[lacnog] IPs publicas bloqueadas.
Mike Burns
mike en iptrading.com
Mar Ago 3 09:56:25 -03 2021
Hi Jordi,
Thanks for your reply.
I did not differentiate between internal and public blacklists because that is irrelevant here.
The original poster did not mention that he was statically mapping ports to customers, I think you are making an assumption here.
NAT444/CGN doesn't require this, and I have no information on the percentage of CGN implementations utilizing static port-to-customer mappings.
Do you?
Ariel did not mention anything about static blacklists in his original post. For all we know, the bank's blacklists are temporary.
I am very doubtful that the number of 464XLAT packets hitting hosts equal the number of packets emanating from CGNs, so the absence of reported 464XLAT problems like this is not dispositive.
Or that the many operators using NAT444 will be switching quickly to anything else, so the concept of segregating problematic traffic to keep part of the block clean is quite valid and interesting.
Can you point me to any public statement of support for a permanent internal blacklist?
I am guessing the Sony statement was old, but I could be wrong.
If you consider the architecture and mostly temporary use of IPv4 addresses in today's Internet, permanent blacklists are counter-productive to the blacklister, as miscreants will naturally rotate into new address blocks, and the permanent listing will only have the effect of blocking normal users. Just as Ariel was feeling the heat from his customers, so will the banks and other permanent blacklisters.
Regards,
Mike
---- On Tue, 03 Aug 2021 08:12:12 -0400 JORDI PALET MARTINEZ vía LACNOG_ <lacnog en lacnic.net> wrote ----
Hi Mike,
That’s why I insisted is not the same as a black-list, even if we name it the same …
I don’t know if PSN (Sony) has publicly said that, but it is a fact, it has been discussed several times in many operator NOGs, including NANOG if I recall correctly.
It is not a “public” blacklist. It is an internal one. Suddenly you realize that PSN connections from IP ranges used in CGN (NAT444) stop working. You try to contact Sony for resolving that, and you never get it resolved until you change the IP range in the CGN.
PSN is an example, I’ve seen several other cases, including financial services (I recall Ariel mention it in the list the other day).
In 464XLAT, the translation is not pre-allocated port blocks to each customer (such as NAT444/CGN DS-Lite, lw4o6, MAP-T and MAP-E), it is a dynamic mechanism. You have the info very well described for all the IPv6-only mechanisms at https://datatracker.ietf.org/doc/draft-ietf-v6ops-transition-comparison/.
Up to now, none of the operators using 464XLAT has observed, any similar issue.
This document is on-going work, but basically is done, if you follow the video of the last week v6ops IETF meeting, you will see that is only pending on some performance measurements before going to the last-call, so I don’t expect major changes in the parts of the text that relate to the difference in the translations.
Saludos,
Jordi
@jordipalet
El 3/8/21 14:04, "Mike Burns" <mailto:mike en iptrading.com> escribió:
Hi Jordi,
In my experience only the crudest of blacklists are static.
Most are dynamic, with blacklist entries aging out over time if the traffic that triggered the listing is no longer present.
This is because those who use blacklists know that ip addresses are generally leased to eyeballs for a limited time, then they go back in the dhcp pool.
Can you provide evidence for your statement below that blacklist entries are permanent?
And can you help me understand why translating into IPv4 via any mechanism before reaching the banks will not lead to those addresses also possibly ending up on a blacklist?
Thanks and regards,
Mike
---- On Tue, 03 Aug 2021 05:01:37 -0400 JORDI PALET MARTINEZ vía LACNOG_ <mailto:lacnog en lacnic.net> wrote ----
Creo que es un caso diferente. Cuando hablamos de CGN (NAT444). En esos casos la solución que tu aplicas con toda seguridad no sirve para nada. Si o si, PSN te bloquea las IPs que tienes en el CGN, y tu usas otras, te las vuelve a bloquear, y así sucesivamente. Jamás las “saca” de la lista negra, y por lo tanto solo te queda una solución: obtener otras IPs – Lógicamente es mas barato desplegar IPv6, siendo además una solución a largo plazo.
Saludos,
Jordi
@jordipalet
Yo soy consultor para varios ISPs y lo manejo de la siguiente manera.
tomemos como ejemplo que usamos 1 /24 completo de publicas para natear
45.1.1.x/24
45.1.1.1 no la usamos
45.1.1.2 - 45.1.1.30 nateamos todo lo que es TCP 21,22,25,587
45.1.1.31 - 45.1.1.50 nateo especiales de algunos sitios en particular.
45.1.1.51 - 45.1.1.254 nateo general de clientes.
Con esto logramos que las ips de navegacion nunca esten contaminadas por ataques smtp, telnet o ssh.
Al hacer esto bajo drasticamente los problemas por listas negras.
Espero les sirva.
Saludos
On Fri, Jul 30, 2021 at 1:02 PM Cesar E. Labrador C. <mailto:cesarlabradorcastro01 en gmail.com> wrote:
Buenos dias;
Aqui en Venezuela particularmente he tenido este mismo problema en diferentes ISP que soy Consultor y Gerente de Operaciones en el NOC, se repite la misma historia y no solo con Nexflix sino con Disney+ entre otras Plataformas de Streaming asi como tambien con el Banking y Apps mas que todas nuevas.
Es un dolor de cabeza constante para el personal de Soporte que al final a nivel del NOC se debe resolver...
Estoy de acuerdo que lo ideal seria la implementacion de IPv6 pero el detalle es la Resistencia al Cambio de los Directivos de los ISP, sin embargo Yo sigo en la lucha para cambiar la cultura del uso de IPv4 e ir migrando al IPv6 a traves de mecanismos de transicion como NAT64 u otros metodos. No es tarea Facil pero hay vamos..
Saludos cordiales...
El 30/7/2021 a las 10:22 a. m., mailto:telecomunicaciones en arcoop.com.ar escribió:
Buenos días. Una consulta que tiene que ver con el tema en cierta forma, hace unos días que estamos teniendo problema con Nexflix, en los usuarios que están detrás de un NAT, después de muchas pruebas he podido comprobar que si asigno al cliente una IP publica todo sale andando, alguien mas tiene ese problema??
saludos
El 30-07-2021 11:14, Fernando Frediani escribió:
Hola
Este es un problema del que he estado hablando y desafortunadamente parece que se está volviendo cada vez más común y también tengo el mismo entendimiento que Ariel donde en escenarios, especialmente CGNAT, con muchas conexiones detrás de una IPv4 pública, puede terminar siendo interpretados como ataques y los sistemas de mitigación DDoS terminan bloqueando estas direcciones, lo que en consecuencia bloquea a muchos otros usuarios detrás de esa misma dirección pública.
El problema es que asignar nuevas direcciones IPv4 a un CGNAT no es tan sencillo, especialmente en tiempos de escasez de IPv4.
Mientras los bancos y el contenido en general sigan descuidando el soporte de IPv6 y mientras esperamos y respetemos pacientemente "la buena voluntad" de que cada uno tenga IPv6 operativo, un intento en los sistemas CGNAT existentes, si compatible, es tratar de difundir a los usuarios tanto como sea posible posible a través de un mayor número de direcciones IPv4 diferentes disponibles en el grupo disponible para el equipo de CGNAT.
Fernando
On 29/07/2021 13:35, Ariel Weher wrote:
Muy buenas tardes
El inconveniente ocurre desde hace unos meses atrás y es cada día más frecuente.
Algunos sitios, principalmente portales de banca online están empezando a filtrar direcciones IP asignadas a cajas de CGN. Aparentemente deben estar basados en alguna fuente de información externa tipo blacklist.
Entiendo que hay alguna consideración de "seguridad" en donde estos bancos determinan que muchas sesiones desde un mismo bloque IPv4 (CGN) es considerado un potencial peligro y deciden filtrarlos. En un principio parecía que se mandaba el tráfico a blackhole, pero durante el último tiempo agregaron una página de error 403 en donde estos bancos informan que el ISP "tiene algún problema en su infraestructura" e invitan a sus clientes a abrir un reclamo con su ISP para poder volver a acceder al servicio de homebanking.
Ninguno de estos portales tiene registros AAAA publicados, por lo que (al momento de escribir este mail) desplegar IPv6 en el ISP no resolvería el problema.
Una solución temporal sería asignar IPv4 nuevas a los CGN o bien asignar bloques IPv4 públicos a los clientes para que puedan acceder a estos portales, pero está claro que luego del agotamiento esto es inviable. Tampoco está claro cuánto dura en el tiempo una asignación dedicada hasta que sea bloqueada nuevamente.
Otro grave problema es que algunos clientes del ISP pueden acceder al servicio y otros no (los CGN-eados), creando un verdadero escenario de "el ISP no anda bien". Personalmente he intentado comunicarme con los responsables de networking de estas organizaciones vía los datos de whois y hasta el momento nunca me respondieron.
IMHO, en caso de que estos portales continúen con estas prácticas, puede pasar que los ISP en conjunto también decidan filtrar para todos sus clientes los sitios que hacen este tipo de mala práctica, y se terminará afectando la neutralidad de la red.
Saludos!
On Mon, Jul 26, 2021 at 8:53 AM Carlos Marcelo Martinez Cagnazzo <mailto:carlosm3011 en gmail.com> wrote:
Hola Leandro
Si pudieras darnos información concreta por privado vemos si desde lacnic podemos hacer algo
Carlos
via https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.58&pv=14.6&source=email_footer_2
On Mon, Jul 26, 2021 at 8:49, Leandro Roggerone <mailto:leandro en tecnetmza.com.ar> wrote:
Buenas, colegas ;
Para comentarles sobre una situacion que se esta repitiendo ultimamente en nuestro ips.
Estamos recibiendo reclamos sobre clientes que no pueden acceder a distintos servicios:
Ej,
Portales privados , apps de pedidos de comida , Home banking , etc.
En la mayoria de estos intentos se devuelven mensajes refiriendose a problemas con nuestras ips.
Les queria consultar si han tenido este inconveniente y como han procedido para solucionarlo.
Desde aqui , ya hemos intentado lo siguiente:
a )Contactar al webmaster de los sitios:
Esto es practicamente imposible, la ayuda en los sitios está referida al sitio en si y no a la conectividad.
b ) Buscar nuestra ip en listas negras , por ejemplo a travez de mxtoolbox.
De aqui he logrado obtener una lista de ips bloqueadas , pero sobre todo para hacer uso de servidores de correo el cual no es mi caso.
Cualquier info que nos pueda ayudar sera bienvenida.
Leandro.
https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215927-1361e986-2592-dc9c-c8d2-3bfb55258755/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail
Libre de virus. https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail
_______________________________________________ LACNOG mailing list mailto:LACNOG en lacnic.net https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215944-1bcc89ef-b287-24fd-c2a0-56a56fb20eae/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215954-4027e3bf-48c7-d329-7516-0fb3921ad776/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/options/lacnog
_______________________________________________
LACNOG mailing list
mailto:LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
_______________________________________________
LACNOG mailing list
mailto:LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
_______________________________________________
LACNOG mailing list
mailto:LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
ARCOOP - Barracuda Spam & Virus Firewall
_______________________________________________
LACNOG mailing list
mailto:LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
--
Cesar E. Labrador C.
Consultor Especialista en Telecomunicaciones y Ciberseguridad.
Enrutamiento en Internet, Ciberseguridad, Gestion de Red: NOC y SOC, Redes Inalambricas.
Instructor Programa de Academias Cisco.
_______________________________________________
LACNOG mailing list
mailto:LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
--
Roberto Boero Mansilla
- Los Nogales 535, Marcos Paz
Buenos Aires | Argentina
+54 (911) 6284-6585
* mailto:jmpoco en somtik.com
 http://www.somtik.com
¡Error! Nombre de archivo no especificado.
_______________________________________________ LACNOG mailing list mailto:LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
_______________________________________________
LACNOG mailing list
mailto:LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20210803/8b818ea3/attachment-0001.htm>
Más información sobre la lista de distribución LACNOG