Transio IPv4 IPv6:

Desafios e Riscos

Cristine Hoepers
cristine@cert.br
!
Apresentao desenvolvida em
conjunto com a equipe do CEPTRO.br

Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil

Ncleo de Informao e Coordenao do Ponto BR
Comit Gestor da Internet no Brasil
ICCYBER 2012, Braslia, DF, 26/09/2012

Comit Gestor da Internet no Brasil CGI.br

Dentre as atribuies definidas no Decreto Presidencial n 4.829, de 03
de setembro de 2003, destacam-se:

a proposio de normas e procedimentos relativos regulamentao das

atividades na Internet;
a recomendao de padres e procedimentos tcnicos operacionais para a
internet no Brasil;
o estabelecimento de diretrizes estratgicas relacionadas ao uso e
desenvolvimento da Internet no Brasil;
a promoo de estudos e padres tcnicos para a segurana das redes e
servios no pas;
a coordenao da atribuio de endereos Internet (IPs) e do registro de
nomes de domnios usando <.br>;
a coleta, organizao e disseminao de informaes sobre os servios
Internet, incluindo indicadores e estatsticas.
ser representado nos fruns tcnicos nacionais e internacionais relativos
Internet;

http://www.cgi.br/sobre-cg/
ICCYBER 2012, Braslia, DF, 26/09/2012

Estrutura do CGI.br e NIC.br

1 Ministrio da Cincia e Tecnologia (Coordenao)

2 Ministrio das Comunicaes
3 Casa Civil da Presidncia da Repblica
4 Ministrio da Defesa
5 Ministrio do Desenvolvimento, Indstria e Comrcio Exterior
6 Ministrio do Planejamento, Oramento e Gesto
7 Agncia Nacional de Telecomunicaes (Anatel)
8 Cons. Nacional de Desenvolvimento Cientfico e Tecnolgico
9 Frum Nac. de Secretrios Estaduais para Assuntos de C&T
10 Representante de Notrio Saber em assuntos de Internet
ICCYBER 2012, Braslia, DF, 26/09/2012

11 provedores de acesso e contedo

12 provedores de infra-estrutura de
telecomunicaes
13 indstria de bens de informtica,
telecomunicaes e software
14 segmento das empresas usurias de
Internet
15-18 representantes do terceiro setor
19-21 representantes da comunidade
cientfica e tecnolgica

Agenda
IPv4 vs. IPv6
Necessidade
Diferenas

Desafios do Perodo Transio

ICCYBER 2012, Braslia, DF, 26/09/2012

Alguns Conceitos

ICCYBER 2012, Braslia, DF, 26/09/2012

Esgotamento do IPv4
Principal problema
No existem endereos suficientes

4,3 bilhes
de endereos
IPv4

ICCYBER 2012, Braslia, DF, 26/09/2012

Quase o dobro

7+ bilhes
de pessoas
na Terra

O que deu sobrevida ao IPv4?

Solues Paliativas
CIDR
- Fim das classes
= blocos de tamanho apropriado
- Endereo de rede
= <prefixo>/<comprimento>!
- Agregao das rotas = reduo da tabela de rotas

DHCP
- Alocaes dinmicas de endereos

NAT
- Permite conectar toda uma rede de computadores usando
apenas um endereo vlido na Internet, porm com vrias
restries

ICCYBER 2012, Braslia, DF, 26/09/2012

Projeo de Esgotamento
Fim do Estoque Mundial no IANA: fevereiro/2011
Fim da alocao na sia: abril/2011
Incio da alocao do ltimo /8 na Europa: 14/setembro/2012

ICCYBER 2012, Braslia, DF, 26/09/2012

 Necessrio um Novo Protocolo

IPv6
Maior capacidade de endereamento: 128 bits
Auto configurao (Internet das coisas)
Fim da necessidade de NAT

ICCYBER 2012, Braslia, DF, 26/09/2012

O que muda? (1/2)

340.282.366.920.938.463.463.374.607.431.768.211.456
de endereos
340 undecilhes de endereos

Ou seja, para cada habitante do planeta h mais

endereos que toda a Internet atual usando IPv4

ICCYBER 2012, Braslia, DF, 26/09/2012

O que muda? (2/2)

IPv4
-
-
-
IPv6
-
-
-

192.0.2.22!
127.0.0.1!
200.160.4/24!
2001:DB8:F1CA:D1CA:1234:BA1A:CAFE:B01A!
::1!
2001:12FF/32!

ICCYBER 2012, Braslia, DF, 26/09/2012

Como Fazer a Transio para o IPv6

O IPv6 no compatvel com o IPv4 diretamente
Cenrio para a transio de um protocolo para o outro:

- Adiciona-se o IPv6 aos equipamentos em uso

(servidores, roteadores, computadores pessoais, etc)
- IPv4 e IPv6 funcionam simultaneamente por algum
tempo
- Quando toda a Internet j contar com IPv6, o IPv4 pode
ser desativado paulatinamente, completando o
processo de transio
Resoluo CGI.br/RES/2012/007/P Recomendao para
Implantao do Protocolo IPv6
http://www.cgi.br/regulamentacao/resolucao2012-007.htm
ICCYBER 2012, Braslia, DF, 26/09/2012

Implantao do IPv6 Plano Ideal

ICCYBER 2012, Braslia, DF, 26/09/2012

Implantao do IPv6 Realidade

ICCYBER 2012, Braslia, DF, 26/09/2012

Migrao
Esgotamento
do IPv4

IPv4
Jan 1983

IPv6

Projeto

IPv4 Desativao do IPv4

Compart.

Implantao

IPv6 em toda a Internet

1994

IPv6
1998

ICCYBER 2012, Braslia, DF, 26/09/2012

Transio

Riscos da no Implantao do IPv6

Dificultar o surgimento de novas redes
Diminuir o processo de incluso digital, impedindo novos
usurios
Dificultar o surgimento de novas aplicaes
Aumentar a utilizao de tcnicas, como o NAT, que
quebram o modelo fim-a-fim da Internet

ICCYBER 2012, Braslia, DF, 26/09/2012

Eventos de incentivo migrao

Fonte: Nmero de sites .br com IPv6 listados pelo Alexa

(na lista dos 1.000.000 de sites mais acessados)
ICCYBER 2012, Braslia, DF, 26/09/2012

Mas qual o desafio para

identificao de usurios na Internet
durante o perodo de transio?

ICCYBER 2012, Braslia, DF, 26/09/2012

Relembrando: IPs e portas

Navegador Web
(porta 30989)

Servidor Web
(porta 80)

Computador do usurio
(198.51.100.1)

Servidor
(203.0.113.1)

Servidor e-mail
(porta 587)

Comunicao:
198.51.100.1, 30989 203.0.113.1, 80!

ICCYBER 2012, Braslia, DF, 26/09/2012

Logs e IPv4 no provedor

Situao atual:
Provedor de servios (banco ou loja, por exemplo):
IP 200.160.4.22 fez transao Z em 05/07/2012 09:20:39!

Provedor de conectividade:
Usurio X conectou-se em 05/07/2012 09:10:32 com IP
200.160.4.22!
Usurio Y conectou-se em 05/07/2012 09:10:33 com IP
200.160.4.23!
()

ICCYBER 2012, Braslia, DF, 26/09/2012

Logs e IPv6 no provedor

Situao atual (para poucos) e futura:
Provedor de servios (banco ou loja, por exemplo):
IP 2001:db8:0:5:abcd:12ff:fe33:33ff fez transao Z em
05/07/2012 09:20:39!

Provedor de acesso:
Usurio X conectou-se em 05/07/2012 09:10:32 com IP
2001:db8:0:5:abcd:12ff:fe33:33ff!
Usurio Y conectou-se em 05/07/2012 09:10:33 com IP
2001:db8:0:5:abcd:12ff:feaa:bcd1!
()

ICCYBER 2012, Braslia, DF, 26/09/2012

Cenrio com Carrier Grade NAT (CGN)

10.0.0.2,
12345!

198.51.100.1, porta

1
198.5

.10

2000!

a 300
t
r
o
p
,
0.1

0!

(203.0.113.1)
Servidor
Web
(porta 80)

...

10.0.0.1,
12345!

Servidor
e-mail
(porta 587)

10.0.0.3,
54321!

NAT 198.51.100.1!
O equipamento (CGN) normalmente permite descobrir que
Porta 2000 = IP privado 10.0.0.1!
ICCYBER 2012, Braslia, DF, 26/09/2012

Logs e IPv4 compartilhado

Situao de transio
Provedor de servios A (banco ou loja, por exemplo):
IP 200.160.4.22 fez transao Z em 05/07/2012 09:20:39!

Provedor de servios B (banco ou loja, por exemplo):

IP 200.160.4.22, porta de origem 12341, fez transao W em
05/07/2012 09:20:39!

Provedor de acesso:
Usurio X conectou-se em 05/07/2012 09:10:32 com IP
200.160.4.22, portas=12341, 12342, ... 12345!
Usurio Y conectou-se em 05/07/2012 09:10:33 com IP
200.160.4.22, portas=12346, 12347, ... 12350!
()

ICCYBER 2012, Braslia, DF, 26/09/2012

Cenrio ideal para os prximos anos

provedores de conectividade colocam
1. usurios legados com:
IPv4 nativo
2. usurios entrantes com:
IPv6 nativo, e
IPv4 via CGN

provedores de contedo, servios de comrcio

eletrnico e internet banking com:
seus servios em dual-stack
J esto em dual-stack, entre outros:
Google (incluindo gmail), Yahoo!, Facebook, Bing, Netflix
Terra, UOL
Lista completa em:
http://www.worldipv6launch.org/participants/?q=1
ICCYBER 2012, Braslia, DF, 26/09/2012

Paleativo caso o incio da transio demore

O provedor de conectividade s ser capaz de identificar o
usurio se a solicitao incluir:
IP, data e hora (solicitao padro)
Mais porta de origem (no necessrio hoje)
Isto necessita que os servidores de contedo e transaes:
incluam a porta de origem nos logs que pode ser mais
custoso que habilitar dual-stack ou at impossvel, no caso
de aplicaes sem suporte a gerar log de portas
Sem a informao de porta de origem o provedor de
conectividade que usar CGN retornar uma lista de usurios,
provavelmente inviabilizando a investigao
ICCYBER 2012, Braslia, DF, 26/09/2012

Como aprender mais...

E-learning
Curso Presencial
Site
http://ipv6.br/

Frum de Implementadores
05/12/2012
http://ipv6.br/forum/
http://nic.br/semanainfrabr/

ICCYBER 2012, Braslia, DF, 26/09/2012

Perguntas?
Cristine Hoepers
cristine@cert.br
CGI.br Comit Gestor da Internet no Brasil
http://www.cgi.br/
NIC.br Ncleo de Informao e Coordenao do .br
http://www.nic.br/
CEPTRO.br Centro de Estudos e Pesquisas em Tecnologias de
Redes e Operaes
http://www.ceptro.br/
CERT.br Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurana no Brasil
http://www.cert.br/

ICCYBER 2012, Braslia, DF, 26/09/2012