IPv6 vs IPv4

Sstemax97 · 13 dic 2020

@matteocontrini purtroppo qua si sta andando un po' troppo off-topic, potrebbe essere utile creare una nuova discussione visto che non si parla di MyNet.

matteobra 1) IPv4 è più moderno di IPv6 (tutto ciò che negli anni '90 era interessante di IPv6, è stato backportato)

Questo non significa essere più moderno, significa che a livello di funzionalità a IPv4 sono state fornite alcune migliorie offerte da IPv6. Questo comunque non risolve la mancanza di indirizzi (che sono circa 4 miliardi e non si scappa), che è il motivo per cui è stato sviluppato IPv6.

matteobra 2) Le implementazioni di IPv6 "in the wild" (telecamere, IoT, ecc) sono ESTREMAMENTE più immature e meno proven di IPv4, quindi inerentemente più insicure (citofonare "engineering in a hurry", dei tempi moderni).

Questo non significa essere meno sicuro: se IPv6 fosse stato implementato 10 anni fa, ci sarebbero 10 anni di prove sul campo che ci avrebbero dato la stessa sicurezza ed esperienza che abbiamo in IPv4. Come ho già detto, la sicurezza di questi dispositivi in the wild (perlomeno per le utenze domestiche) è affidata al NAT, non a un firewall. Evidentemente nel passaggio a IPv6 questi dispositivi potrebbero non essere adeguati, ma la colpa è dei dispositivi, non della connessione. In aggiunta a questo, basta che il firewall del router di default abbia una regola di drop da WAN a LAN e c'è la stessa "sicurezza" offerta dal NAT.
Inoltre, con l'adozione di IPv6, i servizi cloud collegati a questi dispositivi non sarebbero più necessari.
Deve esserci un cambiamento di paradigma: si dà più rilevanza al singolo dispositivo (firewall, aggiornamenti, ecc) rispetto che affidarsi all'effetto collaterale del NAT. Configurare IPv6 è oggettivamente un po' più complicato, ma concettualmente è più semplice di inventarsi NAT, reverse proxy o altri protocolli.

matteobra 3) IPsec è una storia vecchia: non è più obbligatorio (ed infatti il 99% delle transazioni del poco traffico IPv6 mondiale non è IPsec, ma plain & dirty [IPv6])

Ammetto la mia ignoranza, non ne ero a conoscenza. Ma comunque non significa che in futuro questo possa cambiare e si possa avere il traffico IPSEC su IPv6 come sarebbe da protocollo.

x_term · 13 dic 2020

stemax97 La stortura è ritenere che il NAT sia un firewall e quindi ritenere che il secondo non sia necessario.

Straquote. Si pensa che nascondere tutto dietro IP privati sia sicuro. Nulla di più sbagliato. È solo nascosto. Se i dispositivi sono insicuri, non è di certo per l'implementazione dello stack IP, tanto il 99,9999% dei dispositivi si basa sul kernel di Linux, quindi è sempre lo stesso IPv4/IPv6.

[cancellato] · 13 dic 2020

stemax97 Inoltre, con l'adozione di IPv6, i servizi cloud collegati a questi dispositivi non sarebbero più necessari.

Non c'entrano nulla con gli IP. Sono un meccanismo di collezione dati utente che pensano di monetizzare.

x_term Si pensa che nascondere tutto dietro IP privati sia sicuro. Nulla di più sbagliato. È solo nascosto.

No, la sicurezza è la regola di drop implicita. Anni fa nessun router consumer aveva firewall adeguati, ora è un po' diverso. Certo, poi ci sarà il rischio del solito sito di gamer che consiglierà per giocare meglio di togliere tutte le regole del firewall...

Nascondere la struttura interna di una rete comunque non è sempre una cattiva idea. Il principio "end-to-end" è sacro solo per chi se l'è inventato, e un protocollo di livello superiore che include dati di quelli inferiori è IMHO di solito un pessimo design. Ci sono buoni motivi per nascondere la reale origine di una richiesta - è una questione di privacy, non sicurezza. C'è anche il problema del renumbering se si cambia prefisso.

matteobra errà soppiantato da qualcosa di completamente diverso

Auguri a rimpiazzare miliardi di dispositivi e applicazioni per supportare qualcosa che ancora non c'è e magari richiede modifiche ancora più profonde e pesanti di quanto richieda IPv6- Questo è già abbastanza "breaking" perché pensato quando internet era ancora "piccola" - figuriamoci oggi.

Sstemax97 · 13 dic 2020

[cancellato] Non c'entrano nulla con gli IP. Sono un meccanismo di collezione dati utente che pensano di monetizzare.

Intendevo dire un'altra cosa: ora come ora, per accedere da remoto dietro CGNAT ad alcuni dispositivi (come le videocamere, le lampadine, ecc) è necessario usare un servizio cloud che faccia da ponte. Con IPv6, non sarebbe necessario, perché basterebbe accedere con l'ip pubblico assegnato al device.
Per i motivi che hai detto, i sistemi cloud rimarranno, ma potrà esistere un'alternativa.

[cancellato] Certo, poi ci sarà il rischio del solito sito di gamer che consiglierà per giocare meglio di togliere tutte le regole del firewall...

Purtroppo.

[cancellato] Ci sono buoni motivi per nascondere la reale origine di una richiesta - è una questione di privacy, non sicurezza. C'è anche il problema del renumbering se si cambia prefisso.

Se si usa SLAAC con le privacy extension, non vedo problemi di privacy. E il renumbering comunque non dovrebbe essere un problema eccessivo, visto che il protocollo più diffuso sarà route advertisement automatici (http://www.tcpipguide.com/free/t_IPv6AutoconfigurationandRenumbering.htm).
Inoltre, non vedo perché a regime i prefissi non dovrebbero essere statici: l'idea, se non sbaglio, sarebbe quella di assegnare a ogni cliente una /56 o una /48 tutta sua. Un servizio DNS locale potrebbe risolvere il problema degli indirizzi mnemonici.

giuse56 · 13 dic 2020

stemax97 Purtroppo

Scusate l'ignoranza ma levando tutte le regole firewall per giocare non c'è il rischio di essere hackerati o robe del genere? Nel caso in cui ad esempio io su PS4 attivo il nat 1 usando PPOE con username e password su rete TIM. Che problemi di sicurezza potrei riscontrare?

vic3000 · 13 dic 2020

ci sono tanti servizi che non funzionano bene o per nulla dietro NAT e ti devi inventare meccanismi di tunnel o metterli "la fuori", ricordo h.323 per chi ci e` passato (le videoconferenze hardware di polycom o tandberg o cisco per dirne qualcuna) o anche i centralini SIP (discorso diverso per IAX ma non ha preso piede)

Sstemax97 · 13 dic 2020

giuse56 Nel caso in cui ad esempio io su PS4 attivo il nat 1 usando PPOE con username e password su rete TIM. Che problemi di sicurezza potrei riscontrare?

Qualsiasi servizio attivo della console è direttamente esposto su Internet, anche quelli che non sono necessari.
Ad esempio: metti caso che un futuro aggiornamento della console permetta di configurare le opzioni di gioco da web browser: senza un firewall in mezzo (situazione che ottieni con NAT1), chiunque potrebbe accedere all'interfaccia. Se è dietro al router con un firewall, quel servizio non sarebbe accessibile.
Per rimanere in tema con il topic, NAT1 è anche inutile perché spreca un indirizzo IPv4 quando non è necessario (Tim se lo può permettere perché ne ha tanti).

La gente ahimè consiglia NAT1 perché è un metodo immediato per risolvere il problema "aprire le porte", ma ottieni lo stesso risultato con più sicurezza se effettui un corretto port forwarding (o usi upnp).

[cancellato] · 13 dic 2020

stemax97 Se si usa SLAAC con le privacy extension, non vedo problemi di privacy.

C'è il problema delle macchine che non possono avere IP dinamici, e c'è il problema delle macchine che usano DHCP (e che tendono a mantenere lo stesso IP), cosa comune in ambito aziendale dove vuoi accentrare la gestione delle risorse e relativo logging - un'azienda ha anche bisogno, in caso di necessità, di sapere chi fa cosa. SLAAC è un meccanismo molto 1996 pensato per una internet molto diversa, dove si gestivano ancora i DNS a mano, non esisteva DHCP e le reti erano lente, quindi mettere l'assegnazione dell'IP sull'edge sembrava una buona idea.

stemax97 E il renumbering comunque non dovrebbe essere un problema eccessivo,

Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio. Deve prendere ogni dispositivo che ha un IP fisso (e c'è un buon numero di dispositivi in una rete complessa che deve sempre essere raggiungibile e non deve cambiare IP a casaccio...) e andare a modificarlo. Poi tutto quello che dipende da quegli iP (rotte, configurazioni, ecc. ecc.).

IPv6 purtroppo è stato pensato quando c'erano ancora relativamente pochi mainframe e mini a dominare in pochi datacenter. Non è stato pensato per una internet molto più grande e distribuita. Certo, più automatizzato è il controllo dei dispositivi e applicazione e più facile è farlo, ma c'è ancora molto che non è facilmente e completamente automatizzabile.

Un'alternativa è assegnare a tutto anche degli indirizzi ULA, se possibile, al prezzo di aumentare la complessità del tutto.

giuse56 scusate l'ignoranza ma levando tutte le regole firewall per giocare non c'è il rischio di essere hackerati o robe del genere?

Appunto. Però purtroppo mi aspetto chi non riuscendo a far funzionare il gioco con opportune regole toglierà tutto, dirà "funziona!!" e lo consiglierà ad altri che lo seguiranno - con le prevedibili conseguenze.

Mmatteocontrini · 13 dic 2020

stemax97 NAT1

Anche i geni che l'hanno chiamato così però eh...

Sstemax97 · 13 dic 2020

[cancellato] vuoi accentrare la gestione delle risorse e relativo logging - un'azienda ha anche bisogno, in caso di necessità, di sapere chi fa cosa

[cancellato] Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio. Deve prendere ogni dispositivo che ha un IP fisso (e c'è un buon numero di dispositivi in una rete complessa che deve sempre essere raggiungibile e non deve cambiare IP a casaccio...) e andare a modificarlo. Poi tutto quello che dipende da quegli iP (rotte, configurazioni, ecc. ecc.).

Capisco assolutamente, questo problema non ha ancora una soluzione comoda come per IPv4.

Però credo si possa trovare un sistema automatizzato per gestire anche queste evenienze (su OpenWRT puoi installare ip6neigh che si occupa di assegnare nomi DNS ai dispositivi SLAAC). Certo, bisogna investirci un attimo di tempo, ma siamo riusciti a risolvere problemi ben più complessi. E direi che è ora di cominciare questa transizione

[cancellato] Un'alternativa è assegnare a tutto anche degli indirizzi ULA, se possibile, al prezzo di aumentare la complessità del tutto.

Volevo scriverlo anche io! Pur funzionando, però, si viene meno allo spirito di IPv6. Ma in particolari situazioni (come quella aziendale) può essere un buon compromesso!

[cancellato] · 13 dic 2020

stemax97 E direi che è ora di cominciare questa transizione

Su questo mi trovi d'accordo. Bisogna essere consci dei problemi da affrontare. In ambito aziendale tipicamente hai da integrare i DNS/DHCP Windows o Linux (di solito BIND e isc dhcp, ma anche altri) con IPv6, e con il resto dei sistemi, inviare i log ai sistemi centralizzati, ecc. Difficile che OpenWRT, ammesso che esista, controlli qualcosa.

Puoi anche usare stateless DHCP con SLAAC così fornisci tutte quelle informazioni che fornisce DHCP oltre all'IP, DNS e gateway, ma hai due sistemi da gestire anziché uno. Nei sistemi più complessi gli indirizzi IP possono venire assegnati con una serie di regole.

Poi ti trovi Google che per motivi suoi non vuol supportare DHCP6 (ha tutto interesse che i dispositivi sfuggano a qualsiasi controllo tranne il suo...) che ti complica la vita.

Purtroppo non c'è alcuno standard che obblighi Google a supportare DHCP6

[cancellato] · 13 dic 2020

[cancellato] Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio.

Non è diverso dal caso IPv4 nel caso esponga dei servizi su dei range di indirizzi "riservati" dal provider upstream, se non per il fatto che coinvolge anche device interni.

Ma la soluzione è semplice: basterebbe porre fine a quell'abominio di indirizzi dinamici WAN: dal momento che diventi cliente di un provider ti viene assegnata una /56, e quella resta tua finché continui a rimanere abbonato.

[cancellato] · 13 dic 2020

[cancellato] Non è diverso dal caso IPv4 nel caso esponga dei servizi su dei range di indirizzi "riservati" dal provider upstream, se non per il fatto che coinvolge anche device interni.

Appunto. Attualmente devi cambiare solo gli IP "esterni" che sono di solito molti meno, ed è già una noia quella che spesso si usa NAT 1:1 per semplificare la cosa, evitando che anche i sistemi "pubblicati" usino IP pubblici che sono gestiti solo sul firewall, mentre anche i dispositivi in DMZ usano indirizzamenti privati.

[cancellato] dal momento che diventi cliente di un provider ti viene assegnata una /56, e quella resta tua finché continui a rimanere abbonato.

Il problema rimane quando appunto cambi provider. O ti sei comprato il tuo prefisso, o devi rinumerare. Per i privati o anche in ambito SOHO può essere una scocciatura sopportabile, man mano che la rete cresce molto meno. Specialmente per quelle PMI che non hanno un IT esperto e dedicato.

Vabbé, se portano tutto in cloud si ritorna alla situazione del 1996 con "pochi" mainframe in "pochi" datacenter... e si risolve il problema. Per i "terminali stupidi" basta anche l'IP via SLAAC

QQRDG · 14 dic 2020

Vi faccio una domanda da "profano totale" di queste cose, ma se avviene un attacco DDOS, (per esempio uno che rosica su GTA V ti DDOS la play), ovviamente in IPV6 ogni device ha un proprio ip pubblico, ma se l'IPv6 è statico.

SSupreme69 · 14 dic 2020

QRDG non ti dossano a te ma la lobby

[cancellato] · 14 dic 2020

QRDG ma se avviene un attacco DDOS, (per esempio uno che rosica su GTA V ti DDOS la play), ovviamente in IPV6 ogni device ha un proprio ip pubblico, ma se l'IPv6 è statico.

Non ho capito qual è la domanda.

QQRDG · 14 dic 2020

[cancellato] Alcuni giochi sono P2P, e i giocatori tramite dei softwere posso vedere il tuo IP, e lanciare attacchi DDOS, adesso che succede che con IPv6? non basta riavviare il modem che prende un altro IP e via, essendo che ogni dispositivo ha un suo IP? la mia domanda se gli ipv6 sono statici, se ti dossano che puoi fare?

Sstemax97 · 14 dic 2020

QRDG non basta riavviare il modem che prende un altro IP e via

Non che sia comunque una soluzione, visto che l'attacco si sposterebbe solo al poveraccio che si becca l'IP alcuni minuti dopo...