2014


TECHNICAL FOCUS on IPv6: ” 寧為太平犬,不做亂世人”

[Segui l’uso statistico da parte degli utenti Google della connettività IPv6: IPv6 adoption]

Un antico proverbio cinese recita: “E’ meglio essere un cane in tempo di pace piuttosto che un uomo in un periodo caotico”.

Per l’architettura Internet questo è stato un anno di caos piuttosto che un anno di serenità e pace, come agli utenti finali non sarà parso, probabilmente. 
Infatti, lo IANA (Internet Assigned Numbers Authority) nei primi giorni di febbraio del 2011 ha rilasciato l’ultimo stock “/8” di indirizzi IPv4 pubblici in notazione CIDR, ed in contemporanea la domanda massiva di devices mobili quali smartphone e tablet-pc ha creato un fronte di più di 250 milioni di possibili connessioni Internet aggiuntive nel solo anno 2011.

Da tempo, dai lontani anni ’90, l’organismo preposto, ossia l’IETF (Internet Engineering Task Force), ha progettato un nuovo protocollo a livello network chiamato “IP version 6” o “IPv6, in funzione di un futura saturazione degli indirizzi con protocollo IPv4.
Ed eccoci arrivati a quel fatidico momento.

IP v.4: una breve panoramica
Facciamo un passo indietro e spieghiamo cos’è un indirizzo IPv4,  come viene assegnato e da chi. Questi indirizzi sono composti da un registro a 32 bit, ossia un registro che può rappresentare 2^32 indirizzi decimali, ossia circa 4.4 miliardi di indirizzi univoci. Quelli disponibili per uso pubblico, ossia per navigare da casa o con uno smartphone, per pubblicare siti o blog, risultano essere un po’ meno, ma comunque la cifra è significativa per rendere l’idea.

Il rilascio di questi indirizzi pubblici avviene in modo gerarchico da autorità competenti al proposito. In breve  i passaggi sono i seguenti:

ICANN / IANA –> RIR (Registri regionali per area: africaamericaasialatino-americaeuropa) –> LIR/ISP (Internet Service Providers) –> Utente finale.

Come detto in precedenza, il primo ente “ICANN/IANA” nel febbraio del 2011 ha rilasciato al RIR che ne ha fatto richiesta l’ultimo blocco di indirizzi pubblici. Ciò significa che da febbraio in poi gli indirizzi IPv4 che useremo andranno in consumazione. Più richesta si avrà più il suo consumo sarà veloce.

Per l’Europa si stima come data indicativa, considerando un uso di tendenza emerso negli ultimi anni, i primi mesi del 2012 per la fine della disponibilità degli indirizzi IPv4.

IP v.6: il futuro
Con l’adozione del protocollo IPv6 come soluzione al problema di saturazione degli indirizzi IPv4 cambia fondamentalmente il ruolo di “IP address”. Mentre ad ora l’indirizzo IPv4 identifica la locazione di un punto di accesso pubblico di una rete in un insieme topografico di altri indirizzi, il ruolo di indirizzo IPv6 sarà principalmente quello di identificare univocamente un terminale qualsiasi, distinguendolo dagli altri terminali.

Questo cambio di ruolo è reso possibile dall’unica modifica significativa apportata dal nuovo protocollo, ossia l’ampliamento del registro dedicato agli indirizzi da 32 bit a 128 bit. 
In linea teorica con IPv6 si potrebbero assegnare univocamente 2^128 indirizzi. Per rendere l’idea del numero enorme disponibile, basta pensare che se ogni indirizzo IPv6 fosse un granello di sabbia si potrebbero costruire 300 milioni di pianeti grandi come la Terra !
In pratica, l’intervallo di indirizzi utilizzabili è compreso tra un valore di 2^50 e 2^60. Numero che in ogni modo è da 1 milione ad 1 miliardo di volte il limite di 2^32 imposto dai registri di indirizzamento IPv4. Ovviamente, il problema della loro saturazione sarà risolto in eterno.

Questo limite infinito di indirizzi porta a della conseguenze importanti. Principalmente sparisce il concetto di “classe di indirizzi” e la conseguente notazione CIDR. Non esisterà la suddivisione di indirizzi in classi “A” o “B” ecc. e la subnet mask identificativa.

L’indirizzo IPv6 è rappresentato in notazione esadecimale. Per la precisione 8 gruppo di 4 numeri esadecimali divisi da “:”. Un esempio di indirizzo IPv6 unicast site-local è il seguente:
fec0:0000:0000:0000:0216:eaff:fec2:4ee8/64   che può essere abbreviato in  fec0::216:eaff:fec2:4ee8/64 (i due punti doppi rappresentano la parte dell’indirizzo che è composta di soli zeri consecutivi).
Senza dilungarsi sul concetto di unicast-site-local, si tenga presente che ogni indirizzo IPv6 assegnato ad una scheda di rete è ricavato dal MAC address della stessa interfaccia fisica.

L’altra conseguenza di questa nuova assegnazione di indirizzi è l’inutilità della funzione di Network Address Traslation (NAT), usata con IPv4 per permettere l’uso di un singolo indirizzo IP pubblico ad una rete locale. Ora questa tecnica complessa e fragile può essere abbandonata dato l’inifinità di indirizzi permessi da IPv6. Ogni terminale sarà identificato univocamente e con quell’indirizzo potrà navigare in rete locale come su Internet.

Come si vede, una bella rivoluzione.

Da IP v.4 a IP v.6: la Transizione
Sfortunatamente il protocollo IPv6 non è “backward” compatibile con IPv4. 
Questo significa che l’adozione di IPv6 renderebbe inutilizzabili tutti gli indirizzi IPv4 presenti nella rete. IPv6 ed IPv4 sono protocolli comunicativi distinti e differenti nello stesso modo in cui la lingua italiana è distinta dalla lingua inglese. Non si parlano e non si capiscono tra loro.
Risulta perciò evidente la necessità di un periodo “transitivo” dove le due tecnologie possano convivere parallelamente fianco a fianco, per il tempo necessario a trasformare tutti i vecchi indirizzi IPv4 pubblici in IPv6.
Questa transizione prende il nome di dual-stack transition.
Ogni device avrà attivi entrambi i protocolli (tutti i sistemi operativi da tempo implementano le funzionalità IPv6), diventando device “bilingue” capace di comunicare con device IPv4 o IPv6.

Quanto tempo durerà questa transizione ?
Domanda che purtroppo non ha una risposta certa.
Ad oggi, i servizi pubblici in Internet con funzionalità IPv6 sono tra 0.2 e lo 0.4 percento dei servizi totali. Di contro, esistono device pubblici obsoleti che non supportano IPv6 e rimarranno solo IPv4. Si andrà, dunque, verso un “doppio” Internet.
Giocoforza, per riuscire a mentenere visibili tutti, i nuovi device dovranno essere “dual-stack” e si consumerà per tutto questo periodo transitivo sia indirizzi IPv6 che IPv4. E qui sta il problema, dato che per gli indirizzi IPv4 è già iniziato il deadlock, il conto alla rovescia.
Abbiamo assoluto bisogno che questo periodo transitivo verso IPv6 sia più breve possibile.
Stime realistiche che tengono conto del crescente livello penetratrivo di IPv6 dicono che la dual-stack transition durerà almeno dai 4 ai 5 anni.

E per tutto questo tempo, quali sono le soluzioni pratiche da adottare per gli utenti ?

La Transizione: quale soluzione
Con ogni probabilità gli ISP (Internet Service Providers) offriranno ai loro clienti il servizio di connettività in dual-stack IPv4 ed IPv6.
Continuare ad offrire solo connettività IPv4 e lasciare  che il cliente finale gestisca direttamente gli accessi IPv6 è irrealistico per varie ragioni.
Il cliente finale, infatti, non possiede le conoscenze tecniche necessarie, le motivazione e l’esperienza per poter bypassare il loro ISP e gestire la comunicazione da e verso il mondo Internet IPv6.

E veniamo al nocciolo che interessa tutti noi da vicino:
se saranno gli ISP a dover affrontare queste problematiche per poter offire il servizio dual-stack (l’approccio ibrido appare per loro meno invasivo e più economico, con reti MPLS dove solo i router di ingresso e uscita rete dovranno supportare sia IPv4 che IPv6) che succederà al cliente finale ?
Ecco uno schema di una tipica rete locale privata che avrà accesso sia ad IPv4 che ad IPv6:

L’approccio convenzionale prevede l’uso del IP Prefix Delegation, dove il service provider fornisce al cliente degli indirizzi IPv6 con prefissi (esempio “/56”) che identificano la sottorete associata ad un link. Questi pool di indirizzi vengono passati al router del cliente attraverso un meccanismo chiamato IPv6 Router Advertisement.
Il router del cliente deve essere in grado di gestire questa comunicazione inoltrandola a tutti gli apparati a monte di esso, come il firewall, per raggiungere a sua volta tutti gli hosts della rete privata del cliente. L’IPv6, per gli hosts, prevede due meccanismi per l’assegnazione automatica degli indirizzi: stateful (con DHCPv6) e stateless.
Quest’ultima, illustrata nell’esempio, permette che l’host medesimo generi  i propri indirizzi utilizzando una combinazione di informazioni disponibili localmente e di informazioni provvedute dai router. Come detto, i router forniscono i prefissi che identificano la sottorete associata ad un link, mentre gli host generano un identificatore che contraddistingue in modo univoco una interfaccia di rete all’interno del link. Gli indirizzi IPv6 vengono formati combinando il prefisso e l’identificatore.
In modo automatico, dunque, i pc della rete risultano configurati per essere connessi direttamente ad Internet, identificati a livello network in modo univoco.
L’abilitazione del NAT sugli apparati come il firewall od il router del cliente risulta essere inutile.

Riepilogando, ecco i punti da tenere presente per la transizione IPv4-to-IPv6:

1- chiedere al proprio ISP se gestisce la dual-stack transition IPv4/IPv6

2- verificare i propri host o device di rete (stampanti di rete, ecc.) se implementano lo standard IPv6, tenendo presente che i s.o. più recenti (da WinXP in poi) lo fanno, così come tutti i sistemi Linux

3- aggiornare la core-structure, ossia gli apparati di rete come i router ed i firewall (ed eventuali switch L3).
Questi debbono supportare il sistema dual-stack IPv4/IPv6 per poter ricevere ed inoltrare le informazioni sui prefissi di rete ed essere configurati perchè le proprie interfaccie gestiscano indirizzi e traffico sia IPv4 che IPv6.
Alcune aziende leader del settore come Cisco o Watchguard hanno già messo sul mercato i primi router e firewall compatibili IPv6, mentre sistemi operativi come Linux implementano già da tempo lo stack TCP/IPv6, maturo e di ottima qualità.

IPv6: Pros – Cons
Le cose buone e quelle meno buone di IPv6. Da notare che alcuni svantaggi riguardano anche l’attuale IPv4.

NO NAT -Indirizzamento pubblico in modalità End-to-End PROTOCOLLO IMMATURO -Incremento di rischi e vulnerabilità
IPSec (VPN) INTEGRATO in IPv6 -Ogni device può fare IPSec (VPN) TECNOLOGIA poco FAMILIARE -Rischi di confusione nella
configurazione
NO Attacchi PORT SCAN -Troppi indirizzi disponibili da dover analizzare AUTENTICAZIONE e PRIVACY DEBOLE -ARP e tecnica di indirizzamento automatica a rischio spoofing
TECNOLOGIA PIU’ SICURA  -Nel lungo termine  TECNOLOGIA MENO SICURA -Nel breve termine (attackers sono un passo avanti rispetto agli attuali prodotti di sicurezza)

IPv6: conclusioni
A parte l’inevitabilità dell’utilizzo del protocollo IPv6 per i motivi visti in precedenza, è indubbio che i vantaggi che offre questo nuovo standard superino gli svantaggi, dovuti alla sua complessità e relativa giovinezza:
la dismissione di una tecnica artificiosa come il NAT, sostituita dalla semplicità di una connessione diretta da e verso ogni host; 
l’attivazione potenziale di un tunnel VPN IPsec da e verso ogni singolo pc, senza l’aggiunta operativa di altri apparati, esempio gateway/firewall.
Bastano questi due motivi per capire la reale comodità ed efficienza di IPv6 rispetto allo storico, e mai sufficentemente apprezzato IPv4 (progettato negli anni ’70 per collegare qualche decina di elaboratori, ora ne collega più di 3 miliardi, dimostrando di sopportare un fattore di scala di 1 miliardo !) .

Il vero problema potrebbe risultare il periodo di dual-stack transition, con due mondi Internet attivi e con la confusione e la complessità di gestione per i tecnici e gli amministratori di rete. A tutti, società ISP ed utenti finali, conviene che tale periodo sia il più breve ed indolore possibile, razionalizzando l’uso dell’IPv4 ed incentivando il rilascio di indirizzi IPv6, almeno per i servizi pubblici.

Alla luce di questo, GuruNetwork.it offre i propri servizi e conoscenze nella gestione delle problematiche legate ad IPv6, per non trovarsi impreparati di fronte al cambiamento.
E perchè il cambiamento possa trasformarsi in opportunità, anche per il cliente.

References
[1] Geoff Huston, “Volume 14, Number 1, March 2011” Internet Protocol Journal
[2] WatchGuard TM, “IPv6: Hype or Reality ?