Seção: Guia

 
Redes IP II: Técnicas de Transição de Tunelamento

 

Nesta seção iremos citar e explicar os métodos mais importantes de transição de ambientes de redes IPv4 para IPv6 de tunelamento, são eles: Tunnel Brokers, 6to4, 6rd, NAT444, ISATAP e Teredo.

 

Tunnel Brokers

 

Segundo a RFC 3053 os Tunnel Brokers são serviços oferecidos por provedores na Internet que se propõem a levar conectividade IPv6 aos usuários finais que possuem acesso a Internet puramente IPv4 construindo túneis até eles. Assim, qualquer usuário cadastrado poderá ter acesso ao conteúdo IPv6 através de um Tunnel Broker, desde que tenha instalado em sua máquina um cliente que permita ser autenticado e que possa enviar e receber dados através do túnel [37].

 

Existem três grandes serviços de Tunnel Broker com presença global pela internet. São eles:

 

Seu funcionamento é bastante simples: primeiramente é necessário realizar um cadastro, normalmente via Web, em um provedor que ofereça esse serviço, chamado, neste contexto de Tunnel Broker. O provedor realizará de forma automática, ou semi automática, a configuração do seu lado do túnel e permitirá o download de instruções de um software ou script de configuração, para configurar o lado do usuário. Os Tunnel Brokers normalmente oferecem blocos fixos IPv6 que variam de /64 a /48 [38].

 

As figuras 09 e 10 mostram desde a solicitação de acesso para o servidor até a sua conexão completa.

 

transicao-17

Figura 3: Topologia lógica do Tunnel Broker

Fonte: http://ipv6.br/entenda/transicao/#tecnicas-broker

 

 

transicao-18

Figura 4: Topologia física do Tunnel Broker

Fonte: http://ipv6.br/entenda/transicao/#tecnicas-broker

 

  • Cliente pilha dupla solicita o túnel (pode ser solicitada autenticação) via IPv4
  • Broker cadastra usuário no Servidor de túnel
  • Broker informa cliente parâmetros para criação do túnel
  • Túnel estabelecido

 

Um exemplo de configuração é a utilização de Tunnel Broker no Windows. É possível utilizá-lo em diversas versões do WIndows (2000, XP, 2008, Vista e 7) desde que o suporte IPv6 seja instalado nas versões que não o suportam nativamente. A configuração deve ser feita através do console usando um usuário com permissões administrativas. As configurações para estas versões do Windows são:

 

Explicação das variáveis usadas:

  • $ipv4a = IPv4 do servidor do túnel
  • $ipv4b = IPv4 do usuário do túnel
  • $ipv6a = rede /64 alocada ao lado do servidor do túnel
  • $ipv6b = rede /64 alocada ao lado do usuário do túnel

 

Windows 2000/XP:

  • ipv6 install
  • ipv6 rtu ::/0 2/::$ipv4a pub
  • ipv6 adu 2/$ipv6b

 

Windows 2008/Vista/7

 

Netsh interface ipv6 add v6v4tunnel interface=IP6Tunnel $ipv4b $ipv4a

 

Segundo Adilson Florentino, acessar a Internet através de um Tunnel Broker equivale a estar conectado através de uma VPN, o que torna a conexão um pouco mais lenta, que por consequência acaba perdendo o nível de SLA (Service Level Agreement).

 

A utilização de Tunnel Brokers é recomendada para usuários domésticos e corporativos que querem testar o IPv6, ou começar um processo de implantação em suas redes, mas cujos provedores de acesso à internet ainda não oferecem suporte ao novo protocolo.

 

Túneis 6to4 , 6rd, NAT444, ISATAP e Teredo

 

Chamados de Túneis Automáticos ou Túneis Dinâmicos, estes túneis permitem que um roteador ou host da rede local tenham conectividade IPv6 usada em diferentes cenários.

 

Túneis 6to4

 

O 6to4 (RFC 3056) é umas das técnicas de transição mais antigas em uso e é a técnica que inspirou a criação do 6rd. Sua concepção era simples e muito interessante: com ajuda de relays pilha dupla distribuídos na Internet, abertos, instalado de forma colaborativa por diversas redes, qualquer rede IPv4 poderia obter conectividade IPv6, através de túneis 6to4 automáticos [9].

 

O 6to4 é composto dos seguintes elementos:

  • Relay 6to4: roteador com suporte ao 6to4 e que possui conexão nativa IPv4 e IPv6. Ele funciona como a extremidade dos túneis automáticos para os Roteadores 6to4 que precisam se comunicar com a Internet IPv6.
  • Roteador 6to4: roteador que suporta 6to4 que fica na extremidade de uma rede IPv4 e é responsável por trazer conectividade IPv6 para esta rede, por meio dos túneis 6to4. No caso dos acessos à Internet IPv6, ele direcionará o tráfego até o Relay Router mais próximo, que encaminhará o pacote ao seu destino. Para acesso a outras redes 6to4, os túneis são fechados diretamente com outros Roteadores 6to4.
  • Cliente 6to4: equipamento de rede ou computador que usa endereços IPv6 fornecidos pelo túnel 6to4. O cliente 6to4 é um cliente pilha dupla convencional, normalmente numa rede doméstica ou corporativa, que pode usar IPv4 nativo ou compartilhado. O cliente não diferencia um endereço IPv6 obtido via 6to4, de um endereço IPv6 nativo [38].

 

A figura 5 abaixo mostra o fluxo dos pacotes em uma rede 6to4. É interessante notar que os pacotes nem sempre vão por uma determinada rota e voltam pelo mesmo relay 6to4. As etapas 1, 3, 4 e 6 utilizam pacotes IPv6 e as etapas 2 e 5 utilizam pacotes IPv6 encapsulados em IPv4.

 

transicao-41-a

Figura 5: Topologia e funcionamento do túnel 6to4

Fonte: http://ipv6.br/entenda/transicao/

 

  • De acordo com a figura, o pacote é enviado através da rede local IPv6 para o roteador R1;
  • O pacote IPv6 é recebido por R1 através da interface LAN, que verifica sua tabela de roteamento e descobre que deve enviar o pacote para a interface virtual 6to4 (rota para a rede 2002::/16). Nesta interface o pacote IPv6 é encapsulado em um pacote IPv4 (protocolo tipo 41) e enviado ao Relay RL1 ou RL2 (O Relay 6to4 pode ser definido manualmente no roteador 6to4 ou então automaticamente através da utilização do endereço anycast 192.88.99.1).
  • RL1 recebe o pacote 6to4 através de sua interface IPv4, vê que o pacote utiliza o protocolo 41 e o encaminha para a interface virtual. Esta desencapsula o pacote IPv6 e verifica na sua tabela de roteamento que deve enviá-lo pela interface LAN através do roteador R3, que simplesmente repassa o pacote IPv6 ao servidor S2;
  • S2 responde com o envio de outro pacote IPv6 com destino ao Cliente C2 utilizando a sua rota padrão, que aponta para o roteador R3. R3 recebe o pacote e, através da rota recebida via BGP, sabe que deve enviá-lo para o relay mais próximo, que é RL2;
  • RL2 recebe o pacote IPv6 e verifica que o destino é a rede 6to4 (2002::/16). Deste modo, de acordo com sua tabela de roteamento, ele encaminha o pacote para a interface virtual 6to4, que o empacota em um pacote IPv4 (protocolo 41) e o envia ao endereço IPv4 implícito no endereço IPv6 do destinatário do pacote;
  • O roteador R1 recebe o pacote através de seu endereço IPv4, verifica que o pacote está utilizando o protocolo 41 e o encaminha à interface virtual 6to4. Esta o desencapsula e verifica o endereço de destino. De acordo com sua tabela de roteamento e o endereço de destino, o pacote IPv6 é enviado através da sua interface LAN para o Cliente 6to4 C2.

 

As funções de Roteador e Cliente 6to4 podem estar presentes no mesmo equipamento. Um desktop convencional, por exemplo, usando Windows Vista, atua de forma automática como Roteador 6to4, desde que tenha um endereço IPv4 válido disponível.

 

O endereçamento 6to4, conforme definição da IANA, utiliza o prefixo de endereço global 2002:wwxx:yyzz::/48, onde wwxx:yyzz é o endereço IPv4 público do cliente convertido para hexadecimal. O exemplo a seguir mostra como fazer a conversão de endereços:

 

Endereço IPv4: 200.192.180.002.

200=C8

192=C0

180=B4

002=02

 

Com isso, o bloco IPv6 correspondente, via 6to4, é 2002:C8C0:B402::/48.

 

As grandes desvantagens do 6to4 residem no fato de que os Relays públicos estão sujeitos a ataques de negação de serviço e spoofing (ataque que consiste em mascarar – spoofpacotes IP utilizando endereços de remetentes falsificados), além de trabalhar com roteamento assimétrico (os pacotes irem para o destino por uma rota e voltar por outra rota bem mais distante). Somando a isto, estamos lidando com relays não privados, ou seja, não tendo o controle sob os mesmos, sujeitando então a vários tipos de problemas como: segurança e garantia de um bom serviço, entre outros [5].

 

IPv6 Rapid Deploymant – 6rd

 

O 6rd (RFC5569) é uma extensão da técnica 6to4 (que foi explicada no item anterior), que está em desuso. O 6rd resolve algumas das limitações técnicas do 6to4, como por exemplo, sua assimetria e a falta de controle sobre os relays públicos utilizados, permitindo sua utilização em larga escala [40].

 

Analisando a figura, é possível notar que o 6rd depende basicamente de dois componentes:

  • CPE 6rd: instalado como interface entre a rede da operadora e do usuário;
  • Relay 6rd: instalado na interface entre a rede IPv4 da operadora e a Internet IPv6.

 

O 6rd é um CPE tradicional (xDSL modem, cable modem e 3G modem), cujo software foi modificado para permitir o uso do 6rd. A necessidade dessa modificação dificulta a implementação da técnica, uma vez que requer a substituição, lógica ou física, de equipamentos em campo. Tal modificação nos CPEs normalmente é viável nos casos em que o provedor gerencia remotamente o equipamento, sendo capaz de fazer upgrades em seu firmware [38].

 

transicao-39

Figura 6: Topologia de rede 6rd

Fonte: http://ipv6.br/entenda/transicao/

 

Conforme Adilson Florentino, o 6rd resolve o problema da implementação rápida do IPv6 na internet, mas o problema principal que fez com que existisse esse novo protocolo (o esgotamento do IPv4) continua, visto que é preciso um endereço IPv4 e um IPv6 válido em cada cliente.

 

NAT 444

 

Este mecanismo atribui um IPv4 privado para cada um dos usuários de um ISP, de forma semelhante ao que já é normalmente feito em redes domésticas e em diversas redes corporativas. Ou seja, os usuários conviverão, nesse caso, com duas camadas de NAT.

 

A figura abaixo explica como o NAT444 ocorre.

 

NAT444NAT464DSLITE

Figura 7: NAT444

Fonte: Fast Lane - US

 

O Nat444 alivia o problema de escassez do IPv4, mas por outro lado acarreta uma séries de problemas:

  • Quebra do modelo fim-afim da Internet
  • Dificulta o funcionamento de uma série de aplicativos
  • Não é escalonável
  • Aumenta o processamento no dispositivo tradutor
  • Proporciona uma falsa sensação de segurança
  • Impossibilita o rastreio do caminho dos pacotes

 

ISATAP – Intra-Site Automatic Tunnel Adressing Protocol

 

A ISATAP é uma técnica de tunelamento que liga dois hosts distintos a roteadores como mostra a figura 8. Sua utilização ocorre dentro das organizações, pois não há um serviço público de ISATAP. É possível utilizar a técnica quando a organização tem IPv6 na extremidade de sua rede, fornecido por seu provedor, mas sua infraestrutura interna, ou parte dela, não suporta o protocolo [5].

 

image025

Figura 8: Topologia de rede ISATAP

Fonte: http://www.1ask2.com/Windows7/IPv6Trans.htm

 

A configuração dos túneis ISATAP em roteadores Cisco é bem semelhante à configuração do 6to4 informada anteriormente. Segue o mapeamento dos endereços usados no ISATAP apresentado na figura 9.

 

transicao-46-1024x138

Figura 9: Tradução de endereço IPv4 para IPv6 no ISATAP

Fonte: http://ipv6.br/entenda/transicao/#tecnicas-isatap

 

  • Prefixo unicast: É qualquer prefixo unicast válido em IPv6, que pode ser link-local (FE80::/64) ou global. Normalmente utiliza-se uma rede /64 obtida a partir do prefixo global fornecido pelo provedor de Internet para uso na rede.
  • ID IPv4 público ou privado: Se o endereço IPv4 for público, este campo deve ter o valor “200″. Se for privado (192.168.0.0/16, 172.16.0.0/12 e 10.0.0.0/8), o valor do campo será zero;
  • ID ISATAP: Sempre tem o valor 5EFE;
  • Endereço IPv4: É o IPv4 do cliente ou roteador em formato IPv4;[38].

 

O ISATAP é suportado pela maior parte dos sistemas operacionais e roteadores e de fácil implantação. É utilizado em sua grande maioria em organizações que possuem trânsito IPv6, mas que tem partes de sua infra estrutura em IPv4 (Pilha Dupla).

 

Teredo

 

Na lacuna deixada pelo tunelamento 6to4 e pelo túnel Broker tem-se essa nova tecnologia de túnel, chamado Teredo, que funciona através do protocolo UDP e permite o seu funcionamento através de NAT e sem autenticação. Essa técnica não é eficiente, pois sua complexidade exige muito processamento, mas, é uma das únicas formas de conexão para clientes que estão atrás de NAT, seja ele do tipo Cone Full ou Cone restrito (não funciona através de NAT do tipo Simétrico) e desejam se conectar a Internet IPv6 independente do administrador de Rede e sem autenticação com um túnel Broker [29].

 

Sua utilização não é recomendada, dado que não é muito eficiente, tem alta taxa de falhas e algumas considerações de segurança. Contudo, é importante conhecê-la bem, já que está implementada e é utilizada de forma automática em algumas versões do Windows. Por padrão, os Windows 7 e Vista já trazem o Teredo instalado e ativado por padrão, enquanto que no Windows XP, 2003 e 2008, ele vem apenas instalado [38].

 

Teredo é a tecnologia de transição do Protocolo da Internet (IPv6) que permite que o tráfego IPv6 atravesse um NAT (Tradutor de Endereços de Rede). Os NATs são de uma forma geral utilizados para compartilhar uma conexão da Internet com múltiplos computadores em uma rede pequena/doméstica (SOHO). Devido à forma como o Teredo e os NATs estão disponíveis em vários fornecedores, o Teredo pode não funcionar adequadamente através de todos os NATs [41].

 

Os Servidores Teredo utilizam a porta UDP 3544 para comunicar-se com os dispositivos. Bloquear pacotes IPv4 enviados de uma rede para a Internet nessa porta e na direção inversa, é uma forma efetiva para evitar a utilização indesejada, muitas vezes involuntária, desse tipo de túneis.

 

Existem dois elementos importantes no Teredo: o Servidor Teredo e o Relay Teredo. A conexão é realizada através de um Servidor Teredo, que a inicia após determinar o tipo de NAT usado na rede do cliente. Em seguida, caso o nó destino possua IPv6 nativo, um Relay Teredo é utilizado para criar uma interface entre o cliente e o nó destino. O Relay utilizado será sempre o que estiver mais próximo do nó destino e não o mais próximo do cliente [38].

 

A figura a seguir representa o estabelecimento do túnel Teredo na situação mais complexa possível, quando o cliente está em uma rede com NAT. Note que no estabelecimento do túnel, os primeiros pacotes fluem através do Servidor Teredo. Uma vez estabelecido o túnel, toda a comunicação é feita através do Relay, bidirecionalmente [38].

 

transicao-44

Figura 10: Estabelecimento de túnel Teredo

Fonte: http://ipv6.br/entenda/transicao/#tecnicas-teredo

 

Assim como o 6to4, o Teredo é muito falho no quesito de segurança. Através do encapsulamento ele pode permitir que tráfego que seria bloqueado em IPv4 consiga chegar ao destino. É importante notar que o Teredo vem instalado e habilitado por padrão no Microsoft Windows. Recomenda-se que seja desabilitado em redes corporativas.