Alcune delucidazioni sull'IP cosiddetto "nattato" ?

Crystal · 2023-07-17T19:28:20+00:00

Salve a tutti gli utenti del forum, avrei bisogno alcune deludicazioni per quanto riguarda l'IP cosiddetto "nattato". Premetto che non sono un grande esperto...

[cancellato]

Crystal se un hacker dovesse venire in possesso del mio IP di "facciata" (ossia quello su myip) e tentare qualche attacco, si ritroverebbe a fare un attacco a vuoto.

Quelli basati sull'accesso diretto al sistema dietro l'IP con tutta probabilità sì - ma non pensare così di essere al sicuro al 100%. Ad esempio ci sono diversi tipi di NAT, con quello simmetrico non è possibile sfruttare da un IP diverso le porte aperte da una connessione, con quello full-cone invece sì. Dipende quindi da come funziona il sistema che fa NAT - anche se il tutto è molto dinamico quindi una eventuale "finestra" di attacco è molto ridotta. Poi è possibile che queste macchine che fanno NAT implementino altri meccanismi di sicurezza. NAT non è stato pensato come meccanismo di sicurezza - il suo scopo è condividere un IP con più macchine -, ha questo effetto secondario benevolo, ma la sicurezza vera deve garantirla un firewall.

Crystal Ma ciò non vuol dire che non possa venire in possesso dell'IP del mio router,

Tieni presente che per tutti quelli che hanno IP pubblico, statico o dinamico che sia, l'IP è appunto pubblico e quindi visibile a tutti - perché Internet funziona così, e non ha senso "tenerlo al sicuro". Per la sicurezza ci vuole un firewall che gestisca il traffico in entrata e uscita. Se sei dietro un NAT operatore il tuo IP è un IP privato sulla rete dell'operatore, e un attaccante fuori da quella rete se ne farebbe poco. Se fosse nella rete operatore si torna al punto precedente - per funzionare quell'IP deve essere visibile per essere raggiungibile.

celeste_lightblue

Brevemente. Con Fastweb si ottiene un indirizzo IPv4 pubblico che è condiviso con altri abbonati. Questo differisce dall'IPv4 assegnato al modem e non c'è possibilità di fare port forwarding (la cosiddetta "apertura delle porte").

Fastweb fornisce anche IPv6 che è un indirizzo pubblico, quindi c'è possibilità di fare port forwarding su di esso. Se abilitato, a differenza dell'IPv4, ogni dispositivo della rete locale interna avrà un indirizzo IPv6 pubblico differente (inizia con 2001:, si può controllare qui: http://ip6only.me/).

Contattando l'assistenza, c'è possibilità di farsi assegnare un indirizzo IPv4 pubblico che sarà unico per tutti i dispositivi della rete locale e sarà possibile fare port forwarding.

Crystal

Scusate, ma quando dite che l'IPv4 è condiviso con altri utenti, significa che l'IP che vedo su MyIP può essere utilizzato da altri utenti Fastweb?
Se sì, mettiamo caso che uno di questi utenti faccia qualcosa di illegale, non è che poi ci vanno di mezzo gli altri?
Sì, ho notato che ho anche IPv6, inizia con 2001 e poi numeri associati a lettere. Quindi dite che questo IPV6 è poco sicuro ed è lì che un attaccante può fare la scansione delle porte aperte e tentare di accedere ai miei dispositivi?
In questo caso avere l'IP NAT che fa da scudo all'IP del mio router a poco serve, giusto?

Comunque secondo voi qual è l'indirizzo IP migliore da avere tra le varie combinazioni?

IP pubblico e dinamico
IP pubblico e statico
IP NAT e dinamico
IP NAT e statico

walt

Crystal significa che l'IP che vedo su MyIP può essere utilizzato da altri utenti Fastweb?

Certo, il rapporto è 1:N cioè con quello stesso IP pubblico si presentano su internet enne IP privati,

Crystal non è che poi ci vanno di mezzo gli altri?

Per ogni connessione pubblica è tracciato l'IP privato (quindi lo specifico intestatario del relativo contratto di abbonamento) che l'ha generata.

Crystal P pubblico e statico

Per quanto riguarda i miei scenari d'uso il suddetto.

[cancellato]

Crystal mettiamo caso che uno di questi utenti faccia qualcosa di illegale, non è che poi ci vanno di mezzo gli altri?

A livello legale no (vedi risposta di walt), ma se qualche servizio di reputazione mette l'IP in blacklist, potresti avere problemi ad accedere a siti/servizi che usano quella blacklist per bloccare utenti "indesiderati".

Crystal quando dite che l'IPv4 è condiviso con altri utenti, significa che l'IP che vedo su MyIP può essere utilizzato da altri utenti Fastweb?

Il NAT serve esattamente a questo. Sulla tua LAN permette a N dispositivi di accedere a Internet con l'IP assegnato al router (altrimenti ogni dispositivo avrebbe bisogno di un IP pubblico), a livello ISP permette a N clienti di accedere utilizzando un singolo IP. Il problema è che gli IPv4 specialmente in Europa sono finiti e gli ISP che non ne hanno a sufficienza per tutti i clienti usano CG-NAT per alleviare il problema. Ci sono altre soluzioni come usare i protocolli MAP per usare IPv4 via IPv6 (usati da Sky e Iliad), ma il risultato è alla fine lo stesso, lo stesso IPv4 condiviso fra N utenti.

Crystal dite che questo IPV6 è poco sicuro

No, non è poco sicuro. La sicurezza è equivalente a quella di IPv4. Solo che IPv6 è stato progettato per dare un indirizzo pubblico a ogni dispositivo, anche quelli in LAN. In IPv6 non si usa NAT perché non c'è ne più bisogno (di indirizzi IPv6 ce n'è un numero estremamente alto, a ogni singolo cliente ne sono assegnati minimo 2⁶⁴... fai un po' i conti). Quindi quella piccola protezione che c'è come effetto secondario del NAT non c'è più. È quindi essenziale avere un firewall per proteggere da scansioni ed accessi indesiderati, non solo il router, ma tutti i dispositivi dietro di esso.

Crystal Comunque secondo voi qual è l'indirizzo IP migliore da avere tra le varie combinazioni?

Dipende come usi la connessione. In genere pubblico/dinamico permette alla maggior parte degli utenti di usare i servizi più comuni senza grossi problemi. Con l'IP pubblico e statico è più facile accedere dall'esterno quando è necessario (es. VPN), usare protocolli che infilano l'IP nei loro dati (es. VoIP) o pubblicare servizi. Se sei dietro CG-NAT cambia poco che l'IP sia statico o dinamico.

celeste_lightblue

Crystal

Quindi dite che questo IPV6 è poco sicuro ed è lì che un attaccante può fare la scansione delle porte aperte e tentare di accedere ai miei dispositivi?

Non ricordo come funziona il firewall del Fastgate per quanto riguarda l'IPv6. Io l'ho configurato in DMZ e ho un router in cascata che abilita solo le porte necessarie.

Per fare un controllo sulle porte aperte in IPv6, puoi usare questo tool:

https://www64.chappell-family.co.uk/cgi-bin6/ipscanjs.cgi

Sul test di default mi da alcune su STLTH e altre su RFSD, ovvero porte non aperte.

Crystal

[cancellato] A livello legale no (vedi risposta di walt), ma se qualche servizio di reputazione mette l'IP in blacklist, potresti avere problemi ad accedere a siti/servizi che usano quella blacklist per bloccare utenti "indesiderati".

Lo stesso ragionamento potrebbe essere fatto per quanto riguarda gli attacchi? Ossia colui che in questo momento ha il mio stesso IP è entrato nel mirino di qualche hacker, ma io rimengo comunque al sicuro perchè abbiamo IP del router diversi, dico bene?

[cancellato] È quindi essenziale avere un firewall per proteggere da scansioni ed accessi indesiderati, non solo il router, ma tutti i dispositivi dietro di esso.

Io il Firewall al PC ce l'ho, quando navigo con l'Iphone invece no. Sul router non credo sia attivo... Avete per caso qui sul forum una sorta di guida alla sicurezza per il FastGate per utenti principianti?

celeste_lightblue Sul test di default mi da alcune su STLTH e altre su RFSD, ovvero porte non aperte

Fatto anche io il test, quasi tutte le porte sono gialle RFSD e quelle poche restanti sono verdi STLTH. Dovrei quindi stare sereno, no?
Che tu sappia, esiste un programma che faccia una cosa simile per testare ad esempio il router simulando degli attacchi? Per capire se ci sono punti deboli o meno, visto che mi hanno detto che il Fastgate per quanto riguarda la sicurezza è molto debole.

celeste_lightblue

Crystal

Dovrei quindi stare sereno, no?

Almeno sul dispositivo su cui hai eseguito il test, sì.

Che tu sappia, esiste un programma che faccia una cosa simile per testare ad esempio il router simulando degli attacchi?

Non saprei.

Per capire se ci sono punti deboli o meno, visto che mi hanno detto che il Fastgate per quanto riguarda la sicurezza è molto debole.

Se il Fastgate non ti soddisfa a livello di sicurezza, o lo sostituisci (con tutte le problematiche che ne conseguono per quanto riguarda i parametri di connessione da chiedere a Fastweb, la configurazione del voip, quella dell'IPv6, etc...) oppure compri un router con un buon firewall e lo colleghi in cascata al Fastgate.

[cancellato]

Crystal Lo stesso ragionamento potrebbe essere fatto per quanto riguarda gli attacchi?

Dipende dal tipo di attacco. Ad esempio dse fanno un DoS su quell'IP ne soffrirrebbero tutti gli utenti che lo condividono. Comunque NON considerare il NAT uno strumento di sicurezza. NON è il suo scopo, è solo un effetto secondario e dipende dalla configurazione usata. Se poi l'hacker compromette un sistema all'interno della rete operatore potrebbe vedere altri sistemi sulla stessa rete, dipende di nuovo da come è configurata quella rete.

Crystal Io il Firewall al PC ce l'ho, quando navigo con l'Iphone invece no. Sul router non credo sia attivo...

È meglio avere un firewall perimetrale (sul router) e poi non fa male averlo attivo anche su PC. È il concetto di "difesa in profondità" - non basa superare le "mura esterne" perché ci saranno ulteriori difese interne che essendo anche implementate diversamente non possono essere superate usando le stesse vulnerabilità.

I router ISP come il FastGate spesso hanno configurazioni semplificate, però sempre meglio di niente. Come minimo un firewall deve fare quello che fa il NAT come effetto secondario: bloccare tutte le connessioni in ingresso che non sono una risposta ad una connessione in uscita. Ma al contrario di alcuni tipi di NAT; un firewall fa un match esatto fra traffico in uscita e in entrata. Poi si possono fare configurazioni più sofisticate per controllare anche il traffico in uscita, e ammettere certi tipi di traffico in entrata, se necessario.

Crystal

celeste_lightblue Almeno sul dispositivo su cui hai eseguito il test, sì.
Sì, il testo l'ho eseguito dal Computer. A questo punto dovrei farlo pure con l'Iphone, ma esiste un firewall per proteggere l'Iphone oppure questo si appoggia direttamente al Firewall del router Fastgate?

celeste_lightblue Se il Fastgate non ti soddisfa a livello di sicurezza, o lo sostituisci (con tutte le problematiche che ne conseguono per quanto riguarda i parametri di connessione da chiedere a Fastweb, la configurazione del voip, quella dell'IPv6, etc...) oppure compri un router con un buon firewall e lo colleghi in cascata al Fastgate.

E' una cosa particolarmente difficile collegare i router in cascata? Avere due router collegati comporta una maggiore sicurezza rispetto ad averne uno solo, oppure si possono presentare rischi come perdita di connessione, ect?
Io volevo direttamente sostituirlo il router magari sotto vostro consigli (e magari trovare una buona guida per ignorantoni come me), però se vengono fuori problematiche addio... Già vedete per capire cosa sia un IP nattato c'ho messo due giorni, figuriamoci altro 🙁

celeste_lightblue Se il Fastgate non ti soddisfa a livello di sicurezza, o lo sostituisci (con tutte le problematiche che ne conseguono per quanto riguarda i parametri di connessione da chiedere a Fastweb, la configurazione del voip, quella dell'IPv6, etc...) oppure compri un router con un buon firewall e lo colleghi in cascata al Fastgate.

celeste_lightblue Almeno sul dispositivo su cui hai eseguito il test, sì.

Il test l'ho eseguito sul Computer. Dovrei provarlo anche con Iphone, ma non so se Iphone ha un firewall già di per sè oppure se si appoggia al router di casa...

celeste_lightblue

Marco25

Crystal E' una cosa particolarmente difficile collegare i router in cascata?

No non è difficile.

Crystal Avere due router collegati comporta una maggiore sicurezza rispetto ad averne uno solo

Sì perché avresti un altro livello di NAT e un firewall con ogni probabilità più configurabile/migliore.

Crystal oppure si possono presentare rischi come perdita di connessione

Non aumenta il rischio di disconnessioni ma statisticamente aumenta la probabilità di guasti avendo due dispositivi che possono fallire piuttosto che uno, e non sono ridondanti.

Crystal Dovrei provarlo anche con Iphone

iPhone non ha un firewall ma dubito fortemente i servizi di sistema accettino connessioni in ingresso da internet.

Pierre02 Credi che ci sia qualche hacker a cui interessa il tuo misero router domestico? Per vedere cosa?

Letteralmente l'intera internet scansiona alla rete alla ricerca di host vulnerabili da utilizzare come bot per attacchi DDoS, pasticciare col DNS per reindirizzare l'utente su siti malevoli, creare VPN per attaccare una organizzazione attribuendo l'origine del traffico alla vittima, effettuare chiamate internazionali a prezzi stratosferici, etc.

Pierre02

Ma perché ti preoccupi tanto? Credi che ci sia qualche hacker a cui interessa il tuo misero router domestico? Per vedere cosa?

Crystal

Ok ragazzi, sono giunto ad una conclusione.
Oltre ad aver capito cosa sia il NAT (più o meno 😃) ho pensato di attivare il Firewall pure sul router Fastgate in attesa di comprarne uno più potente nei prossimi mesi (magari mi consiglierete voi quale prendere).
Per caso sul forum c'è qualche guida per rendere più sicuro possibile il Fastgate? Ho provato a fare un po' di ricerche all'interno dello stesso ma non ho trovato niente.

Ah, ovviamente ringrazio tutti uno per uno per essere intervenuti!

Crystal

Scusate gente, so che a questo punto sto andando troppo off-topic perchè non si parla più di IP nattato ma di configurazione router FastGate, ma non sapendo se fosse il caso di riaprire un altro thread, provo a scrivere qui.

Tra le configurazioen avanzate ho per prima cosa disattivato l'UPnP, ma adesso arrivato sulle voci Firewall, DMZ ed IPV6 su LAN sono bloccato.

Firewall: ho provato sia livello Alto che livello Medio, ma in entrambi i casi mi vengono resi inaccessibili molti siti seppur "https" (quindi a regola sicuri, non parlo di siti pornografici o altro materiale discutibile 😅). Che faccio? Mi tocca tenerlo disattivato?
DMZ: non so nemmeno cosa sia, io per adesso lo tengo disattivato...
IPV6 su LAN: in questo momento è attivato

Ah, e nella finestra della Port Mapping è tutto vuoto.

Io comunque non vedo l'ora di cambiare router che abbia uno straccio di istruzioni passo passo per acefali come me, ho guardato per tutto il web ma una guida per principianti non l'ho trovata...ed onestamente mi sembra di starne ad approfittare troppo della pazienza di chi aiuta gratuitamente.

matteoc

Crystal non sapendo se fosse il caso di riaprire un altro thread, provo a scrivere qui

Direi che è opportuna una nuova discussione.

celeste_lightblue

La spiegazione più appropriata per DMZ è qui: https://www.tp-link.com/us/support/faq/28/

In pratica il dispositivo in DMZ ha tutte le porte aperte (io ci ho messo il router in cascata).

L'IPv6 su LAN è la distribuzione degli IPv6 pubblici ai dispositivi collegati (in pratica il fastgate annuncia il prefisso e i dispositivi si generano un suffisso da cui si forma l'indirizzo finale).

Comunque, sì, abilitare la DMZ e mettere un router in cascata è la cosa migliore, sia per un firewall sul router più personalizzabile, sia per una copertura migliore del WiFi.

Luciano_Budau

Ho pianeta fibra, quindi dovrebbe essere un ip nattato. Cosa comporta nei giochi online (cod) avere un ip nattato? Grazie

TheMarsican

Luciano_Budau Cosa comporta nei giochi online (cod) avere un ip nattato?

Difficoltà nel trovare partite, problemi di chat vocale o di lobby, lobby limitate, errori di connessione.

Veehxia

Luciano_Budau giochi online (cod)

Sui giochi server-based non cambia cosi tanto.. Nei giochi dove l'host è un membro della lobby allora in certi casi gli altri giocatori possono aver difficoltà a connettersi.

Luciano_Budau

TheMarsican è da un mese che ho pf..ma sinceramente nn mi sono mai capitato sti problemi..

Lorenzo1635

Luciano_Budau

Puoi prendere il pubblico pagando una tantum in PF. Credo venga intorno ai 10€.

TheMarsican Eddai, se il gioco è fatto bene non succede nulla di tutto ciò. Tecniche di NAT traversal esistono nel caso.

TheMarsican

Luciano_Budau è da un mese che ho pf..ma sinceramente nn mi sono mai capitato sti problemi..

Dipende da come funziona il matchmaking.
Se si basa su connessioni P2P fra i vari player oppure no.

Veehxia

Luciano_Budau è da un mese che ho pf..ma sinceramente nn mi sono mai capitato sti problemi..

Ti sei già risposto da solo.. Se non hai mai riscontato problemi, il tuo gioco di riferimento non usa metodi di interconnessione che risentono del CG-NAT, quindi non serve fasciarsi la testa se prendere IP statico / pubblico o meno.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile