Tunnel IPv6
Se il tuo sistema (computer, router) dispone di funzionalità IPv6 ma è connesso a reti ipv4-only, puoi collegarlo all'Internet IPv6 globale per mezzo di un tunnel.
Prima di andare avanti, se non sei sicuro di sapere cosa è un pacchetto IP, leggi qui.
Un tunnel serve a trasmettere pacchetti IPv6 inserendoli nel campo dati all'interno di un pacchetto IPv4. L'indirizzo di destinazione del pacchetto IPv4 è l'indirizzo di un sistema su cui sono attivi entrambi i protocolli. Il destinatario del pacchetto IPv4 estrae il pacchetto IPv6 e lo inoltra verso la destinazione IPv6 finale (che può essere lui stesso).
In questa pagina si descrivono quelle soluzioni di tunneling che permettono ad un utente periferico, privo di connettività IPv6, di raggiungere il resto dell'Internet v6. Di solito questi i tunnel hanno una terminazione su un sistema "client" presso l'utente periferico ed un'altra su un sistema "server" (o "relay" o "PoP") situato in qualche parte dell'Internet v6. Il tunnel può essere usato per fornire connettività IPv6 al solo sistema "client", o anche ad un insieme di reti a valle del sistema "client". In quest'ultimo caso il sistema "client" funge da router IPv6 per le reti a valle. Su tutte le reti a valle del "client/router" si usano indirizzi IPv6 aventi lo stesso valore nei primi n bit dell'indirizzo (in termini tecnici, lo stesso prefisso /n). Valori tipici di n sono
64: una sola rete a valle del "client/router"
60: 16 reti a valle del "client/router"
56: 256 reti a valle del "client/router"
52: 4096 reti a valle del "client/router"
48: 65536 reti a valle del "client/router".
Il sistema "server" all'altra estremità del tunnel invia al "client/router" i pacchetti destinati a indirizzi IPv6 aventi quel prefisso.
Esistono più tipi di tunnel. Una distinzione importante è quella fra tunnel automatici e tunnel configurati. I tunnel automatici possono essere attivati sul sistema "client" senza che sia necessario concordare parametri con il gestore del sistema "server". Anche se consigliamo l'uso dei tunnel configurati, abbiamo inserito una breve descrizione dei tunnel automatici, anche perché sui sistemi Windows possono attivarsi automaticamente, senza interventi da parte dell'amministratore del computer. Accenniamo anche ad una soluzione ibrida, 6rd, che sta prendendo piede presso alcuni provider.
Tunnel automatici
I tipi di tunnel automatici più usati sono Teredo e 6to4. 6to4 può essere usato quando il sistema periferico ha almeno un indirizzo IPv4 pubblico. Negli altri casi, cioè quando ci si trova sul lato interno di un NAT, l'unico tipo di tunnel automatico utilizzabile è Teredo.
I sistemi sul lato periferico di un tunnel automatico usano indirizzi IPv6 di tipo particolare, nei quali sono presenti tutte le informazioni necessarie al "relay" per costruire i pacchetti IPv4 che devono trasportare i pacchetti IPv6 diretti al sistema"client".
Il sistema "client" di un tunnel 6to4 può anche fungere da router IPv6 per le reti a valle. Il prefisso utilizzabile per gli indirizzi IPv6 delle reti a valle è lungo 48 bit e contiene nei primi 16 bit il valore esadecimale "2002" e nei 32 successivi uno degli indirizzi IPv4 pubblici del "client/router".
Quasi tutti i router ADSL con funzionalità IPv6 possono fungere da "client/router" 6to4.
Il sistema "client" di un tunnel Teredo non può fungere da router.
I sistemi Windows recenti cercano sempre di dotarsi di connettività IPv6 e, se necessario, attivano automaticamente un tunnel 6to4 o Teredo.
Nonostante il pregio di essere attivabili senza richiedere interazioni con terzi, i tunnel automatici danno luogo ad alcuni inconvenienti. Il primo inconveniente deriva proprio dal fatto che gli indirizzi IPv6 dei sistemi periferici dipendono dall'indirizzamento IPv4 del sistema stesso, per cui se questo ha un indirizzo IPv4 dinamico, saranno variabili anche gli indirizzi IPv6. Un altro problema deriva dalle prestazioni di questi tunnel, generalmente assai poco prevedibili.
I sistemi operativi più recenti, anche quando dispongono di connettività IPv6 ottenuta con un tunnel automatico, evitano di farvi transitare il traffico. In particolare, un browser web su un sistema con indirizzo 6to4, quando deve connettersi a un sito, prova prima a vedere se il sito ha un indirizzo IPv4 e, solo in sua mancanza, prova IPv6, mentre normalmente su un sistema con connettività IPv6 nativa si prova prima IPv6 e poi IPv4. I browser dei sistemi con indirizzo Teredo provano solo a connettersi in IPv4: per obbligarli ad usare IPv6 transitando attraverso il tunnel, bisogna fornire al browser l'indirizzo IPv6 numerico del destinatario (es.: http://[2a00:1620:c0:60:146:48:99:238]/.
Una descrizione dettagliata dei tunnel automatici si trova nel seminario "Come attivare IPv6 sui sistemi operativi", all'interno dell'argomento 4 del corso GARR (https://learning.garr.it/learning/, è necessario registrarsi).
Tunnel configurati
Senza entrare nei dettagli delle varie tipologie dei tunnel configurati, ci limitiamo a menzionare i servizi di "Tunnel broker", che a nostro giudizio forniscono la soluzione più pratica ed affidabile per chi vuole avere connettività IPv6 pur trovandosi su una rete IPv4-only. Generalmente gli utilizzatori del servizio ricevono dal gestore le credenziali per accedere: la coppia user/password e talvolta anche un "Tunnel-ID". Sul sistema all'estremità periferica deve essere presente l'applicazione "client" che, interagendo con il server del Tunnel broker, provoca l'attivazione del tunnel e impara dal server gli indirizzi IPv6 da usare sul sistema stesso e (opzionalmente) il prefisso da distribuire sulle reti adiacenti. Spesso l'applicazione "client" è fornita dallo stesso gestore del Tunnel broker; esistono anche piccoli router contenenti l'applicazione "client" per l'accesso ai servizi di determinati Tunnel broker.
In Europa sono assai usate le soluzioni di gogo6 e di SixXS.
Gogo6 è una società privata impegnata nella promozione di IPv6 attraverso:
- gogoNET: un forum tematico su IPv6,
- gogoWARE: prodotti hardware e software per distribuire IPv6 attraverso servizi di tunnel broker,
- Freenet6: un servizio gratuito di tunnel broker basato sui prodotti gogoWARE.
La gamma di prodotti gogoWARE comprende:
- il gogoSERVER: una appliance per chi vuol gestire un servizio di tunnel broker, tipicamente destinata ai provider
- il gogoCLIENT: il client software gratuito, installabile su molti sistemi operativi
- il gogoCPE: una piccola appliance contenente il gogoCLIENT, con cui, a detta del costruttore, si riesce ad avere IPv6 su una LAN in meno di 60 secondi.
Attivare un tunnel attraverso Freenet6 è relativamente semplice e assai rapido. Chi si collega a Freenet6 in modealità "client/router" riceve un prefisso IPv6 lungo 56 bit. Per noi Europei il principale inconveniente deriva dal fatto che in Europa c'è solo un server ad Amsterdam, per cui le prestazioni talvolta lasciano un po' a desiderare. Esistono tuttavia anche alcuni provider commerciali che offrono ai loro clienti un servizio di Tunnel Broker basato sui prodotti gogoWARE.
La documentazione reperibile sul sito di gogo6 è stata scritta per il lettore inesperto; purtroppo il risultato di questa scelta spesso è una scarsa chiarezza. Da segnalare la presenza sul sito di molti link obsoleti, che rendono difficile il reperimento delle informazioni.
SixXS (Six Access) è un'associazione senza fini di lucro, che offre servizi gratuiti ai Local Internet Registry (LIR) e agli utenti finali, allo scopo di favorire la diffusione di IPv6.
Il servizio di Tunnel broker di SixXS è basato sulla cooperazione di numerosi gestori di PoP, distribuiti principalmente in Europa, ma anche in altre parti del mondo. Al momento della richiesta di un nuovo tunnel, l'utente ha la possibilità di specificare il PoP da lui preferito. In Italia ce ne è uno, che si trova a Torino ed è gestito da ITgate. Il client software da installare sul sistema all'estremità periferica del tunnel si chiama AICCU, è scaricabile dal sito di SixXS ed è stato sviluppato per numerosi sistemi operativi. AICCU è pre-installato anche su alcuni router ADSL. Il titolare di un tunnel SixXS può farsi assegnare un prefisso IPv6 di lunghezza compresa fra 64 e 48 bit.
La documentazione di SixXS è chiara e completa, ma è stata scritta per il lettore esperto, per cui può risultare un po' ostica ad un profano. Il servizio è estremamente affidabile e le prestazioni sono ottime. Un aspetto negativo è la lentezza delle procedure amministrative, che si appoggiano sul lavoro di volontari: per l'assegnazione di un nuovo tunnel, può succedere di dover attendere anche più di una settimana.
Tunnel 6rd
6rd (IPv6 Rapid Deployment) può essere considerato una via di mezzo fra i tunnel automatici e quelli configurati. La soluzione può essere usata solo dai clienti di quei provider che offrono tale servizio. Anche se non siamo a conoscenza di provider italiani che offrano il servizio, forniamo qui una breve descrizione della soluzione a scopo informativo.
È una versione modificata della soluzione 6to4, utilizzabile da un provider per fornire connettività IPv6 ai suoli clienti. Una delle differenze sta nel fatto che il server che funge da "relay" è gestito dal provider e che il percorso dei tunnel si trova interamente all'interno della rete del provider. Ciò consente al provider di fornire ai suoi clienti garanzie sulla qualità dei tunnel, diversamente da quanto avviene con la soluzione 6to4, in cui i "relay" sono tanti e la loro scelta dipende da fattori fuori dal controllo del provider o del suo cliente. Il gestore di un servizio 6rd fa in modo che tutti gli indirizzi IPv4 dei "client/router" dei suoi clienti abbiano lo stesso prefisso di m bit, in modo che sia possibile ricostruire l'indirizzo IPv4 del "client/router" conoscendo i 32-m bit di destra. Tutti i sistemi a valle del "client/router" utilizzano indirizzi IPv6 aventi nei primi 32 bit un prefisso IPv6 del provider e nei successivi 32-m la parte destra di un indirizzo IPv4 del "client/router". La lunghezza del prefisso utilizzabile per gli indirizzi da distribuire fra i sistemi a valle del "client/router" è di 64-m bit e il numero massimo di reti indirizzabili è 2 elevato alla m. Notare che, diversamente da quanto avviene per 6to4, l'indirizzo IPv4 del "client/router" può anche non essere pubblico: è sufficiente che sia univoco all'interno della rete del provider.
6rd è disponibile su quasi tutti i router ADSL con funzionalità IPv6.
IPv6 in pillole
INTERNET E GLI INDIRIZZI IP
Definizioni fondamentali
Pacchetto IP: un insieme di dati (di solito inferiore a 1500 byte) preceduto da informazioni di instradamento formattate secondo le regole dell’Internet Protocol (IP) [Settembre 1981: pubblicazione finale della versione 4 di IP (IPv4); Dicembre 1998: pubblicazione finale della versione 6 di IP (IPv6)]
Host IP: un apparato in grado di comprendere e/o di produrre un pacchetto IP [computer, router, smartphone, play station, telefono VoIP, elettrodomestico intelligente…]
Link IP: un mezzo trasmissivo attraverso il quale due o più host IP possono scambiarsi pacchetti IP direttamente, senza che altri apparati debbano instradarli basandosi sulle informazioni IP [LAN Ethernet, rete wifi, collegamento UMTS, collegamento ADSL, circuito dedicato…]
Router IP: un host IP che riceve pacchetti da un link IP e li inoltra su altri link IP, basando le sue decisioni di instradamento sulle informazioni presenti all’inizio del pacchetto IP
Rete IP: una rete composta da host/router IP interconnessi da link IP [Es.: Internet]
Interfaccia: il collegamento di un host IP a un link IP
Indirizzo IP: un numero che identifica in maniera univoca le interfacce degli host di una rete IP
Ricordati anche che:
• Un host IP collegato a più link IP ha più interfacce e quindi ha più indirizzi IP
• Indirizzo IPv4: numero di 32 bit (4 byte); si usa rappresentarlo con 4 numeri decimali separati da “.”: 192.0.2.1
• Indirizzo IPv6: numero di 128 bit (16 byte); si usa rappresentarlo con 8 gruppi di 4 cifre esadecimali separate da “:”: 2001:0db8:0000:0000:00a9:0000:0000:0001
• Con i 32 bit di IPv4 si possono rappresentare 2^32=4.294.967.296 valori diversi
• Con i 128 di IPv6 se ne possono rappresentare 2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.45
La soluzione IPv6
La naturale evoluzione della fine degli indirizzi IPv4 è l'implementazione del protocollo IPv6. La versione 6 del protocollo IP è in grado di offrire una quantità pressoché illimitata di indirizzi per i nodi di rete.
Nel dicembre 1995 l'Internet Engineering Task Force (IETF) pubblicò l'RFC1883 "Internet Protocol Version 6 (IPv6) Specification" nel quale viene definita la versione 6 dell'Internet Protocol caratterizzata da indirizzi lunghi 128 bit. Nel dicembre 1998 l'RFC1883 è stato sostituito dall'RFC2460, tuttora valido. Con IPv6 l'ampiezza dello spazio di indirizzamento di IPv6 è tale da rendere inimmaginabile un suo esaurimento.
L'IPv4 può coesistere con l'IPv6 e non è urgente convertire l'IPv4 all'IPv6, ma è necessario portare l'IPv6 ovunque e favorire la graduale conversione dell'IPv4.
Il problema IPv4
Alla base del progetto che portò alla definizione dell'Internet Protocol (IP) c'era il presupposto di poter assegnare un indirizzo IP globalmente univoco (pubblico) alle interfacce di rete di tutti i sistemi connessi. Coloro che, alla fine degli anni '70, progettarono l'IPv4, avevano in mente una rete che avrebbe collegato per lo più università e organismi di ricerca governativi e militari statunitensi. Avevano inoltre in mente un mondo in cui la densità dei computer era enormemente più bassa di quella odierna.
Il protocollo IP stabilisce le regole con cui i dati transitano attraverso Internet. La versione 4 del protocollo, nota come IPv4 e in uso dai primi anni '80, stabilisce che gli indirizzi devono essere lunghi 32 bit, permettendo in tal modo di indirizzare circa 4 miliardi di entità diverse. Ai progettisti questo dato appariva addirittura sovradimensionato, ma oggi non è più così.
Questi indirizzi sono distribuiti da Internet Assigned Numbers Authority (IANA), un’entità che opera sotto il controllo di Internet Corporation for Assigned Names and Numbers (ICANN), attraverso cinque Regional Internet Registries, che distribuiscono gli indirizzi agli Internet Service Providers (ISPs).
Il 3 febbraio 2011 IANA ha distribuito ai Regional Internet Registries gli ultimi indirizzi IPv4, esaurendo le sue scorte. Internet può continuare a crescere solo con IPv6, la versione 6 del protocollo IP.
Web staff
Responsabile del sito
Il Chair del gruppo IPv6Italia: Marco Sommani (IIT CNR)
Amministrazione, Progettazione e Sviluppo del Sito web
Laura Abba (IIT CNR) e Andrea De Vita (IIT CNR)
Collaborazione ai contenuti
Le informazioni ed i servizi pubblicati sul sito sono frutto di collaborazione tra diverse persone del gruppo.
Contatti
Per comunicazioni relative al sito web clicca qui.
Si ringraziano:
L’Associazione ISOC Italia (in particolare Laura Abba e Carlo Cosmatos) per averci gentilmente offerto il loro prezioso aiuto senza il quale non saremmo mai decollati con questo sito Internet.
L’Istituto di Informatica e Telematica del CNR che garantisce la ospitalità al sito.
Francesco Medda (Fabio Rossini Consulting) che ha disegnato il logo del Gruppo IPv6 Italia ed ha collaborato nella fase iniziale.
Carlo N. Cosmatos, per lo sviluppo iniziale del sito.
Dichiarazione sulla Privacy
IPv6 Italia si impegna a utilizzare i dati forniti, o qualsiasi altra informazione comunicata, nel rispetto delle normative italiane sul trattamento dei dati riservati (D.Lgs. 196/2003) ai sensi dell'art.7 del D.Lgs.196/2003.
IPv6 Domande e Risposte
In Internet stanno per esaurirsi gli indirizzi?
Chi ha creato IPv6 e da quanto tempo è stato reso disponibile? Si tratta di una nuova soluzione?
Che cosa accadrà quando gli indirizzi IPv4 saranno esauriti?
Per quando è previsto l’esaurimento definitivo degli indirizzi IPv4?
Qual è la differenza tra IPv4 e IPv6? Gli utenti saranno in grado di notare la differenza?
Quali altri vantaggi presenta IPv6, in aggiunta alla vastità dello spazio di indirizzamento?
Il protocollo IPv6 è sufficientemente maturo per un uso generalizzato?
Perché è stato necessario tanto tempo per implementare IPv6?
È possibile interrogare in IPv6 i root server del DNS?
Ho già un numero sufficiente di indirizzi IP. Che bisogno ho di attivare IPv6?
C'è una data precisa in cui tutto deve essere aggiornato a IPv6?
Finiranno anche gli indirizzi IPv6?
Quando sarà necessario spegnere IPv4?
Che cosa implica l'esaurimento di indirizzi IPv4 per le imprese e gli utenti?
Con l'esaurimento degli indirizzi IPv4 alcuni servizi saranno spenti?
Senza NAT, la mia rete sarà meno sicura?
Che cosa deve ancora succedere di preciso, perché l’industria passi efficacemente a IPv6?
Offro servizi IT, cosa devo fare ora per essere pronto per la transizione?
In Internet stanno per esaurirsi gli indirizzi?
Stanno per esaurirsi gli indirizzi usabili con la versione 4 dell’Internet Protocol (IPv4). IPv4 è usato su Internet dai primi anni ’80. Anche se le stime variano, in base alle indicazioni più recenti si prevede che l'attuale riserva di indirizzi IPv4 non allocati sarà esaurita entro il 2011.
Una quantità enorme di indirizzi IP è disponibile con la versione 6 del protocollo IP (IPv6), che è stata progettata per superare i limiti di IPv4. Le autorità di Internet hanno iniziato ad assegnare indirizzi IP nel 1999 e incoraggiano gli operatori ad attivare IPv6 nelle loro reti.
Che cosa è IPv6?
IPv6 è la nuova versione dell’Internet Protocol, sviluppata per integrare (e in futuro anche sostituire) IPv4, la versione che sta alla base di Internet dai primi anni ‘80.
Chi ha creato IPv6 e da quanto tempo è stato reso disponibile? Si tratta di una nuova soluzione?
La Internet Engineering Task Force (IETF), un gruppo internazionale dedito alla elaborazione delle norme tecniche che consentono il funzionamento ottimale di Internet, ha pubblicato le specifiche di base del protocollo IPv6 nel 1998. Da allora IPv6 ha visto una serie di aggiunte e aggiornamenti, come ad esempio l'introduzione di specifiche per la mobilità avvenuta nel 2004.
Cosa ne è di IPv5?
La versione 5 del protocollo IP era stata sviluppata a livello sperimentale nel 1980. IPv5 (chiamato anche Internet Stream Protocol) fu abbandonato presto. Quando all’inizio degli anni ’90 furono prese le decisioni riguardo al successore di IPv4, il numero 5 era già stato occupato, per cui alla nuova versione fu assegnato il numero 6.
In che modo la versione IPv6 risolve il problema dell’esaurimento degli indirizzi IPv4?
Semplicemente usando indirizzi 4 volte più lunghi di quelli IPv4. IPv4 ha un massimo teorico di circa 4 miliardi di indirizzi, mentre IPv6 ha un massimo teorico di circa 340 miliardi di miliardi di miliardi di miliardi. Siccome gli indirizzi IPv6, come già quelli IPv4, devono essere strutturati per il routing e per altri scopi, il numero di indirizzi realmente utilizzabili è minore, ma sempre estremamente grande.
Agli utenti privati e alle imprese potranno essere assegnati blocchi di indirizzi IPv6 di grandi dimensioni. Ogni assegnatario potrà assegnare indirizzi univoci a numerose reti e decine di migliaia di dispositivi. (Al contrario, in IPv4, gli utenti oggi tipicamente possono ottenere solo un singolo indirizzo IP univoco a livello globale).
Che cosa accadrà quando gli indirizzi IPv4 saranno esauriti?
I dispositivi esistenti e le reti connessi a Internet tramite gli indirizzi IPv4 continueranno a funzionare come ora, perché è previsto che IPv4 coesista con IPv6.
Per gli operatori di rete e tutte le altre entità, che hanno bisogno di farsi assegnare di tanto in tanto nuovi indirizzi, ottenere nuovi indirizzi IPv4 per far crescere le loro reti sarà sempre più difficile e costoso (e col passar del tempo addirittura proibitivo).
Pertanto, per gli operatori di rete e per le imprese sarà necessario implementare IPv6 in modo da garantire a lungo termine la crescita della rete e della connettività globale.
Per quando è previsto l’esaurimento definitivo degli indirizzi IPv4?
IANA ha distribuito le sue ultime riserve ai RIR il 3 febbraio 2011. È stato stabilito che ogni RIR, quando la sua riserva scende al di sotto della soglia dei 224 indirizzi (16.777.216), deve adottare regole estremamente restrittive per la distribuzione degli indirizzi rimanenti. APNIC, il RIR di Asia e Pacifico, ha oltrepassato la soglia il 15 aprile 2011. Si prevede che ciascuno degli altri quattro la raggiunga prima della fine del 2011. Il regime restrittivo dovrebbe permettere ai RIR di mantenere una riserva ancora per qualche anno, ma per gli utenti finali il superamento della soglia non è molto diverso dall’esaurimento definitivo, perché diventa quasi impossibile ricevere nuovi indirizzi.
Qual è la differenza tra IPv4 e IPv6? Gli utenti saranno in grado di notare la differenza?
La differenza fondamentale tra le due versioni del protocollo è che lo spazio di indirizzamento di IPv6 è molto più grande. Gli utenti non dovrebbero accorgersi di nessuna differenza.
Comunque gli indirizzi sono diversi. Un tipico indirizzo IPv6 è composto da 8 gruppi separati dal carattere “:”. Ogni gruppo è composto da un massimo di quattro lettere e numeri: 2001:db8:1f70:999:de8:7648:6e8.
La capacità di indirizzamento ampliato di IPv6 consente l'utilizzo delle migliaia di miliardi di nuovi indirizzi Internet, necessari per supportare la connettività di una vasta gamma di dispositivi intelligenti come elettrodomestici, telefoni, e veicoli.
IPv6 contribuisce in modo significativo a semplificare la realizzazione di varie applicazioni come la telefonia IP, i giochi interattivi e l’e-commerce.
Quali altri vantaggi presenta IPv6, in aggiunta alla vastità dello spazio di indirizzamento?
Il vantaggio principale di IPv6 è che ha uno spazio di indirizzamento molto più elevato. Essendo un protocollo di generazione più recente, IPv6 contiene alcuni miglioramenti rispetto a IPv4, come l'autoconfigurazione, la mobilità e l’estensibilità. Tuttavia, il vantaggio principale di IPv6 è l’ampiezza dello spazio d’indirizzamento.
Ho sentito alcuni dire che IPv6 è più sicuro di IPv4, mentre altri dicono che lo è meno. Chi ha ragione?
I dibattiti in materia di sicurezza IPv6 rispetto a IPv4 spesso si riferiscono a diversi aspetti della realizzazione di una rete.
E' stato detto che IPv6 supporta una maggiore sicurezza, perché le sue specifiche impongono l’inclusione della tecnologia IP Security (IPsec) nei prodotti. Su IPv4, IPsec è facoltativo, ma è presente dovunque serve. Dato che il protocollo IPsec è stato progettato in modo indipendente dalla versione del protocollo IP, in generale la tecnologia funziona nello stesso modo in IPv4 e IPv6. Quindi, i vantaggi dell'utilizzazione di IPsec sono simili in entrambi gli ambienti.
L’ampiezza dello spazio d’indirizzamento di IPv6 permette di fare a meno dei dispositivi NAT, che sono assai diffusi nelle reti IPv4. In linea di massima, la sicurezza è più difficile da realizzare e verificare quando si usano i NAT, perché questi interrompono la tracciabilità del livello IP, e quindi complicano gli audit di sicurezza. Inoltre la riscrittura degli indirizzi costituisce una violazione della sicurezza perché impedisce alcuni tipi di verifica. Così, con l’eliminazione dei NAT, IPv6 permette di aumentare la sicurezza end-to-end.
Molti dei problemi di sicurezza attribuiti a IPv6 dipendono dalle vulnerabilità di prodotti immaturi o mal configurati, e non dal protocollo IPv6. Le vulnerabilità dei prodotti IPv6 vengono via via individuate e corrette, proprio come avviene per IPv4.
Nel complesso, nessuno dei due protocolli fornisce una soluzione semplice al problema di rendere sicure le reti. Anche con IPv6, gli operatori di rete devono imparare a conoscere le pratiche di sicurezza e devono mantenersi costantemente aggiornati.
Il protocollo IPv6 è sufficientemente maturo per un uso generalizzato?
La domanda va affrontata da tre punti di vista: la maturità del protocollo, dei prodotti e delle pratiche operative.
Il protocollo IPv6
IPv6 ha beneficiato di oltre 10 anni di sviluppo all'interno della Internet Engineering Task Force (IETF). Le specifiche fondamentali sono rimaste stabili per molti anni e sono state messe alla prova in contesti sperimentali e operativi. Così come è sempre avvenuto anche per IPv4, continua il processo di sviluppo di nuovi standard IPv6, che prendono in considerazione problematiche particolari. Si può tuttavia affermare che il protocollo è maturo per un uso generalizzato tanto quanto IPv4
Prodotti IPv6
IPv6 è presente su moltissimi prodotti, anche se manca su molte apparecchiature di fascia bassa. Anche sulle apparecchiature su cui è presente IPv6, non tutte le applicazioni di rete sono in grado di utilizzarlo. Nonostante le lacune ancora da colmare, lo stato dei prodotti è tale da consentire senza problemi l’introduzione di IPv6 in modalità “dual-stack”. Sarebbe invece prematuro pensare a una eliminazione totale di IPv4.
Pratiche operative per IPv6
Il consolidamento delle pratiche operative richiede molti anni di esperienza. Per ora le principali esperienze operative sono state fatte nelle reti della ricerca, in ambienti di ricerca e sviluppo e su alcune reti commerciali asiatiche. Sicuramente molte cose si consolideranno nel corso dei prossimi anni. Così come IPv4 ha cominciato a essere usato sulle reti di produzione prima che le procedure operative di IPv4 fossero interamente consolidate, bisogna che lo stesso processo avvenga per IPv6.
IPv6 è maturo per essere introdotto su tutte le reti, anche se c’è ancora da lavorare per renderlo usabile in qualunque situazione. IETF, fornitori di apparecchiature, sviluppatori di applicazioni, operatori di rete e utenti finali, tutti hanno un ruolo da svolgere per garantire il successo della diffusione di IPv6.
Perché è stato necessario tanto tempo per implementare IPv6?
IPv6 è maturo per essere utilizzato da vari anni ed è presente da almeno cinque anni in alcuni settori di Internet, come le reti della ricerca. Semplicemente, le aziende hanno spesso deciso di rinviare gli investimenti per la transizione. Uno dei motivi è che l'attivazione di IPv6 richiede la revisione di procedure, l'investimento in risorse umane e capitali, ma non offre vantaggi economici in brevi termini. Soluzioni di ripiego, come il ricorso ai NAT, hanno permesso alle organizzazioni di sopravvivere nonostante la carenza di IPv4 e di rinviare l’attivazione di IPv6. Questi ripieghi, però, sono costosi e ostacolano lo sviluppo della rete. L'unico modo per andare avanti consiste nell'adottare immediatamente IPv6. Il momento dell'attivazione è arrivato - e molte organizzazioni hanno già avviato, e talvolta completato, la transizione.
È possibile interrogare in IPv6 i root server del DNS?
Il 4 febbraio 2008, ICANN ha annunciato di aver attivato IPv6 su sei dei 13 root server, ovvero A, F, H, J, K, M, consentendo così l'utilizzo completo di IPv6 nel Domain Name System (DNS). In seguito, anche il root server L è stato aggiunto alla lista.
Quanto costa la transizione?
I costi variano moltissimo fra organizzazioni diverse. Nella maggior parte dei casi, i costi sono dovuti alla necessità di addestrare il personale e di ripensare le procedure di gestione della rete. Potrebbe essere necessario sostituire alcune apparecchiature di rete di vecchia produzione (soprattutto router e firewall). Nel caso dei router, la spesa di sostituzione può essere conteggiata come normale spesa di aggiornamento della rete, perché quasi tutti i router prodotti negli ultimi cinque anni supportano IPv6 e quindi il caso di router di recente acquisto ma privi di IPv6 è assai raro. Il caso delle apparecchiature di sicurezza è più critico, perché molti costruttori hanno introdotto IPv6 nei loro prodotti solo in tempi molto recenti, per cui alcune organizzazioni potrebbero trovarsi a dover sostituire apparati acquistati da poco tempo.
Per gli utenti finali, sistemi operativi come Linux, Mac OS X, Windows supportano già IPv6 e saranno automaticamente abilitati quando IPv6 sarà disponibile.
Ho già un numero sufficiente di indirizzi IP. Che bisogno ho di attivare IPv6?
IPv6 è importante se vuoi che i tuoi servizi continuino ad essere utilizzabili da tutti gli utenti di Internet e in particolare da quelli dei mercati emergenti. Visto che Internet diventa progressivamente una rete duale IPv4/IPv6, devi essere presente anche su IPv6 per garantire ai tuoi clienti connettività universale. In più, con la crescente difficoltà e i crescenti costi per ottenere gli indirizzi IPv4, presto alcuni siti saranno solo disponibili su IPv6. Per raggiungere tali siti sarà necessario IPv6.
Vale anche la pena considerare che, anche se i tuoi indirizzi IPv4 ti sembrano sufficienti, presto potrebbero non bastare più per far fronte all’aumento del numero di dispositivi connessi per persona (così come è diventato evidente negli ultimi anni con il rapido sviluppo di prodotti wireless, palmari e simili).
C'è una data precisa in cui tutto deve essere aggiornato a IPv6?
No. Non c'è una data specifica per l'attivazione di IPv6, anche se alcune organizzazioni, tra cui alcuni governi, hanno già stabilito date per l'attivazione. IPv6 e suoi meccanismi di transizione sono stati progettati per un lungo periodo di coesistenza con IPv4, e si prevede che sistemi e applicazioni su IPv4 sopravvivranno per ancora molti anni. Tuttavia, soluzioni solo IPv6 sono destinate a sorgere specialmente nei mercati emergenti e nei paesi in via di sviluppo.
L’introduzione IPv6 richiede una pianificazione, e con l’esaurimento del pool di indirizzi IPv4 previsto intorno al 2011, è necessario che la pianificazione inizi immediatamente. Gli operatori di rete e gli amministratori dovrebbero già attivare IPv6 nelle loro reti.
Finiranno anche gli indirizzi IPv6?
No. Lo spazio degli indirizzi IPv6 è enorme. IPv6, infatti, è stato specificamente progettato per superare i limiti di IPv4 è può supportare senza problemi la connettività di un numero incredibilmente grande di dispositivi intelligenti come elettrodomestici, telefoni, e veicoli.
Quando sarà necessario spegnere IPv4?
Forse mai. L’attivazione di IPv6 è necessaria per non ostacolare la crescita della rete. È probabile che presto compaiano i primi siti Internet accessibili solo in IPv6.
In una rete aziendale, l’urgenza di attivare IPv6 riguarda solo quelle apparecchiature che devono comunicare con l’esterno. La intranet può continuare ad essere basata interamente su IPv4, ammesso che questa sia la strategia più conveniente.
È probabile che dispositivi su cui è impossibile attivare IPv6 restino in funzione per più di un decennio. In tutto questo periodo, continuerà a essere necessario mantenere IPv4 anche su tutte le altre apparecchiature che hanno bisogno di comunicare con questi dispositivi.
Ogni organizzazione può decidere in piena autonomia i tempi per l’eventuale disattivazione di IPv4. Il giorno in cui gli operatori di rete forniranno transito al solo traffico IPv6, le comunicazioni IPv4 continueranno a essere possibili trasportando i pacchetti IPv4 all’interno di pacchetti IPv6.
Che cosa implica l'esaurimento di indirizzi IPv4 per le imprese e gli utenti?
Le comunicazioni basate su IPv4 continueranno a funzionare come prima. Al tempo stesso, occorre affrettarsi a fornire connettività IPv6 a tutti i dispositivi che hanno bisogno di comunicare con l’intera rete, se si vogliono evitare problemi quando compariranno le prime parti di Internet prive di IPv4.
Con l'esaurimento degli indirizzi IPv4 alcuni servizi saranno spenti?
No. IPv4 e IPv6 funzioneranno in parallelo fino a quando sarà necessario.
Gli indirizzi IPv4 scarseggiano già da molti anni, durante i quali i problemi dovuti alla scarsità sono stati mitigati tramite il ricorso ai NAT. Non sarebbe sufficiente incrementare il ricorso alla condivisione degli indirizzi?
Nel lungo periodo, l'implementazione di IPv6 è d'obbligo. Nel breve periodo tuttavia, si assisterà ancora a una crescita di servizi IPv4 ottenuta incrementando il ricorso alla condivisione degli indirizzi. Questa, però, può essere considerata solo una soluzione temporanea.
La condivisione potrà essere attuata a livello di provider in forma di NAT su larga scala. Ciò significa che gli utenti condivideranno il loro indirizzo IPv4 con un centinaio di alcuni dei loro vicini della rete. Questo si tradurrà in una riduzione delle prestazioni e funzionalità per gli utenti finali, e maggiori costi e complessità di gestione per i provider. I problemi creati dalla condivisione degli indirizzi sono stati documentati da IETF qui: http://tools.ietf.org/html/draft-ietf-intarea-shared-addressing-issues.
Sono anni che sto usando NAT sulla mia rete domestica senza problemi. Cosa c'è di diverso questa volta?
La grande differenza è che i provider fanno condividere lo stesso indirizzo IPv4 tra più utenti della rete, mentre ora generalmente l’indirizzo è condiviso fra più dispositivi appartenenti ad un unico abbonato. Questo ha implicazioni per chi fa pubblicità, per i fornitori di contenuti, per le forze dell'ordine e per gli stessi utilizzatori finali. I NAT sui modem residenziali spesso possono essere configurati dall’abbonato. I NAT dei provider, viceversa, non possono essere configurati dagli utenti. Questo significa che, per l’utente, le possibilità di abilitare le connessioni in ingresso, come per esempio per il VoIP o per i giochi, possono essere ridotte.
Senza NAT, la mia rete sarà meno sicura?
Tradurre gli indirizzi non aggiunge niente alla sicurezza. Molti NAT richiedono che sia stata attivata una connessione in uscita prima di consentire il transito di pacchetti nella direzione inversa. Questo 'stateful packet filtering' può essere abilitato per IPv6 in assenza di traduzione degli indirizzi. Le proprietà di sicurezza di IPv6 non sono diverse da quelle di IPv4.
Che cosa deve ancora succedere di preciso, perché l’industria passi efficacemente a IPv6?
La transizione verso IPv6 richiede la collaborazione di tutta l'industria di Internet: Internet service provider, compagnie web, produttori di hardware e di sistemi operativi.
Tutti i principali operatori del settore devono darsi da fare affinché prodotti e servizi siano pronti per la transizione. Per esempio, i fornitori di servizi Internet devono fornire ai propri utenti connettività IPv6, le compagnie web devono rendere disponibili i loro siti e le loro applicazioni su IPv6, può essere necessario che gli sviluppatori di sistemi operativi debbano implementare aggiornamenti di software specifici, che i fornitori di connettività su backbone debbano stabilire peering IPv6 tra di loro e che i produttori di hardware e di home-gateway aggiornino il loro firmware.
Offro servizi IT, cosa devo fare ora per essere pronto per la transizione?
Pianificate IPv6, come fareste per qualsiasi aggiornamento importante.
Fate una verifica della vostra capacità attuale di attivare IPv6. Valutate il livello di conoscenza tecnica di IPv6 all'interno del vostro staff e pianificate la formazione del personale.
Cercate di individuare quali sono i vostri servizi che, qualora restassero accessibili solo in IPv4, potrebbero perdere clienti e definite una strategia di priorità. Per esempio, potete abilitare subito IPv6 sui servizi web pubblici e rinviare la conversione della rete interna.
Rimuovete ciò che ostacola l’attivazione di IPv6, come i sistemi obsoleti che non possono essere aggiornati, individuando per ciascuno di loro la soluzione più adatta (per esempio, un proxy di livello applicativo in grado di supportare sia IPv4 sia IPv6 per il tempo di vita residuo di quel sistema). Pianificate gli aggiornamenti e gli acquisti tenendo sempre presente l’imminente attivazione di IPv6.
Contattate i costruttori per conoscere il supporto di IPv6 nei loro prodotti attuali e futuri, e chiedete al vostro ISP quali sono i suoi piani in relazione a IPv6.
----------------------
Fonte del documento: ISOC IPv6-Frequently Asked Questions on IPv6 adoption and IPv4 exhaustion
Missione
IPv6 Italia è il Chapter italiano dell'IPv6 Forum, un consorzio internazionale che si propone di favorire ed accelerare l'adozione del protocollo di comunicazione Internet IPv6 (Internet Protocol versione 6) a livello globale.
IPv6 Italia nasce per iniziativa di ISOC Italia, che si propone di favorire l'adozione del protocollo Internet IPv6 in Italia. IPv6 Italia raccoglie l'eredita' della IPv6 Task Force Italiana, che era stata attiva fino al 2007.
Chi desidera interagire con il gruppo e/o essere informato sulle sue attivita' e' invitato ad iscriversi alla sua lista di discussione pubblica.
Perché IPv6
Internet sta cambiando, la rete è destinata a diventare col tempo sempre più IPv6 e sempre meno IPv4.
Tu sei aggiornato alla versione 6 di IP?
Da più di 10 anni le comunicazioni di Internet utilizzano oltre al vecchio sistema IPv4 (il più diffuso, pubblicato nel 1981) anche il nuovo IPv6 (pubblicato nel 1998). Per superare i limiti di IPv4, i progettisti di IPv6 hanno definito un nuovo insieme di regole che introduce diverse migliorie rispetto al precedente. Con IPv6 il limite storico dell'IPv4 (circa 4 miliardi di indirizzi) viene innalzato a circa 340 miliardi di miliardi di miliardi di miliardi di indirizzi. IPv6 contiene numerosi miglioramenti rispetto a IPv4, ma il suo principale valore sta proprio nella quantità quasi inesauribile di indirizzi. Con IPv6 gli indirizzi pubblici non sono più un lusso e tutti gli apparati possono avere un indirizzo univoco sull'intera rete. L'indirizzamento univoco faciliterà enormemente la crescita della rete e la comparsa di nuove modalità di utilizzo.
Mentre la più vasta parte di Internet usa ancora il vecchio IPv4, inizia a crescere quella porzione che usa entrambi i sistemi, cioè che è sia IPv4 sia IPv6 (dual stack). Esistono anche piccole porzioni di Internet che hanno solo il nuovo IPv6.
Se tu resti con il solo vecchio IPv4 vai incontro ad un graduale degrado delle prestazioni ed alla perdita della possibilità di comunicare con parti di Internet (quelle che sono già solo IPv6). Inoltre, perché due apparati possano comunicare usando una delle due versioni del protocollo, occorre che quella versione sia attiva anche su tutti gli apparati e i collegamenti lungo il cammino.
Vuoi scoprire se il tuo computer è connesso a Internet con il solo IPv4 o anche con IPv6?
Collegati con il sito del progetto KAME: se la tartaruga in cima alla pagina muove la testa e le gambe, sei in IPv6, altrimenti sei in IPv4. Per un test più approfondito ti puoi collegare con il sito http://test-ipv6.com/ o con il suo mirror italiano http://test.ipv6.fastweb.it/.
Se sei ancora su IPv4 aggiornati! Per le istruzioni vai alla pagina "Cose da fare".
Come fare per avere IPv6
Le informazioni sono state suddivise per categorie e puoi selezionare una delle voci per visualizzare le informazioni disponibili. Per una introduzione a IPv6 ti suggeriamo di leggere il capitolo 2 dell'articolo "IPv6 e coesistenza con IPv4. Se non riesci a trovare ciò che cerchi puoi inviare una domanda, un esperto ti risponderà.
- Utilizzatore della rete
- Gestore dei servizi applicativi (web, mail, dns,…)
- Gestore di rete aziendale
- Gestore dei servizi di trasporto (routing, etc.)
Utilizzatore della rete
Potresti anche non fare niente, perchè gli apparati di utente imparano dalla rete stessa la presenza di IPv6 e i parametri necessari per utilizzarlo.
Puoi comunque contribuire ad accelerare l'affermazione del nuovo protocollo insistendo con il tuo provider (o con il gestore della tua rete aziendale) perchè ti fornisca anche connettività IPv6. Se le tue domande non trovano risposta, puoi attivare un Tunnel.
Se eri abituato a configurare o a esaminare le informazioni IPv4 dei tuoi apparati e ti interessa poterlo fare anche con IPv6, collegati al corso GARR (https://learning.garr.it/learning/, è necessario registrarsi) e scegli l'argomento 4. Troverai le informazioni di cui hai bisogno nel seminario "Come attivare IPv6 nei sistemi operativi".
Gestore dei servizi applicativi (web, mail, dns,…)
Se finora hai gestito servizi di rete senza doverti occupare di indirizzi IPv4 (per esempio perchè utilizzi i servizi di hosting di qualche provider) non avrai bisogno neanche di occuparti di indirizzi IPv6.
Altrimenti, devi chiedere al tuo provider o al gestore della tua rete aziendale di procurarti connettività IPv6. Se le tue domande non trovano risposta, puoi attivare un Tunnel.
Per approfondire l'argomento, puoi collegarti al corso GARR (https://learning.garr.it/learning/, è necessario registrarsi) e scegliere l'argomento 4. Troverai le informazioni di cui hai bisogno nei tre seminari collegati all'argomento.
Gestore di rete aziendale
Per il tuo lavoro, hai bisogno di una conoscenza approfondita di IPv6. Ti consigliamo l'intero corso GARR (https://learning.garr.it/learning/, è necessario registrarsi).
Alla fine del seminario "Come amministrare IPv6 sulla propria rete" c’è una breve presentazione del tool 6MoN. Il tool si trova su https://6mon.iit.cnr.it/.
Gestore dei servizi di trasporto (routing, etc.)
Il corso GARR (https://learning.garr.it/learning/, è necessario registrarsi) è stato pianificato tenendo conto soprattutto delle esigenze dei gestori delle reti delle università e degli enti di ricerca. Il corso è utile anche per te, anche se non tratta temi come VPN, MPLS, accessi ADSL. Intendiamo tuttavia mantenere aggiornato questo sito, segnalando la documentazione utile in italiano via via che ne veniamo a conoscenza.
Siamo consapevoli del fatto che non sempre è facile attivare l'IPv6 nativo sull'intera rete di un provider. In questo caso, suggeriamo al provider di attivare un servizio di "tunnel broker", attraverso il quale i clienti possano ricevere prefissi IPv6 pubblici e statici.