Parnas L'utente comune installerà il router del provider auto-configurato e non saprà nemmeno se sta usando IPv4 o IPv6, perchè non gli interessa.

Sono d'accordissimo.

Ancora più in generale, secondo me:

  • Se un utente comune installa il router in comodato uso di un provider che offre IPv6, il router sarà sicuramente configurato con un firewall stateful che ha "deny" come policy di default per le connessioni in ingresso.

  • Se un utente installa il proprio router, ci si aspetta che sappia cosa sta facendo. Ovvero,

    • se conosce IPv6 sa come configurarlo e sa che deve applicare (se non è così già di base) una policy di default deny per le connessioni in ingresso lato Internet,

    • se non conosce IPv6 non lo configura proprio

In tutti e tre i casi non c'è nessun problema di sicurezza, nessun utente da convincere e nessun falso mito.

    Chiedevo questa informazione perchè:

    • ho un modem che supporta sia IPv4 che IPv6
    • WindTre supporta APN con IPv4/IPv6
    • la rete LAN vedo che assegna già IPv6

    Ecco, alla luce di questo mi domandavo se poteva avere senso impostare l'IPv6 sull'APN.

    Noto comunque che windows assegna già indirizzi interni (FE:🙂 in IPv6 anche se il modem per la rete LAN ha la funzione IPv6 disattivata.

    Perchè questa domanda?

    Perchè so che molti provider hanno una rete IPv6 non perfetta e mi domandavo se una rete mobile FWA possa essere configurata bene oppure meglio tenere tutto disattivato.

    • Rekko ha risposto a questo messaggio

      Navigator WindTre supporta APN con IPv4/IPv6

      Attento che su alcune SIM come AlpSim il loro IPv6 non è routabile (o meglio, non raggiunge nulla sia dall’interno che dall’esterno)

      Navigator FE:🙂 in IPv6 anche se il modem per la rete LAN ha la funzione IPv6 disattivata.

      Quelli sono locali, non rappresentano un rischio alla sicurezza, pensali un poco come se fossero i normali indirizzi IPv4 di una subnet privata

            Rekko Come faccio a verificare che sia routabile? In sostanza c'è il rischio che mi dia un IPv6 ma nella realtà è inutilizzabile?

            Ho notato che viene assegnato un IPv6 con prefix 64

            P.S: tra le altre cose mi domandavo se l'IPv6 con il cambio repentino di IP che usa WindTre ogni 4 può dare problemi con le reti LAN/Wireless visto che in questi casi bisogna riassegnare ogni volta tutto.

            • Rekko ha risposto a questo messaggio

                Navigator Ho notato che viene assegnato un IPv6 con prefix 64

                In teoria se riesci a navigare in IPv6 significa che è possibile utilizzarlo

                Navigator tra le altre cose mi domandavo se l'IPv6 con il cambio repentino di IP che usa WindTre ogni 4 può dare problemi con le reti LAN/Wireless visto che in questi casi bisogna riassegnare ogni volta tutto.

                Se non sono sbadati (per non dire altro) di questi tempi, dovrebbe rimanere tale fino al riavvio degli apparati (quindi antenna e router)

                      Rekko In conclusione, avendo il firewall attivo sul modem Zyxell attivo di default sia per IPv4 e sia per IPv6 in conclusione non c'è motivo per lasciare tutto su IPv4? Corretto?

                      • Rekko ha risposto a questo messaggio

                          Navigator esatto

                            secondo me state confrontando le mele con le pere: uno conto è essere dietro NAT (su ipv4 deve essere così visto la scarsità di indirizzi IP) mentre un conto è essere in IPv6 dove del NAT non c'è bisogno.

                            Ma vorrei ricordare a lor signori che negli anni '90 quando ci si connetteva a internet con RTG e il modem che gracchiava eravamo nella medesima situazione - solo io me li ricordo i crash indotti via chat IRC su windows?

                            lmdab55 esatto

                            Parnas poi perchè in ogni caso sul router c'è un firewall che protegge la LAN da tutto il traffico inbound.

                            Allora, qualche settimana fa mi è capitato tra le mani un NAS, l'ho attaccato alla rete... sorpresona: NAS esposto su internet perché "che bello l'upnp attivo" me ne sono accorto per caso perché ho lanciato un port scanning. Preciso che parlo di apparati vecchi. Questo però testimonia come non c'è misura di sicurezza che tenga all'ignoranza.

                                  dueeventi Ergo quindi, tu cosa suggerisci? Lascio IPv4 con NAT oppure procedo ad abilitare l'APN dual stack di WindTre? Dalle impostazioni del modem vedo che il firewall interno è comunque attivo per IPv4 ed IPv6 e l'unpnp è disattivato (ho anche disattivato print sharing e usb sharing)

                                  P.S: qualche test per valutare la sicurezza della configurazione?

                                    Io sono sempre stato un accanito sostenitore della prima soluzione... anche perché mi ricordo dell'entusiasmo per IPv6 per poi spegnersi tutto come un fuoco di paglia.

                                      dueeventi Cioè rimanere su IPv4 dietro NAT e firewall ed aspettare tempi migliori?

                                          Navigator beh detto che se hai tutto a casa che funziona in ipv6 sei molto fortunato o hai molte poche cose collegate (non hai smart tv?), ma in tutta onestà se non conosci neanche gli indirizzi link local ipv6 io ti suggerisco di evitare e restare coi cari vecchi ipv4 nattati in casa (anche perchè non ho capito che vantaggi avresti ad adottare ipv6 in casa)

                                              pattagghiu In sostanza... la semplicità a volte premia.

                                                Ora arriveranno i soliti enthusiast\software evangelist a blastarmi (ma a me non frega nulla di loro)... ma se una cosa funziona e non ti sta stretta... perché cambiare?

                                                  dueeventi Giustissimo! Forse l'unica cosa che noto è che con solo IPv4 compaiono più facilmente controlli di traffico anomalo su google et similia.

                                                      Navigator In IPv4 (ma anche in IPv6 in realtà) l'ip è quasi sempre dinamico quindi se ti capita che un IP che si è fatto blacklistare ti vedi "sanzionato" ingiustamente da google. Però ecco non è che la tua rete domestica è una botnet e sei stato bucato...

                                                          dueeventi No la rete non è bucata anche perchè il modem è nuovo ed il PC a cui è collegato non è mai stato usato (nel senso che è appena installato)

                                                          • LSan83 ha risposto a questo messaggio

                                                              Navigator No la rete non è bucata anche perchè il modem è nuovo ed il PC a cui è collegato non è mai stato usato (nel senso che è appena installato)

                                                              Ho vissuto sulla mia pelle infezioni su Windows nell'arco di pochi minuti (a volte meno di un minuto) senza far nulla... semplicemente agganciando il cavo di rete al pc (senza upnp e senza nemmeno aprire il browser). Se beccano la falla giusta non ancora pubblicamente patchata e la insegnano ai bot sul web, il fatto che usi il nat su ruoter nuovo e anche il pc sia "nuovo" non ti salva 😅
                                                              L'unico pc sicuro è il pc isolato (niente internet, niente porte usb, niente lettori ottici, niente accesso fisico, ecc ecc).

                                                                dueeventi Allora, qualche settimana fa mi è capitato tra le mani un NAS, l'ho attaccato alla rete... sorpresona: NAS esposto su internet perché "che bello l'upnp attivo" me ne sono accorto per caso perché ho lanciato un port scanning.

                                                                Guarda che mi stai dando ragione... il problema della sicurezza non è usare IPv4 o IPv6, ma che la gente sappia quello che fa. Ricordiamo che un client con UPnP può tranquillamente aprire le porte del firewall sia su IPv4 che su IPv6.

                                                                Dipende però anche quanto è fatto bene il software del router; con un fritzbox non sarebbe successo, perchè devi configurare tu sul router quali sono i device abilitati al port sharing, altrimenti nisba. Magari su altri router meno "attenti" a queste cose, puoi solo abilitare o disabilitare UPnP, senza distinzione.

                                                                dueeventi Questo però testimonia come non c'è misura di sicurezza che tenga all'ignoranza.

                                                                Appunto.

                                                                      Parnas Esempio pratico:

                                                                      • Modem Zyxell
                                                                      • UNPNP disattivato di default
                                                                      • WPS disattivato
                                                                      • Firewall attivo di default sia su IPv4 che IPV6 con la seguente regola: By default It allows traffic to the Internet but blocks anyone from the Internet from accessing any services on your local network

                                                                      Mi pare che la sicurezza ci sia (ovvio ci possono essere bug, backdoor, hacker della cia che vogliono bucarmi)

                                                                      @Rekko pattagghiu La cosa che mi fa sorridere è che WINDTRE assegna un IPv6 ma non ha un DNS predisposto... che senso ha?

                                                                      Sto facendo comunque delle prove e secondo me anche se implementata l'IPv6 non funziona sempre perfettamente bene, su https://ipv6-test.com/ a volte funziona a volte no, ho come addirittura l'impressione che si usa chrome si dia priorità all'ipv6 mentre su firefox ci sono problemi.

                                                                      Non so, ma la cosa non mi convince, a partire dal fatto che WINDTRE non ha ancora un DNS che supporta IPv6

                                                                      • Rekko ha risposto a questo messaggio

                                                                            Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                            P.I. IT16712091004 - info@fibraclick.it

                                                                            ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile