Num momento que tem sido encarado pela maioria das empresas como o de adiar a sua implanta\u00e7\u00e3o, \u00e9 necess\u00e1rio que se tenha ci\u00eancia de vulnerabilidades escondidas no protocolo \u201cIPv6\u201d.
\nA maior e mais iminente amea\u00e7a \u00e0 seguran\u00e7a est\u00e1 no fato de que as redes das empresas j\u00e1 tem toneladas de dispositivos habilitados para \u201cIPv6\u201d, incluindo dispositivos com o Windows Vista ou Windows 7, Mac OS \/ X e dispositivos Linux e BSD.
\nImportante se destacar o fato de que, ao contr\u00e1rio de seu antecessor, o \u201cDHCP\u201d do \u201cIPv4\u201d, o \u201cDHCP\u201d do \u201cIPv6\u201d n\u00e3o necessita de configura\u00e7\u00e3o manual.
\nEsta caracter\u00edstica de auto-configura\u00e7\u00e3o significa que com o \u201cIPv6\u201d habilitado dispositivos estar\u00e3o apenas esperando por um an\u00fancio \u00fanico de um roteador para se identificar na rede.
\nTamb\u00e9m \u00e9 importante se destacar que numa rede apenas com \u201cIPv4\u201d roteadores e switches n\u00e3o reconhecem ou respondem a an\u00fancios de dispositivo \u201cIPv6\u201d, mas um roteador \u201cIPv6\u201d n\u00e3o autorizado pode enviar e interpretar este tr\u00e1fego.
\nPela caracter\u00edstica da auto-configura\u00e7\u00e3o, o \u201cIPv6\u201d permite que qualquer dispositivo esteja habilitado para se comunicar com outros dispositivos de rede \u201cIPv6\u201d e servi\u00e7os na mesma LAN.
\nPara fazer isso, o dispositivo anuncia sua presen\u00e7a e \u00e9 localizado atrav\u00e9s do \u201cIPv6 Neighbor Discovery Protocol\u201d (NDP).
\nO problema \u00e9 que n\u00e3o gerenciar adequadamente o protocolo NDP pode trazer uma s\u00e9rie de problemas, especialmente o de por e expor dispositivos para que atacantes possam colher informa\u00e7\u00f5es sobre o que est\u00e1 acontecendo dentro da rede, ou at\u00e9 mesmo permitindo que o pr\u00f3prio dispositivo possa ser capturado e transformado em um \u201czumbi\u201d.
\nPesquisadores do mundo todo tem observado que os \u201cbots\u201d est\u00e3o intensificando o uso do \u201cIPv6\u201d como um canal secreto para se comunicar com seus \u201cbotmaster\u201d.
\nEntre os seus muitos disfarces, malwares habilitados para o \u201cIPv6\u201d podem assumir a forma de uma carga maliciosa encapsulada em uma ou mais mensagens \u201cIPv4\u201d.
\nSem medidas de seguran\u00e7a espec\u00edficas para \u201cIPv6\u201d, tais como inspe\u00e7\u00e3o profunda de pacotes, este tipo de carga pode passar pelo per\u00edmetro \u201cIPv4\u201d e defesas \u201cDMZ\u201d sem ser detectada.
\nUma solu\u00e7\u00e3o para problemas \u201cIPv6\u201d na camada 2 pode ser o uso do \u201cSEND\u201d (Secure Neighbor Discovery) o que permitiria lidar com amea\u00e7as como \u201cRA e NDP spoofing\u201d, equivalentes a amea\u00e7as no protocolo \u201cIPv4\u201d do tipo \u201cDHCP spoofing\u201d e \u201cARP spoofing\u201d.
\nAlguns fornecedores de sistemas operacionais tem dado seu apoio ao uso do \u201cSEND\u201d, enquanto outros, principalmente a Microsoft e a Apple, n\u00e3o.
\nEntidades como a empresa \u201cCisco\u201d e o \u201cIETF\u201d (sigla em ingl\u00eas de Internet Engineering Task Force) est\u00e3o em processo de implementa\u00e7\u00e3o de mecanismos de seguran\u00e7a para \u201cIPv6\u201d que atualmente s\u00e3o utilizados para proteger \u201cIPv4\u201d contra essas amea\u00e7as.
\nO \u201cIETF\u201d est\u00e1 trabalhando num grupo de trabalho denominado SAVI (Source Address Validation), enquanto a \u201cCisco\u201d est\u00e1 implantando um plano de tr\u00eas fases iniciado em 2010 para atualizar seus sistemas operacionais e que ser\u00e1 totalmente adotado em algum momento em 2012, dependendo do tipo de \u201cswitch\u201d que dever\u00e1 ser atualizado.
\nTamb\u00e9m tem sido destacado por pesquisadores que alguns dos riscos de seguran\u00e7a do \u201cIPv6\u201d podem ser acidentalmente criados por dispositivos de rede de usu\u00e1rios final, sendo que uma configura\u00e7\u00e3o adequada e medidas de seguran\u00e7a \u201cIPv6\u201d eliminariam muitos desses riscos.
\nA resposta a este tipo de problema \u00e9 implantar seguran\u00e7a \u201cIPv6\u201d nativa para proteger o tr\u00e1fego \u201cIPv6\u201d no mesmo n\u00edvel e contra os mesmos tipos de amea\u00e7as que j\u00e1 s\u00e3o defendidos no \u201cIPv4\u2033.
\nTamb\u00e9m existe uma falsa percep\u00e7\u00e3o de que o \u201cIPv6\u201d \u00e9 nativamente mais seguro do que o \u201cIPv4\u201d, haja vista que o suporte \u201cIPSec\u201d \u00e9 obrigat\u00f3rio no IPv6.
\nAl\u00e9m dos desafios pr\u00e1ticos associados \u00e0 implanta\u00e7\u00e3o em larga escala de \u201cIPSec\u201d, o conte\u00fado do tr\u00e1fego \u201cIPSec\u201d encapsulado se torna invis\u00edvel para dispositivos (roteadores \/ switches \/ firewalls), interferindo com suas fun\u00e7\u00f5es de seguran\u00e7a.
\nPor esta raz\u00e3o, um grupo de trabalho do \u201cIETF\u201d est\u00e1 considerando uma mudan\u00e7a que faria o suporte \u201cIPSec\u201d apenas \u201crecomendado\u201d e n\u00e3o \u201cnecess\u00e1rio\u201d em implementa\u00e7\u00f5es \u201cIPv6\u201d.
\nJ\u00e1 a possibilidade de desabilitar o \u201cIPv6\u201d \u00e9 uma m\u00e1 ideia por duas raz\u00f5es: primeiro porque a Microsoft afirma n\u00e3o ser poss\u00edvel dar suporte a desativa\u00e7\u00e3o do \u201cIPv6\u201d em seus sistemas operacionais, como ocorre por exemplo no Windows 2008, e segundo porque se trata de uma estrat\u00e9gia no m\u00ednimo tola, uma vez que, com ou sem o \u201cIPv6\u201d, dispositivos habilitados v\u00e3o continuar a aparecer na rede.
\nMas amea\u00e7as \u00e0 seguran\u00e7a a parte, existe uma situa\u00e7\u00e3o de neg\u00f3cios em que a implanta\u00e7\u00e3o do \u201cIPv6\u201d est\u00e1 cada vez mais dif\u00edcil de ser ignorada: Bancos e Corretoras que atuam \u201con-line\u201d j\u00e1 enfrentam o desafio de perder a comunica\u00e7\u00e3o com clientes internacionais cujas redes j\u00e1 n\u00e3o suportam o \u201cIPv4\u201d.
\nEmpresas como a \u201cTelef\u00f4nica\u201d e a \u201cT-Mobile\u201d est\u00e3o abra\u00e7ando o \u201cIPv6\u201d intensamente, especialmente em suas bases europeias.
\nAl\u00e9m disso, o governo dos Estados Unidos tem migrado suas redes para o \u201cIPv6\u201d, e solicitado que provedores e fornecedores ofere\u00e7am mais produtos e servi\u00e7os \u201cIPv6\u201d.
\nEmpresas que se coloquem numa posi\u00e7\u00e3o de n\u00e3o pode interagir com seus clientes est\u00e3o fadadas a fracassarem em suas estrat\u00e9gias, muito embora neste momento possa ser observada uma migra\u00e7\u00e3o gradual para o \u201cIPv6\u201d.
\nAtualizar por atacado redes na internet para o \u201cIPv6\u201d, n\u00e3o \u00e9 algo pr\u00e1tico e nem eficaz de ser feito, pois as empresas necessitam de uma abordagem muito mais equilibrada.
\nProvedores de servi\u00e7o, que consomem endere\u00e7os mais r\u00e1pido do que qualquer outro, s\u00e3o os primeiros na fila para upgrades \u201cIPv6\u201d, seguido por provedores de conte\u00fado e finalmente, os usu\u00e1rios finais, em cuja resid\u00eancia roteadores s\u00e3o ainda 99% baseados no \u201cIPv4\u201d.
\nQuando for necess\u00e1rio atualizar para \u201cIPv6\u201d, deve ser levado em conta o balanceamento da carga da rede e a transi\u00e7\u00e3o dos servi\u00e7os existentes, al\u00e9m de se preservar a conectividade \u201cIPv4\u201d na rede interna.
\nAo se construir o pr\u00f3ximo conjunto de servi\u00e7os, a demanda dever\u00e1 ser \u201cdual-stack\u201d, com plena capacidade para lidar com arquiteturas \u201cIPv4\u201d mais antigas, o que ir\u00e1 permitir a constru\u00e7\u00e3o de neg\u00f3cios com melhor retorno sobre o investimento.
\nAl\u00e9m do mais, importante se levar em considera\u00e7\u00e3o que qualquer transi\u00e7\u00e3o deve ser projetada para ser transparente para o usu\u00e1rio final.
\nA empresa \u201cJuniper Networks\u201d informou que at\u00e9 agora a maioria dos seus clientes solicitando servi\u00e7os \u201cIPv6\u201d s\u00e3o do setor de educa\u00e7\u00e3o e governo, especificamente laborat\u00f3rios de pesquisa universit\u00e1rios e unidades governamentais, uma vez que os mesmos devem atender a demanda por forma\u00e7\u00e3o de m\u00e3o de obra para lidar com o \u201cIPv6\u201d.
\nEnquanto n\u00e3o h\u00e1 uma maneira de se prever com certeza exatamente quanto tempo vai demorar at\u00e9 que todos os endere\u00e7os \u201cIPv4\u201d estejam esgotados, estat\u00edsticas di\u00e1rias s\u00e3o frequentemente citadas como uma fonte confi\u00e1vel.
\nO \u201cModelo de Huston\u201d (Huston\u2019s Dynamic Equilibrium Model), baseado em fontes p\u00fablicas de dados obtidos a partir de informa\u00e7\u00f5es divulgadas pela \u201cI.A.N.A.\u201d e por escrit\u00f3rios regionais de registro de internet, prev\u00ea o esgotamento completo de todos os endere\u00e7os \u201cIPv4\u201d ainda n\u00e3o alocados em 2014.
\nNo entanto, \u00e9 importante notar que o \u201cModelo de Huston\u201d n\u00e3o \u00e9 considerado nos endere\u00e7os que possam ser alocados por organiza\u00e7\u00f5es privadas para uso futuro ou venda, podendo ser dado como exemplo a aquisi\u00e7\u00e3o recente de mais de 600.000 endere\u00e7os \u201cIPv4\u201d pela Microsoft numa compra de ativos da fal\u00eancia da Nortel.
\nEmbora possa ser seguro assumir que endere\u00e7os \u201cIPv4\u201d suficientes estar\u00e3o dispon\u00edveis no curto prazo, muitos preveem um aumento de custos com a diminui\u00e7\u00e3o da oferta.
\nSem terem sido estabelecidas as melhores pr\u00e1ticas para o \u201cIPv6\u201d, muitos administradores de redes t\u00eam relutado em agir.
\nPor\u00e9m, com as crescentes amea\u00e7as de seguran\u00e7a e preocupa\u00e7\u00f5es sobre a perda de comunica\u00e7\u00e3o com clientes que j\u00e1 est\u00e3o migrando seus sistemas para o \u201cIPv6\u201d, esperar que os outros mudem primeiro sem fazer nada n\u00e3o \u00e9 uma posi\u00e7\u00e3o neutra como pode parecer.
\nA fase de planejamento \u00e9 o melhor momento para estabelecer-se ou reestabelecerem-se la\u00e7os com fornecedores de rede da sua confian\u00e7a e que possam oferecer arquitetura de seguran\u00e7a e orienta\u00e7\u00e3o, junto com solu\u00e7\u00f5es escal\u00e1veis para uma ampla gama de op\u00e7\u00f5es de migra\u00e7\u00e3o.<\/p>\n