Mudanças nos protocolos para melhorar privacidade e segurança

30/11/2017

Nos últimos anos, houve avanços importantes nos protocolos que constituem os pilares da internet. Muitas dessas modificações foram desenvolvidas para garantir a segurança e privacidade das informações, elementos que não foram contemplados na especificação original dos protocolos.

Durante o último encontro de LACNIC em Montevidéu, foi realizada uma sessão com especialistas para rever as principais mudanças, particularmente as que envolvem o DNS, BGP e IPv6.

IPv6 at home. O especialista Jordi Palet garantiu que no processo de padronização do IPv6 houve importantes melhorias na segurança.

Ele disse que uma dessas melhorias permite aperfeiçoar o tráfego do centro de dados. “É uma novidade em relação ao IPv4, onde não existe esse rótulo de fluxo”, disse Palet.

De acordo com Palet, essa melhoria em face do balanceamento de carga que não é possível no IPv4 “não levará necessariamente a melhorias nos benefícios, (mas) pode reduzir o custo de um centro de dados”.

Outra novidade a destacar nos últimos anos é a padronização dos servidores DNS que com o IPv6 podem ser configurados sem necessidade de um servidor DHCP, enquanto que com o IPv4 deve ser feito manualmente ou usando um servidor DHCP.

Palet também salientou como benefício dos padrões no IPv6 “muito trabalho da Internet das Coisas (IoT)” que não faz sentido fazê-lo no IPv4. Como exemplo usou o protocolo Home net. “Cada vez as redes dos nossos lares vão ser mais complexas, além do roteador, teremos mais redes Wi-Fi, dispositivos conectados, etc. Com o IPv4 seria necessária uma configuração manual, enquanto que com o IPv6 essa conexão será automatizada”, afirmou Palet. Com o protocolo home net as redes Wi-Fi são capazes de falar entre si para autoconfigurar-se. “Home net também permite que, em vez de ter apenas um provedor, as pessoas possam contar com outro secundário, para que as suas casas nunca fiquem desconectadas. É como ter duas conexões elétricas, você pode usar uma ou outra automaticamente”, apontou Palet.

Mais privacidade e robustez. Por sua vez, Carlos Martínez, CTO de LACNIC, informou que o IETF está trabalhando para melhorar o DNS, um dos dois componentes fundamentais da Internet. Martinez disse que os trabalhos de melhoria do DNS procuram aumentar a resistência a abusos e ataques, melhorar as características de privacidade do DNS e dar-lhe mais conteúdo, a fim de direcionar os usuários para redes de conteúdo mais próximas.

Martínez apontou que se trabalha para que todas as informações contidas no DNS – que são públicas – fiquem menos expostas e mais compartimentadas, a fim de mitigar o risco de ter grandes servidores no mundo que tenham muita informação.

Para proteger esse nível de informação, Martínez disse que, entre outras coisas, foi lançado o RFC 7816 do IETF, que minimiza a informação que o usuário divulga em cada nível de consulta de hierarquia do DNS. “Você pergunta a cada um sobre o que ele pode dizer para você. Você está revelando menos informações do que antes. A solução dessas coisas é que estão em um lugar só”, afirmou Martínez.

O passo seguinte que está sendo analisado é o transporte seguro para DNS. Como criptografar DNS? Martínez disse que há 5 sistemas sob análise. Um deles é usar a mesma tecnologia de criptografia que o https (a mesma do cadeado), mas é uma solução cara. “Isso pode ser feito em pequena escala com essa tecnologia”, disse Martinez.

A padronização também está sendo trabalhada para melhorar o acesso à distribuição de conteúdo. “Qual é o cache mais próximo de onde você está? Proximidade em termos de rede, de latência. Uma forma de detectar isso é através do endereço IP da pessoa que se conecta. Uma das propostas que existe é que quando uma consulta de DNS é feita, sejam enviadas informações do cliente (todas as informações do cliente), e isso ajuda a determinar qual é o cache mais próximo que você tem”, disse Martinez.

Modernizar o BGP. Guillermo Cicileo, responsável pelo Programa de Segurança e Estabilidade da Internet de LACNIC, falou sobre as melhorias de BGP, o sistema de roteamento da Internet.

Mediante o roteamento de BGP, você pode saber como alcançar um determinado IP. “É como um GPS da Internet”, disse Cicileo.

Concebido nos anos 80 e 90, onde a Internet era colaborativa e de pesquisa, o BGP apresenta fraquezas de segurança que se estão tentando corrigir.

Os desafios atuais do BGP são enfrentar os ataques contra o sistema de roteamento (pessoa não autorizada publica informações falsas no BGP e redireciona o tráfego) e os erros de configuração ou publicações de informações de rotas que não deveriam ser feitas.

Para resolver o problema dos ataques está se trabalhando no RPKI.

“O RPKI serve não apenas para a validação, mas também para usar isso para autorizar bancos de dados de roteamento, ou a construção automática de filtros, que podem beneficiar os operadores da Internet”, afirmou Cicileo.

Também foi desenvolvido o BGPsec, baseado no RPKI, para melhorar os mecanismos de verificação do BGP, embora por enquanto sem adoção em grande escala.

No que respeita à prevenção do vazamento de informações, estão sendo desenvolvidas técnicas para evitar que seja anunciado tudo (como, por exemplo, RFC 8212) e evitar a fuga.

Cicileo disse que antes o que “BGP aprendia de um peer, era anunciado a outros vizinhos. Agora (com o RFC 8212) deve ser definida uma política explicitamente para que publique: publica somente se você instruir. Isso evita erros de configuração”.

Este mecanismo vai contribuir para diminuir os erros de configuração e também a informações de roteamento, atacando por sua vez outro problema, como o sequestro de rotas.

Finalmente, Cicileo informou que está sendo usado o BGP em centros de dados em massa ou grande escala (centenas de milhares de servidores), pois possui vantagens como ser o único protocolo de roteamento e apresentar menor complexidade, mais estabilidade e maior controle sobre as informações de roteamento. (Ver RFC7938).

“O BGP é capaz de levar centenas de milhares de rotas e tem eficiência comprovada na Internet”, culminou Cicileo.

 

Suscríbete para recibir las últimas novedades en tu mail Click here to subscribe receive the latest news in your inbox. Inscreva-se aqui para receber as últimas novidades no seu e-mail