Stato di IPv6 in Italia
[cancellato]
mark129 Shodan è lì apposta 
)
Cestinare il Fastgate, in FTTH e senza ONT esterno, non è tanto semplice.
Peraltro, agognando un'adozione di massa di IPv6, è impensabile che tutti gli utenti si organizzino con modem e firewall diversi da quelli forniti in comodato d'uso. La cerchia dei nerd/geek è ovviamente una percentuale minoritaria.
Tornando a me, attivare il firewall del Fastgate sarebbe sufficiente a garantire un discreto livello di sicurezza?
[cancellato]
Sheldon88 è impensabile che tutti gli utenti si organizzino con modem e firewall diversi da quelli forniti in comodato d'uso.
Ma no, basta configurarli per scartare tutte le connessioni inbound.
È sbagliato il concetto che il NAT sia un firewall invece.
- Modificato
Secondo me con la transizione a IPv6 dal punto di vista della sicurezza non cambierà molto.
(Ci sono intere organizzazioni, e non faccio nomi, che hanno delle /16 IPv4 assegnate e come politica interna non usano NAT ma assegnano IPv4 pubblici a ogni singola workstation o dispositivo, portatili dei dipendenti, lettori badge per le presenze, stampanti, videocamere, centraline pannelli solari, ogni singolo device con un IPv4 pubblico. Quando va bene viene filtrato almeno NetBIOS/SMB... E poi c'è chi paga oro una manciata di IPv4 pubblici).
Tutto sommato Windows si difende abbastanza bene (di default le connessioni in ingresso da subnet diverse vengono droppate da Windows Firewall). I dispositivi più vulnerabili spesso sono i router - che in molti casi sono già esposti.
Il cambiamento a cui dovremmo "educarci" di più con l'avvento di IPv6 sarà secondo me la staticità. Sarà più facile per i big di internet tracciarci e correlare le nostre navigazioni (a livello di subnet assegnata all'utente) anche senza usare cookie.
Ricevere un ban da un servizio perché ci si è comportati male può davvero essere "per sempre" (salvo usare VPN).
Insomma l'indirizzo IP (o meglio, il prefisso) diventerà qualcosa di davvero "personalmente identificante" e molto difficile da tenere nascosto (ogni app p2p come videochiamate o giochi lo mostrerà agli altri utenti).
[edit]: insomma oggi so che per risalire al mio nome/indirizzo/telefono a partire dall'ip dinamico servono i log del provider e probabilmente un mandato. Da domani con ip statici mi aspetto ad ogni leak una vendita di db con associazioni ip:dati personali.
- Modificato
lore20 Insomma l'indirizzo IP (o meglio, il prefisso) diventerà qualcosa di davvero "personalmente identificante" e molto difficile da tenere nascosto
C'è anche da vedere però come gli ISP lo assegnano.
Se sei un sito web e banni una intera /48 mentre gli ISP assegnano delle /56 stai bannando anche 255 persone che non hanno fatto nulla.
Se invece banni delle /56 un utente a cui viene assegnata una /48 ha 256 identità da ruotare
Per non parlare degli ISP che assegnano le /64...
Si vede che io son per le /48? 
- Modificato
[cancellato]
Quelli in comodato, intendi?
Interessante invece la tua considerazione, non scontata, che sia sbagliato intendere il NAT come un firewall. Intendo dire: so che non lo è, ma di base mi fa sentire più sicuro e meno esposto. Mi farebbe piacere che approfondissi un po' per imparare qualcosa!
[cancellato]
- Modificato
lore20 oggi so che per risalire al mio nome/indirizzo/telefono a partire dall'ip dinamico servono i log del provider e probabilmente un mandato.
Chi ha detto che l'IPv4 debba essere dinamico? Alcuni contratti (più smallbiz che consumer, ma non necessariamente) lo assegnano statico, altri sono "dinamici" per modo di dire (nel senso che se riavvii il router ti viene riassegnato lo stesso indirizzo)...
Per me il dinamico è invece solo una rottura, pensa te... Quando hai servizi in cloud poter impostare delle facili regole per consentire il traffico solo da casa tua è comodo, così come se hai servizi esposti a casa.
Sheldon88 sia sbagliato intendere il NAT come un firewall. Intendo dire: so che non lo è, ma di base mi fa sentire più sicuro e meno esposto.
La cosa non è troppo diversa tra IPv4 e IPv6, nel senso che la tua abitazione è identificabile comunque, con l'IP o prefisso /64 rispettivamente. Per evitare di tracciare il singolo dispositivo si sono introdotte le privacy extensions ad IPv6, con le quali ogni terminale genera un indirizzo causale che viene cambiato periodicamente, ed è questo che viene usato per le connessioni outbound.
lore20 Se i provider fossero meno cani basterebbe una query whois (ASSIGNMENT-SIZE per le subnet AGGREGATED-BY-LIR).
Sheldon88 Cestinare il Fastgate, in FTTH e senza ONT esterno, non è tanto semplice.
Se non hai richiesto il modem libero in fase di sottoscrizione (o il contratto non è abbastanza vecchio da poterlo richiedere successivamente), no, per niente.
Sheldon88 attivare il firewall del Fastgate sarebbe sufficiente a garantire un discreto livello di sicurezza?
Personalmente non ne ho idea: comunque è fortemente OT qui (oltre che forse inutile, visto il misero 6rd di FW), e non otterresti un supporto adeguato, ti consiglierei di aprirti un thread apposito.
[cancellato]
- Modificato
Sheldon88 Lessi tempo fa che IPv6, non richiedendo NAT, espone ad Internet
Anche in IPv4 affidarsi alla sola protezione implicita del NAT non più è una buona idea. Meglio di niente, ma lontano dall'essere sufficiente. Ci vuole un firewall decente anche con IPv4 - che diventa anche più facile da configurare in IPv6.
lore20 oggi so che per risalire al mio nome/indirizzo/telefono a partire dall'ip dinamico servono i log del provider e probabilmente un mandato
Dipende. Google, Facebook & C. hanno tutte queste informazioni comunque. E ti possono seguire anche quando cambi IP.
[cancellato] Chi ha detto che l'IPv4 debba essere dinamico? Alcuni contratti (più smallbiz che consumer, ma non necessariamente) lo assegnano statico, altri sono "dinamici" per modo di dire (nel senso che se riavvii il router ti viene riassegnato lo stesso indirizzo)...
Lo so, con Fastweb ce l'ho avuto statico per un bel po'.
Non dico che sia un problema, ma solo qualcosa di cui tenere conto e a cui "abituarsi".
Poi non so, mi vengono in mente alcuni scenari "di controllo" un po' estremi, ad esempio un datore di lavoro potrà sapere in ogni momento se mi sto connettendo alla VPN aziendale dalla mia abitazione principale o da una seconda casa. (Lato positivo per la sicurezza informatica dell'azienda, un po' meno dal lato della privacy del lavoratore).
[cancellato]
lore20 un datore di lavoro potrà sapere in ogni momento se mi sto connettendo alla VPN aziendale dalla mia abitazione principale o da una seconda casa.
La geolocalizzazione dell'IP è spesso sufficiente per avere la stessa informazione. Se poi contemporaneamente posti su Instagram le foto dalla seconda casa.... 
Poi se il datore di lavoro non è scemo non gli importa da dove ti connetti, ma quantità e qualità del lavoro. Certo che se gli hai detto che sei a casa malato....
- Modificato
edofullo Alcuni siti non sono raggiungibili
Mai successo… mi succedeva solo con alcuni IPv4 only
edofullo non sono presenti cache interne alla rete del privder (Netflix se funzionasse andrebbe a frankfurt),
Ok, questo non lo sapevo. Ma d'altronde, non usandolo, non l'ho notato
edofullo l'IP è dinamico
Questo l'avevo detto anche nel post sopra
edofullo c'è un solo (o pochi) gateway in tutta italia
non lo sapevo
edofullo le latenze cambiano parecchio (a volte in meglio, a volte in peggio)
Vedi OpenDNS v6 che fa oltre 100 ms
edofullo 18B di MTU
Lo so, purtroppo però è legato a PPPoE no?
edofullo E soprattutto è in queste condizioni da 10 anni e non è mai stato toccato.
Leggevo che una volta non funzionasse nemmeno il VoIP ma che ora va 
edofullo Spero che in TIM non abbiano una squadra di lavoro su IPv6 altrementi farei davvero fatica a capire cosa fanno 8 ore al giorno.
chissà magari @[cancellato] ne sa qualcosa, pur lavorando nel delivery…
Comunque @edofullo non volevo essere polemico, mi chiedevo solo come mai fosse per te inutilizzabile, visto che io lo uso senza notare particolari problemi. Magari io mi accontento di poco . Edit: mi spiego meglio. Alcune limitazioni non le avevo notate, altre si ma nell'uso che ne faccio non le noto spesso quindi me lo tengo
- Modificato
eutampieri Mai successo… mi succedeva solo con alcuni IPv4 only
Eh appunto, ma dovrebbero comunque funzionare in IPv4.
Come ad esempio Netflix non funziona ed è un problema non proprio piccolo.
eutampieri Lo so, purtroppo però è legato a PPPoE no?
20B li perdi a causa della PPPoE passando quindi da 1500B di Ethernet a 1480B.
Se poi usi IPv6 di TIM probabilmente quel flusso viene incapsulato ulteriormente dentro la rete di TIM (per portarlo a uno dei pochi gateway IPv6) e ti giochi altri 18B passando a 1462
Qui vedi le due PPPoE, una con credenziali normale e l'altra con quelle per IPv6
eutampieri Leggevo che una volta non funzionasse nemmeno il VoIP ma che ora va
Si hai ragione forse quello l'han sistemato.
Però prima non andava nemmeno in v4 se si usavano le credenziali per il v6, non so se hanno aggiustato quello oppure hanno aggiunto il supporto IPv6 al server SIP.
eutampieri non volevo essere polemico
Io sono un po' polemico ma contro TIM... perchè sono 10 anni che è in questa condizione 
Purtroppo i problemi che ha (a parte il prefisso /64 dinamico) non sono da poco... anche solo il fatto che abbia un solo gateway per tutti (io ho provato da Lombardia, Emilia Romagna e Liguria e i traceroute sono identici) non mi immagino cosa succederebbe si si inziasse a usarlo in massa.
[cancellato]
eutampieri chissà magari @MisterFTTH ne sa qualcosa, pur lavorando nel delivery
Negativo, non ho nessun tipo di aggiornamento in merito...e sarei curioso pure io di capire se e cosa ci sia "nell'aria", fermo restando che a me IPv4 basta ed avanza.
- Modificato
[cancellato] a me IPv4 basta ed avanza
Beh ma è un protocollo di rete, uno non ne sente il bisogno. È come dire: "a me HTTP 1.1 basta e avanza". Insomma...
[cancellato]
[cancellato] a me IPv4 basta ed avanza
Fintantoché i servizi che vuoi raggiungere sono ospitati anche in IPv4; nel momento in cui qualche killer applichescion dovesse essere resa disponibile solo in IPv6 saresti tagliato fuori.
Già ora qualche cloud provider sulle VPS entry level rende disponibile solo IPv6.
