Richiesta IPv4 pubblico dinamico, chiarimenti.

freddie993

Buonasera,
vorrei un chiarimento sul discorso CG-NAT e ip pubblico dinamico. Faccio richiesta a Dimensione, mi richiamano dicendomi il perchè necessito di un IP dinamico e dico semplicemente perchè non voglio che il mio IP sia condiviso con altri e l'operatore mi dice " no no, se fosse condiviso non si connetterebbe neanche, l'ip pubblico le serve solo se deve aprire delle porte". Ora dopo tutte le info che ho preso nei mesi/anni sia su questo forum che in giro, ho capito male io o l'operatore? D'accordo per il Port Forwarding, ma il fatto che non sia condiviso non credo proprio.
Grazie

Lorenzo1635

freddie993

In CGNAT l'IP è condiviso con N utenti. Confermato. (N può essere arbitrario, non so cosa usino in Dimensione ma forse @giusgius può farci un piccolo spoiler).

freddie993 no no, se fosse condiviso non si connetterebbe neanche, l'ip pubblico le serve solo se deve aprire delle porte

Messa giù così in effetti è un pochino vaga. Però un suo senso l'ha - e cerco di interpretare - non è usuale chiedere un IP pubblico se poi non lo andrai a "utilizzare".

giusgius

freddie993 perchè non voglio che il mio IP sia condiviso con altri

L’IP privato non è condiviso con altri, è una porzione di porte dell’indirizzo IP pubblico, altrimenti non sarebbe possibile risalire al singolo cliente.
Non capisco la questione 🧐
Gli IP non sono infiniti e quindi se non c’è la reale necessità (es.: apertura porte per qualche motivo) non ha senso occupare un pubblico in maniera esclusiva, non è che qualcuno può fare qualcosa sul tuo indirizzo se il pubblico viene usato solo per una porzione da te

cravatta

freddie993 Se non devi giocare o devi fare apertura porte per qualche motivo resta come stai 😃

freddie993

giusgius
l'IP privato non è sicuramente condiviso, ma l'IP pubblico derivante è condiviso tra diversi utenti, è questa la base del CGNAT, quindi può essere abbastanza difficile individuare il singolo utente. Secondo me anche dal punto di vista della sicurezza non è il massimo. Poi capisco il fatto che tu sia di Dimensione, ma l'operatore ha detto un po' una cavolata. Io non sono un informatico ho passione e basta, ma due informazioni le prendo in giro. Grazie

giusgius

freddie993 Poi capisco il fatto che tu sia di Dimensione, ma l'operatore ha detto un po' una cavolata.

Assolutamente, l’operatore non è stato preciso e su questo mi trovi d’accordo. Mi dai il tuo codice cliente? Così verifico meglio anche l’accaduto.

freddie993 quindi può essere abbastanza difficile individuare il singolo utente. Secondo me anche dal punto di vista della sicurezza non è il massimo.

Per noi no, l’assegnazione porte è con determinati range, quindi noi come operatore possiamo ovviamente ricostruire chi è che ha fatto una determinata richiesta in un dato momento.
Per l’esterno sicuramente è più complesso trovare un pattern.
Vorrei però comprendere bene il tuo punto, perché mi interessa capire da che cosa dal tuo punto di vista lo riterresti meno sicuro. Mi fai capire?
In generale le tue osservazioni

_SCtefanOM4_

freddie993 Lo ritengo meno sicuro perché condiviso, se qualche utente dovesse fare qualcosa in particolare e parlo di azioni compromettenti, sarebbe poi difficile risalire a chi le ha realmente compiute

Nel messaggio soprastante lo stesso Giuseppe ti ha spiegato come funziona il CG-NAT e se

freddie993 ma due informazioni le prendo in giro

È comunque descritto in giro che in CG-NAT (come anche se sotto MAP, singolo indirizzo e compagnia) a livello di back-office l'operatore mantiene (e dovrebbe mantenere) per ogni cliente i riferimenti di dove transita il relativo traffico per ogni connessione come indirizzo di destinazione, provenienza, porta, timeframe, durata protocollo (quest'ultimo non sono sicuro) ed eventuali richieste DNS se presenti...diversamente se da un indirizzo (ed in questo caso non basterebbe solamente l'indirizzo ma anche la porta) provenisse un reato/illecito non si saprebbe in nessun modo a chi risalire con questi metodi, e l'ISP ne diventerebbe il responsabile se non certifica che c'è stato un fault o data loss

Faccio un mini OT per curiosità

giusgius ci puoi fare qualche esempio generico di richieste (se intendi richieste da parte delle autorità per reati commessi) ricevute da voi di recente/ultimamente?

freddie993

giusgius
Lo ritengo meno sicuro perché condiviso, se qualche utente dovesse fare qualcosa in particolare e parlo di azioni compromettenti, sarebbe poi difficile risalire a chi le ha realmente compiute, secondo me questo non è un fatto da sottovalutare.

aquathing

freddie993 parlo di azioni compromettenti, sarebbe poi difficile risalire a chi le ha realmente compiute,

Come ti ha spiegato Giuseppe:

giusgius Per noi no, l’assegnazione porte è con determinati range, quindi noi come operatore possiamo ovviamente ricostruire chi è che ha fatto una determinata richiesta in un dato momento.

Le forze dell'ordine chiedono info all'operatore, altrimenti non riescono a risalire a chi è intestata una linea.

mditerli

giusgius Domanda da profano:
Al momento sto utilizzando OpenVpn sulla porta 1194, se per ipotesi l’ISP mi assegnasse un range di porte diverso non potrei utilizzare questa porta, giusto?
(al momento il mio provider mi assegna IP pubblico full stack, era solo per capire come funziona)

Cal

freddie993 questo non è mai stato un problema nel caso di reati veri, e le blacklist sono un problema più per l'ISP che per il cliente.

Lorenzo1635

freddie993 se qualche utente dovesse fare qualcosa in particolare e parlo di azioni compromettenti

Gli stessi identici problemi li hai sul mobile allora

Polaris

freddie993 Fosse così sarebbe un bel problema visto che la rete mobile è quasi completamente strutturata a IP condivisi. Il fatto è che non è così e se non c'è necessità di raggiungere un dispositivo dall'esterno è assolutamente indifferente avere o meno un ip pubblico sulla wan della cpe.

giusgius

freddie993 assolutamente no, per legge l'operatore deve essere in grado di identificare l’utente, ed è proprio grazie all’associazione delle porte che ti dicevo prima che si ricostruisce con assoluta certezza chi è l’utente. Se così non fosse, il CGNAT sarebbe un meccanismo vietato dalla legge, dato che di richieste di questo tipo ne arrivano continuamente

giusgius

_SCtefanOM4_ giusgius ci puoi fare qualche esempio generico di richieste (se intendi richieste da parte delle autorità per reati commessi) ricevute da voi di recente/ultimamente?

Forniscono i dettagli dell’IP e la data e chiedono chi è, semplice 😀

giusgius

mditerli le richieste in uscita puoi farle sempre tutte (ad esempio un sito in HTTPS è sempre sulla 443), il range di porte assegnato riguarda le richieste che fai e dove riceverai la risposta, così che il meccanismo CGNAT sappia a chi girarla

mditerli

giusgius Il server OpenVpn gira su un NAS casalingo nella mia rete locale, quindi suppongo (ma potrei dire una stupidaggine) che la porta 1194 debba essere accessibile dall’esterno, il modem poi la collega all’IP del NAS sulla rete locale quando riceve una richiesta.
Quindi la porta deve cadere nel range assegnato dall’ISP perchè sia accessibile dall’esterno.

giusgius

mditerli se hai ip pubblico il problema non si pone, tutte le porte girano verso di te. Se sei dietro CGNAT hai bisogno che quella connessione venga instaurata dall’interno per poter ricevere una risposta, di default dall’esterno sei bloccato. Nel tuo caso d’uso funziona solo con un pubblico (o in IPv6 che è già pubblico)

Tbon

Se non devi esporre nulla verso Internet, anche io non vedo la necessità.
Dal punto di vista della sicurezza, per l'utente medio è più sicuro. Avere un indirizzo IP pubblico (con un router magari non aggiornato e con qualche vulnerabilità) è molto più rischioso che stare dietro a un CGNAT.
Ormai tutte le applicazioni attraversano bene il CGNAT da anni, quindi anche dal punto di vista operativo non vedo problemi.

gianco122

Si ma è strana la cosa.
Iliad tu rifila l'IP condiviso e poi litighi sul full delle porte.
Ma se vai su un sito e leggi che il privato costa 4 euro al mese e il dinamico 10 una tantum, perché te lo devi litigare?
Al netto della carenza già citata.

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile