Segurança IPv6: Ameaças, Mitigações e Melhores Práticas
IPv6 não é inerentemente mais ou menos seguro que IPv4. Aprenda sobre ameaças reais de segurança IPv6, como configurar firewalls adequadamente e proteger sua rede.
O Mito do NAT#
Uma preocupação surge constantemente quando organizações consideram IPv6: "Sem NAT, não estaremos expostos?"
Não. NAT nunca foi um recurso de segurança. Foi uma solução alternativa para escassez de endereços que acabou escondendo endereços internos. Um firewall com estado fornece a mesma proteção—bloqueando conexões de entrada não solicitadas—sem as desvantagens da tradução de endereços.
O problema real é diferente: muitas redes têm IPv6 habilitado, mas esqueceram de configurar regras de firewall IPv6. Esse é um problema sério, e é totalmente evitável.
TL;DR - Resumo rápido
Pontos-chave:
- NAT não é segurança: Firewalls com estado fornecem a mesma proteção sem tradução de endereços
- IPv6 requer regras de firewall explícitas: O maior risco é habilitar IPv6 sem configurar segurança
- ICMPv6 é essencial: Diferente do IPv4, bloquear ICMPv6 quebra operações básicas de rede
- Ataques NDP são reais: Implante RA Guard e segurança de primeiro salto em switches
- Mesmos fundamentos de segurança aplicam: Controle de acesso, monitoramento e patches continuam críticos
Ir para: Configuração de Firewall | Segurança NDP | Lista de Verificação de Segurança
O Que É Realmente Diferente na Segurança IPv6#
IPv6 muda o cenário de ameaças de formas específicas:
Espaço de endereçamento maior corta dos dois lados. Escanear uma sub-rede /64 leva séculos com força bruta. Mas atacantes não usam força bruta—eles usam registros DNS, logs de transparência de certificados e análise de tráfego para encontrar alvos. Não confie em obscuridade de endereço.
Cada dispositivo é potencialmente acessível. Com endereços globais em cada host, seu firewall é a única barreira. Isso torna a configuração de firewall mais crítica, não opcional.
ICMPv6 é essencial, não opcional. Diferente do IPv4, onde você poderia bloquear todo ICMP sem quebrar coisas, IPv6 requer ICMPv6 para operações básicas. Bloqueie as mensagens erradas e sua rede para de funcionar.
Novos protocolos, nova superfície de ataque. Neighbor Discovery Protocol (NDP) substitui ARP e introduz novos vetores. Cabeçalhos de extensão adicionam complexidade que atacantes podem explorar.
Vetores de Ataque Específicos do IPv6#
Spoofing de NDP#
Neighbor Discovery Protocol lida com resolução de endereço, descoberta de roteador e detecção de endereço duplicado. Como ARP no IPv4, é confiável por padrão.
Um atacante na rede local pode:
- Falsificar Neighbor Advertisements para redirecionar tráfego (man-in-the-middle)
- Enviar Router Advertisements falsos para se tornar o gateway padrão
- Executar ataques de Detecção de Endereço Duplicado para negar endereços a hosts legítimos
Esses ataques requerem acesso à rede local—não são ameaças em escala da Internet. Mas em redes compartilhadas (escritórios, data centers, WiFi), são riscos reais.
Mitigação: Implante RA Guard e ND Inspection em switches. Em hosts, considere SEND (Secure Neighbor Discovery), embora a adoção seja limitada.
Ataques de Router Advertisement#
Um RA malicioso pode convencer hosts a:
- Usar o atacante como seu gateway padrão
- Aceitar um servidor DNS malicioso
- Usar um prefixo específico (potencialmente para interceptação de tráfego)
Isso é particularmente perigoso porque a maioria dos hosts aceita RAs por padrão.
Mitigação:
- RA Guard em portas de switch (bloquear RAs de portas não-roteadoras)
- Em hosts Linux:
net.ipv6.conf.all.accept_ra = 0para servidores com configuração estática - Monitore RAs inesperados com ferramentas como
ramondou NDPMon
Exploração de Cabeçalho de Extensão#
Cabeçalhos de extensão IPv6 ficam entre o cabeçalho principal e a carga útil. Usos legítimos incluem fragmentação, opções de roteamento e IPsec.
Atacantes podem usá-los para:
- Evadir firewalls que não inspecionam a cadeia completa de cabeçalhos
- Ataques de fragmentação para contornar inspeção ou vulnerabilidades de remontagem
- Criar pacotes ambíguos que diferentes dispositivos interpretam de forma diferente
Mitigação: Use firewalls que analisam completamente cadeias de cabeçalho de extensão. Descarte pacotes com cabeçalhos de extensão incomuns ou obsoletos (como Cabeçalhos de Roteamento Tipo 0, obsoletos pela RFC 5095).
Técnicas de Reconhecimento#
Atacantes não escaneiam /64s aleatoriamente. Eles encontram alvos IPv6 através de:
- Transferências de zona DNS ou adivinhação (www, mail, ns1, etc.)
- Logs de Transparência de Certificados (todos os certificados HTTPS são públicos)
- Coleta de tráfego (monitoramento passivo)
- Endereçamento previsível (::1, ::100, baseado em EUI-64 do MAC)
Mitigação: Use extensões de privacidade para endereços de cliente. Evite endereços de servidor previsíveis. Não publique infraestrutura interna em DNS público se não for necessário.
Configuração de Firewall para IPv6#
Tipos Essenciais de ICMPv6 para Permitir#
Bloqueie estes e sua rede quebra:
| Tipo | Nome | Necessário Para |
|---|---|---|
| 1 | Destination Unreachable | Descoberta de MTU de Caminho, tratamento de erro |
| 2 | Packet Too Big | Descoberta de MTU de Caminho (crítico) |
| 3 | Time Exceeded | Traceroute, detecção de loop |
| 128/129 | Echo Request/Reply | Ping (opcional mas útil) |
| 133 | Router Solicitation | Host encontrando roteadores |
| 134 | Router Advertisement | Roteador se anunciando |
| 135 | Neighbor Solicitation | Resolução de endereço |
| 136 | Neighbor Advertisement | Resposta de resolução de endereço |
Tipos 133-136 são necessários apenas no link local—não os encaminhe através de roteadores.
Regras de Firewall Com Estado#
Um conjunto de regras mínimo para um host:
# Permitir conexões estabelecidas
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Permitir ICMPv6 (seja mais específico em produção)
-A INPUT -p ipv6-icmp -j ACCEPT
# Permitir apenas link-local para NDP (mais seguro)
-A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 133:136 -j ACCEPT
# Permitir serviços específicos
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Descartar todo o resto
-A INPUT -j DROPPara nftables, o equivalente:
table inet filter {
chain input {
type filter hook input priority 0; policy drop;
ct state established,related accept
ip6 nexthdr icmpv6 accept
tcp dport { 22, 443 } accept
}
}Não Esqueça da Filtragem de Saída#
Regras de saída também importam. Elas podem:
- Prevenir exfiltração de dados sobre protocolos inesperados
- Bloquear tráfego de comando e controle
- Limitar danos de hosts comprometidos
No mínimo, registre conexões de saída inesperadas.
IPsec no IPv6#
IPsec era originalmente obrigatório para implementações IPv6 (RFC 2460). Isso foi posteriormente relaxado (RFC 6434) porque a implantação universal nunca aconteceu.
Ainda assim, IPv6 torna IPsec mais limpo:
- Sem complicações de travessia de NAT
- Cabeçalhos de extensão projetados com IPsec em mente
- ESP e AH funcionam como pretendido
Se você precisa de criptografia entre hosts ou sites específicos, IPsec em IPv6 é direto—mais do que em IPv4 com NAT.
Recursos de Segurança de Primeiro Salto#
Switches modernos oferecem proteções contra ataques locais:
RA Guard: Bloqueia Router Advertisements de portas não autorizadas. Essencial em todos os switches de acesso.
DHCPv6 Guard: Limita respostas de servidor DHCPv6 a portas autorizadas.
ND Inspection: Constrói uma tabela de vinculação de mapeamentos MAC-para-IPv6 e valida tráfego NDP.
Source Guard: Descarta pacotes com endereços de origem falsificados baseado na tabela de vinculação.
Esses recursos estão disponíveis em switches empresariais da Cisco, Juniper, Arista e outros. Configure-os—eles estão desabilitados por padrão.
Erros Comuns#
Habilitar IPv6 sem configurar o firewall. Se suas regras de firewall cobrem apenas IPv4, você está totalmente aberto no IPv6. Esta é a vulnerabilidade #1 do mundo real.
Bloquear todo ICMPv6. Isso quebra a Descoberta de MTU de Caminho e causa falhas misteriosas de conectividade, especialmente para pacotes grandes e através de túneis.
Ignorar IPv6 em redes "apenas IPv4". A maioria dos sistemas operacionais habilita IPv6 por padrão. Sem infraestrutura adequada, eles podem usar link-local ou tunelar para endpoints aleatórios.
Assumir que NAT64 fornece segurança. Tecnologias de tradução não adicionam segurança. Elas apenas traduzem. Você ainda precisa de regras de firewall.
Usar as mesmas regras de firewall para IPv4 e IPv6. Algumas regras traduzem diretamente; outras (como tratamento de ICMP) precisam de atenção específica.
Lista de Verificação de Segurança#
Antes de entrar em produção com IPv6:
- Regras de firewall cobrem explicitamente tráfego IPv6
- Tipos essenciais de ICMPv6 são permitidos
- RA Guard habilitado em switches de acesso
- DHCPv6 Guard configurado se usando DHCPv6
- Assinaturas IDS/IPS atualizadas para IPv6
- Registro captura endereços de origem IPv6
- Registros DNS revisados (não publique registros AAAA desnecessários)
- Extensões de privacidade habilitadas em clientes
- Monitoramento em vigor para RAs maliciosos
Resumo#
Segurança IPv6 não é mais difícil que IPv4—é diferente. Os fundamentos permanecem: firewalls com estado, controle de acesso adequado, monitoramento e manter sistemas atualizados.
O maior risco não é complexidade técnica. É o período de transição onde IPv6 existe, mas não é gerenciado adequadamente. Trate IPv6 como cidadão de primeira classe em sua arquitetura de segurança, não como uma reflexão tardia.
Artigos Relacionados#
- Firewall IPv6 — Guia prático para configurar regras de firewall IPv6 em diferentes sistemas
- Extensões de Privacidade IPv6 — Aprenda como proteger sua privacidade com extensões de privacidade e endereços IPv6 temporários
Teste Sua Configuração
Use nossas ferramentas de Ping IPv6 e Traceroute para verificar sua conectividade IPv6 e checar se seu firewall permite o tráfego que você espera.