Ciao a tutti,
chiedo a qualche esperto di rete di illuminarmi un attimo.
Oggi parlavo con un conoscente che bazzica con la sicurezza informatica e mi ha detto che sostanzialmente per assurdo, per la stragrande maggioranza delle persone, è meglio stare su di un IPv4 con NAT rispetto ad un IPv6.
Voi cosa ne dite? Davvero è un lato negativo usare IPV4/IPV6 rispetto ad una connessione solo IPV4 dietro NAT?
Grazie mille
Giriamo la domanda: che differenza c'è tra NAT e un Firewall stateful con una rule per droppare tutto il traffico da fuori?
Lorenzo1635 Aggiungo un dettaglio che ho dimenticato, parliamo di connessione FWA WindTre
michii quindi in conclusione tanto vale stare su IPv4 che almeno non dà problema alcuno?
Ipv6 con firewall attivo sul router è uguale a stare su Ipv4 con NAT, se non sbaglio i router di Fastweb sono configurati così. Non so i router FWA WindTre.
L’unico vantaggio che ti da la nat IPv4 rispetto alla configurazione IPv6 è che risulta decisamente più complesso esporre su internet un host per errore.
Mi spiego meglio, in IPv6 tutti gli host della LAN hanno di fatto uno (o più) indirizzi IP pubblici assegnati alle loro interfacce, è quindi sufficiente che per errore (o per test) disattivare lo scarto automatico dei pacchetti da internet su router perché tutti i dispositivi risultino raggiungibili dal mondo.
Al contrario in IPv4 non esiste un modo per fare questo, anche usando portforward o nat 1:1 si può arrivare ad esporre totalmente un host e basta (o singole/gruppi di porte di host differenti).
Quindi diciamo che per l’utente medio la configurazione IPv4+Nat rende molto più complesso fare errori e quindi fornisce intrinsecamente maggiore sicurezza.
Poi è ovvio che gli utenti più avanzati possano vedere più limiti che vantaggi, ma come tutte le cose va contestualizzata.
Navigator
Prima di considerare le implicazioni di sicurezza bisogna ragionare sull'utilità/necessità di ogni specifica configurazione.
Se non devo esporre servizi su Internet, il source NAT mi garantisce l'invisibilità in quanto il mio indirizzo privato sorgente viene tradotto dal firewall solo quando io sto iniziando una connessione verso un IP pubblico e relativa porta.
La necessità di avere un indirizzo pubblico si ha solo quando voglio esporre qualche servizio (banalmente anche solo la VPN per accedere alla mia LAN).
Da qui in avanti si può ragionare se sia meglio IPv4 o IPv6 e ad analizzare tutte le problematiche legate alla sicurezza che a questo punto entrano in gioco.
Navigator Voi cosa ne dite? Davvero è un lato negativo usare IPV4/IPV6 rispetto ad una connessione solo IPV4 dietro NAT?
https://www.internetsociety.org/blog/2015/01/ipv6-security-myth-3-no-ipv6-nat-means-less-security/
Parnas Questi articoli ormai valgono quel che valgono, persino le persone che hanno lavorato negli ultimi 30 anni per l'IETF si stanno arrendendo alla realtà dei fatti, che connettività end2end e il falso mito che la nat non dia sicurezza aggiuntiva, sono temi ormai poco importanti per la maggior parte degli utilizzatori di internet.
Cercare di convincere a tutti i costi un povero utente del contrario è poco corretto nei suoi confronti.
Vi lascio il riferimento del blog, una lettura a mio avviso interessante: http://ipv6.hanazo.no/posts/
wtf Semplice navigazione web ed uso domotica, per questo mi domandavo se esporli tramite IPv6 direttamente sul web fosse molto sensato.
Premettiamo, il modem in comodato gestisce sia IPv4 che IPv6 ma ultimamente mi domandavo se forse per l'utente inesperto non sia meglio stare dietro il NAT dell'IPv4 ed evitare che magari si facciano casini inutili.
Il concetto che se ho capito è che nel caso di rete IPv4/IPv6 i dispositivi della rete saranno comunque esposti, quindi probabile per la domotica forse non è il top della sicurezza.
simonebortolin in IPv4 basta avere up p aperto ed esponi su internet gli host...
Vuoi dire che la configurazione per esporre 1 porta di 1 host in IPv4 ha la stessa complessità (e lo stesso impatto) del disattivare il drop sul forward di un router? Dove mediamente si realizza con un opzione "Firewall Basso" o varianti sul tema?
Per rendere un device IoT dietro NAT accessibile da Internet, ci sono diverse modalità di funzionamento possibili, quella più semplice è l'utilizzo di Cloud P2P (Servizi Proprietari).
Alcuni produttori offrono un servizio cloud che consente l'accesso remoto senza configurare il router.
Funzionano tramite NAT traversal o relay server.
In alternativa l'utilizzo di una VPN o servizi come ZeroTier.
lmdab55 Parnas Questi articoli ormai valgono quel che valgono, persino le persone che hanno lavorato negli ultimi 30 anni per l'IETF si stanno arrendendo alla realtà dei fatti, che connettività end2end e il falso mito che la nat non dia sicurezza aggiuntiva, sono temi ormai poco importanti per la maggior parte degli utilizzatori di internet.
Cercare di convincere a tutti i costi un povero utente del contrario è poco corretto nei suoi confronti.
Non si tratta di convincere nessuno, gli articoli sono per chi vuole capire tecnicamente come funzionano le cose.
L'utente comune installerà il router del provider auto-configurato e non saprà nemmeno se sta usando IPv4 o IPv6, perchè non gli interessa.
Navigator Il concetto che se ho capito è che nel caso di rete IPv4/IPv6 i dispositivi della rete saranno comunque esposti, quindi probabile per la domotica forse non è il top della sicurezza.
Non sono esposti, primo perchè tipicamente i device IoT (prese smart, sensori, lampadine, ecc) non supportano nemmeno IPv6, poi perchè in ogni caso sul router c'è un firewall che protegge la LAN da tutto il traffico inbound.
Per esporre qualcosa all'esterno devi farlo tu scientemente.
Navigator Partiamo con un presupposto:
Qualunque cosa esposta online e raggiungibile dall'esterno è vulnerabile.
Detto ciò, no, IPv6 per sua natura non è più insicuro di IPv4 perchè non presenta i meccanismi di NAT (che poi se vogliamo dirla esistono NPTv6 o NAT66, ma sono soluzioni che non rispecchiamo propriamente il motivo per cui IPv6 è nato).
A prescindere, che ci sia un IPv4 pubblico o un IPv6 pubblico non bisognerebbe MAI essere senza un firewall dietro, al massimo potrebbe cambiare a chi viene assegnato il ruolo, in IPv4 solitamente lo fanno i router con il loro meccanismo, in IPv6 lo fa di solito la macchina che ha quell'indirizzo pubblico teoricamente raggiungibile dall'esterno.
Parnas L'utente comune installerà il router del provider auto-configurato e non saprà nemmeno se sta usando IPv4 o IPv6, perchè non gli interessa.
Sono d'accordissimo.
Ancora più in generale, secondo me:
Se un utente comune installa il router in comodato uso di un provider che offre IPv6, il router sarà sicuramente configurato con un firewall stateful che ha "deny" come policy di default per le connessioni in ingresso.
Se un utente installa il proprio router, ci si aspetta che sappia cosa sta facendo. Ovvero,
se conosce IPv6 sa come configurarlo e sa che deve applicare (se non è così già di base) una policy di default deny per le connessioni in ingresso lato Internet,
se non conosce IPv6 non lo configura proprio
In tutti e tre i casi non c'è nessun problema di sicurezza, nessun utente da convincere e nessun falso mito.
Chiedevo questa informazione perchè:
Ecco, alla luce di questo mi domandavo se poteva avere senso impostare l'IPv6 sull'APN.
Noto comunque che windows assegna già indirizzi interni (FE:
in IPv6 anche se il modem per la rete LAN ha la funzione IPv6 disattivata.
Perchè questa domanda?
Perchè so che molti provider hanno una rete IPv6 non perfetta e mi domandavo se una rete mobile FWA possa essere configurata bene oppure meglio tenere tutto disattivato.
Navigator WindTre supporta APN con IPv4/IPv6
Attento che su alcune SIM come AlpSim il loro IPv6 non è routabile (o meglio, non raggiunge nulla sia dall’interno che dall’esterno)
Navigator FE:
Quelli sono locali, non rappresentano un rischio alla sicurezza, pensali un poco come se fossero i normali indirizzi IPv4 di una subnet privata
Rekko Come faccio a verificare che sia routabile? In sostanza c'è il rischio che mi dia un IPv6 ma nella realtà è inutilizzabile?
Ho notato che viene assegnato un IPv6 con prefix 64
P.S: tra le altre cose mi domandavo se l'IPv6 con il cambio repentino di IP che usa WindTre ogni 4 può dare problemi con le reti LAN/Wireless visto che in questi casi bisogna riassegnare ogni volta tutto.
Navigator Ho notato che viene assegnato un IPv6 con prefix 64
In teoria se riesci a navigare in IPv6 significa che è possibile utilizzarlo
Navigator tra le altre cose mi domandavo se l'IPv6 con il cambio repentino di IP che usa WindTre ogni 4 può dare problemi con le reti LAN/Wireless visto che in questi casi bisogna riassegnare ogni volta tutto.
Se non sono sbadati (per non dire altro) di questi tempi, dovrebbe rimanere tale fino al riavvio degli apparati (quindi antenna e router)
Rekko In conclusione, avendo il firewall attivo sul modem Zyxell attivo di default sia per IPv4 e sia per IPv6 in conclusione non c'è motivo per lasciare tutto su IPv4? Corretto?
secondo me state confrontando le mele con le pere: uno conto è essere dietro NAT (su ipv4 deve essere così visto la scarsità di indirizzi IP) mentre un conto è essere in IPv6 dove del NAT non c'è bisogno.
Ma vorrei ricordare a lor signori che negli anni '90 quando ci si connetteva a internet con RTG e il modem che gracchiava eravamo nella medesima situazione - solo io me li ricordo i crash indotti via chat IRC su windows?
lmdab55 esatto
Parnas poi perchè in ogni caso sul router c'è un firewall che protegge la LAN da tutto il traffico inbound.
Allora, qualche settimana fa mi è capitato tra le mani un NAS, l'ho attaccato alla rete... sorpresona: NAS esposto su internet perché "che bello l'upnp attivo" me ne sono accorto per caso perché ho lanciato un port scanning. Preciso che parlo di apparati vecchi. Questo però testimonia come non c'è misura di sicurezza che tenga all'ignoranza.
dueeventi Ergo quindi, tu cosa suggerisci? Lascio IPv4 con NAT oppure procedo ad abilitare l'APN dual stack di WindTre? Dalle impostazioni del modem vedo che il firewall interno è comunque attivo per IPv4 ed IPv6 e l'unpnp è disattivato (ho anche disattivato print sharing e usb sharing)
P.S: qualche test per valutare la sicurezza della configurazione?
Io sono sempre stato un accanito sostenitore della prima soluzione... anche perché mi ricordo dell'entusiasmo per IPv6 per poi spegnersi tutto come un fuoco di paglia.
dueeventi Cioè rimanere su IPv4 dietro NAT e firewall ed aspettare tempi migliori?
Navigator beh detto che se hai tutto a casa che funziona in ipv6 sei molto fortunato o hai molte poche cose collegate (non hai smart tv?), ma in tutta onestà se non conosci neanche gli indirizzi link local ipv6 io ti suggerisco di evitare e restare coi cari vecchi ipv4 nattati in casa (anche perchè non ho capito che vantaggi avresti ad adottare ipv6 in casa)
pattagghiu In sostanza... la semplicità a volte premia.
Ora arriveranno i soliti enthusiast\software evangelist a blastarmi (ma a me non frega nulla di loro)... ma se una cosa funziona e non ti sta stretta... perché cambiare?
dueeventi Giustissimo! Forse l'unica cosa che noto è che con solo IPv4 compaiono più facilmente controlli di traffico anomalo su google et similia.
Navigator In IPv4 (ma anche in IPv6 in realtà) l'ip è quasi sempre dinamico quindi se ti capita che un IP che si è fatto blacklistare ti vedi "sanzionato" ingiustamente da google. Però ecco non è che la tua rete domestica è una botnet e sei stato bucato...
dueeventi No la rete non è bucata anche perchè il modem è nuovo ed il PC a cui è collegato non è mai stato usato (nel senso che è appena installato)
Navigator No la rete non è bucata anche perchè il modem è nuovo ed il PC a cui è collegato non è mai stato usato (nel senso che è appena installato)
Ho vissuto sulla mia pelle infezioni su Windows nell'arco di pochi minuti (a volte meno di un minuto) senza far nulla... semplicemente agganciando il cavo di rete al pc (senza upnp e senza nemmeno aprire il browser). Se beccano la falla giusta non ancora pubblicamente patchata e la insegnano ai bot sul web, il fatto che usi il nat su ruoter nuovo e anche il pc sia "nuovo" non ti salva 
L'unico pc sicuro è il pc isolato (niente internet, niente porte usb, niente lettori ottici, niente accesso fisico, ecc ecc).
dueeventi Allora, qualche settimana fa mi è capitato tra le mani un NAS, l'ho attaccato alla rete... sorpresona: NAS esposto su internet perché "che bello l'upnp attivo" me ne sono accorto per caso perché ho lanciato un port scanning.
Guarda che mi stai dando ragione... il problema della sicurezza non è usare IPv4 o IPv6, ma che la gente sappia quello che fa. Ricordiamo che un client con UPnP può tranquillamente aprire le porte del firewall sia su IPv4 che su IPv6.
Dipende però anche quanto è fatto bene il software del router; con un fritzbox non sarebbe successo, perchè devi configurare tu sul router quali sono i device abilitati al port sharing, altrimenti nisba. Magari su altri router meno "attenti" a queste cose, puoi solo abilitare o disabilitare UPnP, senza distinzione.
dueeventi Questo però testimonia come non c'è misura di sicurezza che tenga all'ignoranza.
Appunto.
Parnas Esempio pratico:
Mi pare che la sicurezza ci sia (ovvio ci possono essere bug, backdoor, hacker della cia che vogliono bucarmi)
@Rekko pattagghiu La cosa che mi fa sorridere è che WINDTRE assegna un IPv6 ma non ha un DNS predisposto... che senso ha?
Sto facendo comunque delle prove e secondo me anche se implementata l'IPv6 non funziona sempre perfettamente bene, su https://ipv6-test.com/ a volte funziona a volte no, ho come addirittura l'impressione che si usa chrome si dia priorità all'ipv6 mentre su firefox ci sono problemi.
Non so, ma la cosa non mi convince, a partire dal fatto che WINDTRE non ha ancora un DNS che supporta IPv6
Altri commenti?
Informativa privacy
-
Informativa cookie
-
Termini e condizioni
-
Regolamento
-
Disclaimer
-
🏳️🌈
P.I. IT16712091004 - info@fibraclick.it
♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile
