IPv6 - Uma discussão sobre Segurança

tlaloc
(usa Gentoo)

Enviado em 31/10/2010 - 12:40h

Prezados,

ao que pude entender, até agora, o protocolo IPv6 funciona da seguinte maneira:

o IP da rede interna será calculado pelo roteador e clientes usando os o MAC do roteador + o MAC do cliente.
Não será necessário um servidor DHCP na rede porque o roteador ficará disparando pacotes especiais chamados de RA (router adversitments = avisos do roteador) que darão aos micros da rede interna os primeiros 64 bits do endereço, ficando a cargo do cliente adicionar automaticamente o seu MAC ao final do endereço e usa-lo como IP da rede interna.

Haja vista esta introdução, vamos as dúvidas sobre segurança que me saltaram a vista:

1 - Sendo que o endereço IPv6 será construído utilizando-se o MAC do equipamento como base, e tendo o NMAP a capacidade de ouvir o MAC de um equipamento pela rede, não seria absurdamente fácil deduzir quem é o próximo ativo de rede de um endereço e se fazer passar por ele afim de alcançar a rede interna? (escalonamento de privilégios)

2 - Sendo que o roteador vai ficar disparando pacotes pela rede para avisar quem é o roteador e seu endereço, não seria a mesma coisa que os broadcasts de redes sem DHCP/WINS de antigamente, que faziam por vezes a conexão travar com o número de "berros" que os roteadores e clientes dariam na rede? E que é isso agora, fizemos um retrocesso tecnológico e voltaremos a época dos "berros" virtuais?

3 - Há algumas marcas de placas de rede, na maioria xing-lings, que setam de fábrica o MAC address das placas de rede em 00:01:02:03:04:05 e coisas parecidas. Se o IP vai ser atribuído com base no MAC, redes que tiverem destas placas com MAC genérico terão conflito de IP? E o que o administrador de redes fará com sua rede de 170 computadores comprados em lote com a mesma placa de rede, com o mesmo MAC?

Os aspectos de segurança que vi falhos neste modelo de funcionamento são o de maneabilidade e disponibilidade de serviço, sem contar o aspecto de impenetrabilidade de rede.