IPv6, come siamo passati dai camuffamenti (tunnel broker) su IRCNet alle sfide di sicurezza di oggi

All’inizio degli anni 2000, prima che l’IPv6 fosse una realtà comune, per connettersi alla nuova rete servivano i tunnel broker: nodi messi in piedi da appassionati o provider che permettevano di avere un indirizzo IPv6 incapsulato dentro IPv4. In Italia c’erano nomi che oggi sembrano quasi leggendari: NGnet, Zibibbo, e poi, su scala più internazionale, SixXS, che per anni ha fornito tunnel di altissima qualità fino a dichiarare “mission accomplished” e chiudere nel 2017. Erano anni in cui IPv6 era roba da smanettoni, e la comunità IRCNet italiana era uno dei posti dove questo “potere” trovava applicazioni creative. Personalmente lo usavo per camuffare il mio IPv4: mentre con un indirizzo 95.x.x.x il server IRC mostrava il reverse DNS dell’ISP, con IPv6 potevo scegliere il mio indirizzo nel blocco assegnato, evitando di esporre il mio IP reale e cambiandolo a piacere. In quel periodo circolavano anche strumenti curiosi, come ipv6fuck.c dell’autore “schizoid”, un codice C che serviva per stress-test su connessioni IPv6. All’epoca la rete era un laboratorio aperto: pochi limiti, molto entusiasmo e tanta sperimentazione.

IPv6 nasce per un motivo molto concreto: gli indirizzi IPv4 sono solo 4,3 miliardi e il mondo si è accorto troppo tardi che li stavamo finendo. IPv6 porta la capacità a livelli astronomici (340 sestilioni di indirizzi), con spazio sufficiente da non porsi più il problema. Inoltre elimina molti vincoli dell’IPv4, consentendo connessioni end-to-end senza NAT. Questo ha però implicazioni di sicurezza: con IPv4, il NAT e la condivisione dell’IP rendevano più difficile identificare singoli host e, indirettamente, riducevano l’esposizione diretta dei servizi. In IPv6, invece, ogni dispositivo può avere un indirizzo pubblico univoco e raggiungibile, e questo significa che eventuali servizi aperti, come SSH o SMB, diventano visibili a chiunque, anche dall’altra parte del mondo. Molti firewall domestici non filtrano IPv6 con la stessa attenzione dedicata all’IPv4, e in contesti aziendali capita di trovare IPv6 attivo ma non monitorato, creando canali di comunicazione che bypassano regole e IDS. Esistono anche scenari di abuso di tunneling, come con Teredo o 6to4, che possono essere sfruttati per far transitare traffico non autorizzato.

Sul fronte della privacy, l’IPv6 introduce un paradosso: la sua abbondanza di indirizzi permette una gestione molto più granulare, ma un prefisso statico o assegnato per lungo tempo può rendere il tracciamento estremamente preciso. Per mitigare questo rischio esistono le Privacy Extensions (RFC 4941), che generano indirizzi temporanei e difficilmente correlabili, ma non tutti i sistemi le attivano di default e non tutti gli utenti ne sono consapevoli. In un’ottica di sicurezza offensiva, negli anni IPv6 è stato usato anche per attività di flood e DoS difficili da bloccare, proprio per la vastità dello spazio di indirizzamento e la difficoltà di enumerarlo in tempi rapidi. È qui che strumenti come ipv6fuck.c si inserivano come esempio di stress-test, ma che oggi, usati in rete pubblica senza consenso, rientrerebbero nelle condotte di abuso informatico perseguibili per legge.

Oggi l’IPv6 lo stiamo già usando, spesso senza saperlo. I grandi provider italiani lo offrono nativamente, molti router lo gestiscono in automatico e i sistemi operativi lo preferiscono quando è disponibile. Non lo “vediamo” perché browser e servizi negoziano trasparentemente: se YouTube, Google o Netflix hanno IPv6, ci colleghiamo così; se non lo hanno, torniamo su IPv4. L’utente medio non si accorge di nulla, ma l’indirizzo IPv6 è lì, in parallelo al vecchio IPv4. I tunnel broker amatoriali come NGnet o Zibibbo non hanno più ragione di esistere: l’IPv6 non è più un privilegio di pochi, ma una componente standard dell’infrastruttura. Sopravvivono solo i broker professionali come Hurricane Electric, utili in zone ancora scoperte o per fare laboratorio. Se vuoi sapere subito se la tua connessione è già in IPv6, puoi scoprirlo in due secondi visitando https://test-ipv6.com/. Magari scoprirai che stai già viaggiando su una rete che un tempo era per pochi iniziati su IRCNet, e che oggi è diventata lo standard invisibile di Internet.