Secondo Stonesoft, produttore globale di soluzioni innovative per la sicurezza di rete, molte organizzazioni hanno una visione confusa circa le complessità che circondano la sicurezza IPv6. Avendo lavorato sui maggiori punti di origine mondiali di traffico IPv6, Stonesoft sta aiutando attivamente aziende ed enti pubblici a implementare IPv6 in maniera tanto sicura quanto economica. La società ha predisposto un elenco di 10 consigli per aiutare CISO e responsabili di rete a far chiarezza sul tema della sicurezza IPv6 e assegnare la giusta priorità alle iniziative da intraprendere in quest’ambito.
“Molti pensano che non ci sia una grande differenza nel proteggere il traffico IPv6 rispetto a quello IPv4, ma non è così. Questa erronea convinzione è aggravata dal fatto che le aziende non sono certe di cosa dover fare né quando, e dalle affermazioni non veritiere che i vendor rilasciano in merito alle performance dei rispettivi prodotti nelle reti IPv6-ready”, ha dichiarato Fabrizio Monaco, Technical Account Manager di Stonesoft Italia.
Attingendo alla propria esperienza maturata nei deployment IPv6 su vasta scala, Stonesoft ha messo a punto i seguenti consigli sulla sicurezza IPv6:
1. Rinnovate la vostra rete: Rinnovare una rete IPv4 esistente significa ripulire, aggiornare ed eliminare le funzionalità obsolete o non più necessarie. Dovete poi accertarvi che ogni elemento della rete che può essere aggiornato efficacemente a un livello più alto funzioni effettivamente bene. Un punto di partenza ordinato e pulito rende più semplice e sicura l’implementazione di IPv6 evitando difficoltà e possibili problemi.
2. Programmate un’introduzione graduale: Prendete spunto dalla Social Security Administration statunitense, che ha iniziato a mettere mano a IPv6 più di cinque anni fa. L’implementazione completa è stata pianificata attraverso tre fasi nell’arco sei anni. Non è necessario che vi muoviate lentamente come un ente pubblico, ma introdurre IPv6 gradualmente vi fornirà sufficiente tempo per assicurarvi che il protocollo funzioni con l’infrastruttura IPv4 che avrete nel frattempo rimesso a nuovo. In più, non rischierete di sforare i budget.
3. Optate per un dual stack: Implementare IPv6 in modalità dual stack offre una serie di vantaggi, anche se potrebbe richiedere un upgrade dei router per soddisfare i requisiti di memoria e potenza di calcolo necessari a supportare simultaneamente sia IPv4 che IPv6. Oltre a essere pratico da implementare, l’approccio dual stack consente di supportare le applicazioni non ancora funzionali con IPv6, e può contribuire a eliminare i tunnel – considerati ormai come un fertile terreno di coltura per problemi legati alla sicurezza.
4. Prestate attenzione ai tunnel: Le indicazioni riportate nel documento “Guidelines for the Secure Deployment of IPv6” pubblicato dal National Institute of Standards and Technology suggeriscono di considerare e trattare i tunnel esattamente come se fossero un link esterno: con estrema cautela. La raccomandazione è quella di ispezionare ogni singolo elemento del traffico del tunnel prima di permettergli di entrare o uscire dal vostro sistema. Questa ispezione consiste nell’analizzare tutto il traffico IPv6, incluso quello contenuto nei pacchetti IPv4, con la medesima attenzione sistematica che viene prestata a tutto il traffico in genere. Gli strumenti consigliati comprendono il solito mix di protezione antivirus, rilevamento delle intrusioni, filtri sugli ingressi di rete, filtri sui pacchetti e proxy applicativi. Infine, consolidate ulteriormente gli endpoint dei tunnel con misure ancora più rigide come l’autenticazione.
5. Occhio ai cattivi: I malintenzionati stanno già infiltrando le reti IPv6 più velocemente di quanto abbiano fatto in passato con qualsiasi altra nuova tecnologia. Non sottovalutate i segnali di pericolo legati a router advertisement e attacchi man-in-the-middle: alcuni attacchi possono scendere in profondità nella vostra rete prima che possiate rendervi conto che qualcosa non va, rendendoli più distruttivi che mai. Questi e altri attacchi scaturiscono da script semplicissimi da utilizzare. Memorizzare ogni tipo di attacco e la relativa soluzione sarebbe impossibile. Sapere che ne esistono già numerosi e che molti altri emergeranno certamente è dunque essenziale.
6. Passate a un firewall certificato: Attenti a chi dichiara di essere IPv6 ready. Senza una certificazione esterna è probabile che il vendor si sia limitato a puntare un generatore di traffico verso il proprio prodotto per provarne così il funzionamento. Occorre invece preferire prodotti sottoposti a certificazioni indipendenti che abbiano superato sul campo test che utilizzano metodi di valutazione pubblicamente accettati perché possiate essere sicuri di sapere esattamente quel che il vostro firewall è in grado di gestire.
7 . Pretendete l’autenticazione: L’autenticazione è un elemento ancora più critico e fortunatamente più semplice che mai. Stonesoft consiglia di adottare un proxy HTTP/HTTPS per l’accesso degli utenti a Internet. Una volta impostata l’autenticazione obbligatoria anche solo per andare online, avrete ridotto il rischio che utenti indesiderati possano entrare nel vostro ambiente senza la vostra approvazione.
8. Leggete i libri: Studiate la sintassi IPv6, molto simile a quella di IPv4 ma con importanti differenze alle basi. Conoscere la sintassi rende molto più semplice sapere come gestire rapidamente un’infrazione alla sicurezza o implementare le misure necessarie. Dal momento che IPv6 esiste tecnicamente da oltre un decennio, non mancano certo le informazioni pubblicate dai grandi produttori del settore – oltre a una guida di 188 pagine edita dal governo statunitense.
9. Spegnete quel che non serve: Disattivare le funzionalità IPv6 quando non le usate può sembrare scontato, ma non tanto quanto realmente è. Diversi programmi sono già stati configurati per funzionare con IPv6, e altrettanti potrebbero avere il nuovo protocollo automaticamente attivo per default. Controllate, ricontrollate e controllate ancora una volta il vostro ambiente per essere certi che IPv6 sia abilitato solamente quando viene effettivamente utilizzato. Disporre di un meccanismo capace di disabilitare IPv6 in bulk potrebbe costituire un saggio investimento.
10. Affilate le armi: Anche se gran parte della vostra rete non è abilitata per IPv6, potete sempre imbattervi in qualche visitatore IPv6 indesiderato. Nel caso, dovrete essere in grado di neutralizzarlo prima che possa infettare qualche altro elemento associato alla vostra rete. Conoscere la sintassi IPv6 diventa allora un’arma preziosa, specialmente per configurare firewall e filtri sul traffico davvero efficaci. Potete creare filtri che lascino entrare solo quel che volete, tenere fuori quel che non volete e assicurarvi il perfetto funzionamento di IPv6.
