NAT Responde

utilizando IP diferente Responde utilizando o mesmo IP Flag Cone=1 Flag Cone=0 Flag Cone=0 Simétrico se porta-2=porta-3 Cliente Teredo IPv4-1 IPv4-2 IPv4-1 IPv4-1 IPv4-2 IPv4-2 1 2 3

Passos de inicialização do Teredo:

1 1: uma mensagem Router Solicitation (RS) é enviada ao servidor Teredo 1 (servidor primário) com a flag de NAT tipo Cone ativado. O servidor Teredo 1 então responde com uma mensagem de Router Advertisement (RA). Como a mensagem RS estava com o Cone flag ativado, o servidor Teredo 1 envia a mensagem RA utilizando um endereço IPv4 alter- nativo. Com isso, o cliente conseguirá determinar se o NAT que está utilizando é do tipo Cone, se ele receber a mensagem de RA;

1 2: se a mensagem RA do passo anterior não for recebida, o cliente Teredo envia outra mensagem RS, mas agora com o Cone flag desativado. O servidor Teredo 1 responde novamente com uma mensagem RA, mas como o Cone flag da mensagem RS estava desativado, ele responde usando o mesmo endereço IPv4 em que recebeu a mensagem RS. Se agora o cliente receber a mensagem de RA, então ele conclui que está utilizando NAT do tipo restrita;

1 3: para ter certeza de que o cliente Teredo não está usando um NAT do tipo simétrico, ele envia mais uma mensagem RS, mas agora para o servidor secundário Teredo 2, que responde com uma mensagem do tipo RA. Quando o cliente recebe a mensagem RA do servidor Teredo 2, ele compara o endereço e a porta UDP de origem contidos na men- sagem RA recebida dos dois servidores; se forem diferentes, o cliente conclui que está usando NAT do tipo simétrico, que não é compatível com o Teredo.

Figura 10.11

Inicialização do Teredo.

IP v6 B ás ic o Internet IPv4 Internet IPv6 Rede Local IPv4 Relay Teredo Servidor IPv6 Cliente Teredo Servidor Teredo NAT 1 2 4 ₅ 3 6

Passos para a comunicação através de NAT tipo Cone:

1 1: para iniciar a comunicação, primeiro o cliente Teredo tem de determinar o endereço IPv4 e a porta UDP do relay Teredo que estiver mais próximo do host IPv6. Para isso, ele envia uma mensagem ICMPv6 Echo Request para o host IPv6 via o seu servidor Teredo; 1 2: o servidor Teredo recebe a mensagem ICMPv6 Echo Request e a encaminha para o

host IPv6 através da rede IPv6;

1 3: o host IPv6 responde ao cliente Teredo com uma mensagem ICMPv6 Echo Reply, que é roteada através do relay Teredo mais próximo dele;

1 4: o relay Teredo então encapsula a mensagem ICMPv6 Echo Reply e envia diretamente ao cliente Teredo. Como o NAT utilizado pelo cliente é do tipo Cone, o pacote enviado pelo relay Teredo é encaminhado para o cliente Teredo;

1 5: como o pacote retornado pelo relay Teredo contém o endereço IPv4 e a porta UDP utilizada por ele, o cliente Teredo extrai essas informações do pacote. Depois disso, um pacote inicial é encapsulado e enviado diretamente pelo cliente Teredo para o endereço IPv4 e porta UDP do relay Teredo;

1 6: o relay Teredo recebe esse pacote, remove o cabeçalho IPv4 e UDP e o encaminha para o host IPv6. Depois disso, toda a comunicação entre o cliente Teredo e o host IPv6 é feita via o relay Teredo através desse mesmo método.

Figura 10.12

Comunicação por meio de NAT tipo Cone.

Ca pí tu lo 1 0 - C oe xi st ên ci a e t ra ns iç ão – P ar te 2 Internet IPv4 Internet IPv6 Rede Local IPv4 Relay Teredo Servidor IPv6 Cliente Teredo Servidor Teredo NAT 2 8 3 9 Tráfego IPv6

Pacotes IPv6 encapsulados em UDP/IPv4

1

4 5

7 6

Passos para a comunicação através de NAT restrito:

1 1: para iniciar a comunicação, primeiro o cliente Teredo tem de determinar o endereço IPv4 e a porta UDP do relay Teredo que estiver mais próximo do host IPv6; para isso, ele envia uma mensagem ICMPv6 Echo Request para o host IPv6 via o seu servidor Teredo; 1 2: o servidor Teredo recebe a mensagem ICMPv6 Echo Request e a encaminha para o

host IPv6 através da rede IPv6;

1 3: o host IPv6 responde ao cliente Teredo com uma mensagem ICMPv6 Echo Reply que é roteada através do relay Teredo mais próximo dele;

1 4: através do pacote recebido, o relay Teredo descobre que o cliente Teredo está utili- zando um NAT do tipo restrito; sendo assim, se o relay Teredo enviar o pacote ICMPv6 dire- tamente para o cliente Teredo, ele será descartado pelo NAT porque não há mapeamento pré-definido para tráfego entre o cliente e o relay Teredo. Com isso, o relay Teredo envia um pacote Bubble para o cliente Teredo através do servidor Teredo, usando a rede IPv4; 1 5: o servidor Teredo recebe o pacote Bubble do relay Teredo e o encaminha para o cliente

Teredo, mas coloca no indicador de origem o IPv4 e a porta UDP do relay Teredo. Como já havia um mapeamento de tráfego entre o servidor Teredo e o cliente Teredo, o pacote passa pelo NAT e é entregue ao cliente Teredo;

1 6: o cliente Teredo extrai do pacote Bubble recebido o IPv4 e a porta UDP do relay Teredo mais próximo do host IPv6; com isso, o cliente Teredo envia um pacote Bubble para o relay Teredo, para que seja criado um mapeamento de conexão entre eles no NAT; 1 7: baseado no conteúdo do pacote Bubble recebido, o relay Teredo consegue determinar

que corresponde ao pacote ICMPv6 Echo Reply, que está na fila para a transmissão. Também determina que a passagem através do NAT restrito já está aberta e, sendo assim, encaminha o pacote ICMPv6 Echo Reply para o cliente Teredo;

1 8: depois de recebido o pacote ICMPv6, um pacote inicial é então enviado do cliente Teredo para o host IPv6 através do relay Teredo mais próximo dele;

Figura 10.13

Comunicação por meio de NAT restrito.

IP

v6 B

ás

ic

o

1 9: o relay Teredo remove os cabeçalhos IPv4 e UDP do pacote e o encaminha através da rede IPv6 para o host IPv6. Após isso, os pacotes subsequentes são enviados através do relay Teredo.

O principal problema de segurança quando se utiliza o Teredo é que seu tráfego pode passar despercebido pelos filtros e firewalls se estes não estiverem preparados para interpretá-lo. Sendo assim, os computadores e a rede interna ficam expostos a ataques vindos da internet IPv6. Para resolver esse problema, antes de implementar o Teredo, deve-se fazer uma revisão nos filtros e firewalls da rede ou pelo menos dos computadores que utilizarão essa técnica. Além desse problema, ainda temos os seguintes:

1 O cliente Teredo divulga na rede a porta aberta por ele no NAT e o tipo de NAT que está utilizando, possibilitando assim um ataque através dela;

1 A quantidade de endereços Teredo é bem menor que os endereços IPv6 nativos, facili- tando a localização de computadores vulneráveis;

1 Um ataque por negação de serviço é fácil de ser aplicado, tanto no cliente quanto no relay; 1 Devido ao método de escolha do relay pelo host de destino, pode-se criar um relay falso

e utilizá-lo para coletar a comunicação deste host com os seus clientes.

Assim como o 6to4, o Teredo possui questões de segurança. Através do encapsula- mento, pode permitir que tráfego que seria bloqueado em IPv4 consiga chegar ao destino. Ele vem instalado e habilitado por padrão no Windows. Recomenda-se que seja desabilitado em redes corporativas.

ISATAP

q

1 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) é uma técnica de tunelamento que liga hosts a roteadores.

1 Não há um serviço público de ISATAP; é uma técnica usada dentro das organizações. 1 Sua utilização faz sentido, por exemplo, quando a organização já tem numeração IPv6

válida e conectada na borda, mas sua infraestrutura interna não suporta IPv6.

Cenário 1 2 3 4 5 6 7 8 9 10

Suporta Não Não Não Não Não Não Não Não Sim Não

IntraSite Automatic Tunnel Addressing Protocol (ISATAP) é uma técnica de tunelamento que liga dispositivos a roteadores. Sua utilização ocorre dentro das organizações, pois não há um serviço público de ISATAP. É possível usar a técnica quando a organização tem IPv6 na extremidade de sua rede, fornecido por seu provedor, mas sua infraestrutura interna, ou parte dela, não suporta o protocolo.

A figura a seguir demonstra o conceito do ISATAP.

Tabela 10.7

ISATAP e os cenários.