IPv6 schizofrenico

Quando si comincia ad utilizzare IPv6 in produzione su una configurazione LAN eterogenea iniziano i comportamenti a cui non siamo abituati.

Con IPv4 un host impostato per la configurazione automatica si assegna un indirizzo link-local (169.254.0.0/16, RFC3927) contatta il server DHCP per avere un indirizzo e, quando lo ottiene, scarta l’indirizzo link-local e avrà sempre solamente quell’indirizzo fino alla scadenza dell’affitto dello stesso.

Leggi tutto “IPv6 schizofrenico”

Rete parallela

Sono sempre di più i prodotti e i sistemi operativi che supportano IPv6.

La quasi totalità di questi host è configurata per default in dual stack con DHCP su IPv4 e SLAAC su IPv6. Chi esegue l’installazione del dispositivo raramente si cura della parte IPv6 e procede solamente alla configurazione di IPv4, lasciando IPv6 attivo in SLAAC.

Purtroppo l’attuale implementazione di SLAAC non prevede alcuna forma di autenticazione o di validazione preventiva, posto che l’IT si sia già posto il problema dell’IPv6 nella sua LAN.

Il risultato è che a tutti gli host IPv6, inclusi i server, può essere assegnato un indirizzo IP da un software come radvd con lo scopo di creare una LAN parallela a quella esistente con delle regole di routing e di accesso completamente diverse. Piazzare una macchina Linux con radvd e un tunnel IPv6 con 2^64 indirizzi pubblici è più semplice di quello che sembra; una volta attivato il gateway, gli host con un IPv6 sarebbero accessibili da qualsiasi parte di Internet.

In questa fase transitoria è bene configurare correttamente gli host, disabilitando IPv6 (o lo SLAAC) dove non è ancora necessario. Agire solamente sul firewall di frontiera non è sufficiente perché nel caso indicato sopra il Linux potrebbe avere un punto di uscita diverso verso Internet.