Le sfide dell’adozione di IPv6

Gli indirizzi IPv4 sono terminati e per le aziende e gli ISP è arrivato il momento della migrazione. Strumenti, dispositivi e risorse secondo Arbor Networks.

Gli indirizzi IPv4, come noto, sono ormai terminati. Siamo tanti a collegarci alla Rete, a livello mondiale, e con la sempre più ampia diffusione dell'Internet mobile e dei dispositivi capaci di effettuare collegamenti in mobilità (notebook, smartphone, netbook e tablet) gli indirizzi IP sino ad oggi disponibili non bastano più a soddisfare la domanda.

La soluzione è il passaggio ad IPv6, nuova versione dell'Internet Protocol che, da un lato, almeno a regime, semplificherà la configurazione e la gestione delle reti, dall'altro metterà a disposizione un numero di IP pari a 2128.

Ma quali sono le sfide che pone l'adozione dell'IPv6? Ne parliamo con Marco Gioanola, Consulting Engineer EMEA Arbor Networks.

Le infrastrutture di rete sono pronte per la migrazione ad IPv6?
Buona parte degli ISP è potenzialmente pronta a un’implementazione su larga scala o sta pianificando la transizione, ma i livelli di traffico IPv6 sono ancora ampiamente sotto lo 0,1% del totale. Siamo in attesa di scoprire quale sarà il fattore scatenante che obbligherà gli ISP a fornire supporto nativo IPv6 ai consumer, innescando quindi il circolo virtuoso di crescita della quantità di contenuti Web disponibili sulla nuova rete.

Avremo qualche indicazione più precisa prossimamente: l’8 giugno prossimo sarà l’IPv6 Day organizzato da grandi content provider come Google, Facebook e Yahoo. Quel giorno, cercando di accedere a www.google.com, saremo diretti a un indirizzo IPv6: si potrà così valutare quanti client sono già pronti ma soprattutto quanti, pur non supportando ancora la nuova versione, saranno in grado di gestire correttamente la risposta e ripiegare su IPv4.

Quali strumenti possono essere utilizzati per verificare la compatibilità con il nuovo protocollo?
Gli ISP hanno bisogno di strumenti di monitoraggio leggeri e scalabili, e la telemetria basata su Netflow è certamente lo strumento principale. Troviamo spesso, ad esempio, clienti sorpresi dalla quantità di traffico IPv6 già presente nella loro rete, trasportata da tunnel come Teredo o incapsulata in IPv4. E’ importante che gli ISP utilizzino apparati di rete che supportino non solo l’instradamento del traffico IPv6, ma anche la sua corretta misurazione: tutti i maggiori vendor ormai supportano versioni di telemetria flow compatibili con IPv6.

Per quanto riguarda le aziende, la cosa più semplice - e, direi, ora più che mai indispensabile per aziende con un’area ICT degna di questo nome - è avviare una sperimentazione locale su base ridotta, per prendere confidenza coi nuovi meccanismi dell’IPv6: i sistemi operativi recenti supportano IPv6 ed è possibile creare facilmente piccole reti di test.

E' possibile ottenere qualche dettaglio tecnico sulle minacce che potrebbero trarre vantaggio dal passaggio ad IPv6?
Gran parte delle possibili minacce sono legate alla novità e maggiore complessità di alcuni meccanismi insiti nell’IPv6. Proprio perché molti ambiti sono ancora “work in progress”, l’elenco sarebbe molto lungo; cito solo alcuni esempi.

L’ICMPv6, oltre alle funzioni a cui siamo abituati, svolgerà compiti di autoclassificazione dei terminali, router discovery e advertisement, MTU discovery e gestione dei gruppi di multicast, rendendo necessari filtri più specifici e complessi, per evitare attacchi man-in-the-middle e Denial of Service e contemporaneamente permettere il funzionamento corretto della rete.

I port scan e host scan come li conosciamo oggi saranno pressoché impossibili, ma ciò significa che probabilmente le attività di discovery si sposteranno, con tecniche alternative, su altri canali, come ad esempio il DNS. Se a questo aggiungiamo l’utilizzo di DNSSEC e il fatto che i record AAAA saranno di dimensioni maggiori degli attuali, è facile vedere il DNS come un canale particolarmente a rischio.

IPv6 supporta pacchetti detti jumbogram, di dimensione potenzialmente maggiore di 65KB ciascuno, e eventuali bug nella loro gestione o inefficienze a livello di rete potranno essere sfruttati per DoS e DDoS. Discorso analogo vale per gli extension header previsti dal formato IPv6 e per la nuova modalità di gestione dei frammenti di pacchetti.

L’interregno tra IPv4 e IPv6 - che durerà molto a lungo - vedrà anche un incremento degli apparati di rete incaricati di incapsulare il traffico IPv6 consumer su backbone ancora largamente IPv4, e tali apparati saranno potenziali vittime di attacchi. Utilizzare IPv6 come canale di controllo delle botnet, ad esempio, è una pratica diffusa da tempo, e abbiamo anche rilevato attacchi a gateway 6-to-4 volti proprio a mettere fuori uso botnet rivali.

Altri meccanismi come la mobilità degli indirizzi - Mobile IPv6 - o la possibilità di readdressing delle reti renderanno più complesso il lavoro di chi deve controllare la sicurezza degli accessi.

Ricordo che il National Institute for Standards and Technology americano ha rilasciato un documento di linee guida per l’implementazione sicura di IPv6: ciò nonostante, gran parte dei temi trattati si conclude ancora con paragrafi dal titolo “Aspetti sconosciuti” o “Aspetti da chiarire”.

Quali le risorse a disposizione di provider, imprese ed utenti finali per affrontare la "sfida IPv6"?
L’utente finale ha già attualmente poca confidenza con l’Internet Protocol, e IPv6 è stato progettato in nome dell’autoconfigurazione e della mobilità: in un “mondo IPv6” non sarà più pensabile affidare all’utente finale nemmeno il più semplice compito di troubleshooting di rete, come il dettare un indirizzo IP al telefono; dovremo affidarci al buon lavoro svolto dagli ISP.

Per le aziende e gli ISP esistono molte risorse in rete, principalmente in lingua inglese, e ampie possibilità di training. Spesso il mondo accademico è più preparato in merito rispetto alle aziende, quindi vale la pena di indagare presso l’Università o il Politecnico più vicini per possibilità di collaborazioni in tema di sperimentazione IPv6. La parola d’ordine per Arbor Networks è “visibilità”, quindi non possiamo che consigliare sperimentazione sul campo e analisi dei risultati.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here