MESSAGGI ESTRATTI DA DISCUSSIONE MYNET.
matteobra Personalmente e nel contesto pratico ritengo che l'utilità di avere IPv6 per chi ha un IPv4 statico [...] oggi sia zero
Lo è proprio perché gli operatori non si muovono. Ci sono tanti operatori locali che forniscono IPv6 e non ci sono problemi, il resto è una scusa sinceramente... Prima o poi andrà fatto e i problemi che ci sono oggi ci saranno anche fra 5 anni, identici.
matteocontrini Ci sono tanti operatori locali che forniscono IPv6 e non ci sono problemi, il resto è una scusa sinceramente... Prima o poi andrà fatto e i problemi che ci sono oggi ci saranno anche fra 5 anni, identici.
per una volta Matteo sei tu che sei OT! L'errore enorme è stato fatto negli anni '90, dando per scontato che IPv4 non sarebbe diventato legacy e non pianificando una migrazione più coordinata. Oggi IPv6 è un arnese che è vecchio (come architettura) come IPv4 ma è meno diffuso, quindi con inerenti problematiche di sicurezza (sia per inesperienza dell'uso, sia per l'implementazione su tante piattaforme rispetto ad IPv4). Il risultato? Verrà soppiantato da qualcosa di completamente diverso e più utile all'annoso problema di ricongiungere in modo più armonico i nomi delle risorse di rete.
matteobra Oggi IPv6 è un arnese che è vecchio (come architettura) come IPv4 ma è meno diffuso, quindi con inerenti problematiche di sicurezza (sia per inesperienza dell'uso, sia per l'implementazione su tante piattaforme rispetto ad IPv4)
Non condivido. Mi si perdoni l'off topic.
IPv6 NON è meno sicuro di IPv4.
La stortura è ritenere che il NAT sia un firewall e quindi ritenere che il secondo non sia necessario.
Si ottiene la stessa protezione che offre il NAT inserendo nel router una regola di DROP verso gli indirizzi interni (anche se pubblici) della rete. Ad esempio, con OpenWRT, abilitando una connessione IPv6 (ad esempio quella di Hurricane Electric) nella configurazione standard, non è possibile accedere ai dispositivi interni (tranne che con il protocollo ICMPv6 che è necessario per standard, ma volendo si può rimovere anche questo).
Il procedimento non sarà più "apro la porta X verso l'IP privato Y", ma "permetto che il traffico destinato all'IP Y (pubblico) sulla porta X possa passare". Serve un vero firewall e non un NAT che come effetto collaterale fa da firewall.
Inoltre, IPSEC è integrato in IPv6, mentre non lo è in IPv4 (https://www.redhat.com/sysadmin/ipv6-packets-and-ipsec). Questo garantisce autenticità dei pacchetti e dal momento che l'header ha dimensione fissa, una maggiore possibilità di ottimizzazione a livello di velocità (https://www.networkworld.com/article/3401521/ipv6-upsides-faster-connections-richer-data.html). A tal proposito, l'operazione di NAT è molto esosa per i dispositivi, perché vuol dire riscrivere il campo sorgente, quando un pacchetto va dalla rete privata alla pubblica, e destinazione quando dalla WAN si torna alla LAN. Questo significa anche dover ricalcolare il checksum e mantenere la tabella di NAT (con tutte le traslazioni delle porte), che nei router occupa memoria.
Un router senza NAT è più veloce, non ci sono santi, perché l'unica tabella che deve tenere in memoria è quella di routing, che è molto più piccola.
Inoltre, il NAT non rispetta il principio dell'end-to-end visto che avviene una riscrittura di indirizzi e porte e questo ha portato a rompere numerosi protocolli e a richiedere modifiche per farli funzionare.
Anche concettualmente, quindi, è una soluzione "sbagliata". Poi io, PERSONALMENTE (a differenza di altri che ritengono il NAT un obbrobrio), sono molto colpito dai meccanismi alla base del NAT e lo ritengo un'ottima patch a un problema reale; inoltre, lo stesso ha anche tante applicazioni utili (ad esempio le macchine virtuali, i container docker, ecc), ma è sbagliato pensare che sia la soluzione definitiva all'IPv4 exhaustion. È solo un workaround temporaneo che deve andare in pensione.
Certamente, c'è molta meno esperienza nella configurazione di IPv6, quindi può essere più semplice commettere errori da inesperti. Ma questo non significa che il protocollo è meno sicuro, ma solo che bisogna studiare ed imparare. La maggior parte dei dispositivi, comunque, è perfettamente compatibile con IPv6 (sicuramente tutti i computer e gli smartphone, per i router, se non lo sono è perché sono - a livello software - obsoleti e potrebbero avere altri problemi di sicurezza - il famoso TpLink WR841N, ad esempio, non supporta IPv6 con il S.O. originale, ma non viene aggiornato da anni e quindi può soffrire anche di altri problemi, come KRACK per il WiFi).
La motivazione per cui non è mai stato diffuso dagli ISP è proprio il fatto che formare tecnici in grado di fornire assistenza ha un costo elevato e non è sostenuto da guadagni sufficientemente rilevanti da giustificare la spesa (considerando che l'utente medio non sa neanche cosa è un indirizzo IPv4 o un indirizzo IPv6). Ma questo non significa che non sia necessario superare IPv4.
Se si vuole l'Internet delle Cose, IPv4 è obsoleto; IPv6 è l'unica opzione possibile per mantenere semplice la struttura di base.
stemax97 IPv6 NON è meno sicuro di IPv4.
1) IPv4 è più moderno di IPv6 (tutto ciò che negli anni '90 era interessante di IPv6, è stato backportato)
2) Le implementazioni di IPv6 "in the wild" (telecamere, IoT, ecc) sono ESTREMAMENTE più immature e meno proven di IPv4, quindi inerentemente più insicure (citofonare "engineering in a hurry", dei tempi moderni).
3) IPsec è una storia vecchia: non è più obbligatorio (ed infatti il 99% delle transazioni del poco traffico IPv6 mondiale non è IPsec, ma plain & dirty [IPv6])
Comunque.. stando in tema di Mynet, basta fare l'abbonamento con Mynet Trentino! 
matteobra IPv4 è più moderno di IPv6
In quale perversa fantasia sarebbe più moderno di IPv6?
matteobra 2) Le implementazioni di IPv6 "in the wild" (telecamere, IoT, ecc) sono ESTREMAMENTE più immature e meno proven di IPv4, quindi inerentemente più insicure (citofonare "engineering in a hurry", dei tempi moderni).
In ogni caso, questo non significa che IPv6 sia meno sicuro, perchè "i produttori di telecamere IoT ecc" avrebbero fatto le stesse identiche cose ma con IPv4, se non fosse che gli indirizzi IP sono tutto fuorchè abbondanti
matteobra "tutto ciò che negli anni '90 era interessante di IPv6, è stato backportato"
Mi sa che si sono dimenticati 96 bit per strada..
matteobra 2) Le implementazioni di IPv6 "in the wild" (telecamere, IoT, ecc) sono ESTREMAMENTE più immature e meno proven di IPv4, quindi inerentemente più insicure (citofonare "engineering in a hurry", dei tempi moderni).
Errato. Le implementazioni su dispositivi IoT, telecamere ecc. al 99% fanno schifo, sia di Ipv6 che di Ipv4. Inoltre tali dispositivi sono pieni di backdoor con password hardcoded, vulnerabilità in ogni dove.
Il fatto che ad oggi il problema non sia grave è grazie al NAT, che come già detto non è un sistema di sicurezza, ma fortuna vuole che evita che la maggior parte di tali dispositivi diventi zombie di qualche botnet.
Ricordo infine che i meccanismi di NAT, come già detto, vengono adottati per la carenza di IPv4.
@matteocontrini purtroppo qua si sta andando un po' troppo off-topic, potrebbe essere utile creare una nuova discussione visto che non si parla di MyNet.
matteobra 1) IPv4 è più moderno di IPv6 (tutto ciò che negli anni '90 era interessante di IPv6, è stato backportato)
Questo non significa essere più moderno, significa che a livello di funzionalità a IPv4 sono state fornite alcune migliorie offerte da IPv6. Questo comunque non risolve la mancanza di indirizzi (che sono circa 4 miliardi e non si scappa), che è il motivo per cui è stato sviluppato IPv6.
matteobra 2) Le implementazioni di IPv6 "in the wild" (telecamere, IoT, ecc) sono ESTREMAMENTE più immature e meno proven di IPv4, quindi inerentemente più insicure (citofonare "engineering in a hurry", dei tempi moderni).
Questo non significa essere meno sicuro: se IPv6 fosse stato implementato 10 anni fa, ci sarebbero 10 anni di prove sul campo che ci avrebbero dato la stessa sicurezza ed esperienza che abbiamo in IPv4. Come ho già detto, la sicurezza di questi dispositivi in the wild (perlomeno per le utenze domestiche) è affidata al NAT, non a un firewall. Evidentemente nel passaggio a IPv6 questi dispositivi potrebbero non essere adeguati, ma la colpa è dei dispositivi, non della connessione. In aggiunta a questo, basta che il firewall del router di default abbia una regola di drop da WAN a LAN e c'è la stessa "sicurezza" offerta dal NAT.
Inoltre, con l'adozione di IPv6, i servizi cloud collegati a questi dispositivi non sarebbero più necessari.
Deve esserci un cambiamento di paradigma: si dà più rilevanza al singolo dispositivo (firewall, aggiornamenti, ecc) rispetto che affidarsi all'effetto collaterale del NAT. Configurare IPv6 è oggettivamente un po' più complicato, ma concettualmente è più semplice di inventarsi NAT, reverse proxy o altri protocolli.
matteobra 3) IPsec è una storia vecchia: non è più obbligatorio (ed infatti il 99% delle transazioni del poco traffico IPv6 mondiale non è IPsec, ma plain & dirty [IPv6])
Ammetto la mia ignoranza, non ne ero a conoscenza. Ma comunque non significa che in futuro questo possa cambiare e si possa avere il traffico IPSEC su IPv6 come sarebbe da protocollo.
stemax97 La stortura è ritenere che il NAT sia un firewall e quindi ritenere che il secondo non sia necessario.
Straquote. Si pensa che nascondere tutto dietro IP privati sia sicuro. Nulla di più sbagliato. È solo nascosto. Se i dispositivi sono insicuri, non è di certo per l'implementazione dello stack IP, tanto il 99,9999% dei dispositivi si basa sul kernel di Linux, quindi è sempre lo stesso IPv4/IPv6.
stemax97 Inoltre, con l'adozione di IPv6, i servizi cloud collegati a questi dispositivi non sarebbero più necessari.
Non c'entrano nulla con gli IP. Sono un meccanismo di collezione dati utente che pensano di monetizzare.
x_term Si pensa che nascondere tutto dietro IP privati sia sicuro. Nulla di più sbagliato. È solo nascosto.
No, la sicurezza è la regola di drop implicita. Anni fa nessun router consumer aveva firewall adeguati, ora è un po' diverso. Certo, poi ci sarà il rischio del solito sito di gamer che consiglierà per giocare meglio di togliere tutte le regole del firewall...
Nascondere la struttura interna di una rete comunque non è sempre una cattiva idea. Il principio "end-to-end" è sacro solo per chi se l'è inventato, e un protocollo di livello superiore che include dati di quelli inferiori è IMHO di solito un pessimo design. Ci sono buoni motivi per nascondere la reale origine di una richiesta - è una questione di privacy, non sicurezza. C'è anche il problema del renumbering se si cambia prefisso.
matteobra errà soppiantato da qualcosa di completamente diverso
Auguri a rimpiazzare miliardi di dispositivi e applicazioni per supportare qualcosa che ancora non c'è e magari richiede modifiche ancora più profonde e pesanti di quanto richieda IPv6- Questo è già abbastanza "breaking" perché pensato quando internet era ancora "piccola" - figuriamoci oggi.
[cancellato] Non c'entrano nulla con gli IP. Sono un meccanismo di collezione dati utente che pensano di monetizzare.
Intendevo dire un'altra cosa: ora come ora, per accedere da remoto dietro CGNAT ad alcuni dispositivi (come le videocamere, le lampadine, ecc) è necessario usare un servizio cloud che faccia da ponte. Con IPv6, non sarebbe necessario, perché basterebbe accedere con l'ip pubblico assegnato al device.
Per i motivi che hai detto, i sistemi cloud rimarranno, ma potrà esistere un'alternativa.
[cancellato] Certo, poi ci sarà il rischio del solito sito di gamer che consiglierà per giocare meglio di togliere tutte le regole del firewall...
Purtroppo.
[cancellato] Ci sono buoni motivi per nascondere la reale origine di una richiesta - è una questione di privacy, non sicurezza. C'è anche il problema del renumbering se si cambia prefisso.
Se si usa SLAAC con le privacy extension, non vedo problemi di privacy. E il renumbering comunque non dovrebbe essere un problema eccessivo, visto che il protocollo più diffuso sarà route advertisement automatici (http://www.tcpipguide.com/free/t_IPv6AutoconfigurationandRenumbering.htm).
Inoltre, non vedo perché a regime i prefissi non dovrebbero essere statici: l'idea, se non sbaglio, sarebbe quella di assegnare a ogni cliente una /56 o una /48 tutta sua. Un servizio DNS locale potrebbe risolvere il problema degli indirizzi mnemonici.
ci sono tanti servizi che non funzionano bene o per nulla dietro NAT e ti devi inventare meccanismi di tunnel o metterli "la fuori", ricordo h.323 per chi ci e` passato (le videoconferenze hardware di polycom o tandberg o cisco per dirne qualcuna) o anche i centralini SIP (discorso diverso per IAX ma non ha preso piede)
giuse56 Nel caso in cui ad esempio io su PS4 attivo il nat 1 usando PPOE con username e password su rete TIM. Che problemi di sicurezza potrei riscontrare?
Qualsiasi servizio attivo della console è direttamente esposto su Internet, anche quelli che non sono necessari.
Ad esempio: metti caso che un futuro aggiornamento della console permetta di configurare le opzioni di gioco da web browser: senza un firewall in mezzo (situazione che ottieni con NAT1), chiunque potrebbe accedere all'interfaccia. Se è dietro al router con un firewall, quel servizio non sarebbe accessibile.
Per rimanere in tema con il topic, NAT1 è anche inutile perché spreca un indirizzo IPv4 quando non è necessario (Tim se lo può permettere perché ne ha tanti).
La gente ahimè consiglia NAT1 perché è un metodo immediato per risolvere il problema "aprire le porte", ma ottieni lo stesso risultato con più sicurezza se effettui un corretto port forwarding (o usi upnp).
stemax97 Se si usa SLAAC con le privacy extension, non vedo problemi di privacy.
C'è il problema delle macchine che non possono avere IP dinamici, e c'è il problema delle macchine che usano DHCP (e che tendono a mantenere lo stesso IP), cosa comune in ambito aziendale dove vuoi accentrare la gestione delle risorse e relativo logging - un'azienda ha anche bisogno, in caso di necessità, di sapere chi fa cosa. SLAAC è un meccanismo molto 1996 pensato per una internet molto diversa, dove si gestivano ancora i DNS a mano, non esisteva DHCP e le reti erano lente, quindi mettere l'assegnazione dell'IP sull'edge sembrava una buona idea.
stemax97 E il renumbering comunque non dovrebbe essere un problema eccessivo,
Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio. Deve prendere ogni dispositivo che ha un IP fisso (e c'è un buon numero di dispositivi in una rete complessa che deve sempre essere raggiungibile e non deve cambiare IP a casaccio...) e andare a modificarlo. Poi tutto quello che dipende da quegli iP (rotte, configurazioni, ecc. ecc.).
IPv6 purtroppo è stato pensato quando c'erano ancora relativamente pochi mainframe e mini a dominare in pochi datacenter. Non è stato pensato per una internet molto più grande e distribuita. Certo, più automatizzato è il controllo dei dispositivi e applicazione e più facile è farlo, ma c'è ancora molto che non è facilmente e completamente automatizzabile.
Un'alternativa è assegnare a tutto anche degli indirizzi ULA, se possibile, al prezzo di aumentare la complessità del tutto.
giuse56 scusate l'ignoranza ma levando tutte le regole firewall per giocare non c'è il rischio di essere hackerati o robe del genere?
Appunto. Però purtroppo mi aspetto chi non riuscendo a far funzionare il gioco con opportune regole toglierà tutto, dirà "funziona!!" e lo consiglierà ad altri che lo seguiranno - con le prevedibili conseguenze.
stemax97 NAT1
Anche i geni che l'hanno chiamato così però eh...
[cancellato] vuoi accentrare la gestione delle risorse e relativo logging - un'azienda ha anche bisogno, in caso di necessità, di sapere chi fa cosa
[cancellato] Pensa ad una azienda che per qualche motivo cambia prefisso perché non ne ha uno proprio. Deve prendere ogni dispositivo che ha un IP fisso (e c'è un buon numero di dispositivi in una rete complessa che deve sempre essere raggiungibile e non deve cambiare IP a casaccio...) e andare a modificarlo. Poi tutto quello che dipende da quegli iP (rotte, configurazioni, ecc. ecc.).
Capisco assolutamente, questo problema non ha ancora una soluzione comoda come per IPv4.
Però credo si possa trovare un sistema automatizzato per gestire anche queste evenienze (su OpenWRT puoi installare ip6neigh che si occupa di assegnare nomi DNS ai dispositivi SLAAC). Certo, bisogna investirci un attimo di tempo, ma siamo riusciti a risolvere problemi ben più complessi. E direi che è ora di cominciare questa transizione 
[cancellato] Un'alternativa è assegnare a tutto anche degli indirizzi ULA, se possibile, al prezzo di aumentare la complessità del tutto.
Volevo scriverlo anche io! Pur funzionando, però, si viene meno allo spirito di IPv6. Ma in particolari situazioni (come quella aziendale) può essere un buon compromesso!
stemax97 E direi che è ora di cominciare questa transizione
Su questo mi trovi d'accordo. Bisogna essere consci dei problemi da affrontare. In ambito aziendale tipicamente hai da integrare i DNS/DHCP Windows o Linux (di solito BIND e isc dhcp, ma anche altri) con IPv6, e con il resto dei sistemi, inviare i log ai sistemi centralizzati, ecc. Difficile che OpenWRT, ammesso che esista, controlli qualcosa.
Puoi anche usare stateless DHCP con SLAAC così fornisci tutte quelle informazioni che fornisce DHCP oltre all'IP, DNS e gateway, ma hai due sistemi da gestire anziché uno. Nei sistemi più complessi gli indirizzi IP possono venire assegnati con una serie di regole.
Poi ti trovi Google che per motivi suoi non vuol supportare DHCP6 (ha tutto interesse che i dispositivi sfuggano a qualsiasi controllo tranne il suo...) che ti complica la vita.
Purtroppo non c'è alcuno standard che obblighi Google a supportare DHCP6
Informativa privacy
-
Informativa cookie
-
Termini e condizioni
-
Regolamento
-
Disclaimer
-
🏳️🌈
P.I. IT16712091004 - info@fibraclick.it
♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile
