[ITNOG] R: R: IPv6, anyone ?

Andrea Costantino costan@amg.it
Gio 18 Ott 2018 14:57:15 CEST


Ciao a tutti,

 

un po’ di considerazioni che mi vengono in ordine sparso.

 

*	IPv6 è male per la sicurezza di utenti finali, se il loro “CPE” è aperto a cozza.. abbiamo ancora un minimo di decenza sull’esplosione di ADSL solo perché al momento le uniche cose visibili da fuori dell’utente tipo sono il modem  - che magari è pure sfondato, ma comunque non contiene dati troppo sensibili (tranne caso della fonia) – e gli eventuali NAT impostati dall’utente

 

*	NAT/CGNAT sta ampiamente sulle scatole ai vari reparti di indagine, ma la maggior parte di chi decide le norme non sa che IPv6 sarebbe una soluzione.. probabilmente chi lo capisce all’interno e chi ha potere di parola sono due gruppi completamente disgiunti.. forse basterebbe fare un po’ di lobby, se non fosse che poi fanno la legge e ti prendi i costi ma nessun aiuto

 

*	Sempre sul tema, le indagini sono spesso risolte dall’intercettazione audio (telefonica o ambientale), dai metadati (posizione, numero chiamato, SIM ed IMEI associato (giuro, so di un caso di omicidio risolto da questo)) e quasi mai dall’indagine sul traffico internet, anche perché spesso è crittato e quindi il mero collegamento senza la traccia che associa al reato, serve a poco. Quando c’è proprio bisogno di questo, usano robe tipo hackingteam direttamente sull’apparato utente, e quindi NAT, cifratura e quant’altro non sono più un problema

 

*	Aziende e IPv6.. ancora l’IT pensa che per IPv6 devi rinumerare il DC.. dualstack ignoto, reverse proxy mai visto.. per risolvere il problema alla radice basterebbe abilitare i servizi esposti in IPv6 su reverse proxy/bilanciatori/Frontend, e mettere le righe IPv4 del firewall perimetrale in IPv6.. poi con calma puoi decidere se e quando fare i client interni, ma almeno da fuori sei IPv6 ready. Per le chiamate dal DC in uscita, solo chi deve uscire si mette anche l’IPv6 in dualstack, magari, e così hai ancora più controllo.. ma vaglielo a spiegare

 

*	ISP.. ho abilitato il frontend di una telco qualcosa come 4-5 anni fa su 2 main POP. I DNS vanno in IPv4/IPv6 in modo trasparente, fanno DNS64 e i firewall sono in grado di fare NAT64 in accoppiata al DNS64. Il trial è andato da dio, salvo i problemi client con IPv6 only (Windows andava benino, Android e iOS erano una piaga, serviva forse un 464XLAT per essere usabili).. da quel giorno neanche un utente ha preso IPv6 per problemi “dell’ultimo miglio”, nel frattempo sui link di transito IPv6 c’è a si e no, il terzo main POP non ha IPv6 in toto e le fusioni non hanno fatto che peggiorare le cose.. 

 

*	La verità comunque è che in un paese in cui a chi capisce non si da alcuna possibilità di parola e chi decide non ne capisce niente ma ha la pretesa di proclamarsi esperto, finché la gente riuscirà a guardare youtube/netflix/partite, porno e qualche sitarello di ecommerce, a connettersi all’ufficio con teamviewer (con buona pace di chi fa security, le VPN chi le ha viste mai), a prenotarsi le vacanze low cost e incontrare gente con $SOCIAL_A_CASO, non fregherà niente a nessuno..

 

Fate un sito o – meglio – app IPv6 only, mettetegli un’aura di esclusività, qualche festa, qualche regalo stupido e un po’ di calcio gratis e vedi come IPv6 lo fanno implementare a tutti in una settimana..

 

 

Ciao,

A.

 

 

Da: itnog <itnog-bounces@lists.itnog.it> Per conto di Marco Paesani
Inviato: giovedì 18 ottobre 2018 12:51
A: Massimiliano Stucchi <max@stucchi.ch>
Cc: itnog@lists.itnog.it
Oggetto: Re: [ITNOG] R: IPv6, anyone ?

 

Massimiliano,

in pratica non c'è nessun problema tecnico ma solo di volontà.

Che l'IPv6 sia:

- indispensabile per IoT

- assai utile per il 5G e mobile

- più performante del IPv4

- più idoneo per la gestione QoS

- più facile da installare per i clienti

- già utilizzato da tutti gli OTT mondiali

- già utilizzato da tutti i produttori sistemi operativi fissi e mobili

- migliore per QoE del cliente

 

..... in pratica il futuro, che sicuramente noi italiani non possiamo modificare.

 

In breve:

1.	cosa c'è da fare ? ........... IMPLEMENTARLO
2.	quando ? .........SUBITO

Non dimentichiamoci che è anche una grande opportunità di business e di riqualificazione professionale del nostro settore.

Anche perché inizia ad essere già "vecchio" perché sono quasi 20 anni che esiste.

Lo configuriamo questo IPv6 ?

 

 

Il giorno gio 18 ott 2018 alle ore 12:27 Massimiliano Stucchi <max@stucchi.ch <mailto:max@stucchi.ch> > ha scritto:


Ciao,

On 18/10/2018 11:55, Livio Morina wrote:
> In Belgio NON c'è una legge impositiva, ma un 'patto d'onore' tra operatori e forze dell'ordine.
> Mi pare che di fatto il NAT non avvenga per numeri maggiori rispetto ad 1:16.
> Se però usano 1:17, non si viola alcuna legge

L'ultima volta che ho parlato con degli operatori Belgi, quel 16:1 era
per legge.  Dubito che sia cambiato nel frattempo.

C'e' anche da dire che il balzo del Belgio e' successo prima che ci
fosse questa imposizione.

La realta' del Belgio e' che ci sono le due diverse "fazioni"
(Fiamminghi e Valloni) che hanno cercato reciprocamente di "fare prima",
il che ha portato i due maggiori ISP (ovviamente, uno Fiammingo e
l'altro Vallone) a fare a gara.  Il risultato e' quello che si vede dai
numeri di Google, Facebook ed Akamai.

> Questa strada può essere percorsa, ma se i "grossi del NAT" Italiani se ne fregano, i numeri non risulterebbero importanti.
> Sarebbero comunque un segnale forte

Quanto tempo ci vorrebbe per introdurre un simile obbligo in Italia ?
Come verrebbe tenuta sotto controllo la cosa e come faresti a stabilire
le sanzioni ?

-- 

Massimiliano Stucchi
MS16801-RIPE


-- 
Mailing list info: http://lists.itnog.it/listinfo/itnog




 

-- 

 

Marco Paesani

 

  <https://docs.google.com/a/paesani.it/uc?id=0B8Pjoo-dtmQtd1h1S3d4aHdRM1E&export=download> 

Skype: mpaesani
Mobile: +39 348 6019349
Success depends on the right choice !
Email:  <mailto:marco@paesani.it> marco@paesani.it

 

-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.itnog.it/pipermail/itnog/attachments/20181018/5d884d78/attachment.html>


Maggiori informazioni sulla lista itnog