1-ModelodeProjetodeFinal

Prévia do material em texto

NIC.BR 
 
 
 
 
 
 
 
 
 
 
 
SEGURANÇA EM REDES IPV6: Uma analise da ferramenta Ip6Tables. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
NOVEMBRO 2013
 
 
 
WILLAN GUTIERREZ DEROMEDES JUNIOR 
DIEGO PONTES VANDERLEI 
 
 
 
 
 
 
 
 
 
 
 
SEGURANÇA EM REDES IPV6. Uma analise da ferramenta Ip6Tables. 
 
 
 
 
Projeto final apresentado como exigência 
parcial para obtenção do certificado do 
curso. 
 
 
 
 
 
 
 
 
 
 
NOVEMBRO 2013
FIGURAS 
 
FIGURA 1 EXEMPLO DE FIREWALL STATELESS ADAPTADO CUELLAR 
(2013) ........................................................................................................................ 26 
FIGURA 2 EXEMPLO DE FIREWALL IPV6 DE NATUREZA STATEFULL 
ADAPTADO DE BRITO (2013). ................................................................................ 27 
FIGURA 3 EXEMPLO DE UM GATEWAY DE APLICAÇÃO ADAPTADO DE 
WEBSENSE (2013). ................................................................................................. 29 
FIGURA 4 EXEMPLO GERAL DE REGRA IPTABLES ADPTADO DE PIRES 
(2013) ........................................................................................................................ 31 
FIGURA 5 REGRA DE FIREWALL IPTABLE E IP6TABLE .................................... 32 
FIGURA 6 REGRA DE IP6TABLES ......................................................................... 35 
FIGURA 7 SCRIPT DE FIREWALL STATELESS .................................................... 36 
FIGURA 8 SCRIPT DE FIREWALL STATEFULL .................................................... 37 
FIGURA 9 SCRIPT IP6TABLES ............................................................................... 38 
 
 
 
3 
SUMÁRIO 
1. APRESENTAÇÃO................................................................................................... 5 
2. PROBLEMA DA PESQUISA .................................................................................. 6 
3. OBJETIVOS DA PESQUISA .................................................................................. 8 
3.1 OBJETIVO GERAL ....................................................................................... 8 
3.2 OBJETIVOS ESPECÍFICOS ......................................................................... 8 
4. JUSTIFICATIVA DA PESQUISA .......................................................................... 10 
5. HISTORIA DA INTERNET .................................................................................... 11 
6. SEGURANÇA EM REDES .................................................................................... 13 
6.1 O QUE PROTEGER .................................................................................... 14 
7. IPV6 ....................................................................................................................... 15 
7.1 CABEÇALHO IPV6 ..................................................................................... 16 
7.2 ENDEREÇAMENTO ................................................................................... 17 
7.2.1 TIPOS DE ENDEREÇOS IPV6 ........................................................ 18 
7.3 PROTOCOLO ICMPV6 ............................................................................... 19 
7.3.1 Mensagens ICMPv6 Neighbor Discovery ..................................... 19 
8. SEGURANÇA EM IPV6 ........................................................................................ 21 
8.1 NEIGHBOR DISCOVERY PROTOCOL-NDP ............................................. 22 
8.2 INTERNET PROTOCOL SECURITY - IPSEC ............................................ 22 
9. FIREWALL ............................................................................................................ 24 
9.1 CLASSIFICAÇÃO DAS FIREWALLS ......................................................... 26 
 
 
4 
9.1.1 FIREWALLS ESTÁTICOS DE FILTRO-DE-PACOTES 
“STATELESS”.......................................................................................... 26 
9.1.2 FIREWALLS DINÂMICOS, OU FIREWALLS DE INSPECÇÃO 
“STATEFULL” .......................................................................................... 27 
9.1.3 GATEWAYS DE APLICAÇÃO (ALG) E PROXYS .......................... 28 
9.2 IPTABLE ..................................................................................................... 29 
9.3.1 Construção de Regras com Iptables ............................................ 30 
9.3 IP6TABLES ................................................................................................. 31 
10. CONSIDERAÇÕES FINAIS E RECOMENDAÇÕES .......................................... 40 
11. PROCEDIMENTOS METODOLÓGICOS............................................................ 42 
12. ESBOÇO DOS CAPÍTULOS E SEÇÕES ........................................................... 43 
REFERÊNCIAS ......................................................................................................... 45 
 
 
1. APRESENTAÇÃO 
Este e um projeto de pesquisa que se configurará em trabalho de conclusão 
de curso. O objetivo deste é divulgar as principais características de segurança do 
protocolo IPv6 – Internet Protocol version 6, que é a nova versão do protocolo IP, 
responsável pelo endereçamento na Internet. O trabalho envolve: as características 
e benefícios do IPv6; a formatação do novo protocolo, descrevendo o formato do 
datagrama e o cabeçalho; a arquitetura de seu endereçamento, descrevendo sua 
hierarquia e estrutura; os tipos de endereços existentes no IPv6; e algumas 
operações básicas do novo protocolo. Este trabalho ainda se destina a apresentar 
uma análise da ferramenta IP6TABLE com alguns experimentos feitos. 
O protocolo IP atualmente em amplo uso na versão IPv4 vem sofrendo 
constantemente com a falta de recursos para endereçar os hosts da Internet que 
crescem de forma exponencial, deste modo um nova versão IPv6 vem sendo 
estimulada para uso geral, pois essa atende com uma certa folga os requisitos geral 
da Internet moderna, sendo esse o maior motivador desse trabalho. 
 
2. PROBLEMA DA PESQUISA 
Quando surgiram as primeiras redes, não se tinha idéia do rumo que veio a se 
tornar a internet. Nos dias atuais a internet acabou se tornando essencial para a 
humanidade, pois as contribuições geradas pela troca de informações e 
conhecimento contribuíram para o mundo em que se vive hoje. Mas este enorme 
crescimento da internet contribuiu para um problema, a falta de endereços IP’s. 
Como solução propôs-se criar um protocolo IP com espaço de endereçamento 
maior. Assim surgiu a idéia de criar o IPv6, aproveitando a mudança para 
implementar novos recursos e melhorar os existentes. Como IPv6 traz diversas 
mudanças, alguns conceitos tem que ser reaprendidos, do formato do endereço até 
os protocolos envolvidos no funcionamento das redes, tudo foi elaborado para 
funcionar sobre o protocolo IPv6. 
Pensando no conhecimento continuado que a área da tecnologia exige, o 
trabalho pretende elucidar os conceitos de funcionamento do IPv6 e alguns 
protocolos envolvidos no seu funcionamento. 
No Linux, as funções de Firewall são agregadas à própria arquitetura do 
Kernel, que é o núcleo do sistema operacional. Enquanto a maioria dos “produtos” 
Firewall pode ser definida como um subsistema, o Linux possui a capacidade de 
transformar o Firewall no próprio sistema. O módulo do Kernel no Linux responsável 
por realizar a função de um Firewall é chamado IP6TABLES. 
 
 
7 
A configuração de um Firewall IP6TABLES é realizada por uma série de 
comandos que são interpretados pelo Kerneldo sistema operacional. Tais comandos 
podem ser executados via scripts (arquivos-texto) ou serem inseridos diretamente no 
shell. 
 
 
8 
3. OBJETIVOS DA PESQUISA 
O objetivo desta pesquisa iniciou com um estudo sobre o protocolo de internet 
na versão 6 (IPv6) de forma bem ampla. Após estudos sobre protocolos de 
segurança e vulnerabilidades, foi decidido enfocar-se em falhas específicas do 
protocolo. 
3.1 OBJTIVO GERAL 
Realizar estudo sobre o protocolo IPv6, mais especificamente na parte de 
segurança utilizando a ferramenta IP6TABLE. 
3.2 OBJETIVOS ESPECÍFICOS 
Mostrar o funcionamento do novo protocolo de internet na versão 6 (IPv6) e 
dispor uma facilidade no uso de protocolo; 
 
 
9 
Analisar e avaliar as opções de segurança dessa versão do protocolo IPv6; 
Apresentar a nova ferramenta IP6TABLE e suas funcionalidades sobre o 
protocolo IPv6; 
Avaliar a ferramenta estudada no contexto da rede virtual; 
 
4. JUSTIFICATIVA DA PESQUISA 
Percebendo a importância do assunto, e a pouca literatura e da falta de 
material didático que auxiliam os acadêmicos nas pesquisas nesta área, fez-se 
necessário aprofundar no estudo sobre a segurança do protocolo IPV6, pois o 
mesmo está relacionado com um dos tópicos de grande importância dos cursos de 
tecnologia. 
Devido o grande crescimento da internet, é necessário conhecer os recursos, 
as características, vantagens e desvantagens desde protocolo, assim como de seu 
antecessor o IPv4. Também se faz necessário o estudo do sobre o Firewall 
IP6TABLES,como uma forma de segurança no protocolo. 
O grande número de regras necessárias para a configuração de um Firewall 
IP6TABLES dificulta a compreensão e administração do sistema. A principal 
justificativa para a realização deste trabalho é que a inserção de tais regras no 
Firewall IP6TABLES é hoje realizada manualmente no prompt de comando ou com 
agrupamento em arquivos-texto de difícil compreensão. 
 
 
 
11 
5. HISTORIA DA INTERNET 
A Internet surgiu a partir de pesquisas militares nos períodos áureos da 
Guerra Fria. Na década de 1960, quando dois blocos ideológica e politicamente 
antagônicos exerciam enorme controle e influência no mundo, qualquer mecanismo, 
qualquer inovação, qualquer ferramenta nova poderia contribuir nessa disputa 
liderada pela União Soviética e por Estados Unidos: as duas superpotências 
compreendiam a eficácia e necessidade absoluta dos meios de comunicação. Nessa 
perspectiva, o governo dos Estados Unidos temia um ataque russo às bases 
militares. Um ataque poderia trazer a público informações sigilosas, tornando os 
EUA vulneráveis. Então foi idealizado um modelo de troca e compartilhamento de 
informações que permitisse a descentralização das mesmas. Assim, se o Pentágono 
fosse atingido, as informações armazenadas ali não estariam perdidas. Era preciso, 
portanto, criar uma rede, a ARPANET, criada pela ARPA, sigla para Advanced 
Research Projects Agency. Em 1962, J.C.R LickLider do Instituto Tecnológico de 
Massachusetts (MIT) já falava em termos da existência de uma Rede Galáxica. 
A ARPANET funcionava através de um sistema conhecido como 
chaveamento de pacotes, que é um sistema de transmissão de dados em rede de 
computadores no qual as informações são divididas em pequenos pacotes, que por 
sua vez contém trecho dos dados, o endereço do destinatário e informações que 
permitiam a remontagem da mensagem original. O ataque inimigo nunca aconteceu, 
mas o que o Departamento de Defesa dos Estados Unidos não sabia era que dava 
 
 
12 
início ao maior fenômeno midiático do século 20, único meio de comunicação que 
em apenas 4 anos conseguiria atingir cerca de 50 milhões de pessoas. 
Em 29 de Outubro de 1969 ocorreu a transmissão do que pode ser 
considerado o primeiro E-mail da história. O texto desse primeiro e-mail seria 
"LOGIN", conforme desejava o Professor Leonard Kleinrock da Universidade da 
Califórnia em Los Angeles (UCLA), mas o computador no Stanford Research 
Institute, que recebia a mensagem, parou de funcionar após receber a letra "O". 
Já na década de 1970, a tensão entre URSS e EUA diminui. As duas 
potências entram definitivamente naquilo em que a história se encarregou de chamar 
de Coexistência Pacífica. Não havendo mais a iminência de um ataque imediato, o 
governo dos EUA permitiu que pesquisadores que desenvolvessem, nas suas 
respectivas universidades, estudos na área de defesa pudessem também entrar na 
ARPANET. Com isso, a ARPANET começou a ter dificuldades em administrar todo 
este sistema, devido ao grande e crescente número de localidades universitárias 
contidas nela. 
 
 
13 
6. SEGURANÇA EM REDES 
A necessidade de segurança é um fato que vem transcendendo o limite da 
produtividade e da funcionalidade. Enquanto a velocidade e a eficiência em todos os 
processos de negócios significam uma vantagem competitiva, a falta de segurança 
nos meios que habilitam a velocidade e a eficiência pode resultar em grandes 
prejuízos e falta de oportunidades de negócios. (NAKAMURA ; GEUS, 2003, p.9). 
O mundo da segurança é marcado pela evolução contínua, no qual novos 
ataques têm como resposta novas formas de proteção que levam ao 
desenvolvimento de novas técnicas de ataques e assim sucessivamente. Esse 
mesmo comportamento pode ser observado no mundo da informação, onde também 
se deve ter em mente que a segurança deve ser contínua e evolutiva. (NAKAMURA ; 
GEUS,2003, p.9). 
Os seguintes fatores justificam a preocupação com a segurança contínua: a 
natureza dos ataques, as novas vulnerabilidades das novas tecnologias, a criação 
de novas formas de ataques, o aumento da conectividade, a complexidade da 
defesa, o aumento dos crimes digitais e os grandes prejuízos ocasionados pela falta 
de segurança. (NAKAMURA ; GEUS, 2003, p.10). 
 
 
 
14 
6.1 O QUE PROTEGER 
Segundo ZWICKY há basicamente três itens que devem ser protegidos por 
uma organização: 
 Dados: é a informação propriamente dita, mantida nos computadores. 
Em relação aos dados, deve-se preocupar com o sigilo, integridade e 
disponibilidade; 
 Recursos: são os computadores que formam a rede da organização; 
 Reputação: é considerado o fator principal ao implantar segurança, já 
que uma invasão pode ocasionar grandes prejuízos relacionados à 
reputação da corporação. 
 
 
15 
7. IPv6 
O protocolo IPv6 foi desenvolvido não somente para suprir a escassez de 
endereços IP imposta pelas limitações da versão 4, mas também agrega vários 
serviços e benefícios que não existiam no IPv4, ou que não eram efetivamente 
utilizados. Abaixo, algumas características e benefícios que o novo protocolo 
proporciona (AMOSS & MINOLI, 2008): 
 Aumento de forma exponencial no número de IPs: O IPv6 tem 
endereços de 128 Bits (16 Bytes) versus 32 Bits (4 Bytes) do IPv4. Com 
IPv4, o número teórico de endereços IP disponíveis é 232~1010. O IPv6 
oferece um espaço de 2128. Assim, o número de nós únicos é de 2128~1039 
(MINOLI, 2008); 
 Simplificação do formato de cabeçalho: Que ficou mais simples do 
cabeçalho o IPv4 e tem um comprimento fixo de 40 bytes. Isto permite um 
processamento mais rápido. Acomoda basicamente dois endereços de 16 
bytes da fonte e do destino e somente 8 bytes para a informação de 
endereçamento geral (HAGEN, 2006); 
 Segurança: IPv6 inclui funcionalidades de segurança na sua 
especificação, tais como carga útil e criptografia autenticação da origem 
da comunicação (MINOLI, 2008); 
 
 
16 
 Aplicativos em tempo real: o IPv6 inclui "fluxos etiquetados" na sua 
especificação, para proporcionar um melhor apoio para trafego em tempo 
real (por exemplo,IPTV, VOIP). Através do presente mecanismo, 
roteadores podem reconhecer o fluxo ponto-a-ponto que transmitiu e a 
quem os pacotes pertencem. Isto é semelhante ao serviço oferecido pelo 
Multi-Protocol Label Switching (MPLS), mas é intrínseco com o IP, em vez 
de um mecanismo add-on. Além disso, precede a funcionalidade MPLS 
através de uma série de anos (MINOLI, 2008); 
 Mobilidade: O IPv6 inclui mecanismos de mobilidade mais eficaz, 
particularmente interessantes para redes móveis (MINOLI, 2008); 
 Protocolo Otimizado: O IPv6 matem as melhores características do IPv4 
e remove as obsoletas e inutilizadas do IPv4. Isto resulta num protocolo 
mais otimizado (HAGEN, 2006); 
 Plug-and-Play: O IPv6 inclui em seu padrão de um mecanismo "plug-and-
play" que facilita a ligação de equipamentos a rede. A configuração 
necessária é realizada automaticamente (MINOLI, 2008); 
 Endereçamento e Roteamento: O IPv6 melhora a hierarquia de 
endereçamento e roteamento (MINOLI, 2008); 
 Extensões para autenticação e privacidade das informações: Suporte 
para autenticação, e extensões para a integridade e a confidencialidade 
dos dados, foram especificadas e são inerentes ao IPv6 (HAGEN, 2006). 
7.1 CABEÇALHO IPV6 
Para manter o mínimo de sobrecarga no cabeçalho IPv6 foi desenvolvido um 
novo formato. Foram removidos campos raramente utilizados, movidos campos 
 
 
17 
opcionais para o campo extensão de cabeçalho que localiza após o cabeçalho IPv6 
e acrescentados campos que oferece melhor suporte para o tráfego. 
Os campos do cabeçalho IPv6 são: 
 Version – Esse campo serve para os roteadores identificar qual é o 
protocolo do pacote, contém 4 bits e sempre será seis para o IPv6. 
 Traffic Class – Serve para identificar se o dado no pacote é uma mídia 
(vídeo, som) ou de outro tipo, ou seja, indica o tipo de serviço. Esse 
campo contém 8 bits. 
 Flow Label – Contém 20 bits. Esse campo verifica se o pacote pertence a 
uma sequência especial, requerimentos e propriedades particulares entre 
a origem e o remetente. 
 Payload Header – Com 16 bits, este campo indica o tamanho de dados 
do IPv6. 
 Next Header – Caso haja alguma extensão de cabeçalho, este campo é 
que permite dizer qual é um dos seis cabeçalhos. Este campo possui 8 
bits. 
 Hop Limit – Indica a quantidade de saltos , o número máximo de links 
antes do pacote IPv6 ser descartado. 
7.2 ENDEREÇAMENTO 
De início pode-se dizer que a mais óbvia característica que diferencia entre as 
versões IPv4 e IPv6 é o espaço de endereços. O IPv6 usa endereços de 128 bits, 
uma sequência de bits que é quatro vezes maior do que os 32-bit do endereço IPv4. 
Um endereço de 32 bits permite um espaço de 232, ou 4.294.967.296, endereços 
possíveis. Um endereço de 128 bits permite um espaço de 2128, ou 
 
 
18 
340.282.366.920.938.463.463.374.607.431.768.211.456 (3,4 × 1038), de endereços 
possíveis. Para ajudar a colocar este número em perspectiva, um espaço de 
endereço de 128-bits fornece 6,65 × 1023 endereços para cada metro quadrado da 
superfície da Terra. Esse número na pratica vai ser reduzido, uma vez que foi 
projetado para ser dividido em hierarquia de encaminhamento unicast dos domínios 
que refletem a topologia da internet moderna. A utilização de 128 bits permite a 
múltiplos níveis de hierarquia e flexibilidade na concepção hierárquica 
endereçamento unicast e encaminhamento que está atualmente em falta no IPv4, 
baseado na Internet de hoje. Assim os mesmo, estudos estimam que os 128 bits 
sejam capazes de acomodar na mais pessimista estimativa 1564 endereços por 
metro quadrado da superfície da Terra (DAVIES, 2008). 
7.2.1 TIPOS DE ENDEREÇOS IPV6 
Geralmente o IPv6 define TRE tipos de endereços: Globais, Locais e Locais 
Únicos. 
 Endereços Globais: são equivalentes aos endereços públicos em IPv4. 
Geralmente começa com 2000::. 
 Endereços Locais: são equivalentes aos endereços APIPA (Automatic 
Private IP Addressing) (169.254.0.0/16) no IPv4. Geralmente começa com 
fe80::. 
 Endereços Locais Únicos: são equivalentes aos endereços privados em 
IPv4. Geralmente começa com fd65::. 
 
 
19 
7.3 PROTOCOLO ICMPV6 
Internet Control Message Protocol Version 6 (ICMPv6) é a versão para o 
IPv6, como no IPv4 o ICMP é um mecanismo que fornece as informações importante 
sobres a saúde da rede. Ele Relata erros se os pacotes não podem ser processados 
corretamente e emite mensagens informativas sobre o status da rede. O ICMP 
igualmente executa funções de diagnóstico, tais como o bem conhecido ping, que 
usa o pedido de ICMP Echo e as mensagens Echo Reply para o teste de 
disponibilidade de um nó (HAGEN,2008). 
ICMPv6 é muito mais poderoso do que ICMPv4. O ICMPv6 incorporou a 
função do protocolo da gerência do grupo do Internet (IGMP) que gerencia os 
membros do grupo do multicast com IPv4, alem da função do Address Resolution 
Protocol/Reverse Address Resolution Protocol (ARP/RARP) que é usada em IPv4 
para traçar endereços da camada 2 aos endereço IP (e reciprocamente) e trousse 
consigo novas funcionalidades como: A descoberta vizinha (ND) que usa as 
mensagens ICMPv6 a fim determinar endereços de enlace para os vizinhos 
presentes no mesmo link (subnet), para encontrar os routers, para manter-se a par 
do que vizinhos são ativos, e para detectar a mudada de endereça de enlace. 
ICMPv6 igualmente suporta IPv6 móvel. ICMPv6 é parte de IPv6 e deve ser 
executado inteiramente por cada nó IPv6. É definido na RFC 2463 (LOSHIN, 2004). 
7.3.1 Mensagens ICMPv6 Neighbor Discovery 
 Router Solicitation (Solicitação de roteador): Quando uma interface é 
ativada, os hosts podem enviar solicitações de roteador, que os 
roteadores solicitados geraram uma resposta Router Advertisements 
imediatamente ao invés de ser na sua próxima hora agendada 
(HAGEN, 2008). 
 
 
20 
 Router Advertisement (Anúncios de Roteador): Routers anunciam sua 
presença, juntamente com o endereço de enlace e vários e outros 
parâmetros de Internet, periodicamente ou em resposta a uma 
mensagem de solicitação do roteador. Router Advertisement contêm 
prefixos que são utilizados para a determinação de links ativo e / ou 
configuração de endereço e entre outros um valor limite sugerido hop 
(LOSHIN, 2004). 
 Neighbor Solicitation (solicitação de Vizinho): enviada por um nó para 
determinar o endereço de enlace de um vizinho ou para verificar se um 
vizinho ainda é acessível através de um endereço de enlace em cache. 
solicitação de vizinho também é usado para detecção de endeços 
duplicados (HAGEN, 2008). 
 Neighbor Advertisement (Anúncio de Vizinho): é uma mensagem de 
resposta a uma Neighbor Solicitation. Um nó também pode enviar 
Neighbor Advertisement não solicitado para anunciar a mudança do 
endereço de enlace (LOSHIN, 2004). 
 Redirect usado pelos roteadores para informar aos host de um melhor 
primeiro salto para um destino (HAGEN, 2008). 
 
 
21 
8. SEGURANÇA EM IPV6 
No IPv6 a questão da segurança foi levada em consideração desde o inicio 
dos debates, sendo implementados vários mecanismos de criptografia e 
autenticação, que são nativos do protocolo, visando garantir a segurança das 
informações que trafegam na rede. 
Conforme LOSHIN (2004), O protocolo IPv6 foi especificado, logo na sua 
criação, com os mecanismos de segurança disponibilizada de forma nativa, através 
de uma arquitetura criada para tal, a IP Security (IPSec), que é uma tentativa para 
normatizar uma solução global para o problema de insegurança na Internet. 
Segundo BRITO (2013), do ponto de vista arquitetural, o IPv6 é realmente 
mais robusto de que o IPv4, afinal, não podemos esquecer que segurançanão era 
um requisito de projeto na concepção do IPv4, ao contrario do processo de 
concepção do IPv6 em que a segurança foi um do critérios mais relevantes na 
escolha da proposta que daria origem ao chamado IPng, ou IP da próxima geração, 
que posteriormente foi denominado IPv6. Tanto é que o protocolo IPSec foi criado 
para o IPv6 e somente depois foi aproveitado para operar sobre o IPv4. O sucesso 
desse protocolo de segurança é constatado por meio de inúmeras soluções de 
segurança, disponível no mercado, que oferecem suporte ao IPSec. 
 
 
22 
8.1 NEIGHBOR DISCOVERY PROTOCOL-NDP 
Neighbor Discovery conforme Simpson e Soliman (2007), especificam na RFC 
4861 é um mecanismo para nós IPv6 no mesmo link usarem Neighbor Discovery 
para descobrir a presença de outros hosts, para determinar o endereço da camada 
de enlace dos outros, para encontrar roteadores e manter informação de 
acessibilidade sobre o caminhos para os vizinhos ativos. 
O Neighbor Discovery para o protocolo IPv6, através da adição de novas 
mensagens para ICMPv6, efetivamente substitui o Address Resolution Protocol 
(ARP) do IPv4 para associar endereços da camada de enlace (MAC) na rede com 
endereços IPv6, bem como algumas mensagens ICMP relacionadas com o roteador 
usado com IPv4. Ao mesmo tempo, ele adiciona novos recursos, como 
inacessibilidade de um host vizinho (Loshin, 2004). 
Neighbor Discovery para IPv6", e fornece uma ferramenta importante que não 
só simplifica a administração e gerenciamento de rede, mas também permite um 
grau muito maior de medição em tamanho da rede IPv6." Cinco tipos de mensagens 
ICMPv6 são usadas na descoberta de vizinhos, incluindo um par de mensagens de 
solicitação e anúncio de roteador, um par de solicitação e anuncio de vizinhança, e 
uma mensagem de redirecionamento (HAGEN, 2008). 
 
8.2 INTERNET PROTOCOL SECURITY - IPSEC 
O protocolo IPSec fornece confidencialidade e integridade do pacote de IP 
entre a camada de IP e o camada de transporte.(KIM et al., 2008) 
O protocolo IPsec é composto por três sub protocolos . Um deles é o 
Authentication Header (AH) protocolo que suporta confidencialidade e integridade 
 
 
23 
dos pacotes transmitidos. Outro exemplo é o Encapsulation Security Payload (ESP) 
protocolo, que fornece origem autenticidade ao longo de criptografia. E o outro é o 
Internet Key Exchange (IKE) que prepara Security Association (SA) para IPSec 
comunicação usando uma chave Diffie-Hellman troca mecanismo. (KIM et al., 2008) 
A escolha entre os protocolos AH e ESP depende do nível de proteção 
desejado para os datagramas IP. O protocolo AH oferece a integridade dos dados, a 
proteção anti-replay, e autenticação de fonte de dados, mas não oferece a 
privacidade dos dados. O protocolo ESP oferece privacidade de dados, além de 
todos os recursos oferecidos pelo protocolo AH e é o protocolo de escolha para 
implantação de VPN. Consequentemente, este artigo centra-se no protocolo ESP 
utilizado para a formação de VPNs, apesar de grande parte da isto se aplica a AH 
bem. (SHUE; GUPTA; MYERS, 2007) 
A seleção de um mecanismo de criptografia é necessária antes de quaisquer 
dados de IP pode ser criptografado utilizando o protocolo ESP. As primitivas 
disponíveis incluem o uso de uma chave simétrica entre os dois pontos finais ou as 
chaves criptográficas públicas dos pontos finais. Desde a utilização de criptografia 
de chave pública é computacionalmente caro, IPSec utiliza chaves simétricas . Mas, 
antes de IPSec pode usar chaves simétricas para criptografar os dados , as chaves 
simétricas devem ser trocados.(SHUE; GUPTA; MYERS, 2007) 
 
 
24 
9. FIREWALL 
Segundo o RFC 2647, “Benchmarking Terminology for Firewall 
performance”, uma firewall é “um dispositivo, serviço de sistema operativo, ou 
aplicação que estabelece uma política de controlo de acesso entre redes.” 
Os firewalls são filtros de pacotes. Eles consistem de rotinas de software ou 
hardware dedicado que inspecionam as informações do cabeçalho em pacotes de 
rede. As informações de cabeçalho são então comparadas com uma lista de regras 
que definem se o pacote deve ser descartado ou encaminhado para o seu destino. 
Assim, um firewall especifica pacotes com endereços IP específicos, portos, ou 
serviços que estão autorizados a passar para dentro ou fora da rede.(LATURNAS; 
BOLTON, 2005) 
Segundo Santos (s.d.) um firewall pode ser de vários tipos, firewall estática, 
dinâmica de filtro-de-pacotes, pode ser um gateway de aplicação (ALG) ou servidor 
proxy, e pode ser ou de software ou de hardware. Mais adiante veremos as 
principais diferenças entre estes tipos. De qualquer modo, o propósito de todas elas 
é obrigar ao cumprimento de uma política de segurança previamente definida. 
Segundo NETO (2004), o Firewall IPTABLES do Linux é do tipo inspeção 
com estado. No Linux, as funções de Firewall são agregadas à própria arquitetura do 
Kernel, que é o núcleo do sistema operacional. Enquanto a maioria dos “produtos” 
Firewall pode ser definida como um subsistema, o Linux possui a capacidade de 
 
 
25 
transformar o Firewall no próprio. O módulo do Kernel no Linux responsável por 
realizar a função de um Firewall é chamado IPTABLES. 
Segundo (ANDERSON et al., 1997) um firewall e um programa de política de 
segurança, o conjunto de regras que definem quais tipos de interações é permitido 
entre o domínio protegidos e os desprotegidos fora. Firewalls podem filtrar tráfego 
fluindo tanto dentro e fora do domínio protegido, rejeitando quaisquer dados que não 
estejam em conformidade com a política dos firewalls são configurados para 
programar. Eles podem proteger contra muitos tipos de ataques, incluindo o 
seguinte: 
Unauthorized internal access: Um usuário não autorizado fora do domínio 
protegido busca acesso aos dados ou serviços dentro do domínio (por exemplo, 
proteger as informações confidenciais da empresa a partir de fora). 
Compromising authentication: Um usuário externo obtém privilégios de 
acesso de um insider enganando o mecanismo de autenticação (por exemplo , cópia 
e reutilização de uma senha). 
Unauthorized external access: Um usuário interno busca o acesso aos 
dados ou serviços não autorizados fora do domínio (por exemplo , os empregados 
acessando sites de lazer , enquanto a serviço da empresa ) . 
Spoofing: O endereço de origem de dados falsamente faz com que pareça 
vir de uma fonte confiável (por exemplo, pretendendo ser uma série dentro do 
domínio protegida). 
Session stealing: Uma sessão com um único propósito é subvertida para 
outra finalidade (por exemplo, quando uma conexão de e -mail em andamento é 
convertido para um que abre uma operação de transferência de arquivo). 
Tunneling: Um ataque usa uma série subvertido para esconder o ataque. 
Flooding: O atacante tenta sobrecarregar um host interno de pedidos do 
exterior. 
 
 
26 
Além disso, os firewalls podem manter registros de auditoria que podem 
indicar após o fato que tipo de dano no caso de o firewall não bloquear um ataque. 
(ANDERSON et al., 1997) 
9.1 CLASSIFICAÇÃO DAS FIREWALLS 
Firewall é o termo vulgarmente atribuído a diferentes sistemas tais como 
firewalls estáticos de filtro de pacotes ou routers de filtro de pacotes, firewalls 
dinâmicas ou statefull firewalls, gateways de aplicação, ou a servidores Proxy. 
9.1.1 FIREWALLS ESTÁTICOS DE FILTRO-DE-PACOTES “STATELESS” 
Uma firewall estática de filtro de pacotes é normalmente implementada 
dentro do sistema operativo ou hardware do router e opera na camada de rede (IP 
network layer), e muitas vezes também na camada de transporte (transport layer). 
Estas protegem o sistema fazendo decisões de routing apósa filtragem dos 
pacotes baseada na informação presente nos cabeçalhos dos pacotes. Estas 
decisões são tomadas pacote a pacote. 
 
Figura 1 Exemplo de firewall stateless adaptado CUELLAR (2013) 
 
 
27 
Em sistemas maiores, a um filtering router (também designado screening 
router) é muitas vezes colocado antes do firewall para fazer filtragem inicial com o 
objetivo de reduzir o esforço de processamento requerido pelo firewall. 
 
9.1.2 FIREWALLS DINÂMICOS, OU FIREWALLS DE INSPECÇÃO 
“STATEFULL” 
Os firewalls dinâmicos operam nas camadas de rede e de transporte, 
podendo filtrar pacotes com base em certas informações de protocolos de acesso ao 
meio e mesmo de protocolos de camadas superiores à camada de transporte. 
Estes tipos de firewalls de filtro de pacotes mantêm informação sobre 
sessões TCP ou troca de pacotes UDP. Os pacotes são filtrados no contexto de uma 
sessão e não isoladamente. 
Por exemplo, este tipo de firewalls sabe que um pacote TCP com a flag ACK 
deve ser descartado caso não tenha recebido um pacote inicial com a flag SYN. 
Sabe se um determinado pacote UDP é resposta esperada a um pacote 
anteriormente enviado, ou pelo menos se o pacote diz ser de um host para o qual foi 
enviado recentemente um pacote. A firewall consegue dizer se uma mensagem de 
erro ICMP chegou em resposta a uma sessão corrente. 
 
Figura 2 Exemplo de firewall IPv6 de natureza statefull adaptado de BRITO (2013). 
 
 
28 
É possível reconhecer que um determinado pacote pertence a uma sessão 
previamente autorizada, e desse modo passar á frente as regras de filtragem a que 
normalmente deveria ser sujeito esse pacote. Esta função, chamada de statefull 
inspection permite aperfeiçoar o funcionamento do firewall. 
As firewalls dinâmicas normalmente têm algum conhecimento específico de 
aplicações ou protocolos. Por exemplo, uma firewall pode estar a fechar as portas 
não privilegiadas e especificamente abrir uma porta para deixar passar uma sessão 
de FTP data. 
9.1.3 GATEWAYS DE APLICAÇÃO (ALG) E PROXYS 
O termo Gateway de Aplicação (Application Level Gateway ou ALG) refere-
se a um proxy de aplicação que funciona como ponto terminal para ambos os lados 
de uma conexão. Numa proxy-firewall são implementadas diferentes aplicações para 
cada serviço que utilize o proxy. A gateway de aplicação conhece a aplicação 
específica para qual está a fazer de gateway e pode fazer inspecção ao nível da 
aplicação. 
Aplicações Proxy podem garantir integridade dos dados, ou seja, que a 
informação trocada é apropriada á aplicação, que é sondada por possíveis virus, e 
sujeita à política de controlo de acesso ao nível da aplicação. 
A gateway mantém duas ligações, uma com o cliente e outra com o servidor. 
Cada aplicação de proxy aparenta ser o servidor para o software cliente, e aparenta 
ser o software cliente para o servidor. A gateway inicia a ligação ao servidor remoto 
em nome do software cliente e responde ao software cliente em nome do servidor. 
Na prática o tráfego local nunca deixa a LAN e o tráfego remoto nunca entra na LAN. 
 
 
29 
 
Figura 3 Exemplo de um GATEWAY de Aplicação adaptado de WEBSENSE (2013). 
Também se designa por ALG aos módulos de suporte a aplicações para 
uma firewall. Muitas firewalls possuem um FTP ALG para suportar o canal de dados 
do FTP, onde o cliente de FTP indica ao servidor a que porta local se pode ligar de 
modo a abrir o canal de dados. Portanto é o servidor que inicia a ligação do canal de 
dados, quando normalmente é o cliente a iniciar todas as ligações. As ALGs são 
normalmente necessárias para fazer passar protocolos multimédia por uma firewall, 
devido á complexidade destes protocolos que normalmente utilizam várias ligações 
simultâneas iniciadas por ambas partes e muitas vezes utilizam uma combinação de 
TCP e UDP. 
Uma ALG é um proxy. Outra forma de proxy é um proxy de nível de circuito 
(circuit-level proxy). Os proxys de nível de circuito não possuem conhecimento 
específico de aplicações, mas obrigam ao cumprimento de políticas de acesso e 
autorização, e servem de intermediários na ligação entre dois pontos. SOCKS é um 
exemplo de um proxy de nível de circuito. 
9.2 IPTABLE 
O Iptables é o software que será apresentado nesse artigo, ele é um firewall 
que vem integrado ao kernel do Linux deste a versão 2.4, sendo este produzido pela 
equipe de desenvolvimento Netfilter. 
 
 
30 
O iptables estar embutido no framework Netfilter e possui, além do iptables, 
outros módulos em seu corpo, como por exemplo, o Ip6tables. O iptables veio de 
modo a substituir o ipchains e ipfwadm e tem como característica fundamental 
manter estabilidade e uma melhor flexibilidade na implementação de regras de 
filtragem de pacotes do que seu antecessor ipchains. O kernel do Linux utiliza um 
recurso independente para monitorar e controlar todo o tipo de fluxo de dados dentro 
de sua estrutura operacional. A função do Kernel é de trabalhar ao lado de 
processos e tarefas, por esse motivo foi agregado um módulo Netfilter ao mesmo 
para controlar seu próprio fluxo interno (referencia). 
Segundo Schlemer (2007), o iptables usa o conceito de "ganchos" do 
Netfilter, permitindo avaliar um datagrama em alguns pontos dentro do kernel. Desse 
modo pode-se aplicar as lista de regras de filtragem tanto em pacotes que chegam a 
maquina através da rede, quanto pacotes gerados na maquina com o destino a 
própria maquina. 
Basicamente o iptables se baseia em pares de regras e ações. As regras 
definem em quais pacotes atuar e as ações definem qual atitude deve ser tomada 
quando um pacote bater com a regra em questão. As regras e ações são 
armazenadas pelo iptables listas de tabelas. 
9.3.1. Construção de Regras com Iptables 
No comando iptables especifica-se uma regra de modo que essa case com 
determinado tipo de tráfego. Após essa definição, deve-se dizer qual ação será 
tomada quando a regra casar com o tráfego selecionado. As opções mais usadas 
são: -p: PROTOCOLO (ex: tcp, udp, icmp, etc , -s E ERE e 2. 6 . .2 , -
d E ERE e 172.16.0.0/16), -i: INTERFACE (ethx) e -o INTERFACE (ethx). 
Apos definir-se na regra que tipo de pacote se quer tratar, é necessário dizer o que 
será feito quando essa regra casar com o tráfego no firewall. O alvo será justamente 
a ação que será feita quando isso acontecer. Os alvos mais usado no iptables são: 
 
 
31 
ACCEPT(Aceitar o pacote), DROP(Ignorar o pacote), REJECT(Rejeitar o pacote), 
LOG(Registrar o dado em log), DNAT(Mudar o endereço de destino), SNAT(Mudar o 
endereço de origem) e MASQUERADE(Mascarar). Na figura seguinte tem-se um 
exemplo genérico de regra: 
 
Figura 4 Exemplo Geral de Regra Iptables adptado de PIRES (2013) 
Exemplo: Uma regra que permite que 192.168.0.0/24 ligada a interface de 
rede eth0 possa enviar tráfego a 192.168.1.0/24 conectada a interface de rede eth1: 
# iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -i eth0 -o eth1 -j 
ACCEPT 
9.3 IP6TABLES 
IP6Tables é usado para configurar, manter e inspecionar as tabelas das 
regras de filtragem de pacotes IPv6 no kernel do Linux. Várias regras diferentes 
podem ser definidos. Cada tabela contém um número de cadeias embutidas e 
também pode conter cadeias definidas pelo usuário. 
Cada tabela é uma lista de regras que podem corresponder a um conjunto 
de pacotes. Cada regra especifica o que fazer com um pacote que combina. Isto é 
 
 
32 
chamado um alvo, que pode ser um salto para uma corrente definida pelo utilizador 
na mesma tabela. 
O ip6tables ferramenta para IPv6 faz praticamente tudo o que o iptables faz 
para IPv4. É tentador simplesmentereescrever o script de firewall existente, 
adicionando uma regra extra para a versão IPv6 de cada host. Por exemplo, o meu 
servidor web é 195.8.117. 9 , então eu copiar o 9 fora da final e atribuir o endereço 
IPv6 2001:67 c: 1388:1000 :: 9 para o mesmo servidor e adicione o ip6tables regra 
de firewall: 
 
Figura 5 Regra de firewall IPTABLE e IP6TABLE 
Agora que você começou a regra de um firewall em sua rede. Todos os seus 
dispositivos têm agora um IP encaminhado globalmente (v6) endereço, por isso é 
tempo para se familiarizar com a criação de um firewall "real". 
Uma vez que o seu roteador IPv6 é uma caixa de linux, que também é 
outras coisas (servidor, ponto de acesso sem fio, etc) eu não posso configurar um 
bom firewall dedicado como pfsense, sem gastar mais dinheiro e muito um pouco 
mais de trabalho. Então, vamos trabalhar com o que temos de ip6tables 
Quem já usa o iptables não irá sentir nenhuma dificuldade, as regras são as 
mesmas, as chains também são as mesmas, o que muda mesmo são os ips usados 
que serão ipv6 e o comando que passou a ser chamado de ip6tables. 
Startando o serviço: 
/etc/init.d/ip6tables start 
Primeiro, deletando todas as regras: 
 ip6tables -F 
 ip6tables -X 
 
 
 
33 
Listando as regras, mostrando números e não nomes: 
 ip6tables -L -n 
Listando as regras de uma tabela específica, mostrando números e não 
nomes: 
 ip6tables -L -n -t filter 
 ip6tables -L -n -t nat 
 ip6tables -L -n -t mangle 
Configurando a política padrão do firewall: 
 ip6tables -P INPUT DROP 
 ip6tables -P FORWARD DROP 
 ip6tables -P OUTPUT ACCEPT 
Criando as regras padrões na tabela filter na chain INPUT. 
Permitir icmpv6 para descobrimento de vizinhança e demais serviços 
necessários: 
 ip6tables -A INPUT -p ipv6-icmp -j ACCEPT 
Permitir acesso a loopback: 
 ip6tables -A INPUT -i lo -j ACCEPT 
Deixando o firewall em modo Statefull: 
ip6tables -A INPUT -i sixxs -m state RELATED,ESTABLISHED -j 
ACCEPT 
Permitir acesso SSH as máquinas da rede local (Link Local): 
 ip6tables -A INPUT -s fe80::/10 -p tcp --dport 22 -j ACCEPT 
 
 
34 
Permitir uso de multicast: 
 ip6tables -A INPUT -d ff00::/8 -j ACCEPT 
Permitir acesso a gerência web do firewall: 
 ip6tables -A INPUT -s fe80::/10 -p tcp --dport 80 -j ACCEPT 
 ip6tables -A INPUT -s fe80::/10 -p tcp --dport 443 -j ACCEPT 
Criando as regras padrões na tabela filter na chain FORWARD. 
Permitir icmpv6 para descobrimento de vizinhança e demais serviços 
necessários: 
 ip6tables -A FORWARD -p ipv6-icmp -j ACCEPT 
Deixando o firewall em modo Statefull: 
ip6tables -A INPUT -i sixxs -m state RELATED,ESTABLISHED -j 
ACCEPT 
Permitir a passagem para a rede local, ou para dmz, ou somente para as 
máquinas necessárias: 
ip6tables -A INPUT -s 2001:db8:1000::/48 -i eth0 -o sixxs -m state --
state NEW -j ACCEPT 
Desabilitar processo de verificação de pacotes RH0: 
 ip6tables -A INPUT -m rt --rt-type 0 -j DROP 
 ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP 
 ip6tables -A FORWARD -m rt --rt-type 0 -j DROP 
 
Não será necessário criar nenhuma regra de OUTPUT, pois na política 
padrão está ACCEPT, dessa forma o firewall não fará nenhum bloqueio a ele 
 
 
35 
mesmo, dessa forma qualquer acesso partindo dele para qualquer destino será 
liberado. 
Essas regras deverão ser adicionadas a um arquivo para que ao reiniciar a 
máquina não se perca as configurações. 
Aqui está um simples conjunto de regras IP6Tables. Você vai querer ajustar 
estes para seu local específico. Para visualizar são chamados via este comando 
/etc/rc.local: 
 
Figura 6 Regra de IP6TABLES 
 
 
36 
Aqui está um pequeno script para ativar filtragem com 
netfilter/IP6TABLES . O script foi teste no Debian, mas deve trabalhar em outras 
plataforma do Linux. 
 
Figura 7 Script de Firewall Stateless 
Observe que neste exemplo não mostra as melhores práticas ou o que se 
deve fazer, sim uma base para o que se deve fazer de acordo com sua necessidade. 
 
 
37 
 
Figura 8 Script de Firewall Statefull 
 
Quase tão alto, mas com o estado. Você precisa de um novo kernel com os 
módulos corretos (veja acima). Este firewall nega tudo por padrão, mas permite que 
os endereços link-local, multicast e ICMPv6. Tudo interna também é permitido. O 
anfitrião si e cada cliente pode acessar a Internet e também para a frente (para 
dentro) ssh e bittorrent tráfego para um host especificado na sub-rede. 
 
 
38 
 
Figura 9 Script IP6TABLES 
 
 
39 
Este firewall nega tudo por padrão, mas permite que os endereços link-local, 
multicast e ICMPv6. Tudo interna também é permitido. O anfitrião si e cada cliente 
pode acessar a Internet e apenas o POP SixXS é permitido nos pingar, ninguém 
mais! 
 
 
40 
10. CONSIDERAÇÕES FINAIS E RECOMENDAÇÕES 
O rápido esgotamento dos endereços IPv4, a existência de equipamentos 
legados onde não é possível utilizar IPv6 e a presença de equipamentos somente 
IPv6, por falta de IPs v4 livres, criaram a demanda do rápido aprendizado de IPV6 e 
consequentemente da segurança que tem que ser dada a esse protocolo. 
Não há dúvida de que no futuro a Internet utilizará majoritariamente IPv6 e, 
possivelmente, somente IPv6. Aqueles que trabalham com redes há pelo menos 
pouco mais de uma década viveram outras transições similares, como por exemplo, 
quando, em redes corporativas era comum o uso de IPX/SPX, Netbios, Appletalk e 
IP concomitantemente. A convergência tecnológica é um processo natural. Ela 
facilita o gerenciamento das redes, a interoperabilidade, o desenvolvimento de 
novas aplicações e serviços, reduzindo custos, de forma geral. 
Com isso em mente, os provedores devem planejar-se para atender, daqui a 
pouco tempo, seus novos usuários exclusivamente com redes IPv6, de forma nativa. 
Devem oferecer paliativamente a eles um IPv4 válido, se houver disponível, ou 
compartilhado, se necessário. Isso deve ser feito enquanto houver uma quantidade 
relevante de dispositivos na Internet que não tenham implantado IPv6. Pode-se fazer 
isso com auxílio de técnicas de transição baseadas em túneis, ou tradução, usando 
a rede que será exclusivamente Ipv6, dessa forma a segurança tem que vir em 
conjunto com as máquinas clientes, servidores e os firewalls de borda tem que ter 
 
 
41 
entendimento e controle do protocolo IPV6, máquinas baseadas em linux vem com 
iptables e ip6tables nativamente no kernel e com ele podemos fazer toda a 
segurança como vimos ao longo do trabalho. 
Um grande ponto é a diferença entre o IPV4 e o IPV6 na questão iptables e 
ip6tables, não temos a necessidade de NAT, pois temos comunicação fim a fim com 
o Global Link, a tabela de NAT no ip6tables entrará em desuso. 
Um dos pontos a considerar na escolha das técnicas de ip6tables a serem 
utilizadas é se elas são stateless ou statefull. Técnicas stateless são mais 
trabalhosas, mas consomem menos recurso da máquina dado que teremos que criar 
todas as regras em dobro. Se necessário usar técnicas stateful, é mais fácil de se 
trabalhar e montar o firewall, mas o consumo da máquina aumenta com isso se torna 
um pouco mais caro a implantação. 
Como vimos neste projeto esta e uma ferramenta poderosa para proteger 
sua rede de ataques, com isso, esperamos ajudar o leitor que possa entender como 
funciona esta parte de filtro de pacotes com ip6tables. 
 
 
42 
11. PROCEDIMENTOS METODOLÓGICOS 
Ainda baseando-se em Silva e Menezes (2005), tem-se como procedimento 
técnico na elaboração deste trabalho a pesquisa bibliográfica, consistindo na 
consulta de material publicado sobre o(s) assunto(s) a ser(em) abordado(s)seja ele 
impresso ou disponível via Internet. Além de um estudo de caso, aqui envolvendo a 
análise da rede UFAC assim como a elaboração de uma proposta pra implantação 
da ferramenta IP6TABLES na mesma. 
Será adotada a seguinte metodologia para que os resultados esperados 
sejam alcançados: 
a) Estruturação do trabalho e metodologia; 
b) Estudo das tecnologias que serão usadas no projeto; 
c) Seguindo a metodologia definida para o projeto; 
 d) Desenvolvimento da pesquisa do mesmo. 
 
12. ESBOÇO DOS CAPÍTULOS E SEÇÕES 
 
1. APRESENTAÇÃO......................................... ERRO! INDICADOR NÃO DEFINIDO. 
2. PROBLEMA DA PESQUISA ........................ ERRO! INDICADOR NÃO DEFINIDO. 
3. OBJETIVOS DA PESQUISA ........................ ERRO! INDICADOR NÃO DEFINIDO. 
3.1 OBJTIVO GERAL ............................... ERRO! INDICADOR NÃO DEFINIDO. 
3.2 OBJETIVOS ESPECÍFICOS ............... ERRO! INDICADOR NÃO DEFINIDO. 
4. JUSTIFICATIVA DA PESQUISA .................. ERRO! INDICADOR NÃO DEFINIDO. 
5. HISTORIA DA INTERNET ............................ ERRO! INDICADOR NÃO DEFINIDO. 
6. SEGURANÇA EM REDES ............................ ERRO! INDICADOR NÃO DEFINIDO. 
6.1 O QUE PROTEGER ............................ ERRO! INDICADOR NÃO DEFINIDO. 
7. IPV6 ............................................................... ERRO! INDICADOR NÃO DEFINIDO. 
7.1 CABEÇALHO IPV6 ............................. ERRO! INDICADOR NÃO DEFINIDO. 
7.2 ENDEREÇAMENTO ........................... ERRO! INDICADOR NÃO DEFINIDO. 
7.2.1 TIPOS DE ENDEREÇOS IPV6 ............... Erro! Indicador não definido. 
7.3 PROTOCOLO ICMPV6 ....................... ERRO! INDICADOR NÃO DEFINIDO. 
7.3.1 Mensagens ICMPv6 Neighbor Discovery .......... Erro! Indicador não 
definido. 
8. SEGURANÇA EM IPV6 ................................ ERRO! INDICADOR NÃO DEFINIDO. 
8.1 NEIGHBOR DISCOVERY PROTOCOL-NDP ........ ERRO! INDICADOR NÃO 
DEFINIDO. 
 
 
44 
8.2 INTERNET PROTOCOL SECURITY - IPSEC ....... ERRO! INDICADOR NÃO 
DEFINIDO. 
9. FIREWALL .................................................... ERRO! INDICADOR NÃO DEFINIDO. 
9.1 CLASSIFICAÇÃO DAS FIREWALLS . ERRO! INDICADOR NÃO DEFINIDO. 
9.1.1 FIREWALLS ESTÁTICOS DE FILTRO-DE-PACOTES 
“STATELESS”................................................. Erro! Indicador não definido. 
9.1.2 FIREWALLS DINÂMICOS, OU FIREWALLS DE INSPECÇÃO 
“STATEFULL” ................................................. Erro! Indicador não definido. 
9.1.3 GATEWAYS DE APLICAÇÃO (ALG) E PROXYS Erro! Indicador não 
definido. 
9.2 IPTABLE ............................................. ERRO! INDICADOR NÃO DEFINIDO. 
9.3.1 Construção de Regras com Iptables ... Erro! Indicador não definido. 
9.3 IP6TABLES ......................................... ERRO! INDICADOR NÃO DEFINIDO. 
10. PROCEDIMENTOS METODOLÓGICOS .... ERRO! INDICADOR NÃO DEFINIDO. 
11. ESBOÇO DOS CAPÍTULOS E SEÇÕES ... ERRO! INDICADOR NÃO DEFINIDO. 
REFERÊNCIAS ......................................................................................................... 44 
 
 
 
REFERÊNCIAS 
AMOSS, John J.; MINOLI, Daniel. Handbook of IPv4 to IPv6 Transition: 
Methodologies for Institutional and Corporate Networks. New York: Auerbach 
Publications, 2008. 
ANDERSON, J. P. et al. Firewalls: an expert roundtable. IEEE Software, v. 14, n. 
5, p. 60–66, 1997. 
ANDRADE, R. R. P.; Ferramentas para Administração e Segurança de Redes de 
Computadores: IpTables , 2006 
BRITO, S. H. B.; IPv6 - O Novo Protocolo da Internet. 1. ed. São Paulo: Novatec, 
2013. 
CUELLAR, A. 6.2 Firewall. Disponível em: http://vimeo.com/41251672. Acessado em 
10/11/2013 
DIZARD JR., Wilson. A nova mídia: a comunicação de massa na era da 
informação. Tradução: JORGE, Edmond. Revisão técnica: QUEIROGA, Antonio. 
2a. Edição. Rio de Janeiro: Jorge Zahar Editor, 2000. 
ESQUIVEL, C. J.; GERENCIAMENTO DE REGRAS DE FIREWALL IPTABES EM 
AMBIENTE LINUX. Uberlândia, 2006. 
GIL, Antônio Carlos. Métodos e técnicas de pesquisa social. São Paulo: Atlas, 
1999. 
HAGEN, Silvia. IPv6 Essentials: Integrating IPv6 into your IPv4 Network. 2 ed. 
Cambridge: O'Reilly Media, Inc, 2006. 
KIM, T. et al. A Cooperative Authentication of IP Sec and SEND Mechanisms in 
IPv6 Environments. In INTERNATIONAL CONFERENCE ON ADVANCED 
LANGUAGE PROCESSING AND WEB INFORMATION TECHNOLOGY, 2008 
 
 
46 
LAKATOS, Eva Maria; MARCONI, Marina de Andrade. Fundamentos de 
metodologia científica. São Paulo: Atlas, 1993. 
LATURNAS, D.; BOLTON, R. Dynamic silicon firewall. In: CANADIAN 
CONFERENCE ON ELECTRICAL AND COMPUTER ENGINEERING, 2005. 
LOSHIN, Pete. IPv6 Theory, Protocol and Pratice. 2 ed. San Francisco: Elsevier, 
2004. 
MINOLI, Daniel. Voice Over IPv6: Architectures for Next Generation VoIP 
Networks. Amsterdam: Elsevier Inc, 2006. 
NAKAMURA, Emílio Tissato; GEUS, Paulo Lício. Segurança de Redes em 
Ambientes Cooperativos. 2ª. ed. São Paulo: Futura, 2003. 
NETO, U. Dominando Linux Firewall IPTABLES. Rio de Janeiro: Ciência Moderna, 
2004. 
PIRES, A. L. N. Linux Netfilter/Iptables: Criação de Regras Básicas de Firewall. 
Disponível em: http://erin3.ifac.edu.br/?page_id=74. . Acessado em 15/11/2013. 
RFC 2402 - IP Authentication Header. Disponível em: 
http://www.ietf.org/rfc/rfc2402.txt. Acessado em 01/10/2013 
RFC 2406 - IP Encapsulating Security Payload. Disponível em: 
http://www.ietf.org/rfc/rfc2406.txt. Acessado em 01/10/2013 
RFC 2408 - Internet Security Assoc. and Key Management Protocol (ISAKMP). 
Disponível em: http://www.ietf.org/rfc /rfc2408.txt. Acessado em 01/10/2013 
 
RFC 2411 - IP Security Document Roadmap. Disponível em: 
http://www.ietf.org/rfc/rfc2411.txt. Acessado em 01/10/2013 
 RFC 2647, Benchmarking Terminology for Firewall Performance, Disponível em: 
http://www.ietf.org/rfc/rfc2647. . Acessado em 01/10/2013 
SANTOS, A. P. F. F. dos. Firewall & Linux: Tutorial de iptables. Disponível em: 
http://www.dei.isep.ipp.pt/~paf/proj/Set2002/Firewall%20%26%20Linux%20-
%20Tutorial%20de%20iptables.pdf. . Acessado em 01/10/2013 
SCHLEMER, E. Estrutura do Iptables. Disponível em: 
http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables/. Acessado em 06/11/2013. 
SHUE, C. A.; GUPTA, M.; MYERS, S. A. IPSec: Performance Analysis and 
Enhancements. In: IEEE INTERNATIONAL CONFERENCE ON 
COMMUNICATIONS, 2007. 
SILVA, Edna Lúcia da; MENEZES, Estera Muszkat; Metodologia da Pesquisa e 
Elaboração de Dissertação. 4 ed. Florianópolis: UFSC, 2005. 
 
 
47 
WEBSENSE. Configuração do Gateway. Disponível em: 
http://www.websense.com/content/support/library/web/v75/wws_deploy_guide/deploying_na
_gateway_config.aspx. Acessado em 10/11/2013 
ZWICKY, ELIZABETH D.; Construindo Firewalls para a Internet. 2ª ed. Rio de 
Janeiro, Editora Campus,2001.