Alcuni aspetti di sicurezza per il deployment dell’IPv6
Il 6 Giugno 2012 numerosi siti web hanno pubblicato la notizia relativa al lancio ufficiale del Internet Protocol versione 6, IPv6, in sostituzione dell’attuale versione IPv4 a causa dell’esaurimento di indirizzi IP pubblici disponibili. Per l’occasione anche Voices ha pubblicato un articolo dal titolo Ipv6 e la nuova Internet di Chiara Moriondo.
Il primo evidente e immediato vantaggio offerto dall’IPv6 è il notevole aumento dello spazio di indirizzi che passa dai circa 4.294 miliardi (232) del IPv4 ai circa 3.4×1038 ovvero 2128 indirizzi con IPv6. Per poter comprendere la necessità di un così elevato numero di indirizzi, basti pensare ai moderni dispositivi elettronici come smart-phone, tablet e TV che sono già tutti connessi a Internet e all’opportunità di connetterne di nuovi per fornire molti altri servizi, si pensi infatti a tutti servizi di controllo remoto, telerilevamento ambientale e automazione. Si prevede una crescita del numero di oggetti collegati alla rete tale da introdurre il concetto di Internet delle cose e in questo scenario la sicurezza ricopre un aspetto fondamentale.
L’IPv6 è un protocollo dotato di sicurezza nativa. Quella che oggi conosciamo come suite di protocolli IPsec (IP Security), funzionalità che si aggiunge ad IPv4 per aumentare la salvaguardia delle comunicazioni, è in realtà una caratteristica intrinseca dell’ IPv6. IPsec è infatti obbligatorio nell’implementazione di una rete IPv6. Tuttavia ci sono non poche preoccupazioni riguardo la realizzazione di una Internet completamente IPv6, principalmente per gli aspetti legati alla sicurezza. L’infrastruttura di rete attuale, infatti, è formata da alcuni strumenti e dispositivi IPv4 che non supportano ancora IPv6, mentre altri che funzionano con IPv6 ma non sono correttamente configurati dai vari amministratori di sistema. Di conseguenza, alcuni firewall e dispositivi per la gestione delle intrusioni, sono in grado di rilevare malware solo su traffico dati IPv4.
In pratica un attaccante potrebbe potenzialmente superare tutti i controlli e i meccanismi di sicurezza con l’invio di malware sfruttando il traffico dati IPv6. Un’altra preoccupazione è rappresentata dalle debolezze specifiche del protocollo, che possono essere utilizzate da un aggressore per condurre un attacco contro il livello rete di IPv6. Alcuni ricercatori hanno già pubblicato delle guide e messo a disposizione degli strumenti di verifica e di penetration test, ovvero dei test di valutazione della sicurezza di un sistema attraverso la simulazione di attacchi. Il toolkit di penetration test, pubblicato dal sito The Hacker Choice, è un buon esempio di strumento attualmente a disposizione.
La migrazione da IPv4 a IPv6 è necessaria in quanto la nuova versione del protocollo non è compatibile con la precedente. Il processo dovrebbe essere programmato e graduale. Prima di iniziare si dovrebbe semplificare e assestare l’infrastruttura di rete esistente in IPv4 eliminando tutte le funzionalità non più necessarie. Dato che il passaggio a IPv6 non sarà istantaneo, e che gli apparati IPv4 resteranno in rete per molto tempo ancora mentre la migrazione è in corso, sarà necessario mettere in campo dispositivi dual stack in grado di comunicare con entrambe le versioni del protocollo. Tutti i nuovi dispositivi di rete messi in campo dovrebbero essere certificati da enti esterni che ne garantiscano la piena compatibilità di funzionamento nelle reti IPv6 per evitare inattesi malfunzionamenti.
Una volta che tutti gli apparati IPv6 sono stati correttamente inseriti nel segmento di rete in corso di migrazione, questi dovrebbero essere sottoposti a un rigoroso processo di messa in sicurezza delle configurazioni (hardening) prima del collegamento con domini di rete esterni. Il processo di hardening avrebbe non solo il vantaggio di ridurre i rischi legati alle varie dinamiche di attacco ma anche quello di abbassare il carico elaborativo dell’apparato disabilitando i servizi non necessari. Non è da trascurare inoltre la formazione e l’aggiornamento professionale degli addetti ai lavori. Gli operatori dovranno essere preparati a gestire eventuali problemi di incompatibilità ed avere le conoscenze necessarie per applicare le configurazioni per contrastare gli eventi di sicurezza che potrebbero verificarsi.
Il passaggio a IPv6 sarà un’operazione del tutto trasparente agli utenti e non avrà nessun effetto sull’usabilità della rete, ma il periodo di transizione non sarà affatto breve. Gli utenti infatti potranno continuare ad utilizzare tutti i servizi come la posta elettronica, la navigazione web, la videoconferenza con Skype, ecc. D’altro canto i Service Provider, come TelecomItalia, che curano la crescita e la manutenzione della rete, saranno impegnati in un lungo e graduale processo di passaggio verso la nuova architettura, rivedendone anche la sicurezza.
I centri di ricerca e le organizzazioni che operano nel settore hanno rilasciato diversi studi e linee guida a supporto della diffusione dell’IPv6. Il NIST, National Institute of Standards and Technology, per esempio ha pubblicato il documento 800-1191 Guidelines for the Secure Deployment of IPv6. L’argomento è un tema chiave anche per l’Europa. Il vicepresidente della Commissione Europea, Neelie Kroes, ha infatti incoraggiato tutti gli stakeholder in gioco a procedere velocemente alla migrazione verso IPv6 per evitare un impatto negativo sia sull’innovazione che sui mercati.
Già l‘8 giugno 2011 i grandi service provider come Google, Facebook, Yahoo!, Akamai e Limelight Networks e altri 1000 siti web avevano partecipato a un primo test di 24 ore per la sperimentazione del nuovo IPv6. I risultati ottenuti sono stati molto incoraggianti e hanno dimostrato su scala globale la fattibilità dell’operazione di migrazione dando una spinta importante al passaggio alla nuova architettura.
Antonio De Martino
Questo articolo è stato pubblicato quiLasciare un commento
Per commentare registrati al sito in alto a destra di questa pagina
Se non sei registrato puoi farlo qui
Sostieni la Fondazione AgoraVox
