{"id":7536,"date":"2022-05-16T16:10:00","date_gmt":"2022-05-16T13:10:00","guid":{"rendered":"https:\/\/vasexperts.com\/?p=7536"},"modified":"2025-08-11T14:13:52","modified_gmt":"2025-08-11T11:13:52","slug":"how-ipv6-can-compromise-networks","status":"publish","type":"post","link":"https:\/\/vasexperts.com\/br\/blog\/ipv6\/how-ipv6-can-compromise-networks\/","title":{"rendered":"”De onde voc\u00ea n\u00e3o esperava”: como o IPv6 pode comprometer as redes"},"content":{"rendered":"

Obst\u00e1culos no caminho<\/h2>\r\n\u00c9 um fato comum que a implementa\u00e7\u00e3o do IPv6 \u00e9 bastante lenta \u2013 cerca de 21% dos sites<\/a> suportam o trabalho com ele. Os especialistas esperam que a migra\u00e7\u00e3o em massa para um protocolo de nova gera\u00e7\u00e3o n\u00e3o ocorra antes de dez anos. H\u00e1 v\u00e1rios motivos para isso: dificuldades t\u00e9cnicas e financeiras, bem como a presen\u00e7a do NAT, que \u201csuaviza\u201d a escassez de endere\u00e7os IPv4. No entanto, o processo tamb\u00e9m \u00e9 prejudicado por quest\u00f5es relacionadas \u00e0 seguran\u00e7a das informa\u00e7\u00f5es.\r\n\r\nO lan\u00e7amento oficial do IPv6 ocorreu h\u00e1 quase dez anos, mas os engenheiros ainda est\u00e3o encontrando vulnerabilidades na pilha t\u00e9cnica. Assim, em 2020, foi descoberto um bug relacionado ao ICMPv6, que usa o mecanismo de declara\u00e7\u00e3o do roteador (CVE-2020-16898<\/a>).\r\n\r\n [important] Essa vulnerabilidade permitiu que os invasores executassem c\u00f3digos maliciosos em um computador comprometido. [\/important] \r\n\r\nUm dos problemas mais recentes foi identificado<\/a> por especialistas do Max Planck Institute of Informatics no final de mar\u00e7o. De acordo com seu relat\u00f3rio, os dispositivos que usam o mecanismo EUI-64 para gerar o identificador de interface (a segunda parte do endere\u00e7o IPv6) comprometem a opera\u00e7\u00e3o da rede em que est\u00e3o localizados.\r\n

Como isso aconteceu?<\/h2>\r\nExiste um mecanismo SLAAC que permite que o dispositivo obtenha informa\u00e7\u00f5es de prefixo do roteador sem a ajuda de um protocolo de configura\u00e7\u00e3o de n\u00f3s DHCPv6<\/a>. Essas informa\u00e7\u00f5es e o identificador de interface (IID) de 64 bits s\u00e3o necess\u00e1rios para obter um endere\u00e7o de rede IPv6 individual.\r\n\r\nUma maneira de gerar um IID exclusivo \u00e9 ger\u00e1-lo com base no endere\u00e7o MAC do dispositivo (mecanismo EUI-64<\/a>). No entanto, atualmente, essa abordagem \u00e9 considerada n\u00e3o apenas n\u00e3o confi\u00e1vel, mas at\u00e9 mesmo perigosa<\/a>, pois revela o identificador de hardware no n\u00edvel da rede. Portanto, a comunidade desenvolveu extens\u00f5es especiais para a pilha IPv6, por exemplo, descritas em RFC4941<\/a>, que \u201crandomizam\u201d a parte do endere\u00e7o selecionada pelo host. Ao mesmo tempo, os provedores de servi\u00e7os de Internet substituem os prefixos de endere\u00e7o para prote\u00e7\u00e3o adicional.\r\n\r\n