros e de vários modelos de uso não seja o motivo pela não implementação, pois estou disponibilizando grande material educativo para tal.

Laboratório de IPv6 - PDF

O livro é totalmente prático e baseado em passo a passo para configuração do IPv6 em cenários diversos, é fundamentado no emulador core e para usá-lo é necessário baixar a máquina virtual bem como possuir algum software de virtualização.
Links: Para baixar o livro em PDF
Mais inormações: http://ipv6.br/pagina/downloads
Para mais detalhes sobre o funcionamento e a teoria do protocolo IPv6 eu recomendo o livro da equipe do nic.br:

Ipv6 Básico

Disponibilizo também quase 20 artigos científicos alguns até publicados em revistas cientificas, também há teses de dissertações de mestrado, que detalha a implementação do protocolo.
Artigos.zip

Vamos falar sobre o IPv6?

A internet é fundamentada, atualmente, no protocolo IPv4 no qual foi projetado na década 70-80. O objetivo era conectar alguns centros de pesquisa e algumas universidades. Entretanto, o IPv4 não foi projetado para os dias atuais, assim diversas características de projeto do protocolo não são mais adequadas ao contexto atual da internet, principalmente no que tange a quantidade máxima de endereçamento. Para atender aos novos anseios e melhor preparado para o futuro foi definido através da RFC 2460, o IPv6 que não só aumenta astronomicamente a capacidade de endereçamento, mas também muda radicalmente o cabeçalho do protocolo tornando-o mais eficiente em relação ao seu antecessor.

O porquê do esgotamento e a adoção de um novo protocolo

O IPv4 reserva apenas 32 bits para o endereçamento. Com isto, é possível enumerar 232 hosts, que é o equivalente ao número em formato decimal: 4.294.967.296 (aproximadamente 4 bilhões e 300 milhões). Embora pareça que esse número seja alto, há inúmeros endereços reservados que diminui notavelmente a quantidade de ips realmente utilizáveis na internet.

O IPv6

A principal motivação para a criação e adoção desse novo protocolo era reestruturação da capacidade de endereçamento que passou de 32 bits do IPv4 para 128 bits do IPv6. Para facilitar a representação numérica do endereço foi adotada a notação em hexadecimal divididos em 8 grupos de 16 bits separados por dois pontos (:), cada grupo variando entre 0 e FFFF. Com o IPv6 aumenta substancialmente o quantitativo bits para endereçamento permitindo 2 elevado 128 algo em torno de 340 undecilhões de endereços possíveis.

Tipos de endereços

O endereço em IPv6 é separado por dois pontos em blocos compostos por quatro algarismos em hexadecimal. Um exemplo de um IP na versão 6 na forma expandida 2001:0db8:cafe:0000:8e70:5aff:feee:10ac.

No IPv6 não há mais classes, porém há tipos diferentes para vários propósitos. Assim como há no IPv4 os endereços unicast, multicast e broadcast, também há no IPv6 a divisão unicast, multicast e anycast, contudo não há mais o broadcast. Os endereços unicast se subdividem em mais três tipos: link-local, unique-local ou global unicast.

Global Unicast

São os endereços públicos e roteáveis na internet. A IANA é a entidade responsável por administrar as alocações em nível mundial, foi reservado para este fim o bloco 2000::/3 que foram subdivididos em 512 prefixos /12. Cada autoridade regional recebeu um bloco /12, o LACNIC  (autoridade da América Latina e Caribe) possui o prefixo 2800::/12, no Brasil, o NIC.br (autoridade nacional da Internet) recebeu do LACNIC um prefixo /16 (2801::/16) para realizar as alocações nacionais.

Veja a tabela abaixo para um melhor entendimento sobre o IPv6:

Endereçamento IPv6

Considerações Finais:

Essa foi apenas uma breve explanação sobre o Ipv6, por enquanto o IPv6 está sendo posto em operação aos poucos, porém em alguns anos este tema será de extrema relevância, pois todos os cronogramas falharam em antecipar a total operacionalização do protocolo mesmo estando o IPv4 nos últimos blocos a serem designados. Em breve lançarei um curso básico de teoria e prática abordando o IPv6.