IPv6 vs IPv4
ci sono tanti servizi che non funzionano bene o per nulla dietro NAT e ti devi inventare meccanismi di tunnel o metterli "la fuori", ricordo h.323 per chi ci e` passato (le videoconferenze hardware di polycom o tandberg o cisco per dirne qualcuna) o anche i centralini SIP (discorso diverso per IAX ma non ha preso piede)
giuse56 Nel caso in cui ad esempio io su PS4 attivo il nat 1 usando PPOE con username e password su rete TIM. Che problemi di sicurezza potrei riscontrare?
Qualsiasi servizio attivo della console è direttamente esposto su Internet, anche quelli che non sono necessari.
Ad esempio: metti caso che un futuro aggiornamento della console permetta di configurare le opzioni di gioco da web browser: senza un firewall in mezzo (situazione che ottieni con NAT1), chiunque potrebbe accedere all'interfaccia. Se è dietro al router con un firewall, quel servizio non sarebbe accessibile.
Per rimanere in tema con il topic, NAT1 è anche inutile perché spreca un indirizzo IPv4 quando non è necessario (Tim se lo può permettere perché ne ha tanti).
La gente ahimè consiglia NAT1 perché è un metodo immediato per risolvere il problema "aprire le porte", ma ottieni lo stesso risultato con più sicurezza se effettui un corretto port forwarding (o usi upnp).
[cancellato]
- Modificato
stemax97 Se si usa SLAAC con le privacy extension, non vedo problemi di privacy.
C'è il problema delle macchine che non possono avere IP dinamici, e c'è il problema delle macchine che usano DHCP (e che tendono a mantenere lo stesso IP), cosa comune in ambito aziendale dove vuoi accentrare la gestione delle risorse e relativo logging - un'azienda ha anche bisogno, in caso di necessità, di sapere chi fa cosa. SLAAC è un meccanismo molto 1996 pensato per una internet molto diversa, dove si gestivano ancora i DNS a mano, non esisteva DHCP e le reti erano lente, quindi mettere l'assegnazione dell'IP sull'edge sembrava una buona idea.
stemax97 E il renumbering comunque non dovrebbe essere un problema eccessivo,
Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio. Deve prendere ogni dispositivo che ha un IP fisso (e c'è un buon numero di dispositivi in una rete complessa che deve sempre essere raggiungibile e non deve cambiare IP a casaccio...) e andare a modificarlo. Poi tutto quello che dipende da quegli iP (rotte, configurazioni, ecc. ecc.).
IPv6 purtroppo è stato pensato quando c'erano ancora relativamente pochi mainframe e mini a dominare in pochi datacenter. Non è stato pensato per una internet molto più grande e distribuita. Certo, più automatizzato è il controllo dei dispositivi e applicazione e più facile è farlo, ma c'è ancora molto che non è facilmente e completamente automatizzabile.
Un'alternativa è assegnare a tutto anche degli indirizzi ULA, se possibile, al prezzo di aumentare la complessità del tutto.
giuse56 scusate l'ignoranza ma levando tutte le regole firewall per giocare non c'è il rischio di essere hackerati o robe del genere?
Appunto. Però purtroppo mi aspetto chi non riuscendo a far funzionare il gioco con opportune regole toglierà tutto, dirà "funziona!!" e lo consiglierà ad altri che lo seguiranno - con le prevedibili conseguenze.
stemax97 NAT1
Anche i geni che l'hanno chiamato così però eh...
- Modificato
[cancellato] vuoi accentrare la gestione delle risorse e relativo logging - un'azienda ha anche bisogno, in caso di necessità, di sapere chi fa cosa
[cancellato] Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio. Deve prendere ogni dispositivo che ha un IP fisso (e c'è un buon numero di dispositivi in una rete complessa che deve sempre essere raggiungibile e non deve cambiare IP a casaccio...) e andare a modificarlo. Poi tutto quello che dipende da quegli iP (rotte, configurazioni, ecc. ecc.).
Capisco assolutamente, questo problema non ha ancora una soluzione comoda come per IPv4.
Però credo si possa trovare un sistema automatizzato per gestire anche queste evenienze (su OpenWRT puoi installare ip6neigh che si occupa di assegnare nomi DNS ai dispositivi SLAAC). Certo, bisogna investirci un attimo di tempo, ma siamo riusciti a risolvere problemi ben più complessi. E direi che è ora di cominciare questa transizione 
[cancellato] Un'alternativa è assegnare a tutto anche degli indirizzi ULA, se possibile, al prezzo di aumentare la complessità del tutto.
Volevo scriverlo anche io! Pur funzionando, però, si viene meno allo spirito di IPv6. Ma in particolari situazioni (come quella aziendale) può essere un buon compromesso!
[cancellato]
stemax97 E direi che è ora di cominciare questa transizione
Su questo mi trovi d'accordo. Bisogna essere consci dei problemi da affrontare. In ambito aziendale tipicamente hai da integrare i DNS/DHCP Windows o Linux (di solito BIND e isc dhcp, ma anche altri) con IPv6, e con il resto dei sistemi, inviare i log ai sistemi centralizzati, ecc. Difficile che OpenWRT, ammesso che esista, controlli qualcosa.
Puoi anche usare stateless DHCP con SLAAC così fornisci tutte quelle informazioni che fornisce DHCP oltre all'IP, DNS e gateway, ma hai due sistemi da gestire anziché uno. Nei sistemi più complessi gli indirizzi IP possono venire assegnati con una serie di regole.
Poi ti trovi Google che per motivi suoi non vuol supportare DHCP6 (ha tutto interesse che i dispositivi sfuggano a qualsiasi controllo tranne il suo...) che ti complica la vita.
Purtroppo non c'è alcuno standard che obblighi Google a supportare DHCP6
[cancellato]
[cancellato] Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio.
Non è diverso dal caso IPv4 nel caso esponga dei servizi su dei range di indirizzi "riservati" dal provider upstream, se non per il fatto che coinvolge anche device interni.
Ma la soluzione è semplice: basterebbe porre fine a quell'abominio di indirizzi dinamici WAN: dal momento che diventi cliente di un provider ti viene assegnata una /56, e quella resta tua finché continui a rimanere abbonato.
[cancellato]
[cancellato] Non è diverso dal caso IPv4 nel caso esponga dei servizi su dei range di indirizzi "riservati" dal provider upstream, se non per il fatto che coinvolge anche device interni.
Appunto. Attualmente devi cambiare solo gli IP "esterni" che sono di solito molti meno, ed è già una noia quella che spesso si usa NAT 1:1 per semplificare la cosa, evitando che anche i sistemi "pubblicati" usino IP pubblici che sono gestiti solo sul firewall, mentre anche i dispositivi in DMZ usano indirizzamenti privati.
[cancellato] dal momento che diventi cliente di un provider ti viene assegnata una /56, e quella resta tua finché continui a rimanere abbonato.
Il problema rimane quando appunto cambi provider. O ti sei comprato il tuo prefisso, o devi rinumerare. Per i privati o anche in ambito SOHO può essere una scocciatura sopportabile, man mano che la rete cresce molto meno. Specialmente per quelle PMI che non hanno un IT esperto e dedicato.
Vabbé, se portano tutto in cloud si ritorna alla situazione del 1996 con "pochi" mainframe in "pochi" datacenter... e si risolve il problema. Per i "terminali stupidi" basta anche l'IP via SLAAC 
Vi faccio una domanda da "profano totale" di queste cose, ma se avviene un attacco DDOS, (per esempio uno che rosica su GTA V ti DDOS la play), ovviamente in IPV6 ogni device ha un proprio ip pubblico, ma se l'IPv6 è statico.
QRDG non ti dossano a te ma la lobby
[cancellato]
QRDG ma se avviene un attacco DDOS, (per esempio uno che rosica su GTA V ti DDOS la play), ovviamente in IPV6 ogni device ha un proprio ip pubblico, ma se l'IPv6 è statico.
Non ho capito qual è la domanda.
[cancellato] Alcuni giochi sono P2P, e i giocatori tramite dei softwere posso vedere il tuo IP, e lanciare attacchi DDOS, adesso che succede che con IPv6? non basta riavviare il modem che prende un altro IP e via, essendo che ogni dispositivo ha un suo IP? la mia domanda se gli ipv6 sono statici, se ti dossano che puoi fare?
[cancellato]
QRDG non basta riavviare il modem che prende un altro IP e via,
Neanche adesso è garantito che questa prassi funzioni. Dipende ogni quanto il provider fa ruotare gli indirizzi.
E comunque l'IP dinamico è una rottura di $caldarroste per ogni uso sia un filo più evoluto del consumare contenuti, e non sarebbe diverso se puntassero al tuo IP interno o a quello di WAN, sempre il canale andrebbero a saturarti.
QRDG la mia domanda se gli ipv6 sono statici, se ti dossano che puoi fare?
L'ho già scritto in un altro thread, prendere chi si "diverte" a far 'ste stronzate e DDoSsarli di frustate con cavi di rete (se intestati è ancora meglio) finché non si rompono (i cavi, non le persone). Vedrai che poi la smettono.
Fossi il provider gli staccherei la linea a vita.
- Modificato
Confidi che il tuo ISP sia in grado di bloccare gli attacchi.
Dipende sempre dal tipo di attacco in corso.
Da parte tua, puoi impostare sul router una regola di DROP e non di REJECT (in questa maniera, non saturi anche la tua banda in upload per rispondere alle richieste TCP syn). Puoi bloccare gli ICMP reply, ma se l'attacco è troppo voluminoso, l'unico che può far qualcosa è l'ISP.
[cancellato] Fossi il provider gli staccherei la linea a vita.
Una cosa che non ho mai capito è perché alcuni provider permettano l'IP spoofing.
Se sai che il tuo ASN ha ip nella forma X.Y.., perché permettere di inoltrare pacchetti con indirizzo sorgente che non ti appartiene e non bloccarli al bordo? È solo per una questione di performance o ci sono utilizzi "leciti" di IP spoofing nelle reti pubbliche?
[cancellato] Neanche adesso è garantito che questa prassi funzioni. Dipende ogni quanto il provider fa ruotare gli indirizzi
Infatti, però sinceramente alcune case produttrici a fare ancora giochi P2P... non che siano male perooo sai com'è, ad un certo punto un server in mezzo lo potresti mettere.
[cancellato] E comunque l'IP dinamico è una rottura di $caldarroste per ogni uso sia un filo più evoluto del consumare contenuti,
Se devi accede alla rete interna basta una VPN no?
[cancellato] e non sarebbe diverso se puntassero al tuo IP interno o a quello di WAN, sempre il canale andrebbero a saturarti.
Quindi mi dici che la soluzione è limitare la banda a quel dispositivo, per non far impallare la linea del tutto? e poi con quel device come fai?
[cancellato] L'ho già scritto in un altro thread, prendere chi si "diverte" a far 'ste stronzate e DDoSsarli di frustate con cavi di rete (se intestati è ancora meglio) finché non si rompono (i cavi, non le persone). Vedrai che poi la smettono.
Fossi il provider gli staccherei la linea a vita.
Ahahah sicuramente, poi sbaglio è un reato penale qui in Italia? Sicuramente la tua soluzione funzionerebbe perfettamente, però c'è un modo meno peggio? per liberarsi da queste cose? poi come detto il problema è del malcapitato che becca quell'IP dopo...
Quale sarebbe la soluzione un firewall che blocca le richieste? un cliente a cui abbiamo fatto le grafiche del sito come filtro anti attacco ha messo che:
se dall'ip x.x.x.x.x arrivano più di X richieste in Y tempo il server "rifiuta le richieste" per 600 secondi da quell'IP, ha fatto bene? io non mi sono impicciato poiché dovevo solo fare le grafiche del sito.
[cancellato]
- Modificato
Con IPv6 l'ISP ti assegna un intero prefisso, non singoli indirizzi IP. Poi ai dispositivi nella LAN viene assegnato un indirizzo all'interno di quel prefisso, e questo significa che possono minimo prendere un IP fra 264 disponibili. Se fanno il DDoS su un singolo IP di un singolo dispositivo ci vuole un attimo a prenderne un altro (se non è un server che deve essere raggiungibile ad un dato indirizzo). Questo vale anche per l'attaccante, però. Ti possano attaccare il router comunque, però.
Il prefisso in IPv6 dovrebbe essere assegnato staticamente - perché quando cambia tutti i dispositivi devono passare ad usare il nuovo prefisso (renumbering), compresi quelli che hanno un IP impostato manualmente - e questo può rendere non semplice cambiare prefisso per sfuggire al DDoS. Se il router ha una minima capacità di difesa contro attacchi DDoS semplici puoi cavartela, se il traffico però è veramente elevato è un problema. Passa a giocare con gente migliore.
QRDG Quale sarebbe la soluzione un firewall che blocca le richieste?
Di solito gli attacchi DDoS hanno dei pattern riconoscibili. Un buon firewall può riconoscerli e droppare i pacchetti direttamente, finché il traffico non supera la capacità di gestione.
QRDG Infatti, però sinceramente alcune case produttrici a fare ancora giochi P2P... non che siano male perooo sai com'è, ad un certo punto un server in mezzo lo potresti mettere.
I giochi P2P riducono i costi di mantenimento dei server e lasciano la palla in mano agli utenti.
QRDG Se devi accede alla rete interna basta una VPN no?
Per una VPN self-hosted serve un IP pubblico, il problema è uguale. Se statico puoi evitare il dynamic dns, ma sei comunque un possibile bersaglio come per chi ha ip statico.
QRDG Quindi mi dici che la soluzione è limitare la banda a quel dispositivo, per non far impallare la linea del tutto? e poi con quel device come fai?
QRDG se dall'ip x.x.x.x.x arrivano più di X richieste in Y tempo il server "rifiuta le richieste" per 600 secondi da quell'IP, ha fatto bene? io non mi sono impicciato poiché dovevo solo fare le grafiche del sito.
Non è detto che sia sufficiente, se l'attacco è troppo voluminoso si satura il canale di accesso e quindi deve essere l'ISP a bloccare alla frontiera.