Especialistas em segurança advertem que a desativação inadequada do antigo IPv4 pode abrir brechas para ataques.

Os defensores do novo protocolo de internet têm argumentos de sobra sobre a substituição em massa do antecessor IPv6. Mas especialistas em segurança dizem que se sua empresa não estiver totalmente compatível com a nova tecnologia não vale a pena entrar em pânico.

Em comparação com o IPv4, o IPv6 oferece um endereçamento quase ilimitado, maior mobilidade, melhor desempenho, características de segurança superiores e muito mais. Mas isso não significa que as empresas devam se apressar e ligar todos os “interruptores IPv6” porque outras empresas como Google e Facebook já se adiantaram.

Na verdade, se a organização não estiver preparada, até pode ser útil desativar os recursos de IPv6, para evitar que sejam alvo de ciberataques – muitos crackers já desenvolveram formas de aproveitar brechas do IPv6. Esta advertência vem de especialistas como o Chief Security Officer (CSO) da VeriSign, Danny McPherson, e pode parecer contraditória dadas as célebres vantagens de segurança do IPv6 em comparação com o IPv4.

Por exemplo, o IPv6 traz incorporado o protocolo IPSec, além de suportar as funcionalidades Secure Neighbor Discovery, Privacy Addresses e Unique Local Addresses – todas oferecem novas camadas de segurança.

De acordo com McPherson, “se os provedores de serviços não gerirem adequadamente as redes IPv6 – e não perceberem sua ativação na maioria dos equipamentos, haverá um impacto substancial na abordagem de segurança”.

É uma das maiores armadilhas, na qual é mais fácil cair, mas também se resolve rapidamente. O problema é que nem todas oferecem as ferramentas e funcionalidades de gestão de rede para o IPv6, como faziam para o IPv4.

“Essa falta de compatibilidade de recursos significa que as equipes de segurança não têm a mesma visibilidade e capacidade de mitigação quando tentam identificar e bloquear ataques baseados em IPv6, diz o engenheiro de qualidade de software da Arbor Networks, Cerveny Bill.

Compatibilidade plena
Assim, se os gestores de rede não estiverem preparados para garantirem que o novo protocolo tenha “compatibilidade plena em termos de segurança e operacionais, precisam realmente de desativar o IPv6 inteiramente. Eles devem implantar novos dispositivos e hardware de uma forma muito calculada”, recomenda McPherson.

O problema é que os cibercriminosos criaram formas de explorar a falta de preparação de uma organização para o IPv6. Descobriram uma maneira de usar “túneis” para enviar tráfego IPv6 sobre IPv4, vírus e spyware que contornam as defesas de rede, de acordo com a Check Point.

Alguns também têm explorado o IPv6 para roubar dados, assim como para ativar ataques de comando e controle de infraestruturas de botnets e de ataque de negação de serviço (DDoS).

As preocupações de segurança envolvendo o IPv6 não param aí. Entre outras ameaças, McPherson explica que traduzir tráfego IPv4 para o IPv6 pode ser outra armadilha.

“A transferência de volumes de pacotes IPv4 para IPv6 constitui uma oportunidade para uma implantação fraca ou para um interveniente mal-intencionado explorar uma potencial vulnerabilidade”.

Ataques de DDoS
Além disso, o IPv6 introduz cabeçalhos de extensões “que podem estar encadeados e exigem processamento complexo por vários sistemas: estes podem sobrecarregar os firewall e gateways de segurança, podendo até mesmo levar à degradação do desempenho de encaminhamento e abrir brecha para um potencial DDoS, entre outros “, diz McPherson.

Na transição do IPv4 para o IPv6, as organizações podem precisar implantar dispositivas e protocolos de Network Address Traslation (NAT). Estes podem complicar a rede e as operações, de acordo com McPherson, e quebrar as funcionalidades e ferramentas (por exemplo, listas negras e filtros de tráfego) que os gestores de segurança usam para monitorizar incidentes de segurança.

A digitalização da infraestrutura de rede para sistemas não autorizados ou vulneráveis é muito mais complexa com o IPv6 do que com o IPv4, segundo McPherson. Ele explica que o IPv6 tem, neste sentido, um espaço de endereçamento escasso.

“Esses recursos precisam ser ampliados com controles de acesso à rede e sistemas de medição ativos capazes de desencadear o rastreamento de vulnerabilidades”, recomenda.