[SECURITY-L] CAIS-Alerta: O fim do IP conforme ns conhecemos

CSIRT - UNICAMP security em unicamp.br
Qua Fev 2 09:47:19 -02 2011 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: O fim do IP conforme nós conhecemos
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Tue, 1 Feb 2011 18:51:41 -0200 (BRST)

-----BEGIN PGP SIGNED MESSAGE-----

Prezados,

O CAIS está repassando uma notícia publicada pelo ISC (Internet Storm 
Center) intitulada "The End Of IP As We Know It", que trata do esgotamento 
de endereçamento IPv4 disponível.

No dia 01 de fevereiro de 2011 a IANA (Internet Assigned Numbers 
Authority), responsável pela coordenação global dos endereços IP, DNS raíz 
e pelo registro de protocolos de Internet anunciou a distribuição de mais 
duas classes de endereçamento IPv4 /8 à APNIC (Asia Pacific Network 
Information Centre).

Como resultado, restaram somente 5 classes /8 à IANA, que colocou em 
prática uma política especial de distribuí-las à cada um dos registros 
regionais (RIR): AFRNIC (África), APNIC (Ásia Pacifico), ARIN (América do 
Norte), LACNIC (América Latina) e RIPE (Europa).

Para esclarecer possíveis dúvidas sobre o esgotamento do endereçamento 
IPv4 disponível, o ISC preparou um FAQ sobre o tema. O FAQ segue traduzido 
ao final deste alerta.

A IANA fornece endereçamentos IPs aos RIRs em blocos /8, repassando-os aos 
provedores de internet, que, por sua vez, os alocam aos usuários finais.


MAIS INFORMAÇÕES

. The End Of IP As We Know It
  http://isc.sans.edu/diary.html?storyid=10342

. IANA IPv4 Address Space Registry
  http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml

. Leading Global Internet Groups make Significant Announcement about the Status of the IPv4 Address Pool
  http://www.apnic.net/publications/news/2011/leading-global-internet-groups-make-significant-announcement-about-the-status-of-the-ipv4-address-pool

. IPv6.BR
  http://www.ipv6.br/


Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @cais_rnp.


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

================================================================

1 - A Internet vai parar de funcionar?

Não. Na verdade, é improvável que a Internet IPv4 vá parar tão cedo. É 
provável que ela coexista pacificamente ao lado da Internet IPv6. Já 
existem alguns mecanismos de transição entre as duas versões. Apesar de 
não ser uma solução elegante, as duas "internets" podem falar entre si 
através de proxies e túneis.

2 - Por que os endereços foram extintos?

Com IPv4 é possível alocar cerca de 4 bilhões de endereços. Há cerca de 6 
bilhões de pessoas no mundo, imagine quantos endereços você precisa 
(telefone de casa, trabalho ...)? É uma questão simples de matemática, 
agravado pelo fato de que para ter um roteamento eficiente, não é possível 
alocar todos os endereços.

3 - Vários endereços IPv4 ainda não são utilizados. Por que não
utilizá-los de forma mais eficaz?
        
O problema não é somente o fato de esgotarem os endereços, ainda que este 
seja o motivo principal, a atribuição de endereços de forma mais eficaz 
implicaria em alocações menores, o que tornaria mais complexas as tabelas 
de roteamento. Para fazer isto, seria necessário "re-numerar" a Internet, 
e ainda assim, ficaríamos sem endereços disponíveis em algum momento.

4 - E sobre a alocação de espaço IPv4 legada? A Apple realmente precisa 
de um /8?
        
No início da Internet, espaço de endereçamento IPv4 foi entregue de uma 
forma muito liberal. Lembre-se que a Internet era apenas uma experiência! 
Alguns dos participantes originais ainda têm grandes alocações IPv4 e não 
as utilizam de forma eficiente. No entanto, mesmo se todos eles 
entregassem seus espaços de volta, atrasaria o problema por apenas 1 ou 2 
anos e implicaria em um grande custo para as empresas afetadas (e estas 
possuem contratos dando-lhes o direito de usar o espaço de endereço). 
Algumas "alocações legadas" foram devolvidas no passado.
        
5 - O que eu preciso fazer hoje?

Não precisa se desesperar. Nada vai acontecer tão rápido. Os RIRs 
(Regional Internet Registries) ainda possuem endereços alocáveis por 
alguns meses e, dependendo da região, por um ano. Quando estas alocações 
se esgotarem é que vai ficar mais complicado. Ficará mais difícil obter 
espaço de endereços IPv4. Eventualmente, os ISP (Internet Service 
Providers) poderão solicitar de volta espaços alocados a clientes, visto 
que eles não terão como obter novos endereços com o RIR. Ao longo do 
tempo, alocação de espaço IPv4 vai ficar mais cara que IPv6.

6 - Então, eu posso apenas esperar e não fazer nada?

Não. O que você deve fazer amanhã (talvez hoje?) é configurar um 
laboratório de testes para se familiarizar com o IPv6. É fácil para 
começar. Pergunte ao seu ISP se ele já suporta IPv6 (ou quando suportará), 
ou configure um túnel com um provedor gratuito como o túnel Hurricane 
Electric [2] ou SixXS [3] (existem outros). Você precisa de um 
planejamento para saber como lidar com esta nova tecnologia. Mesmo que 
você não precise de IPv6, talvez seus parceiros de negócios podem começar 
a utilizá-lo e você precisará conectá-los via IPv6.

7 - Não posso simplesmente ignorá-lo?

Lembre-se, porque você está usando o IP em primeiro lugar? Ele permite que 
você se conecte com clientes, fornecedores, filiais etc. Em suma: te 
mantém no negócio. Assim que estes parceiros começarem a migrar para 
conectividade IPv6, você provavelmente terá que mudar também. É como 
qualquer outra tecnologia, no fim ela tem que dar suporte ao negócio (e 
bem... também é muito divertido!).

8 - O que vai mudar a partir de um ponto de vista da segurança?

Tudo e nada. A mudança mais importante de IPv4 para IPv6 é provavelmente o 
fato de que o NAT (Network Address Translation) vai se tornar menos 
importante. Proteção ao usuário final e firewalls bem configurados se 
tornarão mais importantes. A detecção passiva de recurso se tornará mais 
importante em relação à varredura ativa. Há um monte de artefatos de 
segurança que você possui e que provavelmente faz um péssimo trabalho ao 
lidar com IPv6. Eu mencionei que isto requer um planejamento e teste?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBTUhyZ+kli63F4U8VAQGM+AQAqdd62NQDWtkUfsqjSX0uEG+A3fNPI/Ty
Bx1ssDGwtmCe69E5IKFBCTBPDuw9dzm851GJffeautwqRHiumfa3FmZvPecUTNS5
3J7IsN9LAK7GdodI6nsCRS4NP0hcIitNq9UawpJX49ViBUKmGowz+80ae5RSeasj
Z3IRSoMST/k=
=yU19
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L