E’ ormai un fatto assodato. Nel momento in cui il protocollo IPv6 diventerà di uso comune, alcuni dei principali strumenti di protezione per reti e server che incorporano blacklist composte da indirizzi ip diventaranno quasi del tutto inutili. Il motivo è presto detto. Il protocollo IPv6 permette di avere uno spazio di indirizzamento praticamente infinito per le attuali esigenze della rete internet. Ciò regala sicuramente innumerevoli vantaggi a chi di questo enorme spazio di indirizzi vorrà farne un utilizzo illecito. Ad esempio i server di spam potranno virtualmente utilizzare un singolo indirizzo ip per ogni messaggio di posta trasmesso.
La fine delle blacklist per come le conosciamo oggi potrà essere resa meno dolorosa proponendo una migrazione dalle blacklist ip based verso blacklist domain based seppure anche queste ultime soffrano di alcune debolezze che potrebbero essere sfruttate dagli spammer o dai botnet operator (un nome host può essere spoofato molto facilmente).
Il vantaggio risiede nel fatto che per quanto riguarda le botnet, il blacklisting di un nome a dominio può risultare più efficace delle corrispondenze ip.
L’adozione dell’IPv6 pone degli importanti interrogativi in termini di sicurezza. Durante l’arco di tempo necessario alla stesura delle procedure di sicurezza alternative atte a coprire le vulnerabilità di IPv6 potrebbe essere utile rinforzare alcune elementari policy di sicurezza che possono essere facilmente applicate sia nella grande organizzazione che sul singolo ambiente server. Vediamo quali :
- piuttosto che attendere spam e malware al varco è più opportuno sensibilizzare dipendenti e utenti affinchè adottino tutte le misure necessarie a rafforzare la sicurezza lato host
- piuttosto che riparare un’intrusione è necessario prevenirla con controlli serrati e periodici su server e workstation oltre a disporre procedure di hardening sui nuovi host
- è necessario adottare una protezione a strato che prevede molteplici livelli di protezione (ad anelli concentrici). Ciò può includere firewall software a livello server uniti a firewall hardware a livello provider
E’ interessante notare come la proliferazione di Vps (server virtuali) e server dedicati abbia spazzato via quel livello di protezione rappresentato dalla “zona demilitarizzata o DMZ”, utilizzata nei setup di rete “vecchia scuola”. Adesso chiunque può acquistare un server ed esporre sulla rete pubblica una macchina che ospita servizi più o meno critici.
In questo momento di grande transizione è quanto mai vitale reagire rapidamente alle sfide proposte, come con lo switch verso IPv6 che porterà sicuramente ad una revisione delle attuali tecnologie di protezione più classiche come appunto le blacklist.
