Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy

Indirizzi IP: una risorsa preziosa

Indirizzi IP: una risorsa preziosa

Scritto da Claudia Battista Il . Inserito in cybersecurity . Visite: 732

#CybersecurityCafé

di Claudia Battista

La comunità scientifica ed accademica italiana ha avuto un ruolo pioneristico nell’uso e nello sviluppo delle reti telematiche. Con l’avvento del protocollo TCP/IP e l’introduzione degli indirizzi IP pubblici, che all’epoca erano considerati una risorsa praticamente inesauribile, moltissime istituzioni chiesero e ottennero l’assegnazione ampi blocchi di indirizzi IP. Numerose furono le classi B (65.536 indirizzi) assegnate in quegli anni da IANA a grandi università, istituzioni di ricerca e laboratori.

Ma il mondo sta cambiando: gli ultimi blocchi di indirizzi pubblici IPv4 sono stati ormai assegnati ai registrar nazionali, GARR LIR incluso, e oggi si raschia il fondo del barile degli indirizzi, in attesa del sempre annunciato e mai completamente decollato IPv6.

Per questo GARR vuole sensibilizzare l’intera comunità ad un uso sempre più attento di questa risorsa preziosa e invitare tutti ad evitare qualsiasi spreco. Vogliamo cominciare con gli indirizzi IP bloccati a seguito di un’azione di filtraggio su segnalazione del CERT. Da sempre, quando il CERT identifica un indirizzo IP che genera traffico malevolo o è coinvolto in qualche attività illecita chiede al referente tecnico locale (APM) di intervenire per mettere in sicurezza la macchina che ha generato l’incidente di sicurezza. Se l’APM non è in grado di risolvere il problema tempestivamente (da 4 ore a qualche giorno a seconda della gravità del caso) parte la richiesta al NOC di filtrare l’indirizzo coinvolto. Si incappa nel filtraggio quando l’atto malevolo ha conseguenze penali (pedofilia, phishing finanziario e altre nefandezze), quando c’è un DoS o DDoS in corso, quando la macchina genera scansioni o altri attacchi, o quando siamo davanti a un open mail relay.

Nel corso degli anni spesso gli APM non hanno comunicato al NOC o al CERT la risoluzione del problema (cioè la sanificazione della macchina oggetto del filtro) e l’IP incriminato è rimasto filtrato a tempo indeterminato. Si sono così accumulate diverse centinaia di indirizzi IP, dimenticati in una sorta di quarantena perenne. Un IP filtrato è infatti un IP perso, perché anche se riassegnato ad un PC “sano”, con esso non si può andare da nessuna parte.

Per questo stiamo rivedendo le procedure per la gestione e rimozione dei filtri sulla rete GARR e da qualche mese abbiamo messo in campo un nuovo strumento per monitorare lo stato degli IP filtrati, che di volta in volta sono inseriti in un apposito DB in modo da tenerne traccia e sapere da quanto tempo sono filtrati. Da ottobre 2018 gli IP filtrati (circa una trentina, appartenenti a numerose organizzazioni) sono tracciati in partenza: gli APM vengono quindi informati che hanno 3 mesi di tempo per risolvere la situazione sulla macchina incidentata e comunicarci il positivo esito, in modo da rimuovere il filtro, altrimenti si scalerà la richiesta ad APA e delegato. Per evitare che se ne possa perdere traccia per sbaglio, gli APM riceveranno comunque un report mensile, con l’elenco dei propri IP filtrati, la data di applicazione del filtro e un promemoria per l’intervento.

Per quanto riguarda le centinaia di indirizzi filtrati prima di ottobre 2018 coinvolgeremo gli APM delle istituzioni interessate per chiedere loro di intervenire sulle macchine che hanno originato gli incidenti di sicurezza, in modo da eliminarne la causa e liberare gli indirizzi IP bloccati e poterli nuovamente utilizzare. Le organizzazioni direttamente interessate riceveranno un messaggio con l’elenco degli IP filtrati e l’invito a dare un riscontro sul loro utilizzo.

Ci aspettiamo la piena collaborazione nell’azione di assestamento e di valorizzazione di questa preziosa risorsa. È infatti molto probabile che il problema sia stato risolto e semplicemente non ci sia stato comunicato, ad esempio perché alla macchina coinvolta e poi bonificata è stato assegnato un nuovo indirizzo, e che quindi il filtro sull’indirizzo oggetto della segnalazione non sia stato rimosso semplicemente a causa di questa mancata informazione.

Se alcuni IP sono rimasti filtrati a tempo indeterminato si tratta più che altro di una procrastinazione nata dall’abbondanza e, ora che l’abbondanza è finita, un promemoria a recuperare tutti gli IP per un nuovo impiego sarà un servizio utile per l’intera comunità.

GARR News - Testata semestrale registrata al Tribunale di Roma: n. 243/2009 del 21 luglio 2009

Il contenuto di questo sito è rilasciato, tranne dove altrimenti indicato,
secondo i termini della licenza Creative Commons attribuzione - Non commerciale Condividi allo stesso modo 3.0 Italia

GARR News è edito da Consortium GARR, La rete Italiana dell'Università e della Ricerca


GARR News n°19 - Dicembre 2018 - Tiratura: 10.000 copie - Chiuso in redazione: 23 luglio 2018
Redazione GARR News
Hanno collaborato a questo numero: Francesca Aloisio, Valeria Ardizzone, Claudio Barchesi, Alex Barchiesi, Paolo Budroni, Francesco Ceccarelli, Giovanni Cioni, Alberto Colla, Patrizia Cuppini, Nevio Dubbini, Marco Ferrazzoli, Roman Ganguly, Corrado Giustozzi, Giuliano Greco, Pasquale Mandato, Silvia Mattoni, Laura Moretti, Michele Nardini, Claudio Pisa, Mario Reale, Roberta Rezoalli, Bruno Santeramo, Antonella Varaschin, Gloria Vuagnin, Massimo Zallocco


 

Abbiamo 294 visitatori e nessun utente online