O cabeçalho de extensão de fragmentação no IPv6 é usado quando um pacote excede o tamanho máximo de transmissão (MTU) de um link ao longo do caminho de entrega. A fragmentação divide o pacote original em fragmentos menores que podem ser transmitidos pelo link sem exceder o MTU.
No final do artigo você encontrará um pequeno teste isso vai permitir a você avaliar o conhecimento adquirido nesta leitura
Fragmentação
Quando um pacote IPv6 é fragmentado, o cabeçalho de fragmentação é adicionado ao início de cada fragmento gerado. Os fragmentos são transmitidos individualmente pela rede e depois remontados no nó de destino.
É importante notar que a fragmentação no IPv6 não é tão comum como no IPv4. No IPv6, o roteamento livre de fragmentação é preferido sempre que possível. Isso significa que os nós e roteadores ao longo do caminho devem ser configurados para lidar com pacotes de tamanho MTU completo e não fragmentá-los.
Se um pacote exceder o MTU em um enlace, o nó de origem deverá tentar descobrir um caminho alternativo ou usar técnicas de descoberta de MTU para evitar a fragmentação.
coisas importantes
Entre os aspectos mais importantes da fragmentação podemos detalhar os seguintes:
Fragmentação no nó de origem
No IPv6, a fragmentação geralmente é realizada no nó de origem quando é gerado um pacote que excede o MTU do link de saída. O nó de origem divide o pacote em fragmentos menores e adiciona o cabeçalho de extensão de fragmentação a cada fragmento.
Cada fragmento possui seu próprio cabeçalho de fragmentação com informações como Fragment Offset e More Fragments flag.
Fragmentação em trânsito
Ao contrário do IPv4, onde os roteadores podem fragmentar pacotes em trânsito, no IPv6 os roteadores não têm permissão para fragmentar pacotes. Isso é conhecido como “roteamento livre de fragmentação”. Os roteadores simplesmente descartam pacotes IPv6 que excedem o MTU do link, em vez de fragmentá-los. Isso reduz a carga de processamento nos roteadores e melhora a eficiência da rede.
Coleta e remontagem
A remontagem dos fragmentos é realizada no nó de destino. O nó de destino usa o ID do pacote e o campo Fragment Offset para coletar os fragmentos relacionados e remontar o pacote original. O sinalizador Mais Fragmentos é usado para determinar quando o último fragmento foi recebido e a remontagem pode ser concluída.
Fragmentação em links diferentes
Se um pacote IPv6 precisar passar por links com MTUs diferentes, poderá ocorrer fragmentação da cadeia. Neste caso, o nó de origem fragmentará o pacote original em fragmentos que caibam no MTU de cada link ao longo do caminho. Os roteadores encaminharão apenas os fragmentos sem realizar fragmentação adicional.
Opções de fragmentação
O IPv6 também inclui uma opção de fragmentação chamada “Jumbo Payload Option”. Esta opção é utilizada para enviar pacotes que excedem o tamanho máximo permitido pelo MTU da maioria dos links. A opção de carga útil Jumbo permite que pacotes de até 4 GB sejam fragmentados e remontados.
Fragmentação e qualidade de serviço (QoS)
A fragmentação no IPv6 pode afetar a qualidade do serviço. Ao fragmentar um pacote, algumas das informações de qualidade de serviço que estavam presentes no pacote original podem ser perdidas. Isso pode causar degradação no desempenho e na priorização de fragmentos durante a remontagem no nó de destino.
Descoberta de MTU de caminho (PMTUD)
Para evitar a fragmentação no IPv6, o mecanismo Path MTU Discovery é usado. O PMTUD permite que os nós de origem ajustem os tamanhos dos pacotes ao longo do caminho de entrega usando o menor MTU encontrado. Isto evita a fragmentação e garante uma transmissão eficiente sem perda de pacotes.
Problemas de fragmentação
A fragmentação no IPv6 pode introduzir algumas limitações e problemas na rede:
- Sobrecarga de processamento: A remontagem dos fragmentos no nó de destino pode exigir recursos adicionais de processamento e memória.
- Problemas de segurança: A fragmentação pode ser usada em ataques de negação de serviço (DoS) e em técnicas de ocultação de tráfego malicioso. Para mitigar estes riscos, alguns dispositivos e redes podem bloquear ou filtrar fragmentos.
- Descoberta de MTU: Como os roteadores no IPv6 não fragmentam pacotes, é importante que os nós de origem realizem a descoberta de MTU para determinar o MTU apropriado ao longo do caminho de entrega. Isso evita a fragmentação e garante melhor eficiência na transmissão de pacotes.
Tenha em mente que, embora a fragmentação no IPv6 seja possível, é recomendável evitá-la sempre que possível. O roteamento livre de fragmentação e o uso adequado da descoberta de MTU são essenciais para garantir o desempenho ideal e minimizar a complexidade na rede.
Autenticação
O cabeçalho da extensão Authentication fornece um mecanismo para autenticação e verificação de integridade de pacotes IPv6. Este cabeçalho é colocado após o cabeçalho de extensão IPv6 e antes do cabeçalho de carga útil. Seu principal objetivo é garantir que a origem e/ou conteúdo do pacote não sejam alterados durante a transmissão.
O processo de autenticação em IPv6 com o cabeçalho de extensão de autenticação envolve a origem do pacote gerando uma assinatura digital ou código de autenticação de mensagem usando uma chave secreta compartilhada ou uma chave assimétrica. O receptor do pacote pode verificar a autenticidade e integridade do pacote usando a mesma chave.
Cenários
O cabeçalho de extensão Authentication pode ser usado em diferentes cenários e aplicações que exigem um alto nível de segurança e autenticação. Abaixo estão alguns casos em que este cabeçalho pode ser usado:
- Redes Privadas Virtuais (VPNs): Em ambientes VPN, onde são estabelecidas conexões seguras em redes públicas, pode ser utilizado para garantir a autenticidade dos pacotes que trafegam pela VPN. Isso garante que os pacotes venham de fontes confiáveis e não tenham sido modificados em trânsito.
- Comunicações Confidenciais: Quando dados confidenciais ou sensíveis, como informações financeiras ou médicas, são transmitidos, eles são usados para verificar se os dados não foram alterados e provêm da fonte esperada. Isso fornece um nível adicional de segurança e garante a integridade dos dados transmitidos.
- Prevenindo ataques de phishing: É usado para prevenir ataques de phishing. Ao autenticar pacotes IPv6, você pode garantir que eles venham das fontes corretas e evitar a aceitação de pacotes falsificados.
- Verificação de integridade em aplicações críticas: Em ambientes onde a integridade dos dados é crítica, como sistemas de controle industrial ou infraestrutura crítica, ajudando a garantir que os comandos e os dados de controle não foram modificados em trânsito e vêm de fontes autorizadas.
É importante ressaltar que o uso do cabeçalho de extensão Authentication requer um mecanismo de gerenciamento de chaves e uma infraestrutura de segurança apropriados. Além disso, tanto a fonte quanto o receptor devem ser capazes de realizar as operações de autenticação necessárias e compartilhar a chave secreta ou pública correspondente.
Carga útil de segurança de encapsulamento
O cabeçalho da extensão Carga útil de segurança de encapsulamento (ESP) É usado para fornecer serviços de segurança, como confidencialidade, integridade e autenticação, para pacotes IPv6. O cabeçalho ESP é colocado após o cabeçalho de extensão IPv6 e antes da carga útil do pacote. Seu principal objetivo é proteger os dados do pacote contra acesso não autorizado e adulteração durante a transmissão.
O cabeçalho de extensão ESP permite que os sistemas de origem e destino negociem os algoritmos criptográficos e os parâmetros de segurança usados para proteger a comunicação. Os sistemas podem concordar em usar criptografia simétrica ou assimétrica, bem como autenticar mensagens usando funções hash criptográficas.
Usar o cabeçalho de extensão ESP permite proteger comunicações confidenciais, proteger a privacidade dos dados e evitar ataques de espionagem e adulteração. No entanto, a sua implementação requer configuração e administração adequadas, incluindo o estabelecimento e gerenciamento de chaves de criptografia e autenticação.
Recursos de cabeçalho de extensão ESP
Este cabeçalho possui as seguintes características:
- Integração com outros serviços de segurança: O cabeçalho ESP pode ser usado em conjunto com outros serviços de segurança para fornecer um nível adicional de proteção. Por exemplo, pode ser combinado com a utilização de VPN (Virtual Private Network) para criar ligações seguras entre redes ou utilizado em conjunto com firewalls e sistemas de detecção e prevenção de intrusões para reforçar a segurança da rede.
- Cconsiderações de desempenho: O uso do cabeçalho de extensão ESP envolve processamento adicional em dispositivos de rede, o que pode afetar o desempenho da comunicação. Os algoritmos criptográficos usados para criptografar e autenticar dados podem exigir recursos computacionais significativos, especialmente em ambientes de alto tráfego. Portanto, é importante considerar o equilíbrio entre segurança e desempenho da rede ao implementar o cabeçalho ESP.
- Políticas de gerenciamento e segurança de chaves: A implementação do cabeçalho de extensão ESP requer gerenciamento adequado das chaves de segurança usadas para criptografia e autenticação. Isto envolve a geração, distribuição e armazenamento seguro de chaves, bem como o estabelecimento de políticas de segurança para a sua gestão e atualização. O gerenciamento adequado de chaves é essencial para garantir a confidencialidade e integridade dos dados protegidos pelo cabeçalho ESP.
- Conformidade com os Padrões: O cabeçalho de extensão ESP segue os padrões definidos pela Internet Engineering Task Force (IETF) na RFC 4303. É importante levar em consideração os requisitos e recomendações estabelecidos pelos padrões para garantir a interoperabilidade e segurança nas implementações do cabeçalho ESP.
Breve teste de conhecimento
O que você acha deste artigo?
Você tem coragem de avaliar seu conhecimento aprendido?
Livro recomendado para este artigo
Livro IPv6 com MikroTik, RouterOS v7
Material de estudo do Curso de Certificação MTCIPv6E atualizado para RouterOS v7