Stato di IPv6 in Italia
Ipv6 non si diffonderà mai finché le grandi compagnie (Google, Amazon, Apple) non inizieranno ad imporlo (anche solo preferendo il traffico in IPv6 a quello su IPv4).
Tutti i browser "prediligono" il traffico in IPv6. E Chrome è stato tra i primi ad implementarlo. Google di per sé è "IPv6 ready" da una vita. E intendo da molti anni.
psychotrain65
Moltissimi grossi datacenter sono ipv6 only e poi usano SIIT.
juststupid Moltissimi grossi datacenter sono ipv6 only e poi usano SIIT.
Straordinario (per me) notare come googlando semplicemente "SIIT", il motore di Mountain View non restituisca nella SERPS che mi riserva nulla di rilevante (se googlo SIIT IPv6 si, ovvio).
Lessi tempo fa che IPv6, non richiedendo NAT, espone ad Internet ogni dispositivo di rete locale. Come si inquadra tutto ciò in un contesto di sicurezza?
Nel mio router Fastweb, IPv6 e firewall sono entrambi disattivati e, onestamente, ho un po' di paura ad attivare IPv6.
Sheldon88 Come si inquadra tutto ciò in un contesto di sicurezza?
Che uno deve avere un firewall decente. Che sia sul router di casa o che sia anche sul singolo dispositivo. Motivo in più per cestinare il Fastgate. Ma d'altronde non è che in IPv4 sia così rosea la cosa, sai quanti router degli operatori hanno tutto aperto su internet con credenziali di default?
[cancellato]
mark129 Shodan è lì apposta 
)Cestinare il Fastgate, in FTTH e senza ONT esterno, non è tanto semplice.
Peraltro, agognando un'adozione di massa di IPv6, è impensabile che tutti gli utenti si organizzino con modem e firewall diversi da quelli forniti in comodato d'uso. La cerchia dei nerd/geek è ovviamente una percentuale minoritaria.
Tornando a me, attivare il firewall del Fastgate sarebbe sufficiente a garantire un discreto livello di sicurezza?
[cancellato]
Sheldon88 è impensabile che tutti gli utenti si organizzino con modem e firewall diversi da quelli forniti in comodato d'uso.
Ma no, basta configurarli per scartare tutte le connessioni inbound.
È sbagliato il concetto che il NAT sia un firewall invece.
- Modificato
Secondo me con la transizione a IPv6 dal punto di vista della sicurezza non cambierà molto.
(Ci sono intere organizzazioni, e non faccio nomi, che hanno delle /16 IPv4 assegnate e come politica interna non usano NAT ma assegnano IPv4 pubblici a ogni singola workstation o dispositivo, portatili dei dipendenti, lettori badge per le presenze, stampanti, videocamere, centraline pannelli solari, ogni singolo device con un IPv4 pubblico. Quando va bene viene filtrato almeno NetBIOS/SMB... E poi c'è chi paga oro una manciata di IPv4 pubblici).
Tutto sommato Windows si difende abbastanza bene (di default le connessioni in ingresso da subnet diverse vengono droppate da Windows Firewall). I dispositivi più vulnerabili spesso sono i router - che in molti casi sono già esposti.
Il cambiamento a cui dovremmo "educarci" di più con l'avvento di IPv6 sarà secondo me la staticità. Sarà più facile per i big di internet tracciarci e correlare le nostre navigazioni (a livello di subnet assegnata all'utente) anche senza usare cookie.
Ricevere un ban da un servizio perché ci si è comportati male può davvero essere "per sempre" (salvo usare VPN).
Insomma l'indirizzo IP (o meglio, il prefisso) diventerà qualcosa di davvero "personalmente identificante" e molto difficile da tenere nascosto (ogni app p2p come videochiamate o giochi lo mostrerà agli altri utenti).
[edit]: insomma oggi so che per risalire al mio nome/indirizzo/telefono a partire dall'ip dinamico servono i log del provider e probabilmente un mandato. Da domani con ip statici mi aspetto ad ogni leak una vendita di db con associazioni ip:dati personali.
- Modificato
lore20 Insomma l'indirizzo IP (o meglio, il prefisso) diventerà qualcosa di davvero "personalmente identificante" e molto difficile da tenere nascosto
C'è anche da vedere però come gli ISP lo assegnano.
Se sei un sito web e banni una intera /48 mentre gli ISP assegnano delle /56 stai bannando anche 255 persone che non hanno fatto nulla.
Se invece banni delle /56 un utente a cui viene assegnata una /48 ha 256 identità da ruotare
Per non parlare degli ISP che assegnano le /64...
Si vede che io son per le /48? 
- Modificato
[cancellato]
Quelli in comodato, intendi?
Interessante invece la tua considerazione, non scontata, che sia sbagliato intendere il NAT come un firewall. Intendo dire: so che non lo è, ma di base mi fa sentire più sicuro e meno esposto. Mi farebbe piacere che approfondissi un po' per imparare qualcosa!
[cancellato]
- Modificato
lore20 oggi so che per risalire al mio nome/indirizzo/telefono a partire dall'ip dinamico servono i log del provider e probabilmente un mandato.
Chi ha detto che l'IPv4 debba essere dinamico? Alcuni contratti (più smallbiz che consumer, ma non necessariamente) lo assegnano statico, altri sono "dinamici" per modo di dire (nel senso che se riavvii il router ti viene riassegnato lo stesso indirizzo)...
Per me il dinamico è invece solo una rottura, pensa te... Quando hai servizi in cloud poter impostare delle facili regole per consentire il traffico solo da casa tua è comodo, così come se hai servizi esposti a casa.
Sheldon88 sia sbagliato intendere il NAT come un firewall. Intendo dire: so che non lo è, ma di base mi fa sentire più sicuro e meno esposto.
La cosa non è troppo diversa tra IPv4 e IPv6, nel senso che la tua abitazione è identificabile comunque, con l'IP o prefisso /64 rispettivamente. Per evitare di tracciare il singolo dispositivo si sono introdotte le privacy extensions ad IPv6, con le quali ogni terminale genera un indirizzo causale che viene cambiato periodicamente, ed è questo che viene usato per le connessioni outbound.
lore20 Se i provider fossero meno cani basterebbe una query whois (ASSIGNMENT-SIZE per le subnet AGGREGATED-BY-LIR).
Sheldon88 Cestinare il Fastgate, in FTTH e senza ONT esterno, non è tanto semplice.
Se non hai richiesto il modem libero in fase di sottoscrizione (o il contratto non è abbastanza vecchio da poterlo richiedere successivamente), no, per niente.
Sheldon88 attivare il firewall del Fastgate sarebbe sufficiente a garantire un discreto livello di sicurezza?
Personalmente non ne ho idea: comunque è fortemente OT qui (oltre che forse inutile, visto il misero 6rd di FW), e non otterresti un supporto adeguato, ti consiglierei di aprirti un thread apposito.