Parnas Questi articoli ormai valgono quel che valgono, persino le persone che hanno lavorato negli ultimi 30 anni per l'IETF si stanno arrendendo alla realtà dei fatti, che connettività end2end e il falso mito che la nat non dia sicurezza aggiuntiva, sono temi ormai poco importanti per la maggior parte degli utilizzatori di internet.

Cercare di convincere a tutti i costi un povero utente del contrario è poco corretto nei suoi confronti.

Vi lascio il riferimento del blog, una lettura a mio avviso interessante: http://ipv6.hanazo.no/posts/

  • Parnas ha risposto a questo messaggio

      Navigator dettaglio di poco conto, le implementazione ipv6 non è che sono sicure se di sky è pericolose se di Wind

      lmdab55 in IPv4 basta avere up p aperto ed esponi su internet gli host...

      • lmdab55 ha risposto a questo messaggio

            wtf Semplice navigazione web ed uso domotica, per questo mi domandavo se esporli tramite IPv6 direttamente sul web fosse molto sensato.

            Premettiamo, il modem in comodato gestisce sia IPv4 che IPv6 ma ultimamente mi domandavo se forse per l'utente inesperto non sia meglio stare dietro il NAT dell'IPv4 ed evitare che magari si facciano casini inutili.

            Il concetto che se ho capito è che nel caso di rete IPv4/IPv6 i dispositivi della rete saranno comunque esposti, quindi probabile per la domotica forse non è il top della sicurezza.

            • wtf e Parnas hanno risposto a questo messaggio

                simonebortolin in IPv4 basta avere up p aperto ed esponi su internet gli host...

                Vuoi dire che la configurazione per esporre 1 porta di 1 host in IPv4 ha la stessa complessità (e lo stesso impatto) del disattivare il drop sul forward di un router? Dove mediamente si realizza con un opzione "Firewall Basso" o varianti sul tema?

                  • wtf

                    • Messaggio #15

                    Navigator

                    Per rendere un device IoT dietro NAT accessibile da Internet, ci sono diverse modalità di funzionamento possibili, quella più semplice è l'utilizzo di Cloud P2P (Servizi Proprietari).

                    Alcuni produttori offrono un servizio cloud che consente l'accesso remoto senza configurare il router.
                    Funzionano tramite NAT traversal o relay server.

                    In alternativa l'utilizzo di una VPN o servizi come ZeroTier.

                      • PParnas

                        • Messaggio #16
                        • Modificato

                        lmdab55 Parnas Questi articoli ormai valgono quel che valgono, persino le persone che hanno lavorato negli ultimi 30 anni per l'IETF si stanno arrendendo alla realtà dei fatti, che connettività end2end e il falso mito che la nat non dia sicurezza aggiuntiva, sono temi ormai poco importanti per la maggior parte degli utilizzatori di internet.

                        Cercare di convincere a tutti i costi un povero utente del contrario è poco corretto nei suoi confronti.

                        Non si tratta di convincere nessuno, gli articoli sono per chi vuole capire tecnicamente come funzionano le cose.
                        L'utente comune installerà il router del provider auto-configurato e non saprà nemmeno se sta usando IPv4 o IPv6, perchè non gli interessa.

                        Navigator Il concetto che se ho capito è che nel caso di rete IPv4/IPv6 i dispositivi della rete saranno comunque esposti, quindi probabile per la domotica forse non è il top della sicurezza.

                        Non sono esposti, primo perchè tipicamente i device IoT (prese smart, sensori, lampadine, ecc) non supportano nemmeno IPv6, poi perchè in ogni caso sul router c'è un firewall che protegge la LAN da tutto il traffico inbound.
                        Per esporre qualcosa all'esterno devi farlo tu scientemente.

                              Navigator Partiamo con un presupposto:
                              Qualunque cosa esposta online e raggiungibile dall'esterno è vulnerabile.
                              Detto ciò, no, IPv6 per sua natura non è più insicuro di IPv4 perchè non presenta i meccanismi di NAT (che poi se vogliamo dirla esistono NPTv6 o NAT66, ma sono soluzioni che non rispecchiamo propriamente il motivo per cui IPv6 è nato).

                              A prescindere, che ci sia un IPv4 pubblico o un IPv6 pubblico non bisognerebbe MAI essere senza un firewall dietro, al massimo potrebbe cambiare a chi viene assegnato il ruolo, in IPv4 solitamente lo fanno i router con il loro meccanismo, in IPv6 lo fa di solito la macchina che ha quell'indirizzo pubblico teoricamente raggiungibile dall'esterno.

                                Parnas L'utente comune installerà il router del provider auto-configurato e non saprà nemmeno se sta usando IPv4 o IPv6, perchè non gli interessa.

                                Sono d'accordissimo.

                                Ancora più in generale, secondo me:

                                • Se un utente comune installa il router in comodato uso di un provider che offre IPv6, il router sarà sicuramente configurato con un firewall stateful che ha "deny" come policy di default per le connessioni in ingresso.

                                • Se un utente installa il proprio router, ci si aspetta che sappia cosa sta facendo. Ovvero,

                                  • se conosce IPv6 sa come configurarlo e sa che deve applicare (se non è così già di base) una policy di default deny per le connessioni in ingresso lato Internet,

                                  • se non conosce IPv6 non lo configura proprio

                                In tutti e tre i casi non c'è nessun problema di sicurezza, nessun utente da convincere e nessun falso mito.

                                  Chiedevo questa informazione perchè:

                                  • ho un modem che supporta sia IPv4 che IPv6
                                  • WindTre supporta APN con IPv4/IPv6
                                  • la rete LAN vedo che assegna già IPv6

                                  Ecco, alla luce di questo mi domandavo se poteva avere senso impostare l'IPv6 sull'APN.

                                  Noto comunque che windows assegna già indirizzi interni (FE:🙂 in IPv6 anche se il modem per la rete LAN ha la funzione IPv6 disattivata.

                                  Perchè questa domanda?

                                  Perchè so che molti provider hanno una rete IPv6 non perfetta e mi domandavo se una rete mobile FWA possa essere configurata bene oppure meglio tenere tutto disattivato.

                                  • Rekko ha risposto a questo messaggio

                                    Navigator WindTre supporta APN con IPv4/IPv6

                                    Attento che su alcune SIM come AlpSim il loro IPv6 non è routabile (o meglio, non raggiunge nulla sia dall’interno che dall’esterno)

                                    Navigator FE:🙂 in IPv6 anche se il modem per la rete LAN ha la funzione IPv6 disattivata.

                                    Quelli sono locali, non rappresentano un rischio alla sicurezza, pensali un poco come se fossero i normali indirizzi IPv4 di una subnet privata

                                          Rekko Come faccio a verificare che sia routabile? In sostanza c'è il rischio che mi dia un IPv6 ma nella realtà è inutilizzabile?

                                          Ho notato che viene assegnato un IPv6 con prefix 64

                                          P.S: tra le altre cose mi domandavo se l'IPv6 con il cambio repentino di IP che usa WindTre ogni 4 può dare problemi con le reti LAN/Wireless visto che in questi casi bisogna riassegnare ogni volta tutto.

                                          • Rekko ha risposto a questo messaggio

                                              Navigator Ho notato che viene assegnato un IPv6 con prefix 64

                                              In teoria se riesci a navigare in IPv6 significa che è possibile utilizzarlo

                                              Navigator tra le altre cose mi domandavo se l'IPv6 con il cambio repentino di IP che usa WindTre ogni 4 può dare problemi con le reti LAN/Wireless visto che in questi casi bisogna riassegnare ogni volta tutto.

                                              Se non sono sbadati (per non dire altro) di questi tempi, dovrebbe rimanere tale fino al riavvio degli apparati (quindi antenna e router)

                                                    Rekko In conclusione, avendo il firewall attivo sul modem Zyxell attivo di default sia per IPv4 e sia per IPv6 in conclusione non c'è motivo per lasciare tutto su IPv4? Corretto?

                                                    • Rekko ha risposto a questo messaggio

                                                        Navigator esatto

                                                          secondo me state confrontando le mele con le pere: uno conto è essere dietro NAT (su ipv4 deve essere così visto la scarsità di indirizzi IP) mentre un conto è essere in IPv6 dove del NAT non c'è bisogno.

                                                          Ma vorrei ricordare a lor signori che negli anni '90 quando ci si connetteva a internet con RTG e il modem che gracchiava eravamo nella medesima situazione - solo io me li ricordo i crash indotti via chat IRC su windows?

                                                          lmdab55 esatto

                                                          Parnas poi perchè in ogni caso sul router c'è un firewall che protegge la LAN da tutto il traffico inbound.

                                                          Allora, qualche settimana fa mi è capitato tra le mani un NAS, l'ho attaccato alla rete... sorpresona: NAS esposto su internet perché "che bello l'upnp attivo" me ne sono accorto per caso perché ho lanciato un port scanning. Preciso che parlo di apparati vecchi. Questo però testimonia come non c'è misura di sicurezza che tenga all'ignoranza.

                                                                dueeventi Ergo quindi, tu cosa suggerisci? Lascio IPv4 con NAT oppure procedo ad abilitare l'APN dual stack di WindTre? Dalle impostazioni del modem vedo che il firewall interno è comunque attivo per IPv4 ed IPv6 e l'unpnp è disattivato (ho anche disattivato print sharing e usb sharing)

                                                                P.S: qualche test per valutare la sicurezza della configurazione?

                                                                  Io sono sempre stato un accanito sostenitore della prima soluzione... anche perché mi ricordo dell'entusiasmo per IPv6 per poi spegnersi tutto come un fuoco di paglia.

                                                                    dueeventi Cioè rimanere su IPv4 dietro NAT e firewall ed aspettare tempi migliori?

                                                                        Navigator beh detto che se hai tutto a casa che funziona in ipv6 sei molto fortunato o hai molte poche cose collegate (non hai smart tv?), ma in tutta onestà se non conosci neanche gli indirizzi link local ipv6 io ti suggerisco di evitare e restare coi cari vecchi ipv4 nattati in casa (anche perchè non ho capito che vantaggi avresti ad adottare ipv6 in casa)

                                                                            pattagghiu In sostanza... la semplicità a volte premia.

                                                                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                              P.I. IT16712091004 - info@fibraclick.it

                                                                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile