stemax97 La stortura è ritenere che il NAT sia un firewall e quindi ritenere che il secondo non sia necessario.
Straquote. Si pensa che nascondere tutto dietro IP privati sia sicuro. Nulla di più sbagliato. È solo nascosto. Se i dispositivi sono insicuri, non è di certo per l'implementazione dello stack IP, tanto il 99,9999% dei dispositivi si basa sul kernel di Linux, quindi è sempre lo stesso IPv4/IPv6.
stemax97 Inoltre, con l'adozione di IPv6, i servizi cloud collegati a questi dispositivi non sarebbero più necessari.
Non c'entrano nulla con gli IP. Sono un meccanismo di collezione dati utente che pensano di monetizzare.
x_term Si pensa che nascondere tutto dietro IP privati sia sicuro. Nulla di più sbagliato. È solo nascosto.
No, la sicurezza è la regola di drop implicita. Anni fa nessun router consumer aveva firewall adeguati, ora è un po' diverso. Certo, poi ci sarà il rischio del solito sito di gamer che consiglierà per giocare meglio di togliere tutte le regole del firewall...
Nascondere la struttura interna di una rete comunque non è sempre una cattiva idea. Il principio "end-to-end" è sacro solo per chi se l'è inventato, e un protocollo di livello superiore che include dati di quelli inferiori è IMHO di solito un pessimo design. Ci sono buoni motivi per nascondere la reale origine di una richiesta - è una questione di privacy, non sicurezza. C'è anche il problema del renumbering se si cambia prefisso.
matteobra errà soppiantato da qualcosa di completamente diverso
Auguri a rimpiazzare miliardi di dispositivi e applicazioni per supportare qualcosa che ancora non c'è e magari richiede modifiche ancora più profonde e pesanti di quanto richieda IPv6- Questo è già abbastanza "breaking" perché pensato quando internet era ancora "piccola" - figuriamoci oggi.
[cancellato] Non c'entrano nulla con gli IP. Sono un meccanismo di collezione dati utente che pensano di monetizzare.
Intendevo dire un'altra cosa: ora come ora, per accedere da remoto dietro CGNAT ad alcuni dispositivi (come le videocamere, le lampadine, ecc) è necessario usare un servizio cloud che faccia da ponte. Con IPv6, non sarebbe necessario, perché basterebbe accedere con l'ip pubblico assegnato al device.
Per i motivi che hai detto, i sistemi cloud rimarranno, ma potrà esistere un'alternativa.
[cancellato] Certo, poi ci sarà il rischio del solito sito di gamer che consiglierà per giocare meglio di togliere tutte le regole del firewall...
Purtroppo.
[cancellato] Ci sono buoni motivi per nascondere la reale origine di una richiesta - è una questione di privacy, non sicurezza. C'è anche il problema del renumbering se si cambia prefisso.
Se si usa SLAAC con le privacy extension, non vedo problemi di privacy. E il renumbering comunque non dovrebbe essere un problema eccessivo, visto che il protocollo più diffuso sarà route advertisement automatici (http://www.tcpipguide.com/free/t_IPv6AutoconfigurationandRenumbering.htm).
Inoltre, non vedo perché a regime i prefissi non dovrebbero essere statici: l'idea, se non sbaglio, sarebbe quella di assegnare a ogni cliente una /56 o una /48 tutta sua. Un servizio DNS locale potrebbe risolvere il problema degli indirizzi mnemonici.
ci sono tanti servizi che non funzionano bene o per nulla dietro NAT e ti devi inventare meccanismi di tunnel o metterli "la fuori", ricordo h.323 per chi ci e` passato (le videoconferenze hardware di polycom o tandberg o cisco per dirne qualcuna) o anche i centralini SIP (discorso diverso per IAX ma non ha preso piede)
giuse56 Nel caso in cui ad esempio io su PS4 attivo il nat 1 usando PPOE con username e password su rete TIM. Che problemi di sicurezza potrei riscontrare?
Qualsiasi servizio attivo della console è direttamente esposto su Internet, anche quelli che non sono necessari.
Ad esempio: metti caso che un futuro aggiornamento della console permetta di configurare le opzioni di gioco da web browser: senza un firewall in mezzo (situazione che ottieni con NAT1), chiunque potrebbe accedere all'interfaccia. Se è dietro al router con un firewall, quel servizio non sarebbe accessibile.
Per rimanere in tema con il topic, NAT1 è anche inutile perché spreca un indirizzo IPv4 quando non è necessario (Tim se lo può permettere perché ne ha tanti).
La gente ahimè consiglia NAT1 perché è un metodo immediato per risolvere il problema "aprire le porte", ma ottieni lo stesso risultato con più sicurezza se effettui un corretto port forwarding (o usi upnp).
stemax97 Se si usa SLAAC con le privacy extension, non vedo problemi di privacy.
C'è il problema delle macchine che non possono avere IP dinamici, e c'è il problema delle macchine che usano DHCP (e che tendono a mantenere lo stesso IP), cosa comune in ambito aziendale dove vuoi accentrare la gestione delle risorse e relativo logging - un'azienda ha anche bisogno, in caso di necessità, di sapere chi fa cosa. SLAAC è un meccanismo molto 1996 pensato per una internet molto diversa, dove si gestivano ancora i DNS a mano, non esisteva DHCP e le reti erano lente, quindi mettere l'assegnazione dell'IP sull'edge sembrava una buona idea.
stemax97 E il renumbering comunque non dovrebbe essere un problema eccessivo,
Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio. Deve prendere ogni dispositivo che ha un IP fisso (e c'è un buon numero di dispositivi in una rete complessa che deve sempre essere raggiungibile e non deve cambiare IP a casaccio...) e andare a modificarlo. Poi tutto quello che dipende da quegli iP (rotte, configurazioni, ecc. ecc.).
IPv6 purtroppo è stato pensato quando c'erano ancora relativamente pochi mainframe e mini a dominare in pochi datacenter. Non è stato pensato per una internet molto più grande e distribuita. Certo, più automatizzato è il controllo dei dispositivi e applicazione e più facile è farlo, ma c'è ancora molto che non è facilmente e completamente automatizzabile.
Un'alternativa è assegnare a tutto anche degli indirizzi ULA, se possibile, al prezzo di aumentare la complessità del tutto.
giuse56 scusate l'ignoranza ma levando tutte le regole firewall per giocare non c'è il rischio di essere hackerati o robe del genere?
Appunto. Però purtroppo mi aspetto chi non riuscendo a far funzionare il gioco con opportune regole toglierà tutto, dirà "funziona!!" e lo consiglierà ad altri che lo seguiranno - con le prevedibili conseguenze.
stemax97 NAT1
Anche i geni che l'hanno chiamato così però eh...
[cancellato] vuoi accentrare la gestione delle risorse e relativo logging - un'azienda ha anche bisogno, in caso di necessità, di sapere chi fa cosa
[cancellato] Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio. Deve prendere ogni dispositivo che ha un IP fisso (e c'è un buon numero di dispositivi in una rete complessa che deve sempre essere raggiungibile e non deve cambiare IP a casaccio...) e andare a modificarlo. Poi tutto quello che dipende da quegli iP (rotte, configurazioni, ecc. ecc.).
Capisco assolutamente, questo problema non ha ancora una soluzione comoda come per IPv4.
Però credo si possa trovare un sistema automatizzato per gestire anche queste evenienze (su OpenWRT puoi installare ip6neigh che si occupa di assegnare nomi DNS ai dispositivi SLAAC). Certo, bisogna investirci un attimo di tempo, ma siamo riusciti a risolvere problemi ben più complessi. E direi che è ora di cominciare questa transizione 
[cancellato] Un'alternativa è assegnare a tutto anche degli indirizzi ULA, se possibile, al prezzo di aumentare la complessità del tutto.
Volevo scriverlo anche io! Pur funzionando, però, si viene meno allo spirito di IPv6. Ma in particolari situazioni (come quella aziendale) può essere un buon compromesso!
stemax97 E direi che è ora di cominciare questa transizione
Su questo mi trovi d'accordo. Bisogna essere consci dei problemi da affrontare. In ambito aziendale tipicamente hai da integrare i DNS/DHCP Windows o Linux (di solito BIND e isc dhcp, ma anche altri) con IPv6, e con il resto dei sistemi, inviare i log ai sistemi centralizzati, ecc. Difficile che OpenWRT, ammesso che esista, controlli qualcosa.
Puoi anche usare stateless DHCP con SLAAC così fornisci tutte quelle informazioni che fornisce DHCP oltre all'IP, DNS e gateway, ma hai due sistemi da gestire anziché uno. Nei sistemi più complessi gli indirizzi IP possono venire assegnati con una serie di regole.
Poi ti trovi Google che per motivi suoi non vuol supportare DHCP6 (ha tutto interesse che i dispositivi sfuggano a qualsiasi controllo tranne il suo...) che ti complica la vita.
Purtroppo non c'è alcuno standard che obblighi Google a supportare DHCP6
[cancellato] Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio.
Non è diverso dal caso IPv4 nel caso esponga dei servizi su dei range di indirizzi "riservati" dal provider upstream, se non per il fatto che coinvolge anche device interni.
Ma la soluzione è semplice: basterebbe porre fine a quell'abominio di indirizzi dinamici WAN: dal momento che diventi cliente di un provider ti viene assegnata una /56, e quella resta tua finché continui a rimanere abbonato.
[cancellato] Non è diverso dal caso IPv4 nel caso esponga dei servizi su dei range di indirizzi "riservati" dal provider upstream, se non per il fatto che coinvolge anche device interni.
Appunto. Attualmente devi cambiare solo gli IP "esterni" che sono di solito molti meno, ed è già una noia quella che spesso si usa NAT 1:1 per semplificare la cosa, evitando che anche i sistemi "pubblicati" usino IP pubblici che sono gestiti solo sul firewall, mentre anche i dispositivi in DMZ usano indirizzamenti privati.
[cancellato] dal momento che diventi cliente di un provider ti viene assegnata una /56, e quella resta tua finché continui a rimanere abbonato.
Il problema rimane quando appunto cambi provider. O ti sei comprato il tuo prefisso, o devi rinumerare. Per i privati o anche in ambito SOHO può essere una scocciatura sopportabile, man mano che la rete cresce molto meno. Specialmente per quelle PMI che non hanno un IT esperto e dedicato.
Vabbé, se portano tutto in cloud si ritorna alla situazione del 1996 con "pochi" mainframe in "pochi" datacenter... e si risolve il problema. Per i "terminali stupidi" basta anche l'IP via SLAAC 
Vi faccio una domanda da "profano totale" di queste cose, ma se avviene un attacco DDOS, (per esempio uno che rosica su GTA V ti DDOS la play), ovviamente in IPV6 ogni device ha un proprio ip pubblico, ma se l'IPv6 è statico.
QRDG non ti dossano a te ma la lobby
QRDG ma se avviene un attacco DDOS, (per esempio uno che rosica su GTA V ti DDOS la play), ovviamente in IPV6 ogni device ha un proprio ip pubblico, ma se l'IPv6 è statico.
Non ho capito qual è la domanda.
[cancellato] Alcuni giochi sono P2P, e i giocatori tramite dei softwere posso vedere il tuo IP, e lanciare attacchi DDOS, adesso che succede che con IPv6? non basta riavviare il modem che prende un altro IP e via, essendo che ogni dispositivo ha un suo IP? la mia domanda se gli ipv6 sono statici, se ti dossano che puoi fare?
QRDG non basta riavviare il modem che prende un altro IP e via,
Neanche adesso è garantito che questa prassi funzioni. Dipende ogni quanto il provider fa ruotare gli indirizzi.
E comunque l'IP dinamico è una rottura di $caldarroste per ogni uso sia un filo più evoluto del consumare contenuti, e non sarebbe diverso se puntassero al tuo IP interno o a quello di WAN, sempre il canale andrebbero a saturarti.
QRDG la mia domanda se gli ipv6 sono statici, se ti dossano che puoi fare?
L'ho già scritto in un altro thread, prendere chi si "diverte" a far 'ste stronzate e DDoSsarli di frustate con cavi di rete (se intestati è ancora meglio) finché non si rompono (i cavi, non le persone). Vedrai che poi la smettono.
Fossi il provider gli staccherei la linea a vita.
Confidi che il tuo ISP sia in grado di bloccare gli attacchi.
Dipende sempre dal tipo di attacco in corso.
Da parte tua, puoi impostare sul router una regola di DROP e non di REJECT (in questa maniera, non saturi anche la tua banda in upload per rispondere alle richieste TCP syn). Puoi bloccare gli ICMP reply, ma se l'attacco è troppo voluminoso, l'unico che può far qualcosa è l'ISP.
[cancellato] Fossi il provider gli staccherei la linea a vita.
Una cosa che non ho mai capito è perché alcuni provider permettano l'IP spoofing.
Se sai che il tuo ASN ha ip nella forma X.Y.., perché permettere di inoltrare pacchetti con indirizzo sorgente che non ti appartiene e non bloccarli al bordo? È solo per una questione di performance o ci sono utilizzi "leciti" di IP spoofing nelle reti pubbliche?
Informativa privacy
-
Informativa cookie
-
Termini e condizioni
-
Regolamento
-
Disclaimer
-
🏳️🌈
P.I. IT16712091004 - info@fibraclick.it
♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile
