Sicurezza: ENISA punta su MPLS, DNSEEC e IPV6 per evitare nuovi attacchi contro le vulnerabilità delle reti

L’agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) sta investigando sull’uso del sistema Domain Name System Security Extensions (DNSSEC) e di altre tecnologie avanzate per migliorare la flessibilità delle reti pubbliche di comunicazione. In collaborazione con i regolatori, i decisori politici, gli operatori, i fornitori di infrastrutture e le università, ENISA ha fatto il punto sulle strategie e le regole già adottate da governi e operatori e sulle tecnologie attualmente disponibili, al fine di evitare il ripetersi di attacchi come quello che a luglio ha preso di mira le vulnerabilità del Domain Name System (DNS).

Il sistema dei nomi di dominio

L’attacco era stato scoperto dall’esperto in sicurezza Dan Kaminsky e interessava proprio il sistema dei nomi di dominio, quello cioè che collega gli indirizzi dei siti alle pagine immagazzinate nei server, una sorta di ‘elenco telefonico’, utilizzato per la traduzione di nomi di host in indirizzi IP. Secondo gli esperti in sicurezza, la falla avrebbe permesso agli hacker di sferrare massicci attacchi di phishing per dirottare gli utenti verso falsi siti web bancari e recuperare i numeri di carta di credito o altri dati sensibili.

Il traffico internet mondiale

I pirati informatici dunque avrebbero potuto tranquillamente controllare il traffico internet mondiale per perseguire i propri scopi truffaldini. Immediato è stato l’intervento della maggiori società del settore – Microsoft, Cisco e Sun Microsystem – che, per la prima volta, si sono unite e hanno messo a punto una patch correttiva diffusa su larga scala sotto forma di aggiornamento automatico dei sistemi operativi. Le tecnologie identificate da ENISA come validi strumenti per assicurare una maggiore flessibilità delle reti di comunicazione sono tre: MPLS (Multiprotocol Label Switching), DNSSEC e IPv6. MPLS è un nuovo standard multiprotocollo standardizzato dall’Internet Engineering Task Force la cui introduzione in rete permette ai Service Provider di offrire in maniera flessibile e scalabile servizi di VPN (Virtual Private Network), Traffic Engineering e supporto della QoS (Quality of Service). DNSSEC è in grado di aumentare la sicurezza del DNS grazie ad alcuni accorgimenti quali l’autenticazione del mittente e del ricevente e il controllo dell’integrità dei pacchetti attraverso l’uso di chiavi crittografiche.

I gestori a implementarla

L’utilizzo della tecnologia è stato caldeggiato anche dal governo americano, che ha invitato ufficialmente i gestori a implementarla per salvaguardare l’intera struttura di internet. IPV6 è invece la naturale evoluzione del protocollo internet attualmente in uso (IPV4), che comincia a mostrare dei limiti in fatto di capacità di indirizzamento. Il nuovo protocollo permetterà invece di gestire, per dirla con il Commissario Viviane Reding, “un numero di indirizzi superiore al numero di granelli di sabbia su tutte le spiagge del mondo”. L’implementazione del nuovo protocollo è già in fase avanzata in Giappone e in Cina, mentre il governo degli Stati Uniti ha dato mandato alle agenzie governative di prepararsi alla transizione verso IPv6 entro la fine dell'anno. L’Europa sta investendo ingenti risorse nel nuovo sistema di indirizzamento – circa 90 milioni di euro per la ricerca – ma, pur potendo vantare la leadership per l'introduzione dell'IPv6 sulle reti di ricerca europee (GEANT), viaggia in ritardo rispetto alle altre potenze. Per valutare l’efficacia delle tre tecnologie ed identificare eventuali problemi o falle che potrebbero compromettere la disponibilità di reti e servizi, ENISA ha condotto un’indagine presso gli operatori europei, i cui risultati verranno analizzati con gli stakeholder dell’industria nel corso del workshop “Resilience of Public eCommunication Networks” che si svolgerà a Bruxelles il 12-13 novembre prossimi.

(17 settembre 2008)

© 2002-2012 Key4biz