Rischi dell’implementazione di IPv6

Mentre il conto alla rovescia dell’esaurimento dell’IPv4 continua, è opportuno valutare i rischi correlati all’adozione di IPv6.

Il NIST ha pubblicato un utilissimo documento in cui vengono dettagliate le linee guida per l’adozione sicura dell’IPv6 nelle organizzazioni.

Il documento è molto corposo e la prende veramente alla lontana, ma è utile a tutti perché non dà nulla per scontato; chi conosce già i dettagli dei protocolli IP può saltare i primi capitoli.

Nella guida vengono spiegati i meccanismi di passaggio da v4 a v6 e i rischi correlati.

Già adesso avere un dispositivo con IPv6 abilitato con indirizzo automatico potrebbe costituire un problema di sicurezza. Basta, infatti, che ci sia in LAN un computer con a bordo un server che assegna IPv6 e un tunnel configurato che gli host IPv6 sono immediatamente pubblicati su Internet senza alcun firewall in mezzo.

Come se non bastasse, Windows Small Business Server 2011 pretende che sia attivo IPv6 nell’interfaccia di rete del server.

Questi sono alcuni possibili problemi connessi con l’adozione di IPv6:

  • chi attacca un’organizzazione potrebbe avere conoscenze di IPv6 superiori al personale dell’organizzazione;
  • i fornitori di connettività stanno ritardando l’adozione di IPv6, la qual cosa costringe le organizzazioni a ritardare i test oppure ad utilizzare tunnel per le prove;
  • la gestione degli host IPv6 è più complessa di quella IPv4;
  • i firewall e i software di sicurezza sono abbastanza immaturi per quanto riguarda IPv6, posto che supportino quel protocollo;
  • la rete deve essere gestita per un certo periodo di tempo contemporaneamente in IPv4 e IPv6;
  • i fornitori medio-piccoli di software (gestionali, rilevamento presenze…) sono spesso molto indietro con l’adozione di nuove tecnologie, che vengono viste solamente come costi;
  • alcuni dispositivi di rete potrebbero non supportare IPv6 o potrebbero avere dei bachi;
  • la disponibilità di tunnel IPv6 gratuiti potrebbe creare pericolosi buchi nella sicurezza.

La lettura del documento del NIST potrebbe essere un valido supporto, almeno per iniziare e per rendersi conto dei rischi che si dovranno affrontare.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

4 pensieri riguardo “Rischi dell’implementazione di IPv6”

  1. Ho recentemente attivato un VPS su OVH con Ubuntu Linux. Di default è configurato per IPv6: lentissimo. Per dare un’idea: circa 3 minuti per contattare archive.ubuntu.com per gli aggiornamenti. Al momento non ho fretta, ma non mi stupisco più se vedo in giro molta reticenza a IPv6…
    E’ normale?

    1. Il protocollo in se’ non e’ colpevole del ritardo.
      La risoluzione AAAA di archive.ubuntu.com e’ un round robin di vari host, ho fatto adesso delle prove e mi sono beccato urayuli.canonical.com, sudice.canonical.com e obake.canonical.com, tutti da casa mia pingano a 90 ms, che e’ il lag dell’ADSL e un po’ di lag del tunnel che finisce in UK.
      Tre minuti sono onestamente un’eternita e non credo dipendano da IPV6

      1. Sono d’accordo sul fatto che non possa dipendere dal protocollo in sé… ma forse la battaglia per l’implementazione precoce va condotta sia lato utenti che lato provider di servizi. Di questo passo, è una partita a chi molla più tardi IPv4.

        1. IMHO i provider di connettività stanno ritardando il più possibile il deploy di IPv6 perché costa un botto in infrastruttura, aggiornamenti di firmware dei router, doppia gestione di tutto quanto e formazione del personale.
          Tireranno fino all’ultimo momento possibile poi faranno tutto di corsa lasciando aperti molti buchi di sicurezza nei periodi iniziali (questo discorso vale un po’ per tutti).

Spazio per un commento