IPv6, le basi per prepararsi in tempo

Per un’amministratore di rete, il passaggio da IPv4 è tutto sommato semplice. Le attività da fare e quelle da controllare. E quale sarà la funzione del NAT?

Nell’ambito di un corso organizzato dal GARR, Marco Sommani, ricercatore presso l’Istituto di Informatica e Telematica del CNR, ha spiegato come il passaggio ad IPv6 sia un’operazione tutto sommato piuttosto semplice da effettuarsi per un amministratore di rete: mettere in IPv6 un server web è un’operazione facile da compiere che non comporta alcun tipo di controindicazione. Analoga operazione va effettuata su mail server e DNS. In questi ultimi due casi l’operazione è anche meno “critica”.



Sommani spiega che, mentre un server web deve essere in grado di accettare richieste di connessione provenienti da qualunque parte di Internet, quindi anche da eventuali client “IPv6-only” (compatibili, cioé, solamente con l’ultima versione dell'”Internet Protocol“), nel caso dei server DNS e SMTP è sufficiente che essi siano in grado di accettare richieste di connessione provenienti dai client locali o da altri server.

Considerando che i server DNS e SMTP di Internet continueranno per anni ad essere dual-stack o “IPv4-only”, l’operazione di attivare IPv6 sui server DNS e SMTP è obbligatoria solo per quei server che prevedono di avere a breve dei client “IPv6-only”.



Importantissimo, invece, è l’inserimento delle informazioni IPv6 sul DNS, altrimenti i server web dual-stack continueranno ad essere raggiunti solo in IPv4. L’inserimento di informazioni IPv6 sul DNS è possibile anche se il DNS server è “IPv4-only”.

Un eventuale client “IPv6-only” che volesse conoscere l’indirizzo IPv6 di un “nostro” server web invierebbe l’interrogazione in IPv6 al suo DNS server e questo, dopo aver fatto le opportune ricerche sull’albero dei nomi, finirebbe per inviare la richiesta via IPv4 al nostro server.

Alla fine di tutta l’operazione il client “IPv6-only” riceverebbe l’informazione desiderata anche se il nostro server DNS non supportava l’IPv6.



La presenza del record AAAA (detto anche record “quadruplo-A“) indica che al DNS corrisponde anche un indirizzo IPv6. I passaggi successivi, ad esempio per arrivare ad un DNS autoritativo, possono però essere tranquillamente effettuati in IPv4.



Per il momento la cosa più importante da fare è mettere il maggior numero di macchine possibili nella condizione di utilizzare il cosiddetto dual-stack, ossia nel poter operare in IPv4 così come in IPv6.



Si potrà fare a meno del NAT?
La grande speranza, per il prossimo futuro, spiega ancora Sommani, è quella di poter fare a meno dei NAT (acronimo di “Network Access Translation“): così facendo si potranno dispiegare applicazioni senza grossi problemi senza scervellarsi con i NAT.

Il NAT, lo ricordiamo, effettua la “traduzione degli indirizzi di rete” e si concretizza nella modifica degli indirizzi IP contenuti nei pacchetti in transito su di un sistema che agisce come router.

La progressiva scomparsa dei NAT, grazie all’introduzione di IPv6, consentirà anche un miglioramento della sicurezza perché, tra l’altro, sarà possibile effettuare un’autenticazione end-to-end. Dalla zona “nattata” tutti si presentano in Rete con uno stesso indirizzo IP (l’individuazione del “colpevole” diventa quindi difficile).

Il NAT, nel caso di Fastweb, ad esempio, viene impiegato non a livello della singola casa o della singola impresa ma a livello di “quartiere”.

Come spiega Sommani, è capitato che – in seguito ad attacchi – siano stati posti in black list un numero enorme di sistemi che si affacciano in Rete con lo stesso IP. Queste problematiche, grazie ad IPv6, diveranno – col tempo – un ricordo.

L’utilizzo del NAT appare oggi sempre più superfluo con l’introduzione di IPv6: se lo scopo è quello di consentire solo le sessioni che partono internamente dalla rete locale, verso l’esterno, è possibile “armarsi” semplicemente un qualunque firewall dotato di funzionalità stateful inspection o filtraggio stateful dei pacchetti.



IPv6 è stato studiato in modo tale che ad ogni sede, ad esempio di un’impresa, sia assegnata una /48 ossia un prefisso di dimensione pari a 48 bit. Chi riceve quell’indirizzo può definire nella sua rete 216 subnet che a loro volta possono ospitare 2^64 indirizzi. Si tratta di una quantatità di IP enorme, quindi, che ciascun provider Internet può concedere a ciascun suo cliente.



Gli interventi sui dispositivi di rete
Dal punto di vista degli interventi da applicare agli apparati di rete, le considerazioni da fare sono poche e semplici. Gli switch, lavorando a livello 2, non hanno bisogno di interventi.Così come uno switch fa transitare IPv4, questo farà passare anche IPv6, almeno in linea generale.

Sui router, invece, la riconfigurazione del router è assolutamente necessaria. Anzi, il ritardo dei provider nel passaggio ad IPv6 è determinato proprio dal fatto che i tecnici, evidentemente, non hanno ancora messo mano alle impostazioni dei rispettivi router.

Se sulla rete “viaggiano” pacchetti dati IPv6, mentre i personal computer Windows già lavorano tranquillamente senza operare alcuna modifica, ciò non è vero nel caso dei router che debbono essere riconfigurati manualmente.



A tal proposito, va ricordata l’esistenza di un comitato che da anni ha stilato una lista pubblica contenente gli hardware ed i software che risultano del tutto compatibili con IPv6: il suo nome è IPv6 Forum.



L’IPv6 è supportato, ovviamente, anche da Linux e Mac OS X ma non il tunneling automatico. Se il router non attiva il tunnel, quindi, non si può andare in Rete direttamente, impiegando IPv6.



Come sottolinea Sommani, insomma, l’applicazione delle configurazioni che permettono di aggiornarsi ad IPv6 è cosa abbastanza banale.

Un’importanza a dir poco cruciale, invece, insiste su tutti quegli strumenti per monitorare ciò che accade sulla rete durante lo scambio dei pacchetti IPv6.

Ad oggi i tool per il monitoraggio del traffico ed il tracciamento degli host configurati in IPv6 non sono molti: si tratta di un campo in evoluzione che ci si augura suscettibile di migliorie in tempi brevi.


LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome