Freigeben über


O IPv6 e a mudança de paradigma na segurança

 

Um dos grandes responsáveis pelo sucesso da Internet é a possibilidade se ter conexões  seguras, especialmente em transações de lojas virtuais, acessos a bancos on-line, acessos remotos a redes corporativas e etc. Por de trás de tudo isso existe um aparato tecnológico que prove uma camada que permite que as transações se realizem com mais segurança.

Na maioria das soluções de hoje, as informações são encriptadas pelas aplicações antes de serem transportada, como é o caso do SSL/TLS que é usado hoje nos principais sites de comercio eletrônico e bancos. Seria muito mais fácil (e no meu ponto de vista mais seguro) se o ônus de prover a segurança ficasse na camada de rede.

O IPSec é um conjunto de protocolos que permite que o pacote seja encriptado na camada de rede, e prove uma variedade de modelos de comunicação como host-to-host, host-to-gateway, gateway-to-gateway. O IPSec foi originalmente definido em 1995, pelas RFC 1825 a 1829, bem depois das RFCs do protocolo IPv4, e por este motivo algumas implementações de IPv4 não suportam IPSec e com isso a sua utilização sofre restrições em vários casos.

O IPv6 nativamente já suporta IPSec e isso pode mudar bastante o modelo de segurança atual permitindo que a segurança seja movida da camada de transporte/aplicação para a camada de rede. Por exemplo, exercendo a futurologia novamente em uma Internet IPv6, os cartões de crédito de hoje com chip poderiam prover um certificado para cada pessoa, que seria utilizada pelo IPSec para encriptar o pacote até os sites de compra ou do banco. Com isso, apenas com a senha do seu cartão e a posse dele, seria possível se autenticar nos sites e prover a segurança. Isso só seria possível porque cada host com IPv6 teria um endereço IP válido na Internet (maiores informações no post anterior) e garantir a comunicação fim-a-fim, pois o IPSec não foi concebido para funcionar com NAT, solução amplamente utilizada no IPv4. A solução decretaria o fim das senhas nos sites e dos cartões de token para acesso seguros.

Em relação à VPN, hoje eu já utilizo o meu cartão corporativo para acessar a rede da Microsoft por meio de IPv6 e IPsec, sem necessidade de dispositivos de VPN,usando uma tecnologia chamada DirectAccess. O IPv6 não é um onda tecnológica ou uma tese acadêmica, é o futuro que está batendo na sua porta.