No, IPv6 non è meno sicuro di IPv4 perché manca il supporto NAT

Quando si parla di sicurezza delle reti IP viene spesso a galla un’affermazione tanto popolare quanto fuorviante: IPv4 sarebbe più sicuro di IPv6 perché il NAT, usato di default con IPv4, garantirebbe una sorta di protezione implicita grazie a una politica “deny by default”. La convinzione scaturisce da una confusione concettuale tra meccanismi di traduzione degli indirizzi e controllo della sicurezza del traffico. Il punto centrale è semplice: NAT non è una misura di sicurezza e il fatto che IPv6 non lo richieda non rende affatto questo protocollo meno sicuro. Anzi, in molti contesti accade l’opposto.

Il NAT nasce per un problema di spazio, non di sicurezza

Il meccanismo alla base di NAT (Network Address Translation) fu introdotto per risolvere un problema molto specifico: l’esaurimento dello spazio di indirizzamento IPv4. Consentendo a più dispositivi di condividere un singolo indirizzo IP pubblico, NAT ha permesso far crescere a dismisura il numero dei dispositivi collegati ala rete Internet, ben oltre i limiti originari del protocollo.

Dal punto di vista operativo, il NAT funziona riscrivendo gli indirizzi IP (e spesso le porte) dei pacchetti, mantenendo una tabella di associazioni che consente di reinstradare correttamente il traffico di risposta verso il dispositivo interno che ha originato la connessione. Questo comportamento, però, non nasce per filtrare il traffico, ma per permettere la comunicazione in presenza di indirizzi privati non instradabili (esempi: 10.0.0.0 – 10.255.255.255; 172.16.0.0 – 172.31.255.255; 192.168.0.0 – 192.168.255.255).

Il fatto che pacchetti in ingresso “non attesi” non siano consegnati a un host interno non è una politica di sicurezza deliberata: è una conseguenza del funzionamento del meccanismo di traduzione.

La “protezione” percepita del NAT è in realtà opera del firewall

Quando si afferma che una rete IPv4 con NAT è “più sicura”, in realtà si sta attribuendo al NAT il comportamento di un altro componente che si chiama firewall stateful.

I router moderni, sia in ambito domestico sia enterprise, integrano quasi sempre un firewall che mantiene lo stato delle connessioni e applica regole di filtraggio precise. È il firewall, non il NAT, a implementare politiche come:

• Consentire il traffico di ritorno delle connessioni avviate dall’interno.
• Bloccare pacchetti malformati o fuori stato.
• Negare tutto il traffico in ingresso non esplicitamente autorizzato.

Sono policy applicate prima che il traffico sia eventualmente tradotto o instradato. In altre parole, anche se il NAT non esistesse, il traffico indesiderato sarebbe comunque scartato lato firewall.

IPv6 e firewall: sicurezza per progettazione, non per effetto collaterale

Con IPv6 cambia radicalmente il modello: ogni dispositivo può avere un indirizzo globale univoco, eliminando la necessità del NAT come strumento di sopravvivenza. Una caratteristica tecnica, questa, che però non implica affatto che i dispositivi siano esposti.

I firewall IPv6 moderni adottano esattamente lo stesso approccio stateful: il traffico in uscita è consentito, il traffico di ritorno è ammesso, quello in ingresso non richiesto è bloccato per impostazione predefinita.

Di conseguenza, per pubblicare un servizio IPv6 accessibile dall’esterno è necessario definire una regola firewall esplicita quindi consentire il traffico verso l’host e la porta desiderata.

Un comportamento del genere avviene indipendentemente dall’uso del NAT che, va ricordato, può comunque essere implementato anche in IPv6 se lo si desidera, sebbene sia generalmente sconsigliato.

Perché il mito del NAT come protezione persiste ancora oggi

Il mito di un NAT che fornisce una protezione solida è in gran parte culturale. Per anni, gli utenti hanno associato la presenza del NAT alla sensazione di “essere nascosti” dietro un singolo indirizzo pubblico.

IPv6, rendendo gli indirizzi visibili e instradabili, rende anche più evidente il ruolo del firewall, spostando la sicurezza da un comportamento implicito a una configurazione esplicita e consapevole. Di primo acchito può sembrare qualcosa di meno “automatico” ma in realtà è più corretto, più trasparente e più controllabile.

Attribuire al NAT un valore di sicurezza significa basarsi su un effetto secondario. La sicurezza di una rete dipende infatti da politiche firewall ben definite, gestione corretta delle superfici di esposizione, aggiornamento e hardening dei servizi esposti.

IPv6 non indebolisce nessuno di questi aspetti. Al contrario, elimina una complessità artificiale, riduce le ambiguità e consente modelli di sicurezza più coerenti con l’architettura end-to-end di Internet.