Giriamo la domanda: che differenza c'è tra NAT e un Firewall stateful con una rule per droppare tutto il traffico da fuori?
IPv4 dietro NAT è più sicuro di un IPv6 ?
Lorenzo1635 Aggiungo un dettaglio che ho dimenticato, parliamo di connessione FWA WindTre
michii quindi in conclusione tanto vale stare su IPv4 che almeno non dà problema alcuno?
Ipv6 con firewall attivo sul router è uguale a stare su Ipv4 con NAT, se non sbaglio i router di Fastweb sono configurati così. Non so i router FWA WindTre.
L’unico vantaggio che ti da la nat IPv4 rispetto alla configurazione IPv6 è che risulta decisamente più complesso esporre su internet un host per errore.
Mi spiego meglio, in IPv6 tutti gli host della LAN hanno di fatto uno (o più) indirizzi IP pubblici assegnati alle loro interfacce, è quindi sufficiente che per errore (o per test) disattivare lo scarto automatico dei pacchetti da internet su router perché tutti i dispositivi risultino raggiungibili dal mondo.
Al contrario in IPv4 non esiste un modo per fare questo, anche usando portforward o nat 1:1 si può arrivare ad esporre totalmente un host e basta (o singole/gruppi di porte di host differenti).
Quindi diciamo che per l’utente medio la configurazione IPv4+Nat rende molto più complesso fare errori e quindi fornisce intrinsecamente maggiore sicurezza.
Poi è ovvio che gli utenti più avanzati possano vedere più limiti che vantaggi, ma come tutte le cose va contestualizzata.
- Modificato
Navigator
Prima di considerare le implicazioni di sicurezza bisogna ragionare sull'utilità/necessità di ogni specifica configurazione.
Se non devo esporre servizi su Internet, il source NAT mi garantisce l'invisibilità in quanto il mio indirizzo privato sorgente viene tradotto dal firewall solo quando io sto iniziando una connessione verso un IP pubblico e relativa porta.
La necessità di avere un indirizzo pubblico si ha solo quando voglio esporre qualche servizio (banalmente anche solo la VPN per accedere alla mia LAN).
Da qui in avanti si può ragionare se sia meglio IPv4 o IPv6 e ad analizzare tutte le problematiche legate alla sicurezza che a questo punto entrano in gioco.
Navigator Voi cosa ne dite? Davvero è un lato negativo usare IPV4/IPV6 rispetto ad una connessione solo IPV4 dietro NAT?
https://www.internetsociety.org/blog/2015/01/ipv6-security-myth-3-no-ipv6-nat-means-less-security/
Parnas Questi articoli ormai valgono quel che valgono, persino le persone che hanno lavorato negli ultimi 30 anni per l'IETF si stanno arrendendo alla realtà dei fatti, che connettività end2end e il falso mito che la nat non dia sicurezza aggiuntiva, sono temi ormai poco importanti per la maggior parte degli utilizzatori di internet.
Cercare di convincere a tutti i costi un povero utente del contrario è poco corretto nei suoi confronti.
Vi lascio il riferimento del blog, una lettura a mio avviso interessante: http://ipv6.hanazo.no/posts/
wtf Semplice navigazione web ed uso domotica, per questo mi domandavo se esporli tramite IPv6 direttamente sul web fosse molto sensato.
Premettiamo, il modem in comodato gestisce sia IPv4 che IPv6 ma ultimamente mi domandavo se forse per l'utente inesperto non sia meglio stare dietro il NAT dell'IPv4 ed evitare che magari si facciano casini inutili.
Il concetto che se ho capito è che nel caso di rete IPv4/IPv6 i dispositivi della rete saranno comunque esposti, quindi probabile per la domotica forse non è il top della sicurezza.
simonebortolin in IPv4 basta avere up p aperto ed esponi su internet gli host...
Vuoi dire che la configurazione per esporre 1 porta di 1 host in IPv4 ha la stessa complessità (e lo stesso impatto) del disattivare il drop sul forward di un router? Dove mediamente si realizza con un opzione "Firewall Basso" o varianti sul tema?
Per rendere un device IoT dietro NAT accessibile da Internet, ci sono diverse modalità di funzionamento possibili, quella più semplice è l'utilizzo di Cloud P2P (Servizi Proprietari).
Alcuni produttori offrono un servizio cloud che consente l'accesso remoto senza configurare il router.
Funzionano tramite NAT traversal o relay server.
In alternativa l'utilizzo di una VPN o servizi come ZeroTier.
- Modificato
lmdab55 Parnas Questi articoli ormai valgono quel che valgono, persino le persone che hanno lavorato negli ultimi 30 anni per l'IETF si stanno arrendendo alla realtà dei fatti, che connettività end2end e il falso mito che la nat non dia sicurezza aggiuntiva, sono temi ormai poco importanti per la maggior parte degli utilizzatori di internet.
Cercare di convincere a tutti i costi un povero utente del contrario è poco corretto nei suoi confronti.
Non si tratta di convincere nessuno, gli articoli sono per chi vuole capire tecnicamente come funzionano le cose.
L'utente comune installerà il router del provider auto-configurato e non saprà nemmeno se sta usando IPv4 o IPv6, perchè non gli interessa.
Navigator Il concetto che se ho capito è che nel caso di rete IPv4/IPv6 i dispositivi della rete saranno comunque esposti, quindi probabile per la domotica forse non è il top della sicurezza.
Non sono esposti, primo perchè tipicamente i device IoT (prese smart, sensori, lampadine, ecc) non supportano nemmeno IPv6, poi perchè in ogni caso sul router c'è un firewall che protegge la LAN da tutto il traffico inbound.
Per esporre qualcosa all'esterno devi farlo tu scientemente.
Navigator Partiamo con un presupposto:
Qualunque cosa esposta online e raggiungibile dall'esterno è vulnerabile.
Detto ciò, no, IPv6 per sua natura non è più insicuro di IPv4 perchè non presenta i meccanismi di NAT (che poi se vogliamo dirla esistono NPTv6 o NAT66, ma sono soluzioni che non rispecchiamo propriamente il motivo per cui IPv6 è nato).
A prescindere, che ci sia un IPv4 pubblico o un IPv6 pubblico non bisognerebbe MAI essere senza un firewall dietro, al massimo potrebbe cambiare a chi viene assegnato il ruolo, in IPv4 solitamente lo fanno i router con il loro meccanismo, in IPv6 lo fa di solito la macchina che ha quell'indirizzo pubblico teoricamente raggiungibile dall'esterno.
Parnas L'utente comune installerà il router del provider auto-configurato e non saprà nemmeno se sta usando IPv4 o IPv6, perchè non gli interessa.
Sono d'accordissimo.
Ancora più in generale, secondo me:
Se un utente comune installa il router in comodato uso di un provider che offre IPv6, il router sarà sicuramente configurato con un firewall stateful che ha "deny" come policy di default per le connessioni in ingresso.
Se un utente installa il proprio router, ci si aspetta che sappia cosa sta facendo. Ovvero,
se conosce IPv6 sa come configurarlo e sa che deve applicare (se non è così già di base) una policy di default deny per le connessioni in ingresso lato Internet,
se non conosce IPv6 non lo configura proprio
In tutti e tre i casi non c'è nessun problema di sicurezza, nessun utente da convincere e nessun falso mito.
Chiedevo questa informazione perchè:
- ho un modem che supporta sia IPv4 che IPv6
- WindTre supporta APN con IPv4/IPv6
- la rete LAN vedo che assegna già IPv6
Ecco, alla luce di questo mi domandavo se poteva avere senso impostare l'IPv6 sull'APN.
Noto comunque che windows assegna già indirizzi interni (FE:
in IPv6 anche se il modem per la rete LAN ha la funzione IPv6 disattivata.
Perchè questa domanda?
Perchè so che molti provider hanno una rete IPv6 non perfetta e mi domandavo se una rete mobile FWA possa essere configurata bene oppure meglio tenere tutto disattivato.
Navigator WindTre supporta APN con IPv4/IPv6
Attento che su alcune SIM come AlpSim il loro IPv6 non è routabile (o meglio, non raggiunge nulla sia dall’interno che dall’esterno)
Navigator FE:
Quelli sono locali, non rappresentano un rischio alla sicurezza, pensali un poco come se fossero i normali indirizzi IPv4 di una subnet privata
- Modificato
Rekko Come faccio a verificare che sia routabile? In sostanza c'è il rischio che mi dia un IPv6 ma nella realtà è inutilizzabile?
Ho notato che viene assegnato un IPv6 con prefix 64
P.S: tra le altre cose mi domandavo se l'IPv6 con il cambio repentino di IP che usa WindTre ogni 4 può dare problemi con le reti LAN/Wireless visto che in questi casi bisogna riassegnare ogni volta tutto.