Lo pensa Joe Sarno di Fortinet, che cita il problema dell’ispezione del pacchetto e invita gli It manager ad affrontarlo con urgenza.
Il 6 giugno 2012 le principali aziende tecnologiche del Web, tra cui Google, Facebook e Yahoo, passeranno al protocollo Ipv6 nel corso del lancio mondiale ufficiale.
Secondo Joe Sarno, Regional Sales Vp di Fortinet l’operazione non è scevra da qualche problema, soprattutto sul fronte della sicurezza.
In primo luogo, per Sarno, la relativa novità e la mancanza di conoscenza del protocollo Ipv6 implicherà configurazioni errate, problemi di compatibilità e altri errori di implementazione: il livello di conoscenza dell’Ipv6 non è equiparabile a quello dell’Ipv4, utilizzato da decenni e con un’ampia knowledge base.
Chi fa l’ispezione?
Ma il problema di sicurezza forse più rilevante è che molti dispositivi di sicurezza di rete sono dotati di funzionalità che consentono l’inoltro del traffico Ipv6, ma non la sua ispezione.
Poiché Ipv6 è abilitato di default su molte piattaforme, come Windows 7, i sistemi compatibili Ipv6 sono già installati nelle reti.
La maggior parte dei sistemi non abilitati per Ipv6 dispongono della capacità per gestire una soluzione alternativa, ovvero di eseguire il wrapping di un pacchetto Ipv6 con un’intestazione Ipv4.
Possono leggere l’intestazione, ma non il contenuto del pacchetto stesso. Non sono in grado, insomma, di effettuare la normale ispezione approfondita del pacchetto e lo inoltrano semplicemente.
Il ruolo del dual stack
Solo disponendo di un’implementazione dual stack potrebbero supportare la funzionalità di sicurezza di rete e contemporaneamente elaborare e ispezionare completamente i pacchetti di entrambi i protocolli Ipv4 e Ipv6.
Diversi fornitori, se non tutti, hanno abilitato questa funzionalità e questo è uno dei temi che i professionisti della sicurezza si trovano ad affrontare.
Per Sarno è necessario che tutti si accertino che i propri prodotti di sicurezza siano in grado di ispezionare il traffico Ipv6. Se un prodotto può solamente inoltrare il traffico Ipv6, è possibile che inoltri contenuto dannoso.
Anche con un’implementazione dual stack, tuttavia, le aziende devono verificare di aver abilitato lo stesso set di funzionalità sia per il protocollo Ipv4 che per il protocollo Ipv6.
In caso contrario, i dispositivi di sicurezza di rete potrebbero trascurare parti critiche di traffico dannoso, che possono potenzialmente compromettere l’integrità della rete.
Alcune policy di Ipv4 e delle tecnologie utilizzate abitualmente potrebbero funzionare solo per l’Ipv4 e non per l’Ipv6, e ciò comporterebbe un gap nella copertura di sicurezza.
I Cio devono iniziare a valutare il problema con una certa urgenza: dopo il 6 giugno, conclude Sarno, le reti aziendali riceveranno una quantità maggiore di traffico Ipv6. Se raggiungerà il 5-10% dei dati, anziché una frazione di percentuale, evitare l’aggiornamento potrebbe diventare più difficile da giustificare.
- Arbor Networks misurerà il traffico del World Ipv6 Launch
- Ipv6: seminario del Garr il 6 giugno
- Ipv6, la Grecia c’è
- Ipv6: prosegue il conto alla rovescia
- Fortinet porta i firewall Ipv6 a 100 Gbps
- Ipv6: vince la Norvegia
- Falcone: attenzione a botnet, codici Qr, Ipv6 e social engineering
- Kroes: passare a Ipv6 senza se e senza ma