IPv6, la minaccia del traffico invisibile

IPv6, la minaccia del traffico invisibile

Nonostante quello che è stato detto in passato, IPv6 sembra essere diventato, almeno nell'attuale periodo di transizione iniziale, una concreta minaccia alla sicurezza.

 

Gli esperti affermano, infatti, che la maggior parte delle organizzazioni statunitensi hanno traffico IPv6 invisibile nelle loro reti, mentre poche sono equipaggiate per vederlo e gestirlo; si lasciano quindi le porte aperte a botnet e minacce simili, che hanno buon gioco a nascondersi in questo troppo poco sorvegliato formato di trasmissione. Ciò avviene nonostante esistano già firewall IPv6-aware, e altri programmi simili per poter controllare questo particolare traffico.

 

Il maggior rischio è per quelle organizzazioni che hanno deciso di ritardare il passaggio a IPv6, mentre ad esempio le agenzie federali degli USA sono più al sicuro, avendo abilitato IPv6 nelle loro reti backbone, consapevolmente e con le dovute cautele. Il problema è che sistemi come Vista, Windows Server 2008, Mac OS X, Linux e Solaris hanno comunque IPv6 abilitato per default insieme a IPv4 - si stima su circa 300 milioni di postazioni - e tale impostazione viene sovente trascurata da chi si occupa di gestirla.

 

Inoltre, IPv6 può sfruttare meccanismi di tunneling, per far apparire i propri pacchetti come normale flusso IPv4; tale stratagemma viene effettuato tramite tecniche come Teredo, il quale tra l'altro è supportato da Microsoft. Il trucco risulta assai difficile da scoprire, soprattutto quando vengono usati dei sub-tunnels; fortunatamente, l'implementazione di strumenti preventivi non si è fatta aspettare: si sono già mosse Command Information con Assure6, e McAfee con la Network Security Platform; questi software implementano entrambi un'opportuna funzionalità di tunnel inspection per far fronte al problema.

 

Anche dal punto di vista hardware, le soluzioni non si sono fatte attendere, con Cisco e Juniper che offrono router IPv6 dotati di firewall appositi. Starà ora alle aziende adottare delle policy per la corretta gestione del problema: ad esempio, finché non si è pronti ad abbracciare totalmente IPv6, impedire che tale flusso venga accettato dall'esterno della rete locale, e mantenerlo solo all'interno, sempre sorvegliandolo con gli adeguati strumenti di protezione.