Arbor Networks: ecco le sfide che pone l'adozione di IPv6

Gli indirizzi IPv4, come noto, sono ormai terminati. Siamo tanti a collegarci alla Rete, a livello mondiale, e con la sempre più ampia diffusione dell’Internet mobile e dei dispositivi capaci di effettuare collegamenti in mobilità (notebook, smartphone, netbook e tablet) gli indirizzi IP sino ad oggi disponibili non bastano più a soddisfare la domanda. La soluzione è il passaggio ad IPv6, nuova versione dell'”Internet Protocol” che, da un lato, almeno a regime, semplificherà la configurazione e la gestione delle reti, dall’altro metterà a disposizione un numero di IP pari a 2¹²⁸ (ved. questi nostri articoli per maggiori informazioni in merito).

Con l’intento di approfondire ulteriormente l’argomento anche nelle prossime settimane, abbiamo iniziato ad affrontare il tema con Marco Gioanola (nella foto), Consulting Engineer EMEA Arbor Networks, società leader nelle soluzioni per il controllo della sicurezza delle reti mondiali. Tra i clienti di Arbord vi sono molte grandi aziende e più del 70% degli ISP (“Internet Service Provider“) di tutto il mondo.

IlSoftware.it: Qual è la posizione di Arbor rispetto all’arrivo dell’IPv6?

La soluzione Peakflow di Arbor Networks e’ pronta da tempo al monitoraggio delle reti IPv6, sia per quanto riguarda l’analisi del traffico che l’anomaly detection. Nelle release piu’ recenti abbiamo aggiunto una serie di report specifici per supportare gli ISP nell’adozione di IPv6, e nel 2011 completeremo il panorama fornendo anche una soluzione completa di DDoS Mitigation su IPv6.
Attraverso la nostra rete di monitoraggio ATLAS e i rapporti costanti con gli ISP teniamo sotto controllo l’adozione dell’IPv6 a livello globale. Buona parte degli ISP e’ potenzialmente pronta a un’implementazione su larga scala o sta pianificando la transizione, ma i livelli di traffico IPv6 sono ancora ampiamente sotto lo 0,1% del totale. Siamo in attesa di scoprire quale sara’ il fattore scatenante che obblighera’ gli ISP a fornire supporto nativo IPv6 ai consumer, innescando quindi il circolo virtuoso di crescita della quantita’ di contenuti Web disponibili sulla nuova rete.

Le infrastrutture di rete sono pronte per la migrazione ad IPv6?

Come detto, la maggioranza degli ISP ha almeno una sperimentazione in campo, ma siamo ancora lontani da un supporto completo a livello globale. Avremo qualche indicazione piu’ precisa prossimamente: l’8 Giugno prossimo sara’ l’”IPv6 Day” (ved. anche questo articolo, n.d.r.) organizzato da grandi content provider come Google, Facebook e Yahoo. Quel giorno, cercando di accedere a www.google.com, saremo diretti a un indirizzo IPv6: si potra’ cosi’ valutare quanti client sono gia’ pronti ma soprattutto quanti, pur non supportando ancora la nuova versione, saranno in grado di gestire correttamente la risposta e ripiegare su IPv4.

Quali strumenti possono essere utilizzati per verificare la compatibilità con il nuovo protocollo?

Gli ISP hanno bisogno di strumenti di monitoraggio leggeri e scalabili, e la telemetria basata su Netflow e’ certamente lo strumento principale. Troviamo spesso, ad esempio, clienti sorpresi dalla quantita’ di traffico IPv6 gia’ presente nella loro rete, trasportata da tunnel come Teredo o incapsulata in IPv4. E’ importante che gli ISP utilizzino apparati di rete che supportino non solo l’instradamento del traffico IPv6, ma anche la sua corretta misurazione: tutti i maggiori vendor ormai supportano versioni di telemetria flow compatibili con IPv6.
Per quanto riguarda le enterprise, la cosa piu’ semplice (e, direi, ora piu’ che mai indispensabile per aziende con un’area ICT degna di questo nome) e’ avviare una sperimentazione locale su base ridotta, per prendere confidenza coi nuovi meccanismi dell’IPv6: i Sistemi Operativi recenti supportano IPv6 ed e’ possibile creare facilmente piccole reti di test.

E’ possibile ottenere qualche dettaglio tecnico sulle minacce che potrebbero trarre vantaggio dal passaggio ad IPv6?

Gran parte delle possibili minacce sono legate alla novita’ e maggiore complessita’ di alcuni meccanismi insiti nell’IPv6. Proprio perche’ molti ambiti sono ancora “work in progress”, l’elenco sarebbe molto lungo; cito solo alcuni esempi.

L’ICMPv6, oltre alle funzioni a cui siamo abituati, svolgera’ compiti di autoclassificazione dei terminali, router discovery e advertisement, MTU discovery e gestione dei gruppi di multicast, rendendo necessari filtri piu’ specifici e complessi, per evitare attacchi man-in-the-middle e Denial of Service e contemporaneamente permettere il funzionamento corretto della rete.

I port scan e host scan come li conosciamo oggi saranno pressoche’ impossibili, ma cio’ significa che probabilmente le attivita’ di discovery si sposteranno, con tecniche alternative, su altri canali, come ad esempio il DNS. Se a questo aggiungiamo l’utilizzo di DNSSEC e il fatto che i record AAAA saranno di dimensioni maggiori degli attuali, e’ facile vedere il DNS come un canale particolarmente a rischio.

IPv6 supporta pacchetti detti “jumbogram”, di dimensione potenzialmente maggiore di 65KB ciascuno, e eventuali bug nella loro gestione o inefficienze a livello di rete potranno essere sfruttati per DoS e DDoS. Discorso analogo vale per gli extension header previsti dal formato IPv6 e per la nuova modalita’ di gestione dei frammenti di pacchetti.

L’interregno tra IPv4 e IPv6 (che durera’ molto a lungo, e meriterebbe un lungo discorso a parte) vedra’ anche un incremento degli apparati di rete incaricati di incapsulare il traffico IPv6 consumer su backbone ancora largamente IPv4, e tali apparati saranno potenziali vittime di attacchi. Utilizzare IPv6 come canale di controllo delle botnet, ad esempio, e’ una pratica diffusa da tempo, e abbiamo anche rilevato attacchi a gateway 6-to-4 volti proprio a mettere fuori uso botnet rivali.

Altri meccanismi come la mobilita’ degli indirizzi (Mobile IPv6) o la possibilita’ di readdressing delle reti renderanno piu’ complesso il lavoro di chi deve controllare la sicurazza degli accessi.

Ricordo che il National Institute for Standards and Technology americano ha rilasciato lo scorso dicembre un documento di linee guida per l’implementazione sicura di IPv6: cio’ nonostante, gran parte dei temi trattati si conclude ancora con paragrafi dal titolo “Aspetti sconosciuti” o “Aspetti da chiarire”.

Quali le risorse a disposizione di provider, imprese ed utenti finali per affrontare la “sfida IPv6”?

L’utente finale ha gia’ attualmente poca confidenza con l’Internet Protocol, e IPv6 e’ stato progettato in nome dell’autoconfigurazione e della mobilita’: in un “mondo IPv6” non sara’ piu’ pensabile affidare all’utente finale nemmeno il piu’ semplice compito di troubleshooting di rete, come il dettare un indirizzo IP al telefono; dovremo affidarci al buon lavoro svolto dagli ISP.
Per le aziende e gli ISP esistono molte risorse in rete, principalmente in lingua inglese, e ampie possibilita’ di training. Spesso il mondo accademico e’ piu’ preparato in merito rispetto alle aziende, quindi vale la pena di indagare presso l’Universita’ o il Politecnico piu’ vicini per possibilita’ di collaborazioni in tema di sperimentazione IPv6. La parola d’ordine per Arbor Networks e’ “visibilita’”, quindi non possiamo che consigliare sperimentazione sul campo e analisi dei risultati.

Ringraziamo sentitamente l’ingegner Gioanola per il suo prezioso contributo ed il tempo dedicatoci.