Ipv6 e sicurezza: attenti ai prossimi sei mesi

Anche il nuovo protocollo ha le sue debolezze. Lo switch-over può rappresentare una minaccia per imprese e organizzazioni. Il Cto di Radware, Amir Peles, invita a fare attenzione.

Il Chief Technology Officer Radware, Amir Peles, ha fatto qualche considerazione sul passaggio a Ipv6, resosi necessario dopo l'esaurimento dell'ultimo blocco disponibile di indirizzi Ipv4.

E lo fa partendo proprio dalla finalità di Ipv6, che è stato progettato per risolvere i problemi di spazio dello standard precedente e che include nuovi fattori di sicurezza in grado di offrire autenticazione e riservatezza dei dati, oltre che la loro integrità.

Ma, nota Peles, non affronta gli aspetti di disponibilità e sicurezza del servizio, criticità che possono verificarsi a causa delle vulnerabilità e delle debolezze dell'Ipv6 e che possono essere sfruttate per sferrare attacchi.

Peles elenca dunque le minacce principali da tenere d'occhio durante lo switchover che comincerà ad avvernire nel corso dell'anno.

Struttura di sicurezza non-compliant

Attualmente la maggior parte dei vendor assicura di disporre di prodotti di sicurezza Ipv6-ready. Ma è davvero così? Vengono offerte versioni speciali che supportano l'Ipv6, oppure viene richiesta una licenza per attivarlo.
Ma anche quando il supporto è stato attivato, è necessario imparare bene come funziona. Ad esempio, il firewall può semplicemente trasmettere il traffico Ipv6 senza controlli (invece di escluderlo, come faceva la versione non-Ipv6); il traffico Ipv6 può by-passare i motori deep-packet, componenti hardware che non sempre sono in grado di supportarlo, con il risultato di evadere gli attacchi; gli header dell'Ipv6 sono quattro volte più grandi dell'Ipv4 e possono rallentare di molto il processo di elaborazione.

L'Ipv6 è complicato da gestire

Avete mai visto un indirizzo Ipv6? Avete l'esperienza per configurare il firewall di modo che consenta o blocchi il traffico Ipv6? Come si tratta il traffico Ipv6 veicolato su Ipv4? Sapete che l'Ivmp (Internet Control Message Protocol) è incorporato nel protocollo Ièv6? Queste sono solo alcune delle domande che possono determinare la capacità o meno di proteggere i propri server in modo davvero efficace.

Le vulnerabilità dell'Ipv6

Chi gestisce reti Ipv6 deve conoscere le vulnerabilità del protocollo. Chi ha progettato l'Ipv6 conosceva la necessità di proteggere la rete, ed ha incluso IpSec obbligatori nella definizione di base del protocollo.
Tuttavia, esperienze recenti in occasione di attacchi alla rete hanno dimostrato che l'IpSec non copre tutte le vulnerabilità di una rete Ipv6. I bug e le debolezze di protocollo dell'Ipv6 sono molto più complicate rispetto all'Ipv4.
E ci vorrà del tempo perché i vendor di applicazioni possano definire queste vulnerabilità: quindi sarebbe utile affidarsi ad un vendor Ips in grado non solo di supportare la trasmissione di traffico Ipv6 ma che includa anche firme che si adeguino ai sistemi Ipv6-based.

I tunnel Ipv6

Per far passare il traffico Ipv6 su Ipv4 sono disponibili diversi tipi di tunnel (Teredo, 6to4, Isatap). I cybercriminali possono sfruttarli per infiltrare attacchi cloak, perché sanno che i pacchetti Ipv6 assomigliano ad un normale traffico Ipv4. È necessario verificare in modo specifico con i vendor di firewall e Ips che questi siano in grado di effettuare una Dpi (Deep Packet Inspection) del traffico Ipv6 per esaminarne il contenuto. C'è una grande differenza fra Ips e firewall che supportano Ipv6 e quelli che effettivamente eseguono la Dpi sul traffico Ipv6.

Dispositivi Ipv6 ambigui

Le capacità di auto-configurazione generica integrate in Ipv6 permettono ad un hacker di definire un dispositivo 'pirata' che assegna gli indirizzi Ip a tutti gli altri dispositivi di una rete. I più abili possono addirittura creare una rete pirata che agisce come un router Ipv6 che può esaminare, modificare o eliminare il traffico, senza che l'amministratore di sistema neanche lo sappia.

Cifratura di Ipv6

Simile alla cifratura Ssl, Ipv6 integra un meccanismo interno di cifratura. Questa funzionalità è stata prevista per assicurare autenticazione e riservatezza alle comunicazioni fra server e cliente; ma può anche permettere agli hacker di utilizzare tunnel cifrati per sferrare attacchi direttamente al server, bypassando l'ispezione di firewall o Ips, che non possono controllare contenuti cifrati.

Attacchi Ddos

Gli attacchi Distributed Denial-of-Service mirano a sovraccaricare reti e server con volumi di traffico che essi non riescono a gestire. L'Header Ipv6 è quattro volte più grande dell'Ipv4. Filtrare il traffico su header e indirizzi Ipv6 richiede un maggior utilizzo dell'apparato di sicurezza della Cpu, così come la trasmissione del traffico aumenta l'uso della Cpu dell'attrezzatura di rete: tutto ciò porta ad un minor volume di traffico che può saturare la rete.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here