Un decalogo per garantire la sicurezza di IPv6

Ce lo suggerisce lo specialista della materia Stonesoft.

Secondo lo specialista di sicurezza Stonesoft, molte organizzazioni sottovalutano le questioni aperte in merito alla sicurezza delle reti IPv6.
Ecco perché fornisce un utile decalogo per tutte le realtà che intendono, volontariamente o loro malgrado, abbracciare il nuovo protocollo Internet.

“Un sacco di gente pensa che non si sia molta differenza tra la protezione del traffico IPv4 e quello di IPv6, ma questo non è vero”, puntualizza Ash Patel, country manager per il Regno Unito e l’Irlanda di Stonesoft.

Ecco, allora, quali sono gli aspetti di IPv6 da tenere sotto controllo secondo il parere dell’esperto.

1) Rinnovate la rete esistente. La ristrutturazione della rete IPv4 comporta due importantissime azioni: pulizia e aggiornamento. Ripulite ed eliminate le caratteristiche antiquate e obsolete, potenziate e aggiornate ogni aspetto della rete che possa essere efficacemente condotto sul terreno dell’IPv6.

2) Pianificate un’introduzione graduale. L’introduzione poco a poco di IPv6 darà alle organizzazioni il tempo utile per assicurarsi che IPv6 sia in grado di funzionare con l’attuale infrastruttura IPv4 e, contemporaneamente, le aiuterà anche a mantenere sotto controllo il budget.

3) Optare per il dual stack. Il dual stack offre diversi benefici, anche se può richiedere l’aggiornamento dei router per soddisfare le richieste di potenza e memoria necessarie a supportare l’esecuzione sia di IPv4 che di IPv6 simultaneamente.
L’approccio dual stack consente a un’organizzazione di supportare le applicazioni che non funzionano ancora su IPv6 e può contribuire a eliminare la necessità di tunneling, cosa questa che di per sé rappresenta già una potenziale fonte di vulnerabilità.

4) Prestate attenzione ai tunnel. Le “Linee guida per il deployment sicuro di IPv6” del National Institute of Standards and Technology suggeriscono la visualizzazione e il trattamento dei tunnel alla stessa stregua di un link esterno, ovvero con estrema cautela. Il consiglio è di ispezionare ogni singolo frammento di traffico che transita nel tunnel prima di permettergli di entrare o uscire dalla rete aziendale. Questo controllo consiste nel rivedere tutto il traffico IPv6, compreso quello all’interno dei pacchetti IPv4, con i medesimi controlli e l’esame sistematico che si utilizzano per tutto il traffico della rete.
Gli strumenti suggeriti sono la protezione antivirus, il rilevamento delle intrusioni, i filtri in ingresso alla rete, il packet filtering e le applicazioni proxy. Occorre, inoltre, fortificare gli endpoint del tunnel con misure di sicurezza quali l’autenticazione.

5) Fate attenzione agli utenti malintenzionati. I cybercriminali si sono già infiltrati nell’IPv6. Non dimenticate le avvertenze sui pericoli dei router advertisement e degli attacchi del tipo man-in-the-middle. Alcuni attacchi possono arrivare in profondità all’interno di una rete aziendale prima di essere isolati, rendendo queste azioni parecchio distruttive. Memorizzare ogni tipo di attacco e la relativa soluzione sarebbe impossibile. Essere consapevoli del fatto che già esistono molti attacchi alle reti IPv6 e che molti altri sono destinati a manifestarsi nei prossimi mesi è, però, cruciale.

6) Prediligete i prodotti certificati. Fate attenzione alle affermazioni riguardanti IPv6. Senza una verifica sul campo, è probabile che il venditore vi dica che un certo prodotto è IPv6-ready quando, in realtà, ha semplicemente aggiunto un generatore di traffico al vecchio prodotto. È preferibile scegliere i prodotti oggetto di certificazione da parte di terzi, che sottostanno a test che utilizzano metodi di valutazione generalmente accettati. Si tratta degli unici in grado di garantire che le organizzazioni sappiano esattamente che cosa il loro firewall, per esempio, è in grado di gestire.

7) Rendete obbligatoria l’autenticazione. L’autenticazione è una delle aree più critiche ma, al contempo, più facili da presidiare. Prevedete l’uso obbligatorio dei proxy HTTP/HTTPS per tutti gli utenti che accedono a Internet. Proprio attraverso questi strumenti, infatti, un’organizzazione è in grado di ridurre la minaccia di comportamenti involontari che potrebbero, però, minare la sicurezza delle infrastrutture IPv6.

8) Cercate di conoscere la sintassi di IPv6. È molto simile a quella utilizzata su IPv4, ma con differenze notevoli in termini di foundation. Conoscere la sintassi rende molto più facile capire rapidamente come affrontare una violazione della sicurezza o attuare le contromisure necessarie. Dal momento che di IPv6 si parla da oltre un decennio, non vi è carenza di informazioni sul tema.

9) Premete, tutte le volte che serve, il pulsante “off”. Escludere le funzionalità IPv6 quando non le si utilizzano può sembrare ovvio, ma può non essere facile, perché alcuni programmi, con tutta probabilità, sono già configurati per lavorare con IPv6 e altrettanti possono già avere il protocollo attivato automaticamente come impostazione predefinita. Controllate, fate un doppio o un triplo check dell’ambiente per garantire che le opzioni IPv6 vengano attivate solo quando questo protocollo viene effettivamente utilizzato.

10) Cercate di fermare in tempo gli attacchi. Anche con grandi porzioni di una rete disabilitate all’uso di IPv6, il rischio di “visite” indesiderate permane. Quando ciò accade, le organizzazioni dovrebbero sapere come fare a fermare questi attacchi prima che possano infettare gli altri elementi della rete. Questo è l’aspetto per il quale la conoscenza della sintassi di IPv6 può rivelarsi maggiormente utile, in particolare per la creazione di firewall e filtri del traffico che si rivelino efficaci.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome