6 consigli per incrementare la sicurezza di IPv6

IPv6 e sicurezza: ecco alcune preoccupazioni destate nei professionisti della rete dall’avvento del nuovo Internet Protocol e i trucchi per superarle

Dopo aver parlato in modo approfondito di IPv6, delle sue evoluzioni e della sua implementazione, scopriamo quali sono gli aspetti del protocollo che destano maggiore preoccupazione in ambito di sicurezza fra gli ingegneri e i tecnici di networking che già si trovano a operare in IPv6 o che inizieranno da qui a breve a lavorare con questa nuova formulazione dell’Internet Protcol.

Secondo una ricerca condotta da gogoNET su un panel di oltre 95 mila professionisti del settore, le maggiori aree di preoccupazione per la sicurezza IPv6 derivano da una carenza in ambito educational per approfondire la conoscenza del protocollo, dall’implementazione del bypass nei dispositivi di sicurezza, dal mancato supporto sull’IPv6 da parte degli ISP e dei vendor, dalla compatibilità delle policy di sicurezza fra il protocollo v4 e quello v6, dai bug nell’implementazione e dall’assenza di NAT.

6 consigli per incrementare la sicurezza di IPv6

A fronte di queste sei difficoltà, possiamo offrire sei importanti consigli che ci consentono di lavorare con l’IPv6 in tutta tranquillità.

1.      Investiamo nella formazione e nel training IPv6 per i tecnici delle nostre aziende

Le aziende devono dedicare tempo e risorse alla formazione dei propri tecnici. Il mancato investimento nell’ambito educational per l’IPv6 è sinonimo di una maggiore spesa successiva, a cui poi l’azienda dovrà far fronte per tappare le falle di sicurezza nei propri sistemi. Il mantenimento della sicurezza delle rete dopo il passaggio all’IPv6 deve essere una parte fondamentale delle strategie e della pianificazione aziendale, prima ancora del deployment del nuovo protocollo. Inoltre, tutti i tecnici devono venire a conoscenza dei fondamenti dell’IPv6 ora, in quanto tutti gli ambienti enterprise hanno sistemi operativi e dispositivi pronti alla transazione e una carente conoscenza del protocollo sarebbe come lasciare aperta una enorme backdoor.

2.      La conoscenza del protocollo IPv6 ci permette di impostare correttamente il traffico non filtrato o i tunnel

Bisogna conoscere approfonditamente il protocollo IPv6 per evitare problematiche con le configurazioni dei dispositivi di sicurezza per il traffico non filtrato o per i tunnel. In questo caso, i tecnici devono essere sempre coscienti di quello che stanno per compiere, senza affidarsi troppo agli strumenti di conversione IPv4-IPv6 disponibili, che ancora non hanno raggiunto il grado di maturità necessaria per soddisfare i criteri di protezione contro le minacce.

3.      Mettere in atto un piano di test per l’hardware IPv6

Il mancato supporto all’IPv6 dai vendors o dagli ISP può essere in parte risolto organizzando un piano di test della nostra rete, che coinvolga tutti i protocolli da utilizzare e tutto l’equipaggiamento in termini di hardware, inclusi, soprattutto, i dispositivi di sicurezza Ogni rete è unica e ogni network richiederà quindi un suo piano di test, che possiamo comporre aiutandoci con i consigli disponibili sul blog di alcuni professionisti, come Joe Klein e Scott Hogg. Ulteriori complicazioni potrebbero derivare dalla mancata connettività in IPv6 fornita dall’ISP, anche se possiamo provare ad ovviare chiedendo al provider una connettività IPv6 nativa.

4.      La conoscenza del protocollo IPv6 deve essere superiore a quella che fino a ora è stata riservata per l’IPv4

Come abbiamo detto, molti dei problemi relativi alla sicurezza del protocollo IPv6 sono dovuti a una carenza conoscitiva. Il grado di approfondimento che dobbiamo dedicare a questo protocollo non solo deve essere uguale a quello dedicato al protocollo IPv4, ma deve addirittura essere superiore, in quanto dobbiamo essere in grado di prevedere e proteggere la rete da vulnerabilità che in un ambiente omogeneo come quello dell’IPv4 non avevano ragione di esistere.

5.      Oltre ai test hardware IPv6, prevediamo anche dei test software

Possiamo trovare bug nelle librerie che ancora supportano parzialmente l’IPv6 o in tecnologie come il VoIP o nei protocollo come quello SIP, che ancora devono essere adattati al nuovo protocollo. Questi bug possono introdurre delle vulnerabilità nella nostra rete, per cui è importante mettere in atto un piano di testing onnicomprensivo che ci permetta di individuare, isolare e risolvere i problemi software legati al nuovo protocollo.

6.      L’assenza del NAT nell’IPv6 inficia la sicurezza: è solo un equivoco!

Alcuni guardano alla mancanza del NAT nel protocollo IPv6 come a una carenza di sicurezza. In realtà, bisogna imparare che è un firewall correttamente configurato a fornire la giusta sicurezza alla rete e non un sistema di traduzione degli indirizzi di rete.

Insomma, il passaggio da un ambiente omogeneo come quello attuale che si basa su protocollo IPv4 a una realtà eterogenea dovuta alla transizione dalle infrastrutture IPv4 a quelle IPv6 e alla convivenza dei due protocolli porta con sé nuovi tipi di traffico, nuove configurazioni e nuove attrezzature che non bisogna ignorare e che è importante imparare a conoscere per lavorare nel massimo della sicurezza anche con l’IPv6.