[lacnog] IPs publicas bloqueadas.

Fernando Frediani fhfrediani en gmail.com
Vie Jul 30 11:14:23 -03 2021 

Hola

Este es un problema del que he estado hablando y desafortunadamente 
parece que se está volviendo cada vez más común y también tengo el mismo 
entendimiento que Ariel donde en escenarios, especialmente CGNAT, con 
muchas conexiones detrás de una IPv4 pública, puede terminar siendo 
interpretados como ataques y los sistemas de mitigación DDoS terminan 
bloqueando estas direcciones, lo que en consecuencia bloquea a muchos 
otros usuarios detrás de esa misma dirección pública.
El problema es que asignar nuevas direcciones IPv4 a un CGNAT no es tan 
sencillo, especialmente en tiempos de escasez de IPv4.

Mientras los bancos y el contenido en general sigan descuidando el 
soporte de IPv6 y mientras esperamos y respetemos pacientemente "la 
buena voluntad" de que cada uno tenga IPv6 operativo, un intento en los 
sistemas CGNAT existentes, si compatible, es tratar de difundir a los 
usuarios tanto como sea posible posible a través de un mayor número de 
direcciones IPv4 diferentes disponibles en el grupo disponible para el 
equipo de CGNAT.

Fernando

On 29/07/2021 13:35, Ariel Weher wrote:
> Muy buenas tardes
>
> El inconveniente ocurre desde hace unos meses atrás y es cada día más 
> frecuente.
>
> Algunos sitios, principalmente portales de banca online están 
> empezando a filtrar direcciones IP asignadas a cajas de CGN. 
> Aparentemente deben estar basados en alguna fuente de información 
> externa tipo blacklist.
>
> Entiendo que hay alguna consideración de "seguridad" en donde estos 
> bancos determinan que muchas sesiones desde un mismo bloque IPv4 (CGN) 
> es considerado un potencial peligro y deciden filtrarlos. En un 
> principio parecía que se mandaba el tráfico a blackhole, pero durante 
> el último tiempo agregaron una página de error 403 en donde estos 
> bancos informan que el ISP "tiene algún problema en su 
> infraestructura" e invitan a sus clientes a abrir un reclamo con su 
> ISP para poder volver a acceder al servicio de homebanking.
>
> Ninguno de estos portales tiene registros AAAA publicados, por lo que 
> (al momento de escribir este mail) desplegar IPv6 en el ISP no 
> resolvería el problema.
>
> Una solución temporal sería asignar IPv4 nuevas a los CGN o bien 
> asignar bloques IPv4 públicos a los clientes para que puedan acceder a 
> estos portales, pero está claro que luego del agotamiento esto es 
> inviable. Tampoco está claro cuánto dura en el tiempo una asignación 
> dedicada hasta que sea bloqueada nuevamente.
>
> Otro grave problema es que algunos clientes del ISP pueden acceder al 
> servicio y otros no (los CGN-eados), creando un verdadero escenario de 
> "el ISP no anda bien". Personalmente he intentado comunicarme con los 
> responsables de networking de estas organizaciones vía los datos de 
> whois y hasta el momento nunca me respondieron.
>
> IMHO, en caso de que estos portales continúen con estas prácticas, 
> puede pasar que los ISP en conjunto también decidan filtrar para todos 
> sus clientes los sitios que hacen este tipo de mala práctica, y se 
> terminará afectando la neutralidad de la red.
>
> Saludos!
>
> On Mon, Jul 26, 2021 at 8:53 AM Carlos Marcelo Martinez Cagnazzo 
> <carlosm3011 en gmail.com <mailto:carlosm3011 en gmail.com>> wrote:
>
>     Hola Leandro
>
>     Si pudieras darnos información concreta por privado vemos si desde
>     lacnic podemos hacer algo
>
>     Carlos
>
>     via Newton Mail
>     <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.58&pv=14.6&source=email_footer_2>
>
>     On Mon, Jul 26, 2021 at 8:49, Leandro Roggerone
>     <leandro en tecnetmza.com.ar <mailto:leandro en tecnetmza.com.ar>> wrote:
>
>         Buenas, colegas ;
>         Para comentarles sobre una situacion que se esta repitiendo
>         ultimamente en nuestro ips.
>         Estamos recibiendo reclamos sobre clientes que no pueden
>         acceder a distintos servicios:
>         Ej,
>         Portales privados , apps de pedidos de comida , Home banking ,
>         etc.
>         En la mayoria de estos intentos se devuelven mensajes
>         refiriendose a problemas con nuestras ips.
>         Les queria consultar si han tenido este inconveniente y como
>         han procedido para solucionarlo.
>         Desde aqui , ya hemos intentado lo siguiente:
>         a )Contactar al webmaster de los sitios:
>         Esto es practicamente imposible, la ayuda en los sitios está
>         referida al sitio en si y no a la conectividad.
>         b ) Buscar nuestra ip en listas negras , por ejemplo a travez
>         de mxtoolbox.
>         De aqui he logrado obtener una lista de ips bloqueadas , pero
>         sobre todo para hacer uso de servidores de correo el cual no
>         es mi caso.
>
>         Cualquier info que nos pueda ayudar sera bienvenida.
>         Leandro.
>
>
>
>
>         <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215927-1361e986-2592-dc9c-c8d2-3bfb55258755/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
>         	Libre de virus. www.avast.com
>         <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
>
>
>
>         _______________________________________________ LACNOG mailing
>         list LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>         mail.lacnic.net/mailman/listinfo/lacnog
>         <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215944-1bcc89ef-b287-24fd-c2a0-56a56fb20eae/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/listinfo/lacnog>
>         Cancelar suscripcion: mail.lacnic.net/mailman/options/lacnog
>         <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215954-4027e3bf-48c7-d329-7516-0fb3921ad776/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/options/lacnog>
>
>
>     _______________________________________________
>     LACNOG mailing list
>     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>     https://mail.lacnic.net/mailman/listinfo/lacnog
>     <https://mail.lacnic.net/mailman/listinfo/lacnog>
>     Cancelar suscripcion:
>     https://mail.lacnic.net/mailman/options/lacnog
>     <https://mail.lacnic.net/mailman/options/lacnog>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20210730/0cae8139/attachment-0001.htm>

Más información sobre la lista de distribución LACNOG