Considerações fundamentais para não errar em uma implantação de rede

17/08/2022

Por Henri Alves de GodoyComputer Network Analyst | Professor Ph.D, · Jornada completaUNICAMP – Universidade Estadual de Campinas

Com as tecnologias emergentes como o 5G, IoT, e as plataformas de streaming e console de games, precisamos ficar atentos para que possamos suportar todas as aplicações de uma forma a levar alta qualidade de acesso à Internet para o usuário final. É evidente que para atender toda essa quantidade de hosts precisamos considerar o uso do protocolo IPv6 em novos projetos para que as perspectivas de crescimento de negócio não sejam afetadas. Um bom planejamento de toda infraestrutura é necessário desde o começo para minimizar os possíveis erros e consequentemente fazer com que todo projeto chegue a falhar.  A seguir descrevo em 4 passos ou tópicos principais de como podemos evitar esses erros para obter um maior sucesso nos projetos de redes do futuro, sejam eles de ISPs, Universidades, Coorporativos ou Governos.

1 – Mentalidade ainda em IPv4

Podemos apontar como sendo um dos erros que abrangem os profissionais que ainda mantem alguns hábitos ou práticas com pensamentos ainda no protocolo IPv4.  Como exemplo, os bloqueios de mensagem ICMP ou sua filtragem de pacotes em um firewall. Se antes alguns profissionais faziam esse bloqueio por entender que conseguiriam manter assim sua rede segura (o que não é verdade) hoje com o protocolo IPv6 já não podemos agir dessa forma, pois dependemos do ICMPv6 para o funcionamento do protocolo e seus anúncios de descoberta de vizinhança (NDP).

Temos que entender que hoje com IPv6 não entregamos mais um endereço IP, mais sim uma rede inteira /64 ou mais, e não precisamos nos preocupar com os problemas de escassez do passado (economia de endereços IPv4), por que os endereços IPv6 não se esgotaram por algumas centenas de anos. Essa mudança de atitude é muito importante pois alguns ainda tem esse receio que estamos desperdiçando IPv6 e acabam por fazer NAT de endereços IPv6.

Escolher o método de entrega dos endereços IPv6 aos hosts é fundamental, pois o DHCPv6 não entrega mais o default gateway e teremos que combinar com outras técnicas como SLAAC. Devemos entender que o objetivo principal do DHCP/DHCPv6 é exclusivamente a entrega de endereços IP e outros parâmetros de configuração dos hosts, mas muitos utilizam esse serviço como uma maneira de fazer registros (logs) dos seus usuários.

2 – Não envolver equipes de desenvolvimentos de sistemas

O uso de novos serviços e aplicações devem contemplar sua compatibilidade com o protocolo IPv6. Com os ISPs entregando cada vez mais endereços IPv6, a maioria ainda dual-stack, os usuários agora se conectam aos serviços básicos web, e-mail, dns e muito provável também pelos aplicativos em smartphones utilizando o IPv6. Portanto envolver toda a equipe de desenvolvimento de sistemas e aproximá-los cada vez mais a entender novos protocolos de rede é extremamente importante para que a aplicação desenvolvida consiga lidar, nos seus códigos de programação, o endereçamento maior que 32 bits do IPv4, por exemplo, em um banco de dados.

Um exemplo simples é começar a criar o habito de fazer com que o bind socket das aplicações (Apache, Nginx, Tomcat, MySQL, PostgreSQL) sejam feitos agora no endereço ::1 (localhost) para que seus serviços já estejam preparados para um cenário de IPv6-only no seu Data Center e a retirada do IPv4 da sua rede em breve.

Arquivos de configurações do Tomcat (server.xml) e do PostgreSQL (database.yml)

Considerar que novos produtos que ofereçam relatórios de auditoria, monitoramento da rede, restrições de acesso a aplicações, devem contemplar os endereços IPv6 em seu desenvolvimento. Para isso o movimento DevOps é considerado o segredo para que possamos romper a barreira dos 40% da adoção mundial do IPv6 no qual chegamos em 2022.

Fonte:

https://pulse.internetsociety.org/blog/ipv6-deployment-passes-another-milestone

3 – Desabilitar o IPv6

Se pudermos classificar um dos maiores erros é considerar a sua desativação em uma rede. Apesar de proporcionar uma falsa sensação ou alivio de uma possível resolução de um erro na rede ou aplicação, essa ação só faz adiar ainda mais a mitigação do problema.

 Os sistemas operacionais e os principais browsers dão preferência por uma conexão IPv6 através do HappyEyeBalls (RFC 8305).  Portanto a degradação do trafego IPv6 ou algum problema de roteamento é percebido pelo usuário e pode causar lentidão no acesso à Internet de uma maneira geral. Assim o aumento de reclamações pode aumentam e o usuário acaba por desistir e desabilitar o IPv6 no seu host. Por isso uma função fundamental dos ISPs além de entregar o IPv6 é fazer o seu monitoramento e gerenciamento da rede dual-stack para que essa ação não se torne uma prática comum e venha a surtir efeito contrário a adoção do IPv6.

Devemos também combater as “fake news” muito forte hoje em dia com relação ao IPv6 como por exemplo: desabilitar o IPv6 pode acelerar a rede ou desabilitar o IPv6 pode oferecer uma proteção melhor na sua VPN. Esses erros conceituais prejudicam muito o avanço da transição para o IPv6 e precisamos criar ações de conscientização acerca disso.

4 – Ignorar o IPv6

Por último e não menos importante é não se preocupar ou ignorar o IPv6 em sua rede, considerando apenas uma moda passageira. Devemos ter ciência de que o IPv6 já está na sua rede de alguma forma, como por exemplo, através dos endereços ULA das interfaces de rede, e o mais grave, você ainda não percebeu.

Ao não monitorar ou gerenciar sua rede tuneis automáticos 6to4 podem estar sendo criando em um sistema operacional Windows fazendo com que você tenha tráfego IPv6, mesmo que ainda você admita não ter.  Isso pode estar causando uma péssima experiencia de navegação aos seus usuários percorrendo caminhos diferentes, causando graves problemas de segurança, pois seus controles de acesso e firewalls podem não estar atuando nesses tráfegos.

Exemplo de Túnel Automático 6to4 no Windows

Portanto a melhor forma de resolver esse problema é sim se convencer que o IPv6 é um protocolo que deve ser considerado na sua rede e ativa-lo. Porém caso ainda não está nos seus planos a ativação do IPv6 em sua rede, o tratamento de tuneis automáticos (protocolo 41) podem ser feitos facilmente com o gerenciamento de políticas de grupo em uma rede com Active Directory de forma a minimizar o problema.

Suscríbete para recibir las últimas novedades en tu mail Click here to subscribe receive the latest news in your inbox. Inscreva-se aqui para receber as últimas novidades no seu e-mail