BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

La red móvil de Movistar completa el despliegue de IPv6. La fibra lo hará antes de fin de año.

Joshua Llorach
IPv6 Movistar

Movistar presenta su red móvil como la primera en España lista para funcionar al 100% con direcciones IPv6. El soporte se ha completado para los terminales Android y la operadora espera que los dispositivos con iOS también reciban este direccionamiento en los próximos meses.

En noviembre del pasado año Movistar decidió que ya era hora, tras décadas de retraso, de plantearse de forma seria asignar a sus clientes direcciones IPv6 a la hora de acceder a internet. Aunque de forma tímida en un primer momento, con el inicio del 2023 el cambio de tendencia se hizo evidente gracias a las gráficas de Apnic que monitorizan el uso de IPv6 en las redes de todo el mundo y que empezaban a acusar un anormal aumento para la red de Telefónica en España. Días después la operadora confirmó oficialmente que su intención era extender las nuevas direcciones IPv6 a toda su red móvil en pocos meses.

IPv6 lista para terminales Android

Hoy Movistar anuncia que este proceso se ha completado1, por lo menos para los clientes que utilizan un dispositivo Android, mientras que los que tienen un móvil iPhone de Apple con iOS tendrán que esperar al último trimestre del año.

Las redes 2G, 3G, 4G y la nueva 5G ya asignan por defecto este direccionamiento para clientes de Movistar y de su segunda marca O2. Eso siempre que se trate de un terminal adquirido a partir de abril de 2021, ya que en caso contrario hay que configurarlo manualmente para que utilice el APN telefonica.es, uno de los dos APN de Movistar. Al parecer, Movistar mantiene su otro APN movistar.es, adecuado para usar desde un router o cuando se requiere IP pública, sólo con direccionamiento IPv4.

La beta IPv6 en la fibra es una de las más complejas

Antes de que finalice el 2023 la red fija de fibra también tendrá que completar el despliegue de IPv6 para todos los clientes. En la actualidad el programa beta con IPv6 en las conexiones FTTH iniciado en febrero continúa su curso y tras algunas dificultades parece que los responsables han conseguido que los diferentes modelos de router HGU, Smart WiFi 6 y de otras marcas funcionen correctamente con Dual Stack.

En el último comunicado enviado a los participantes la operadora admite que esta es una de las betas más complejas que ha ejecutado.

La beta de IPv6 continua, no ha terminado y queríamos preguntar las sensaciones que habéis tenido utilizando Dual Stack (IPv4 + IPv6) hasta ahora. Para ello hemos realizado un pequeño formulario con seis preguntas (y la opción de dejar comentarios para cada una de ellas) que se puede cumplimentar en poco tiempo. Os rogaríamos que nos dierais vuestra opinión. El formulario incluye opcionalmente la posibilidad de enviarnos vuestros comentarios, puntos de mejora, otras betas técnicas que os gustaría realizar, etc.

La beta de IPv6 está siendo una de las más complejas que se han realizado, analizándose desde las interconexiones, el impacto de IPv6 en nuestra la red, sistemas y también el equipamiento doméstico (routers, HGU, etc.). Si bien inicialmente se identificaron muchos puntos de mejora, la situación actualmente parece muy estable. Somos conscientes que varios participantes de la beta estáis todavía a la espera de poder activar IPv6, estamos trabajando en ello y esperamos deciros algo lo antes posible. Una vez que activemos IPv6 en las conexiones que faltan, enviaremos un nuevo cuestionario.

  1. telefonica.es/es/sala-comunicacion/movis…su-red-movil

💬 Comentarios

1
jpsmps

Yo tengo O2, Samsung GLX S8, con el APN telefonica.es (lo acabo de comprobar) y no tengo IPv6

🗨️ 9
Josh

El APN tiene una opción con el tipo de IP, comprueba qué tienes seleccionado.

🗨️ 5
jpsmps

IPv4/IPv6.

Tengo 3 opciones, sólo IPv4, sólo IPv6, o la que tenia puesta de las dos.

jpsmps
1

Acabo de ponerlo manualmente en sólo IPv6, y me ha cogido dirección.

Después lo he pasado otra vez a IPv4/IPv6 y ya me ha cogido las 2 IPs.

La IPv6, sigue siendo totalmente dinámica… en las 2 veces que lo he puesto, me ha salido cifras distintas desde el tercer grupo de bits

Slm
1

En línea de Movistar empresa no me da IPv6 ni forzando en el APN. Me deja directamente sin conexión mientras no vuelva a permitir IPv4.

🗨️ 2
Rorte01

Me pasa lo mismo, al leer el comentario del compañero he forzado a solo IPv6 y me deja sin conexión hasta que vuelvo a permitir IPv4.

🗨️ 1
heffeque

Aquí desde O2 todo bien con IPv6.

La SIM es de hace muchos años, el móvil es un Mi 9T (unos 3 años o así).

Rorte01

A mí me pasa lo mismo, soy de Movistar, tengo un A33 5G (del año pasado), con el APN de Telefónica puesto en IPv4/IPv6 y sigo sin tener IPv6. En mi caso, está activado el conexión segura de Movistar, y creo que leí que tenían que hacer cambios para que fuese compatible. Yo achacaba a eso el no tener IPv6 pero después de leer tú comentario, empiezo a dudar.

🗨️ 2
aalmenar

Si tienes conexión segura, no te funcionará el IPv6. Esto lo indicaron al principio del despliegue y sigue estando vigente. Indicaban al inicio que estaría a finales de año según creo recordar.

🗨️ 1
Rorte01

Si, algo de eso me sonaba haber leido.

lhacc
1

¿Cómo tienen la cara tan dura de decir que han completado el despliegue cuando no funciona en iOS, que es el 25% de los móviles en España?

🗨️ 12
Bocchi94

Fue lo primero que probé al ver el artículo, entré al IPv6 test y vi que no hay soporte. Pensba que era por no tener la última versión de iOS. A ver cuando lo activan pues.

rbetancor

Lo cual es una situación cuanto menos "curiosa" … porque usar o no IPv6 en una conexión móvil, no depende en absoluto del OS del dispositivo … salvo que cierto fabricante, no haya hecho sus deberes …

🗨️ 8
skgsergio

No es el fabricante, es el perfil de la operadora y eso depende de Movistar que es quien envía a Apple la configuración del perfil y tienen deshabilitado explícitamente IPv6 en el. iOS en muchos operadores funciona IPv6 con 0 problemas.

🗨️ 5
rbetancor

Neigh … puedes entrar en el perfil del APN y activar IPv6 … solo que no funciona con iOS … y eso no es culpa de Movistar.

Estamos hablando de un parámetro de negociación de la sesión PPP que no tiene nada que ver con el perfil que envían los operadores.

🗨️ 4
lhacc

Se puede instalar este perfil y funciona perfectamente: He hecho un APN para tener IPv6 de Movistar en iOS - la entrada AllowedProtocolMask es la que determina que se active IPv6 (valor 3)

Y en operadoras de todo el mundo funciona sin necesidad de instalar nada.

Para mí el culpable está bastante claro.

🗨️ 1
skgsergio

Nope, en iOS no puedes cambiar eso. Y te lo digo con un iPhone delante. Como mucho puedes hacer un perfil custom e instalarlo y funciona.

Está desactivado explícitamente en el perfil que provee Movistar para los iPhone a Apple.

PXL_20230608_215811433.MP
🗨️ 1
Xiph

iOS lleva con los deberes echos desde 2010 y Android desde 2011 en.wikipedia.org/wiki/Comparison_of_IPv6…ting_systems

Movistar no ha enviado a tiempo los ajustes de operador para añadirlos en la última actualización ni han enviado los ajustes por su cuenta (que también pueden hacerlo).

🗨️ 1
rbetancor

12 años de retraso y no han mandado un perfil actualizado ¿? … ozuuuuuuuuu … ¡maná de gansos dios!

sergio8o

Yo creo que están troleando y más la fase de pruebas.

Quieren tenerlo todo para el 100° aniversario: IPv6 móvil y fijo, 0% clientela cobre, el apagón 3G, etc.

No olvidemos que Telefónica ha pedido cerrar el 2G en España en 2025 para vender mucho IoT que sustituya toda la M2M.

🗨️ 1
Rorte01

Podría ser, pero ¿los 100 años no los cumplen el año que viene? Me suena que es en 2024 y si es así, ya pueden correr, sobretodo con lo del 3G.

Bocchi94
3

Viendo las estadísticas en APNIC el tráfico ha subido bastante desde el principio del despliegue en enero pero tampoco es muy alto:

2023-06-08_12-30
JGeek00
7

Esperemos que den opción de prefijo fijo para IPv6 en FTTH. No será porque no hemos dado la matraca en el foro de la beta… IPv6 con prefijo dinámico no sirve para nada

🗨️ 4
Estherilla

Completamente de acuerdo.

Klendathu

Pregunta seria: ¿Costaría mucho que las operadores dieran dos prefijos?

Uno automático, que sea dinámico, el oficial. Por motivos de privacidad.

Y otro manual, estático, lo implementas en tu red si quieres. La operadora te lo enruta sin problemas aunque no te lo haya anunciado. Lo conoces porque al darte de alta te lo han suministrado en el e-mail de bienvivida, como por ejemplo los datos APN del móvil: "toma, cliente, este es nuestro APN, haz lo que quieras con esto".

🗨️ 2
JGeek00

Nada. Un toggle en el panel de usuario web o un toggle que la teleoperadora de turno active cuando llames.

🗨️ 1
Klendathu

Entonces toca pensar mal: será un añadido "plus" opcional con 5€ de precio mensual.

delegao

¡Ya era hora! A ver si así los demás se dan por aludidos.

BocaDePezz

Me tenéis asustado con tanta adoración por IPv6 y demandar su implantación.

Los dispositivos en la red local conectados a internet con IPv6 técnicamente pasan a ser parte de internet, todo es internet. Es una regla en el cortafuegos del router la que crea una separación, hasta que dicho cortafuegos se cae, -o lo tumban pongamos con un buffer overflow-, y esos dispositivos con acceso a internet vuelven a ser parte de internet, y de la red del atacante; son trazables sin ningún tipo de interferencia desde internet. Es mas, algunos solo se darán cuenta de que les han tumbado el cortafuegos cuando la cosa se vuelva cantosa y medio internet esté pululando por su máquina.

Si se hubiera incorporado NAT en las especificación IPv6, y tumbaran el cortafuegos, pese a que no fuera diseñado para ello NAT seguiría haciendo de barrera filtrando puertos no abiertos y paquetes no solicitados, es mas, ningún ataque trataría de buscar tumbar NAT (ni el cortafuegos, si va por software), porque sería sinónimo de no poder acceder al objetivo, un perder el tiempo ya que básicamente se estaría provocando un homologo a un DOS.

Espero tengáis unos buenos cortafuegos sin bugs en cada dispositivo conectado a internet, desde el reloj de cocina que será vendido como el IoT nova-más hasta la aspiradora o la domótica de la casa, puesto que estos se van a quedar, perdón por la expresión, en pelotas, y una vez obtengan acceso a uno de estos dispositivos, que no me vendan las direcciones de enlace-local ni nada de eso, todo en pelotas (con perdón).

Mientrastanto uso cuanto pueda IPv4, y voy haciéndome a la idea de que cuando la masa crítica nos arrastréis a los demás a IPv6, tendré que comprarme un router con NAT para IPv6 (NAT64 o algo similar) y perder la opción de acceso al teléfono, ya que la operadora no tengo claro si me facilitará el SIP VoIP, aunque para ese momento lo mismo me planteo ir a operadora que me si lo dé. En fin, soltar pasta, me cag** en t***

Y así estamos algunos, viendo lo contenta que se pone la gente al obtener un ID único para cada uno de sus dispositivos, llamado IPv6 para unos, sueño dorado telemétrico para otros. Particularmente me niego a hacer apuestas de cuantos meses tardará en crearse y actualizarse en el router el parche del bug que tumbó masivamente el cortafuegos de la peña la última vez, porque la cosa no hace nada de gracia. No me queda mas que mover la cabeza lentamente hacia abajo gestionando un no, no, no… no puede ser que nos la hayan colado tan fácilmente. En fin, pesimismo por mi parte a lo que viene.

🗨️ 21
aalmenar
5

Internet nunca se diseñó con NAT en mente. Pensar que NAT es seguridad demuestra un alto desconocimiento. El saltárselo es posible y está más que demostrado. Aunque uses NAT debes tener un cortafuegos, con IPv6 quitas el NAT que no da más que problemas.

Con respecto a la privacidad, IPv4 no aporta más. Al fin y al cabo aunque la compartas tienen un perfil exacto de tu IP, dispositivo etc no es que el rastreo sea únicamente por la IP… Con IPv6 tienes las extensiones de privacidad que la gran mayoría de equipos implementan y la dirección se va cambiando cada x tiempo por lo que lo que indicas del rastreo… pues complicado.

Ya cuando me siente en el ordenador contestaré más a estas afirmaciones que son muchas falacias por desconocimiento y estás más que demostradas.

Salu2

🗨️ 17
skgsergio

Iba a responder yo algo en las mismas líneas que tú, pero me ha dado muuuucha pereza.

Mis dispositivos en casa que usan SLAAC están rotando direcciones. También usan DHCPv6 que al final es como DHCP.

Solo tengo algunas IPv6 reservadas/fijas en el DHCPv6 para algunos dispositivos a los cuales permito tráfico a unos puertos.

BocaDePezz

Pues no estoy del todo convencido de que sean "clichés" (rbentacor ha estado fino ahí, creo es mas apropiado), pero ya que estás (no hay prisa, usa el finde si quieres), o para los otros que han comentado, tengo varias preguntas, que he orientado a respuestas "si" o "no" para los que le den muuuuuucha pereza como a skgsergio.

Parte1, para mí esencial, es la base de todo.

  • Si se tumba el cortafuegos de un router IPv6, ¿Se quedan todos los dispositivos con conexión a internet al descubierto sin mas barreras que las que ellos mismos posean? trata de responder con "si" o "no" al principio al menos.
  • ¿Son habituales los bugs que provocan la caída del propio cortafuegos con un ataque? si o no please.

(no me refiero a los de obtención de permisos de ejecución remota ni similar, hablo de los mas comunes, los que un paquete malintencionado provoca la caída del cortafuegos).

Parte2:

Ciertamente internet no se diseñó con NAT en mente, pero sin quererlo, su introducción nos hizo a todos un gran favor, ya que por mucho que nos haya provocado dolores de cabeza intentando abrirle puertos para algunas aplicaciones, desde el exterior han tenido los mismos dolores de cabeza para intentar sobrepasarlo.

  • Los agujeros en NAT de los que hablas, ¿ dejan expuestos a todos los dispositivos con conexión a internet? (si o no por favor). Esos agujeros que aún no han sido parcheados ¿Para usarlos hay que invitar al usuario a visitar una url maliciosa (iniciar la comunicación) para proceder con el ataque, que puede ser realizado únicamente contra la IP de esa máquina?, si o no por favor.
  • Antes no hablaba de NAT sin cortafuegos, me refería a que la mayoría de los NAT domésticos van por software (poco hardware NAT) , mayormente usando reglas en los cortafuegos, así que si se tumba el cortafuegos, ¿las reglas NAT dejan simplemente de funcionar y la red local es inalcanzable? responde si o no por favor.

Parte3, que va destinada a complementar la Parte 1:

  • Mikrotik, un conocido fabricante de routers con dedicada atención a la seguridad, ¿Sufre periódicamente de bugs que permiten a ataques tumbar el cortafuegos? si o no por favor.
  • Los operadores, ¿Crees que van a tener menor, igual o mayor dedicación en desarrollar y mantener en constante revisión el software de los routers? ¿Los solucionarán a la misma velocidad? si o no por favor.

Parte4 y final, ya casi está:

En cuanto a la privacidad, ¿el operador el que otorga el subrango IPv6 que puede usar localmente el usuario?

Comentas que "la gran mayoría" (no estoy tan seguro) de los equipos implementan rotar entre ese rango asignado, pero aún así, durante ese día/s asignados ya está indicando que, pongamos, dos máquinas distintas están accediendo a X recurso, un servidor de DNS, una web, o un buscador mejor aún, es decir, ¿Esto implica mayor o menor trazabilidad que IPv4?

A mi la parte 1 me tiene cabreado porque me tendré que comprar equipo si me fuerzan a usar IPv6 , pero antes de llegar ahí estuve bastante preocupado.

🗨️ 3
rbetancor

Las respuestas que pides:

1-1 No

1-2 No

2-1-1 Si

2-1-2 No

2-1-2 La pregunta está mal plateada.

3-1 No

3-2 La pregunta está mal planteada. Los operadores nunca han desarrollado el software de los routers/fw

4-1 No entiendo la pregunta

4-2 Mismo nivel de trazabilidad en IPv4

No has pedido desarrollo de las respuestas, así que vas a recibir lo que has pedido.

🗨️ 2
BocaDePezz

Aham, tranquilo, respuestas condescendientes no son bienvenidas, más si mienten del mismo modo que se me ha acusado. queda todo dicho entonces. Programemos una pasada por aquí cinco años después de que se estandarice IPv6 entre los usuarios el tipo de noticias que van a acabar en portada.

2-1-1 Si

2-1-2 No

Slipstreaming? Para poder ejecutar ambas versiones de Slipstreaming es necesario que los servicios ALG del router estén activados, visitar la url maliciosa, que necesita tener activado javascript en una página desconocida, y cuya ejecución hace saltar el popup de ejecución lenta, y si se ignora y se deja seguir (no recomendable, y si es un intento de ataque a la memoria?), en ese tiempo el cortafuegos del sistema operativo ya se ha vuelto loco con avisos de peticiones de acceso del navegador a la red local con puertos variopintos. Aunque hoy en día no llega a eso, los navegadores han bloqueado llamadas a los puertos ALG, y WebRTC ya no da información local como antes.

Comenté que no estuviera parcheado, pero ok, al menos resume al tipo de ataque debe recurrirse, tratar de abrir puertos desde dentro. Nada, nada, a ver que tal os va con el firewall sin un NAT6. Aquí os quedáis.

lhacc

3-2 es buscarle tres pies al gato, se ha entendido que se refería a que el ISP contacte con xing xong xiao pao y pedirles que desarrollen la actualización. Y la respuesta es que tendrías suerte si el ISP lo hace, ya que ya hemos visto montones de cpes arrastrando bugs simples durante años.

lhacc

Internet nunca se diseñó para tener mil dispositivos conectados en cada hogar, cada uno más desactualizado que el anterior. Tampoco se diseñó pensando que quien conectaría los dispositivos a internet tendría pocos conocimientos técnicos o simplemente ningún conocimiento. ¿Seguimos?

Direccionar dispositivos directamente al lado de la WAN es una malísima idea lo mires por donde lo mires. IPv6 hace eso. Fiarte del firewall del cpe de una operadora es una terribilísima idea.

Por cierto, según tu Twitter, que tienes en tu perfil, trabajas en esto, y tienes intereses en ello. Deberías decirlo antes de escribir respuestas, ya que no es honesto.

🗨️ 11
skgsergio
1

Sobre NAT y el amigo UPnP

NAT es el causante de que muchos fabricantes de dispositivos se tomen la seguridad a chiste ("total, nunca voy a estar expuesto directamente") y luego pase lo que pase. NAT nunca debería usarse como medida de seguridad y NAT es causante de problemas para muchos casos de uso.

El parche para NAT en algunos casos es UPnP (por ejemplo en consolas y videojuegos es ampliamente usado) y este ha sido problemático en muchos casos, desde CPEs que lo exponen a internet y permiten a atacantes direccionar puertos externos a puntos arbitrarios internos.

Sobre Firewalls en CPEs

Respecto al firewall… la inmensa mayoría de CPEs por no decir todos son Linux y usan o iptables o nftables y estos mecanismos están a nivel del stack de red del kernel no es un proceso que se muera y deje de filtrar.

¿Que puede tener exploits que puedas manipular reglas? Es un software aunque sea a nivel de kernel y todo puede ser posible, pero debido a la exposición que tiene como mucho tiene que ser por overflows y en esos overflows no es fácil colar un payload que manipule reglas o borre todas y deje un allow all por defecto ya que para ser super eficiente se miran ciertos campos de cabeceras y demás que tienen tamaños conocidos y el kernel no va a leer de más.

El riesgo de que estos firewalls caigan y dejen pasar es nulo prácticamente o y que sean manipulables es muy muy bajo. Y como estos firewalls son {nf,IP}tables tienen millones de ojos encima ya que funcionan en demasiados sitios.

La mayoria de problemas pueden venir dados de que el CPE no venga con un deny por defecto, que es un fallo de configuracion como muchos otros que han tenido los fabricantes de CPEs.

Spoiler: se usa lo mismo para NAT

¿Os cuento un secreto? En los CPEs la apertura de puertos va también por {IP,nf}tables. Y UPnP si es un daemon corriendo y con muchos menos ojos encima que {IP,nf}tables.

¿Seguridad en CPEs?

Si no te fias del firewall para IPv6, no te fies absolutamente de nada de un CPE. Y pon algo que te de confianza ya que el firewall de IPv6 suele ser el menor causante de los problemas de seguridad de los CPEs.

🗨️ 3
lhacc

Te ríes de UPnP porque permite redirigir puertos y tu solución es… IPv6, que mantiene abiertos todos los puertos de todos los dispositivos a la vez :D

iptables → si vacías la lista de reglas (un failure mode muy común), en IPv4, todos los dispositivos quedan inaccesibles desde la WAN. Si haces lo mismo en IPv6, todos los dispositivos quedan accesibles. Imagina cuál opción prefiero.

🗨️ 2
skgsergio
1
🗨️ 1
lhacc
aalmenar

una cosa es que trabaje con ellos y otra que como dices tenga “intereses”. Si trabajo con ello. Si llevo usándolo desde hace más de 10 años. No no tengo ningún “interés” como planteas. Simplemente me parece que la cantidad de parches que se han puesto sobre IPv4 para que funcione la internet que hoy conocemos no son más que arreglos para evitar usar un direccionamiento más grande y que solvetaria los problemas en gran medida. Fíjate algo simple en una red IPv4… hoy en día cualquier operadora grande tiene más de 15mm de clientes. con IPv4 no es tan sencillo por que el espacio privado es menor. Por lo tanto usan direcciones públicas, por lo tanto toca en casita en muchos casos (no hablo de solo españa) usar CG-NAT. Y en este foro precisamente CG-NAT no es que sea muy querido. Piensa que esto sucede en todos y cada uno de los países del mundo.

🗨️ 3
lhacc

Y en este foro precisamente CG-NAT no es que sea muy querido.

En este foro lo que se dice es que a la aplastante mayoría de usuarios el CG-NAT no les afecta en nada.

🗨️ 2
aalmenar
🗨️ 1
lhacc
aalmenar
1

Internet nunca se diseñó para tener mil dispositivos conectados en cada hogar, cada uno más desactualizado que el anterior. Tampoco se diseñó pensando que quien conectaría los dispositivos a internet tendría pocos conocimientos técnicos o simplemente ningún conocimiento. ¿Seguimos?

Precisamente por esto es preciso implementar una nueva tecnología de direccionamiento IP. La cantidad de dispositivos sigue creciendo y simplemente no caben para todos los casos. Y aunque entraran todos los dispositivos, la cantidad de puertos disponibles para comunicación tiene un limite de 64K por lo que el problema lo tendrás en ese momento (Cosa que ya sucede con el CG-NAT, ya que hay una cantidad finita de puertos y se asigna usualmente unos 2000 por cliente con lo que en el momento que haya mas de 3 ordenadores navegando ya se habrá saturado (Y esto sin contar si utilizas torrents etc que requieren de aun más puertos.)

Direccionar dispositivos directamente al lado de la WAN es una malísima idea lo mires por donde lo mires. IPv6 hace eso. Fiarte del firewall del cpe de una operadora es una terribilísima idea.

Los dispositivos no se direccionan desde el lado de la WAN, esto demuestra un desconocimiento absoluto. La WAN tiene un direccionamiento y la LAN otro totalmente distinto. Es un routing de cajon como se hace en toda la internet para que se interconecte. NAT simplemente añade el enmascaramiento pero es un routing por lo que saltárselo es posible perfectamente sin un cortafuegos.

Por cierto, según tu Twitter, que tienes en tu perfil, trabajas en esto, y tienes intereses en ello. Deberías decirlo antes de escribir respuestas, ya que no es honesto.

No es muy honesto tampoco invalidar la opinion de una persona, sobre todo viendo que tiene contrastado conocimiento con el tema, y después argumentar una falacia de "como tienes intereses" como has contestado, sin conocerme y sin tener una prueba de carga mayor.

🗨️ 2
lhacc

Los dispositivos no se direccionan desde el lado de la WAN, esto demuestra un desconocimiento absoluto. La WAN tiene un direccionamiento y la LAN otro totalmente distinto. Es un routing de cajon como se hace en toda la internet para que se interconecte. NAT simplemente añade el enmascaramiento pero es un routing por lo que saltárselo es posible perfectamente sin un cortafuegos.

Eing? Me vas a decir que una vez se delega un prefijo a un cpe mediante pd y un dispositivo dentro de una LAN elige una IP dentro de ese prefijo ese dispositivo no es totalmente rutable desde la WAN?

No es muy honesto tampoco invalidar la opinion de una persona, sobre todo viendo que tiene contrastado conocimiento con el tema, y después argumentar una falacia de "como tienes intereses" como has contestado, sin conocerme y sin tener una prueba de carga mayor.

No te gustará lo que he dicho pero deshonesto no es. Yo no me dedico a esto, así es que no tengo intereses comerciales.

🗨️ 1
rbetancor

Umm … mejor lo dejamos en que tienes muchos "clichés" en mente, que no son del todo correctos.

El IPv6, cuando se implementa correctamente, no es que te haga mejor el café o te lave la ropa más blanca … pero sí que te quita de encima muchiiiiiiiiiiiiiiiiisimos problemas de los que hoy en día sufrimos.

aalmenar
1

Me tenéis asustado con tanta adoración por IPv6 y demandar su implantación.

No te preocupes. No tienes que temer a lo que no conoces, simplemente documentarte e informarte para poder comprenderlo mejor.

Los dispositivos en la red local conectados a internet con IPv6 técnicamente pasan a ser parte de internet, todo es internet. Es una regla en el cortafuegos del router la que crea una separación, hasta que dicho cortafuegos se cae, -o lo tumban pongamos con un buffer overflow-, y esos dispositivos con acceso a internet vuelven a ser parte de internet, y de la red del atacante; son trazables sin ningún tipo de interferencia desde internet. Es mas, algunos solo se darán cuenta de que les han tumbado el cortafuegos cuando la cosa se vuelva cantosa y medio internet esté pululando por su máquina.

El que el firewall caiga por un buffer y se mantenga todo funcionando corrrectamente sin problemas es bastante poco probable. La respuesta que da mas abajo @skgsergio me parece muy clara y acertada.

Si se hubiera incorporado NAT en las especificación IPv6, y tumbaran el cortafuegos, pese a que no fuera diseñado para ello NAT seguiría haciendo de barrera filtrando puertos no abiertos y paquetes no solicitados, es mas, ningún ataque trataría de buscar tumbar NAT (ni el cortafuegos, si va por software), porque sería sinónimo de no poder acceder al objetivo, un perder el tiempo ya que básicamente se estaría provocando un homologo a un DOS.

Como indicaba anteriormente, el NAT no garantiza absolutamente nada en el acceso desde el exterior sin un cortafuegos. Por lo tanto todo lo que continúa después de esa afirmación podríamos decir que esta basado en una premisa incorrecta.

Espero tengáis unos buenos cortafuegos sin bugs en cada dispositivo conectado a internet, desde el reloj de cocina que será vendido como el IoT nova-más hasta la aspiradora o la domótica de la casa, puesto que estos se van a quedar, perdón por la expresión, en pelotas, y una vez obtengan acceso a uno de estos dispositivos, que no me vendan las direcciones de enlace-local ni nada de eso, todo en pelotas (con perdón).

Esto no es necesario, con que tengas un buen cortafuegos es suficiente.

Mientrastanto uso cuanto pueda IPv4, y voy haciéndome a la idea de que cuando la masa crítica nos arrastréis a los demás a IPv6, tendré que comprarme un router con NAT para IPv6 (NAT64 o algo similar) y perder la opción de acceso al teléfono, ya que la operadora no tengo claro si me facilitará el SIP VoIP, aunque para ese momento lo mismo me planteo ir a operadora que me si lo dé. En fin, soltar pasta, me cag** en t***

NAT64 solo se utiliza cuando tu red es puramente IPv6, no tienes ningún direccionamiento de IPv4 y se utiliza para acceder a direcciones IPv4 desde una red puramente IPv6, precisamente hace lo contrario a lo que esperas.

Y así estamos algunos, viendo lo contenta que se pone la gente al obtener un ID único para cada uno de sus dispositivos, llamado IPv6 para unos, sueño dorado telemétrico para otros. Particularmente me niego a hacer apuestas de cuantos meses tardará en crearse y actualizarse en el router el parche del bug que tumbó masivamente el cortafuegos de la peña la última vez, porque la cosa no hace nada de gracia. No me queda mas que mover la cabeza lentamente hacia abajo gestionando un no, no, no… no puede ser que nos la hayan colado tan fácilmente. En fin, pesimismo por mi parte a lo que viene.

Como comentaba en mi otro post, las extensiones de privacidad van rotando una de las 2 IPv6 que elige el dispositivo al generarlas por SLAAC. Estas extensiones (rfc-editor.org/rfc/rfc4941) están definidas hace mucho tiempo y la gran mayoría de las implementaciones de IPv6 las implementa. La rotación aunque su valor por defecto sea de 1 día, la de apple por ejemplo rota cada menos tiempo y es tan sencillo como reconectar a la red para que cambie por otro valor totalmente aleatorio. Es mayor el seguimiento que se hace por cookies, fingerprinting etc que por las direcciones IP.

aliveintheseptictank

IPv6 no implica menos seguridad, debes informarte más sobre el tema. NAT es un parche y ojalá desaparezca

drope95

Que mejora tiene respecto la IPv4?

🗨️ 3
Klendathu
-1

¿IPv6? Una muy simple: volver a la Internet horizontal primigenia. Si quieres.

La Internet actual sin IPv6 es como vivir en una pandemia mundial con toque de queda y mascarilla. Y con IPv6 es como vivir en una postpandemia sin restricciones: un tipo de personas siguen en ese estado psicosocial anterior y de ese marco no salen. El NAT es la mascarilla del IPv6.

A nivel técnico, por ejemplo: para colgar cuatro fotos en una red social tampoco se necesita IPv6 pero para IoT es básicamente imprescindible.

🗨️ 2
drope95
1

Entiendo, ¿la policia sabía que asuntos internos les tendían una trampa?

🗨️ 1
Klendathu

Usted disculpe, caballero, pero es que ya se ha dicho mil millones de veces que el problema principal es la falta de direccionamiento en IPv4 y los parches que hay que hacer para solventarlo. Hay que explicarlo con colorines. Y ni así.

1