P1R4NH4 per quei portali che usano servizi di IP reputation, come quelli forniti da Akamai o ipqualityscore, il discorso è leggermente diverso, ma nella maggior parte dei casi quei filtri mostreranno un Captcha o comunque risolveranno il problema dopo una segnalazione dell'ISP o a volte anche dell'utente finale (se ha le competenze adatte ovviamente).

Il problema e' che ad Akamai gli e' stato ormai segnalato da tempo e da piu' parti, sia da PF stessa che da clienti Akamai che da clienti PF, che le subnet di PianetaFibra andrebbero trattate come residenziali anche se derivano da un AS che classificano come "Cloud/IAAS". Ma pare che non ci sentano, visto che continuano da mesi ad ignorare queste segnalazioni, e la situazione non accenna minimamente a cambiare...

Per come la vedo io, per i siti dietro Akamai la "colpa" e' solo ed esclusivamente di Akamai che non sta svolgendo correttamente il suo lavoro (pur facendolo pagare bello caro ai suoi clienti). Cioe', non si puo' pretendere che ogni sysadmin che si affida ad Akamai debba mettere mille eccezioni a mano alle policy, solo perche' la classificazione di Akamai continua a classificare male alcune subnet residenziali nonostante le numerose segnalazioni in merito...

Ovviamente come dicevi tu, discorso ben diverso ad esempio per CloudFlare, dove e' invece il gestore del sito che risulta aver bloccato a mano gli interi AS, e allora li' ha senso contattare il gestore del singolo sito invece che CloudFlare.

P1R4NH4 che io ricordi TIM tiene tutto sotto un solo AS e ha anche datacenter

No... Telecom ha diversi AS (e account LIR...) perche' li ha "ereditati" dalle mille aziende diverse che nel tempo sono state fuse in Telecom Italia S.p.A., vuoi per acquisizioni, vuoi perche' erano diverse divisioni "interne" ma con ragione sociale separata. Oggi sta tutto dietro la stessa ragione sociale (tranne Sparkle, mi sa che e' l'unica rimasta come azienda separata ormai), ma restano cmq divisioni interne autonome e separate, "a compartimenti stagni", da qui il fatto che tecnicamente le reti sono ancora tutte separate. (Esempio estremo e' l'AS di Noverca, oggi fusa in Telecom Italia S.p.A., che utilizza ancora oggi come unico upstream BT Italia S.p.A....)

Al contrario, la differenza tra rete business e retail per le linee internet invece e' roba che non esiste piu' da circa 20 anni, quando hanno "fuso" tutto nella "nuova" rete OPB, riutilizzando l'AS InterBusiness (il famoso AS3269, per quello si chiama ASN-IBSNAZ), e sostituendo la vecchia backbone InterBusiness (AS6664) con Sparkle (AS6762).

Btw, "DTC" per Telecom vuol dire Datacom, il vecchio nome della "divisione clientela Executive" 😅

Cmq un altro Operatore oltre a SeFlow e Aruba che fa datacenter e accessi sullo stesso AS e' Tiscali, anche se non so quanto possa essere rilevante la loro offerta "cloud" rispetto alle linee dati... E infatti le linee Tiscali non soffrono di questo problema.

Esempio diametralmente opposto invece e' Free/Iliad, che invece non solo tiene separate le reti di datacenter (Online/Scaleway) e accessi (Freebox), ma utilizza proprio transiti e peering differenti per le due. (Nota curiosa: Iliad in Italia ha riutilizzato il vecchio AS29447 di Telecom Italia France, poi acquisita proprio dal gruppo Iliad [in Francia infatti oggi Alice e' un marchio Iliad]. Bella frecciatina direi 😁)

        LucaTheHacker Bella sfida, visto che mi sono trovato ad uppare da un dedicato con una gigabit di aruba a 50mbps verso altri server perché aruba era leggermente satura quella sera.

        Non sono un grande fan dei servizi hosting/datacenter/cloud/email/etc di Aruba, in reltà neanche della connettività, e men che meno del loro supporto. Insomma non fai altro che confermare quello che già so, ma non cambia il discorso ban asn come strategia di sicurezza.

        LucaTheHacker Tim però fa principalmente residential, e Tim ha decine di AS.
        Inoltre tim ha giusto un filo di reputazione in più del pianetafibra di turno.

        tutto giusto, che poi alla fine usa anche l'AS principale per servizi dc, comunque il problema non è di reputazione, ma che devi filtrare gli abusi, tutti a prescindere da dove vengono... che succede se mi faccio furbo e uso IDC di TIM per fare le mie porcherie???

        L4ky Dicevi che internet si basa sulla fiducia. Quanto ci si può fidare di un AS nuovo?
        LucaTheHacker Meglio nuovo che con le VPN

        Che poi onestamente se davvero una società ha una così cattiva reputazione puoi anche crearti un ASN al giorno, ma chi non ha fiducia in te ti bloccherà comunque, si vede la società dietro un AS eh. Quindi se il problema è "SeFlow fa cose losche e lo sanno tutti" (io non ne sono venuto mai a conoscenza, ma non sono onnipresente) un nuovo AS non risolve nulla, perchè io lo interpreterei come un tentativo di aggirare un ban precedente leggittimo.

        LATIITAY

        Si, avevo detto, infatti, che per i servizi come Akamai il discorso era un attimo più complesso.
        Comunque mi sembrava di capire dalle parole di @[cancellato] che quel particolare filtro doveva essere abilitato dal gestore del sito singolarmente, ma forse ho capito male.

        Grazie mille per le info più approfondite sulla situazione AS di TIM, bello anche vedere come la situazione si è evoluta nelle vicissitudini della società ed ha portato alla situazione di AS attuale.
        Bella anche la frecciatina francese.

                    P1R4NH4 Quindi se il problema è "SeFlow fa cose losche e lo sanno tutti" (io non ne sono venuto mai a conoscenza, ma non sono onnipresente) un nuovo AS non risolve nulla,

                    No non fa cose losche, solo che ha un po' più di omertà nel "basta che tu paghi e non fai troppi danni"

                        Freelife ps la vpn è gratis e ce ne sono a bizzeffe in rete

                        Ok, ma ti fidi davvero ad utilizzare una VPN free?
                        In genere "quando non paghi un prodotto/servizio è perché il prodotto/servizio sei tu"...

                        Poi, nel mio caso specifico, non sto parlando tanto di un sito web (il sito web linkato era servito solo per farvi effettuare il test in modo rapido) ma del gioco che ci sta dietro, che è un TPS multiplayer online e che quindi richiede delle buone latenze per poter giocare bene... Non credo che in questo caso basti prendere la prima VPN che capita per poter giocare decentemente...

                        Ad ogni modo non ho scritto per "flammare", volevo solo sapere se era un problema di tutti clienti PF o solo del mio IP (e ho già avuto la mia risposta). Spero solo che il problema si risolva quanto prima...

                            P1R4NH4 A nessun livello dovresti ritrovarti con necessità di sicurezza elevate e nessun budget rimasto tanto da dovere ripiegare sul bloccare mezza internet, sennò stai sbagliando qualcosa a monte nella pianificazione finanziaria.

                            Se possono permettersi di farlo, evidentemente non è un problema. Se mi costa meno rinunciare agli utenti di quegli AS piuttosto che pagare servizi di filtro.. capisci che la scelta è facile.

                            simonebortolin In che senso? io intendo l'hardware che virtualizzano tipo i juniper lì di Wind3....

                            il juniper "virtualizzato" su hw ericsson ?

                                  LucaTheHacker

                                  simonebortolin

                                  LucaTheHacker

                                  Quindi meglio fidarsi dell'ultimo arrivato e di una lista fatta da chissà chi, mantenuta in modo indecente e usata da SysAdmin pigri ( e mi fermo qui ).
                                  Se questa è la filosofia con cui si gestisce le reti oggi, siamo messi bene...

                                  LATIITAY Per come la vedo io, per i siti dietro Akamai la "colpa" e' solo ed esclusivamente di Akamai

                                  Condivido. Akamai viene pagata per i suoi servizi e pertanto è tenuta a utilizzare meccanismi "meno pigri" e "meno generalistici" per valutare chi è il buono e chi è il cattivo su internet.

                                  Il problema è che loro sono dei giganti e non sentono..

                                            Secondo me oggi matteo-rock deve essere sdraiato al mare o al lago: altrimenti non si spiega come il tinnito non gli comprometta l'udito...

                                              simonebortolin No non fa cose losche, solo che ha un po' più di omertà nel "basta che tu paghi e non fai troppi danni"

                                              No no, ma il mio era esclusivamente un esempio, come detto sopra non ho mai sentito in giro cose particolarmente negative su SeFlow, ma appunto non sono onnipresente.

                                              Matwolf Ad ogni modo non ho scritto per "flammare"

                                              È stata "colpa" mia, solo che ci tenevo ad esprimere un mio personale pensiero su alcuni gestori e tecniche di gestione di siti web che applicano questi filtri. E comunque un po' di sano coonfronto non guasta mai, anzi, magari si impara qualcosa e ci si ricrede da un lato o dall'altro, io l'ho sempre vista così.

                                              L4ky

                                              Condivido in pieno, non avrei saputo dirlo meglio.

                                              mark129 Secondo me oggi matteo-rock deve essere sdraiato al mare o al lago: altrimenti non si spiega come il tinnito non gli comprometta l'udito...

                                              Magari, lo spero per lui!

                                                      Matwolf Capisco il tuo punto ddi vista, ma credi realmente che essere dietro una VPN (che sia free o pagamento) ti dia l'anonimato? Se credi cio sbagli........ ad oggi per l'uso che ne faccio io Pianeta fibra ha cio che mi serve, se domani avrò altre necessità lo farò presente a @[cancellato] e vedremo cosa fare, se fossi dietro un grosso ISP avrei solo 1 opzione, andarmene...... invece con un " piccolo isp" ti puoi confrontare e forse trovare una soluzione, anche perche hanno piu da perdere loro che noi utenti.
                                                      PS
                                                      Non vedo Flame, ma una discussione accesa su temi tecnici e quindi ben vengano......

                                                          L4ky Quindi meglio fidarsi dell'ultimo arrivato e di una lista fatta da chissà chi, mantenuta in modo indecente e usata da SysAdmin pigri ( e mi fermo qui ).

                                                          Mi sa che stai cercando di ignorare la questione e cercando di tirare in ballo altre cose.
                                                          Quello che voglio dire, almeno io, è che avendo un AS nuovo finché qualcuno non fa casini, dubito che finisco in liste mal aggiornate e abusate di SysAdmin pigri. Mentre con un AS già sporco c'è poco da fare. Mentre ovviamente un AS nuovo di dubbia reputazione con dubbi upstream è ovvio che c'è alto rischio che venga bannato, ma si tratta di un AS redienziale, basta taggarlo bene e ci sono relativamente pochi rischi, ovviamente rischi di white list c'è ne sono... O ancora peggio ip taggati in India.

                                                          L4ky Se questa è la filosofia con cui si gestisce le reti oggi, siamo messi bene...

                                                          Mi sembra che tu sai molto meglio di me come vengono gestite e sai anche esempi pratici di cosa avviene, e credo che NON ti dovrebbe stupire di quello che succede... per la pigrizia... e l'esempio di Akami è ben ecclatante....

                                                          Freelife se fossi dietro un grosso ISP avrei solo 1 opzione, andarmene...... invece con un " piccolo isp" ti puoi confrontare e forse trovare una soluzione, anche perche hanno piu da perdere loro che noi utenti.

                                                          Finché rimane piccolo, ma ti ricordo che Pianeta Fibra vuole ignrandirsi un bel po'...

                                                                  mark129 Ma va giustamente da una parte entra e l'altra esce, la maggior parte dei commenti, compresi i miei, sono chiacchiere da bar..

                                                                  Inoltre è Domenica..

                                                                    Technetium il juniper "virtualizzato" su hw ericsson ?

                                                                    Dovrebbe essere questo: https://www.ericsson.com/en/portfolio/digital-services/cloud-infrastructure/nfvi/partner-vnf-certification/nfvi-r6.1-certified-vendors/juniper/juniper-vmx-192.4r1-

                                                                    Comunque quella era solo una mia deduzione basata sul fatto che le prime subnet usate da quei BNG erano etichettate con "BNG" seguito dal nome in codice della core network (virtualizzata) che Ericsson sta realizzando per WindTre.
                                                                    Potrebbe anche esser "ferro" la certezza non la ho, anche perché Ericsson """vende""" anche apparati Juniper

                                                                        simonebortolin Mentre con un AS già sporco c'è poco da fare. Mentre ovviamente un AS nuovo di dubbia reputazione con dubbi upstream è ovvio che c'è alto rischio che venga bannato, ma si tratta di un AS redienziale, basta taggarlo bene e ci sono relativamente pochi rischi, ovviamente rischi di white list c'è ne sono... O ancora peggio ip taggati in India.

                                                                        Quindi se io sono un noto provider (una società) di VPN o comunque con una conclamata cattiva reputazione e domani faccio un nuovo AS con la stessa società dell'altro, con unico transito verso l'AS principale e bannato e dentro ci metto solo subnet taggate come residenziali a nessuno potrebbe venire in mente che sto cercando di aggirare ban e/o fornire VPN e servizi cloud usando IP taggati come residenziali per aggirare i blocchi, giusto?? non credo onestamente, anzi al contrario, per me sarebbe red flag istantanea. Perchè per credere a quel tag mi devo fidare di te e se non mi fido di te puoi scriverci quello che vuoi, non mi fido, punto.
                                                                        Se, invece, mi fido di te, posso fidarmi anche del tag di una subnet dentro lo stesso AS del datacenter, poco cambia...

                                                                            handymenny
                                                                            Infatti volevo dire che juniper "virtualizzato" (come dicono loro) su hw ericsson, corrisponde al "ferro".

                                                                                P1R4NH4 Quindi se io sono un noto provider (una società) di VPN o comunque con una conclamata cattiva reputazione e domani faccio un nuovo AS con la stessa società dell'altro, con unico transito verso l'AS principale e bannato e dentro ci metto solo subnet taggate come residenziali a nessuno potrebbe venire in mente che sto cercando di aggirare ban e/o fornire VPN e servizi cloud usando IP taggati come residenziali per aggirare i blocchi, giusto?? non credo onestamente, anzi al contrario, per me sarebbe red flag istantanea. Perchè per credere a quel tag mi devo fidare di te e se non mi fido di te puoi scriverci quello che vuoi, non mi fido, punto.
                                                                                Se, invece, mi fido di te, posso fidarmi anche del tag di una subnet dentro lo stesso AS del datacenter, poco cambia...

                                                                                Ma stai parlando di GioveADSL/Servereasy🤣

                                                                                No anche a me verrebbe in mente che sono VPN con linea incorporata... tranquillo

                                                                                Technetium Eh io parlavo di quello...

                                                                                      P1R4NH4 la protezione non e' attiva di default perche' Akamai nasce come CDN, e col tempo e' diventato anche un WAF. Su Akamai pero' non esiste un unico filtro semplificato in stile "livello di CloudFlare", quindi tutto dipende da come il singolo cliente Akamai ha impostato le policy, pero' per forza di cose se il cliente Akamai sceglie di bloccare "i bot" o cose cosi', allora diventa cruciale la classificazione dinamica fatta da Akamai nel preciso istante della richiesta...

                                                                                      La "cattiveria" viene decisa in base a tante valutazioni "proprietarie", tra cui la Client IP Reputation (che Akamai classifica male gia' in partenza per le subnet annunciate da AS bollati come "Cloud/IAAS"), ma ad esempio influisce anche la fingerprint del client in uso... Infatti, "browser brutto" da "IP bello" passa quasi sempre; "browser bello" da "IP brutto" dipende (a volte passa e a volte no); mentre "browser brutto" da "IP brutto" non passa mai.

                                                                                      Il problema e' quando ad essere "brutti" sono Firefox, Linux, oppure Android e iOS diversi dall'ultimissima versione, e cosi' via... Con Chrome su Windows 11 magari passa quasi tutto, si', pero'... 😞

                                                                                      Certo che a pensarci bene, SeFlow e Akamai sono in un certo senso dei "competitor" (tralasciando la scala leggermente diversa 😅)... Entrambi offrono protezione DDoS, CDN, VPN (Akamai e' il fornitore di iCloud Private Relay!), e cosi' via... Non vorrei possa essere anche per questo che la classificazione e' abbastanza crudele con loro 😅

                                                                                          simonebortolin Eh io parlavo di quello...

                                                                                          Loro lo chiamano virtualizzato ma è pari al ferro ericsson perchè lo strato di virtualizzazione è fatto apposta e accede diretto alle risorse HW del router fatto da ericsson (dicono loro che le performance sono pari).
                                                                                          Per me è una cosa molto particolare fatta apposta per andare incontro a chi ha già juniper in automazione.

                                                                                            simonebortolin no, parlo in generale di qualunque situazione si rifaccia a quanto ho descritto sopra.
                                                                                            Per altro non mi pare che GioveADSL e Servereasy siano la stessa persona/società.

                                                                                            LATIITAY la protezione non e' attiva di default perche' Akamai nasce come CDN, e col tempo e' diventato anche un WAF. Su Akamai pero' non esiste un unico filtro semplificato in stile "livello di CloudFlare", quindi tutto dipende da come il singolo cliente Akamai ha impostato le policy, pero' per forza di cose se il cliente Akamai sceglie di bloccare "i bot" o cose cosi', allora diventa cruciale la classificazione dinamica fatta da Akamai nel preciso istante della richiesta...

                                                                                            Chiarissimo, grazie della precisazione.

                                                                                                • [cancellato]

                                                                                                • Messaggio #221
                                                                                                • Modificato

                                                                                                mark129 😂😂no no assolutamente. Settimana scorsa mi han mandato il report dei numeri raggiunti, delle cancellazioni e tasso di crescita che mi ha fatto capire che la direzione è giusta. Leggo tutto, anche quanto scritto su questo forum e gestiamo le segnalazioni dei clienti in maniera attenta e scrupolosa tralasciando gli assunti esposti da chi non ci ha nemmeno mai usati. Sprecare energie contro i "soliti" che non sono mai stati nemmeno nostri clienti ha poco senso.

                                                                                                L' esempio lampante è chi dice che siamo omertosi sulle vpn che vendiamo e quindi loro sanno che la motivazione è quella.... Tutto corretto se non fosse che i servizi vpn e proxy sono sotto altro nome aziendale e diverso ASn. Ma loro sanno, quindi... 😅

                                                                                                L' unico e reale problema è quei pochi siti, che hanno una specifica regola attiva sotto il waf di akamai e che devi abilitare a mano. Sono in contatto con i tecnici italiani che stanno facendo la lista di tutti gli ISP impattati. Purtroppo sono molti e lo è anche chi fa solo accesso, è che akamai l'ha pensata per i grandi operatori, quindi non è testata coi piccoli. In pratica mettono i big in trusted e il resto automaticamente in low. C' è da scalare la pratica alla sede centrale e il cambio di regole nel waf non è semplice ne immediato. Mi stupisce che se ne parli solo di noi quando in lista ci sono al momento 16 isp italiani coinvolti 😅. Ma non importa, è già in gestione internamente, non ho molto da aggiungere qui che ne san molto più di me 😎

                                                                                                    Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                                                    P.I. IT16712091004 - info@fibraclick.it

                                                                                                    ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile