coisas importantes

Entre os aspectos mais importantes da fragmentação podemos detalhar os seguintes:

Fragmentação no nó de origem

No IPv6, a fragmentação geralmente é realizada no nó de origem quando é gerado um pacote que excede o MTU do link de saída. O nó de origem divide o pacote em fragmentos menores e adiciona o cabeçalho de extensão de fragmentação a cada fragmento.

Cada fragmento possui seu próprio cabeçalho de fragmentação com informações como Fragment Offset e More Fragments flag.

Fragmentação em trânsito

Ao contrário do IPv4, onde os roteadores podem fragmentar pacotes em trânsito, no IPv6 os roteadores não têm permissão para fragmentar pacotes. Isso é conhecido como “roteamento livre de fragmentação”. Os roteadores simplesmente descartam pacotes IPv6 que excedem o MTU do link, em vez de fragmentá-los. Isso reduz a carga de processamento nos roteadores e melhora a eficiência da rede.

Coleta e remontagem

A remontagem dos fragmentos é realizada no nó de destino. O nó de destino usa o ID do pacote e o campo Fragment Offset para coletar os fragmentos relacionados e remontar o pacote original. O sinalizador Mais Fragmentos é usado para determinar quando o último fragmento foi recebido e a remontagem pode ser concluída.

Fragmentação em links diferentes

Se um pacote IPv6 precisar passar por links com MTUs diferentes, poderá ocorrer fragmentação da cadeia. Neste caso, o nó de origem fragmentará o pacote original em fragmentos que caibam no MTU de cada link ao longo do caminho. Os roteadores encaminharão apenas os fragmentos sem realizar fragmentação adicional.

Opções de fragmentação

O IPv6 também inclui uma opção de fragmentação chamada “Jumbo Payload Option”. Esta opção é utilizada para enviar pacotes que excedem o tamanho máximo permitido pelo MTU da maioria dos links. A opção de carga útil Jumbo permite que pacotes de até 4 GB sejam fragmentados e remontados.

Fragmentação e qualidade de serviço (QoS)

A fragmentação no IPv6 pode afetar a qualidade do serviço. Ao fragmentar um pacote, algumas das informações de qualidade de serviço que estavam presentes no pacote original podem ser perdidas. Isso pode causar degradação no desempenho e na priorização de fragmentos durante a remontagem no nó de destino.

Descoberta de MTU de caminho (PMTUD)

Para evitar a fragmentação no IPv6, o mecanismo Path MTU Discovery é usado. O PMTUD permite que os nós de origem ajustem os tamanhos dos pacotes ao longo do caminho de entrega usando o menor MTU encontrado. Isto evita a fragmentação e garante uma transmissão eficiente sem perda de pacotes.

Problemas de fragmentação

A fragmentação no IPv6 pode introduzir algumas limitações e problemas na rede:

• • Sobrecarga de processamento: A remontagem dos fragmentos no nó de destino pode exigir recursos adicionais de processamento e memória.
  • Problemas de segurança: A fragmentação pode ser usada em ataques de negação de serviço (DoS) e em técnicas de ocultação de tráfego malicioso. Para mitigar estes riscos, alguns dispositivos e redes podem bloquear ou filtrar fragmentos.
  • Descoberta de MTU: Como os roteadores no IPv6 não fragmentam pacotes, é importante que os nós de origem realizem a descoberta de MTU para determinar o MTU apropriado ao longo do caminho de entrega. Isso evita a fragmentação e garante melhor eficiência na transmissão de pacotes.

Tenha em mente que, embora a fragmentação no IPv6 seja possível, é recomendável evitá-la sempre que possível. O roteamento livre de fragmentação e o uso adequado da descoberta de MTU são essenciais para garantir o desempenho ideal e minimizar a complexidade na rede.

Autenticação

O cabeçalho da extensão Authentication fornece um mecanismo para autenticação e verificação de integridade de pacotes IPv6. Este cabeçalho é colocado após o cabeçalho de extensão IPv6 e antes do cabeçalho de carga útil. Seu principal objetivo é garantir que a origem e/ou conteúdo do pacote não sejam alterados durante a transmissão.

O processo de autenticação em IPv6 com o cabeçalho de extensão de autenticação envolve a origem do pacote gerando uma assinatura digital ou código de autenticação de mensagem usando uma chave secreta compartilhada ou uma chave assimétrica. O receptor do pacote pode verificar a autenticidade e integridade do pacote usando a mesma chave.

Cenários

O cabeçalho de extensão Authentication pode ser usado em diferentes cenários e aplicações que exigem um alto nível de segurança e autenticação. Abaixo estão alguns casos em que este cabeçalho pode ser usado:

• Redes Privadas Virtuais (VPNs): Em ambientes VPN, onde são estabelecidas conexões seguras em redes públicas, pode ser utilizado para garantir a autenticidade dos pacotes que trafegam pela VPN. Isso garante que os pacotes venham de fontes confiáveis ​​e não tenham sido modificados em trânsito.
• Comunicações Confidenciais: Quando dados confidenciais ou sensíveis, como informações financeiras ou médicas, são transmitidos, eles são usados ​​para verificar se os dados não foram alterados e provêm da fonte esperada. Isso fornece um nível adicional de segurança e garante a integridade dos dados transmitidos.
• Prevenindo ataques de phishing: É usado para prevenir ataques de phishing. Ao autenticar pacotes IPv6, você pode garantir que eles venham das fontes corretas e evitar a aceitação de pacotes falsificados.
• Verificação de integridade em aplicações críticas: Em ambientes onde a integridade dos dados é crítica, como sistemas de controle industrial ou infraestrutura crítica, ajudando a garantir que os comandos e os dados de controle não foram modificados em trânsito e vêm de fontes autorizadas.

É importante ressaltar que o uso do cabeçalho de extensão Authentication requer um mecanismo de gerenciamento de chaves e uma infraestrutura de segurança apropriados. Além disso, tanto a fonte quanto o receptor devem ser capazes de realizar as operações de autenticação necessárias e compartilhar a chave secreta ou pública correspondente.

Carga útil de segurança de encapsulamento

O cabeçalho da extensão Carga útil de segurança de encapsulamento (ESP) É usado para fornecer serviços de segurança, como confidencialidade, integridade e autenticação, para pacotes IPv6. O cabeçalho ESP é colocado após o cabeçalho de extensão IPv6 e antes da carga útil do pacote. Seu principal objetivo é proteger os dados do pacote contra acesso não autorizado e adulteração durante a transmissão.

O cabeçalho de extensão ESP permite que os sistemas de origem e destino negociem os algoritmos criptográficos e os parâmetros de segurança usados ​​para proteger a comunicação. Os sistemas podem concordar em usar criptografia simétrica ou assimétrica, bem como autenticar mensagens usando funções hash criptográficas.

Usar o cabeçalho de extensão ESP permite proteger comunicações confidenciais, proteger a privacidade dos dados e evitar ataques de espionagem e adulteração. No entanto, a sua implementação requer configuração e administração adequadas, incluindo o estabelecimento e gerenciamento de chaves de criptografia e autenticação.

Recursos de cabeçalho de extensão ESP

Este cabeçalho possui as seguintes características:

• Integração com outros serviços de segurança: O cabeçalho ESP pode ser usado em conjunto com outros serviços de segurança para fornecer um nível adicional de proteção. Por exemplo, pode ser combinado com a utilização de VPN (Virtual Private Network) para criar ligações seguras entre redes ou utilizado em conjunto com firewalls e sistemas de detecção e prevenção de intrusões para reforçar a segurança da rede.
• Cconsiderações de desempenho: O uso do cabeçalho de extensão ESP envolve processamento adicional em dispositivos de rede, o que pode afetar o desempenho da comunicação. Os algoritmos criptográficos usados ​​para criptografar e autenticar dados podem exigir recursos computacionais significativos, especialmente em ambientes de alto tráfego. Portanto, é importante considerar o equilíbrio entre segurança e desempenho da rede ao implementar o cabeçalho ESP.
• Políticas de gerenciamento e segurança de chaves: A implementação do cabeçalho de extensão ESP requer gerenciamento adequado das chaves de segurança usadas para criptografia e autenticação. Isto envolve a geração, distribuição e armazenamento seguro de chaves, bem como o estabelecimento de políticas de segurança para a sua gestão e atualização. O gerenciamento adequado de chaves é essencial para garantir a confidencialidade e integridade dos dados protegidos pelo cabeçalho ESP.
• Conformidade com os Padrões: O cabeçalho de extensão ESP segue os padrões definidos pela Internet Engineering Task Force (IETF) na RFC 4303. É importante levar em consideração os requisitos e recomendações estabelecidos pelos padrões para garantir a interoperabilidade e segurança nas implementações do cabeçalho ESP.