Ipv6 e la sicurezza: non si ferma ciò che non si vede

Cosa succede se tunnel non autorizzati producono traffico Ipv6 invisibile? E come si rimedia? Lo spiega Robert Hinden di Check Point.

Il lancio mondiale di Ipv6 oramai è storia. E gli obiettivi sono stati raggiunti: tutti i principali fornitori di contenuti e di accesso hanno abilitato Ipv6 in modo permanente, generando un picco di traffico Ipv6 nativo, abbinato ad un picco parallelo di traffico sui protocolli di tuneling, come 6to4 e Teredo.
Ma le implicazioni di sicurezza legate alla gestione del traffico Ipv6 permangono.

Tra i potenziali problemi ha un ruolo importante la possibilità che tunnel non autorizzati possano produrre traffico Ipv6 invisibile, andando così a creare un passaggio non custodito dentro e fuori la rete aziendale.

Per Robert Hinden, Check Point fellow e co-inventore del protocollo Ipv6, bloccare questi passaggi richiede piena visione e comprensione di come funzionano i meccanismi di transizione a Ipv6.

Alcuni sistemi operativi come Windows Vista e Windows 7 consentono meccanismi di transizione a Ipv6 per impostazione predefinita. Ciò significa che queste funzionalità potrebbero essere già in uso senza che il reparto It ne sia a conoscenza, rendendo così possibile agli utenti bypassare firewall e sistemi di prevenzione delle intrusioni.

Questi tunnel permettono a host e router Ipv6 di connettersi con altri dispositivi Ipv6 tramite il protocollo classico Ipv4.
Il problema legato ai tunnel è che possono tagliare fuori il firewall dell’azienda consentendo agli aggressori di aggirare potenzialmente i controlli di sicurezza e connettersi a risorse che si trovano all’interno della rete.

Per questo motivo, l’utilizzo di protocolli di tunneling come 6to4 a supporto della transizione a Ipv6 deve essere valutato con attenzione, e possibilmente ridotto al minimo.

La questione è che Ipv6 potrebbe già essere in esecuzione su una rete di un’azienda senza che questa ne sia a conoscenza, e potrebbe essere utilizzata come canale nascosto da botnet e hacker.

Anche se un’azienda non utilizza attivamente Ipv6 sulla propria rete è importante che la sua infrastruttura di sicurezza sia al corrente del traffico Iv6.
In sostanza, non si può fermare ciò che non si vede.

Per Hinden quando si tratta di garantire un’implementazione sicura di Ipv6, la parola chiave è visibilità. Alle aziende serve che i prodotti di sicurezza che usano siano in grado di supportare Ipv6,e di abilitarlo dal punto di vista operativo.

In alcuni casi, questo potrebbe richiedere un aggiornamento, perché alcuni vecchi sistemi di prevenzione delle intrusioni e firewall potrebbero non essere in grado di controllare il traffico Ipv6.

Molti produttori di firewall e sicurezza di rete hanno aggiunto nel corso degli ultimi anni il supporto a Ipv6. In ogni caso, le aziende dovrebbero affrontare il tema con i vendor, per assicurarsi che i loro prodotti offrano tutte le funzionalità di cui hanno bisogno, ed iniziare ad applicarle nel proprio ambiente.

Esistono in merito iniziative ufficiali di test Ipv6 che possono aiutare in questo passaggio, come lo USGv6 Profile and Testing Program del Nist.

Man mano che le aziende proseguono nell’implementazione di Ipv6, gli amministratori devono prestare particolare attenzione ai meccanismi di transizione ed alle configurazioni dei dispositivi per evitare che vengano creati percorsi di rete non autorizzati.

Monitorare tutto il traffico di rete è un obbligo imprescindibile per la sicurezza e, nel caso vengano rilevati tunnel non autorizzati, questi dovrebbero essere chiusi prima che possano essere sfruttati per ogni possibile forma di attacco. L’inevitabilità del passaggio a Ipv6 significa che le aziende devono iniziare a organizzarsi ora per supportare il nuovo protocollo in modo sicuro.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome