Secondo me con la transizione a IPv6 dal punto di vista della sicurezza non cambierà molto.

(Ci sono intere organizzazioni, e non faccio nomi, che hanno delle /16 IPv4 assegnate e come politica interna non usano NAT ma assegnano IPv4 pubblici a ogni singola workstation o dispositivo, portatili dei dipendenti, lettori badge per le presenze, stampanti, videocamere, centraline pannelli solari, ogni singolo device con un IPv4 pubblico. Quando va bene viene filtrato almeno NetBIOS/SMB... E poi c'è chi paga oro una manciata di IPv4 pubblici).

Tutto sommato Windows si difende abbastanza bene (di default le connessioni in ingresso da subnet diverse vengono droppate da Windows Firewall). I dispositivi più vulnerabili spesso sono i router - che in molti casi sono già esposti.

Il cambiamento a cui dovremmo "educarci" di più con l'avvento di IPv6 sarà secondo me la staticità. Sarà più facile per i big di internet tracciarci e correlare le nostre navigazioni (a livello di subnet assegnata all'utente) anche senza usare cookie.

Ricevere un ban da un servizio perché ci si è comportati male può davvero essere "per sempre" (salvo usare VPN).

Insomma l'indirizzo IP (o meglio, il prefisso) diventerà qualcosa di davvero "personalmente identificante" e molto difficile da tenere nascosto (ogni app p2p come videochiamate o giochi lo mostrerà agli altri utenti).

[edit]: insomma oggi so che per risalire al mio nome/indirizzo/telefono a partire dall'ip dinamico servono i log del provider e probabilmente un mandato. Da domani con ip statici mi aspetto ad ogni leak una vendita di db con associazioni ip:dati personali.

    lore20 Insomma l'indirizzo IP (o meglio, il prefisso) diventerà qualcosa di davvero "personalmente identificante" e molto difficile da tenere nascosto

    C'è anche da vedere però come gli ISP lo assegnano.

    Se sei un sito web e banni una intera /48 mentre gli ISP assegnano delle /56 stai bannando anche 255 persone che non hanno fatto nulla.
    Se invece banni delle /56 un utente a cui viene assegnata una /48 ha 256 identità da ruotare

    Per non parlare degli ISP che assegnano le /64...

    Si vede che io son per le /48? 😶

    • lore20 ha risposto a questo messaggio

        [cancellato]
        Quelli in comodato, intendi?
        Interessante invece la tua considerazione, non scontata, che sia sbagliato intendere il NAT come un firewall. Intendo dire: so che non lo è, ma di base mi fa sentire più sicuro e meno esposto. Mi farebbe piacere che approfondissi un po' per imparare qualcosa!

            • [cancellato]

            • Messaggio #79
            • Modificato

            lore20 oggi so che per risalire al mio nome/indirizzo/telefono a partire dall'ip dinamico servono i log del provider e probabilmente un mandato.

            Chi ha detto che l'IPv4 debba essere dinamico? Alcuni contratti (più smallbiz che consumer, ma non necessariamente) lo assegnano statico, altri sono "dinamici" per modo di dire (nel senso che se riavvii il router ti viene riassegnato lo stesso indirizzo)...

            Per me il dinamico è invece solo una rottura, pensa te... Quando hai servizi in cloud poter impostare delle facili regole per consentire il traffico solo da casa tua è comodo, così come se hai servizi esposti a casa.

            Sheldon88 sia sbagliato intendere il NAT come un firewall. Intendo dire: so che non lo è, ma di base mi fa sentire più sicuro e meno esposto.

            La cosa non è troppo diversa tra IPv4 e IPv6, nel senso che la tua abitazione è identificabile comunque, con l'IP o prefisso /64 rispettivamente. Per evitare di tracciare il singolo dispositivo si sono introdotte le privacy extensions ad IPv6, con le quali ogni terminale genera un indirizzo causale che viene cambiato periodicamente, ed è questo che viene usato per le connessioni outbound.

            lore20 Se i provider fossero meno cani basterebbe una query whois (ASSIGNMENT-SIZE per le subnet AGGREGATED-BY-LIR).

            • lore20 ha risposto a questo messaggio

                    Sheldon88 Cestinare il Fastgate, in FTTH e senza ONT esterno, non è tanto semplice.

                    Se non hai richiesto il modem libero in fase di sottoscrizione (o il contratto non è abbastanza vecchio da poterlo richiedere successivamente), no, per niente.

                    Sheldon88 attivare il firewall del Fastgate sarebbe sufficiente a garantire un discreto livello di sicurezza?

                    Personalmente non ne ho idea: comunque è fortemente OT qui (oltre che forse inutile, visto il misero 6rd di FW), e non otterresti un supporto adeguato, ti consiglierei di aprirti un thread apposito.

                        • [cancellato]

                        • Messaggio #81
                        • Modificato

                        Sheldon88 Lessi tempo fa che IPv6, non richiedendo NAT, espone ad Internet

                        Anche in IPv4 affidarsi alla sola protezione implicita del NAT non più è una buona idea. Meglio di niente, ma lontano dall'essere sufficiente. Ci vuole un firewall decente anche con IPv4 - che diventa anche più facile da configurare in IPv6.

                        lore20 oggi so che per risalire al mio nome/indirizzo/telefono a partire dall'ip dinamico servono i log del provider e probabilmente un mandato

                        Dipende. Google, Facebook & C. hanno tutte queste informazioni comunque. E ti possono seguire anche quando cambi IP.

                            [cancellato] Chi ha detto che l'IPv4 debba essere dinamico? Alcuni contratti (più smallbiz che consumer, ma non necessariamente) lo assegnano statico, altri sono "dinamici" per modo di dire (nel senso che se riavvii il router ti viene riassegnato lo stesso indirizzo)...

                            Lo so, con Fastweb ce l'ho avuto statico per un bel po'.

                            Non dico che sia un problema, ma solo qualcosa di cui tenere conto e a cui "abituarsi".

                            Poi non so, mi vengono in mente alcuni scenari "di controllo" un po' estremi, ad esempio un datore di lavoro potrà sapere in ogni momento se mi sto connettendo alla VPN aziendale dalla mia abitazione principale o da una seconda casa. (Lato positivo per la sicurezza informatica dell'azienda, un po' meno dal lato della privacy del lavoratore).

                                • [cancellato]

                                • Messaggio #83

                                lore20 un datore di lavoro potrà sapere in ogni momento se mi sto connettendo alla VPN aziendale dalla mia abitazione principale o da una seconda casa.

                                La geolocalizzazione dell'IP è spesso sufficiente per avere la stessa informazione. Se poi contemporaneamente posti su Instagram le foto dalla seconda casa.... 😀 Poi se il datore di lavoro non è scemo non gli importa da dove ti connetti, ma quantità e qualità del lavoro. Certo che se gli hai detto che sei a casa malato....

                                  edofullo Alcuni siti non sono raggiungibili

                                  Mai successo… mi succedeva solo con alcuni IPv4 only

                                  edofullo non sono presenti cache interne alla rete del privder (Netflix se funzionasse andrebbe a frankfurt),

                                  Ok, questo non lo sapevo. Ma d'altronde, non usandolo, non l'ho notato

                                  edofullo l'IP è dinamico

                                  Questo l'avevo detto anche nel post sopra

                                  edofullo c'è un solo (o pochi) gateway in tutta italia

                                  non lo sapevo

                                  edofullo le latenze cambiano parecchio (a volte in meglio, a volte in peggio)

                                  Vedi OpenDNS v6 che fa oltre 100 ms

                                  edofullo 18B di MTU

                                  Lo so, purtroppo però è legato a PPPoE no?

                                  edofullo E soprattutto è in queste condizioni da 10 anni e non è mai stato toccato.

                                  Leggevo che una volta non funzionasse nemmeno il VoIP ma che ora va 🙂

                                  edofullo Spero che in TIM non abbiano una squadra di lavoro su IPv6 altrementi farei davvero fatica a capire cosa fanno 8 ore al giorno.

                                  😆 chissà magari @[cancellato] ne sa qualcosa, pur lavorando nel delivery…

                                  Comunque @edofullo non volevo essere polemico, mi chiedevo solo come mai fosse per te inutilizzabile, visto che io lo uso senza notare particolari problemi. Magari io mi accontento di poco 🙂. Edit: mi spiego meglio. Alcune limitazioni non le avevo notate, altre si ma nell'uso che ne faccio non le noto spesso quindi me lo tengo 🙂

                                                    eutampieri Mai successo… mi succedeva solo con alcuni IPv4 only

                                                    Eh appunto, ma dovrebbero comunque funzionare in IPv4.
                                                    Come ad esempio Netflix non funziona ed è un problema non proprio piccolo.

                                                    eutampieri Lo so, purtroppo però è legato a PPPoE no?

                                                    20B li perdi a causa della PPPoE passando quindi da 1500B di Ethernet a 1480B.
                                                    Se poi usi IPv6 di TIM probabilmente quel flusso viene incapsulato ulteriormente dentro la rete di TIM (per portarlo a uno dei pochi gateway IPv6) e ti giochi altri 18B passando a 1462

                                                    Qui vedi le due PPPoE, una con credenziali normale e l'altra con quelle per IPv6

                                                    eutampieri Leggevo che una volta non funzionasse nemmeno il VoIP ma che ora va

                                                    Si hai ragione forse quello l'han sistemato.
                                                    Però prima non andava nemmeno in v4 se si usavano le credenziali per il v6, non so se hanno aggiustato quello oppure hanno aggiunto il supporto IPv6 al server SIP.

                                                    eutampieri non volevo essere polemico

                                                    Io sono un po' polemico ma contro TIM... perchè sono 10 anni che è in questa condizione 🤣
                                                    Purtroppo i problemi che ha (a parte il prefisso /64 dinamico) non sono da poco... anche solo il fatto che abbia un solo gateway per tutti (io ho provato da Lombardia, Emilia Romagna e Liguria e i traceroute sono identici) non mi immagino cosa succederebbe si si inziasse a usarlo in massa.

                                                            • [cancellato]

                                                            • Messaggio #86

                                                            eutampieri chissà magari @MisterFTTH ne sa qualcosa, pur lavorando nel delivery

                                                            Negativo, non ho nessun tipo di aggiornamento in merito...e sarei curioso pure io di capire se e cosa ci sia "nell'aria", fermo restando che a me IPv4 basta ed avanza.

                                                                [cancellato] a me IPv4 basta ed avanza

                                                                Beh ma è un protocollo di rete, uno non ne sente il bisogno. È come dire: "a me HTTP 1.1 basta e avanza". Insomma...

                                                                  • [cancellato]

                                                                  • Messaggio #88

                                                                  [cancellato] a me IPv4 basta ed avanza

                                                                  Fintantoché i servizi che vuoi raggiungere sono ospitati anche in IPv4; nel momento in cui qualche killer applichescion dovesse essere resa disponibile solo in IPv6 saresti tagliato fuori.

                                                                  Già ora qualche cloud provider sulle VPS entry level rende disponibile solo IPv6.

                                                                      • [cancellato]

                                                                      • Messaggio #89
                                                                      • Modificato

                                                                      Ne riparliamo poi quando nell'affrontare un qualsiasi cambiamento vi ritroverete a passare anche voi dall'approccio mentale del ohh vamolà che figo! a quello del socc'mel du' maron regaz! 💀

                                                                        [cancellato] Già ora qualche cloud provider sulle VPS entry level rende disponibile solo IPv6.

                                                                        Secondo me i più penalizzati, più che gli utenti, sono proprio gli aspiranti fornitori di servizi cloud, server, colocation, etc.

                                                                        Se hai in mente un attività per la quale hai bisogno di tanti indirizzi IP; il mercato è tutto tranne che neutrale e favorisce tantissimo chi in anni passati si è procurato a costo quasi nullo grandissimi spazi IPv4.

                                                                        Chi si vuole affacciare ora su quel mercato parte estremamente penalizzato, e deve sborsare un sacco di soldi per procurarsi IP sul mercato secondario.

                                                                        Anche se numericamente la necessità di IP può essere ridotta per molte attività (usando reverse proxy, SNI, etc.) ricordiamoci che l'unità minima che può essere propagata nei router globali è una /24, quindi qualsiasi progetto che voglia fare anycast/multi-homing etc. ha bisogno di diverse /24.

                                                                        In IPv6 invece l'unità minima globalmente routabile sono le /48 ed è molto economico ottenere assegnazioni nel range /40-/48.

                                                                          [cancellato] a me sembrii più bolognese😂
                                                                          Io sono del comune Valsamoggia e te?

                                                                            Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                            P.I. IT16712091004 - info@fibraclick.it

                                                                            ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile