[lacnog] IPs publicas bloqueadas.

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Vie Jul 30 12:18:34 -03 2021


Esto es algo que venimos diciendo desde hace años. Empezó con Sony PlayStation Network, OpenDNS, etc., pero ha habido otros muchos tipos de servicios que les han seguido.

 

No se si además hay listas negras específicas, lo cual haría crecer el problema … pero en general creo que es debido a que sus aplicaciones están diseñadas por razones de seguridad (yo lo he visto en consultorías de varias instituciones financieras, incluso Radobank lo ha hecho publico como único motivo para hacer la transición a IPv6), o por otras razones, entendiendo que una IP = un usuario o grupo reducido de ellos.

 

No creo que se haga por mala fe, sino por puro desconocimiento y porque los programadores de las apps, no están bien formados al respecto de la transición y CGN. Y una vez que una aplicación esta implantada en este tipo de entidades, es muy muy muy difícil que se cambie, al menos no en plazos razonables.

 

Asignar otras IPv4 al CGN no te resuelve el problema, sino que te lo empeora, porque es tiempo estaría mejor invertido en desplegar IPv6-only con IPv4aaS y aunque el banco no despliegue IPv6, tus usuarios no saldrán por las mismas IPs (estadísticamente hablando), al menos no en el caso de 464XLAT. Además, si vas rotando tus IPs, al final tendrás que hacer transferencias porque todas tus IPs estarán bloqueadas.

 

Es decir, opción a:
Has invertido en CGN como solución medio plazo.
Ahora inviertes en IPv4 una vez que tus IPv4 han sido filtradas.
 

vs opción b:

 
No inviertes en CGN, sino que directamente inviertes en transferencias de IPv4.
 

vs opción c:

 
Solución a largo plazo y definitiva: invierte en 464XLAT.
 

Los ahorros de costes de la opción c, en quebraderos de cabeza, staff, etc., etc., superan con creces los capex y opex de las opciones a y b.

 

Estaría buenísimo el filtrado de las redes de los bancos, si eso fuerza a que se muevan a IPv6, pero creo que esa magia no tendrá lugar, salvo que sea por regulación (el sector bancario es un sector regulado, por razones obvias) …

 

 

Saludos,

Jordi

@jordipalet

 

 

 

Muy buenas tardes

 

El inconveniente ocurre desde hace unos meses atrás y es cada día más frecuente.

 

Algunos sitios, principalmente portales de banca online están empezando a filtrar direcciones IP asignadas a cajas de CGN. Aparentemente deben estar basados en alguna fuente de información externa tipo blacklist.

 

Entiendo que hay alguna consideración de "seguridad" en donde estos bancos determinan que muchas sesiones desde un mismo bloque IPv4 (CGN) es considerado un potencial peligro y deciden filtrarlos. En un principio parecía que se mandaba el tráfico a blackhole, pero durante el último tiempo agregaron una página de error 403 en donde estos bancos informan que el ISP "tiene algún problema en su infraestructura" e invitan a sus clientes a abrir un reclamo con su ISP para poder volver a acceder al servicio de homebanking.

 

Ninguno de estos portales tiene registros AAAA publicados, por lo que (al momento de escribir este mail) desplegar IPv6 en el ISP no resolvería el problema.

 

Una solución temporal sería asignar IPv4 nuevas a los CGN o bien asignar bloques IPv4 públicos a los clientes para que puedan acceder a estos portales, pero está claro que luego del agotamiento esto es inviable. Tampoco está claro cuánto dura en el tiempo una asignación dedicada hasta que sea bloqueada nuevamente.

 

Otro grave problema es que algunos clientes del ISP pueden acceder al servicio y otros no (los CGN-eados), creando un verdadero escenario de "el ISP no anda bien". Personalmente he intentado comunicarme con los responsables de networking de estas organizaciones vía los datos de whois y hasta el momento nunca me respondieron.

 

IMHO, en caso de que estos portales continúen con estas prácticas, puede pasar que los ISP en conjunto también decidan filtrar para todos sus clientes los sitios que hacen este tipo de mala práctica, y se terminará afectando la neutralidad de la red.

 

Saludos!

 

On Mon, Jul 26, 2021 at 8:53 AM Carlos Marcelo Martinez Cagnazzo <carlosm3011 en gmail.com> wrote:

Hola Leandro

 

Si pudieras darnos información concreta por privado vemos si desde lacnic podemos hacer algo

 

Carlos

via Newton Mail

 

On Mon, Jul 26, 2021 at 8:49, Leandro Roggerone <leandro en tecnetmza.com.ar> wrote:

Buenas, colegas ; 
Para comentarles sobre una situacion que se esta repitiendo ultimamente en nuestro ips.
Estamos recibiendo reclamos sobre clientes que no pueden acceder a distintos servicios:
Ej,
Portales privados , apps de pedidos de comida , Home banking , etc.
En la mayoria de estos intentos se devuelven mensajes refiriendose a problemas con nuestras ips.
Les queria consultar si han tenido este inconveniente y como han procedido para solucionarlo.
Desde aqui , ya hemos intentado lo siguiente:
a )Contactar al webmaster de los sitios:
Esto es practicamente imposible, la ayuda en los sitios está referida al sitio en si y no a la conectividad.
b ) Buscar nuestra ip en listas negras , por ejemplo a travez de mxtoolbox.
De aqui he logrado obtener una lista de ips bloqueadas , pero sobre todo para hacer uso de servidores de correo el cual no es mi caso.

Cualquier info que nos pueda ayudar sera bienvenida.
Leandro.

 

 

 

Libre de virus. www.avast.com 

_______________________________________________ LACNOG mailing list LACNOG en lacnic.net mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: mail.lacnic.net/mailman/options/lacnog 

_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

_______________________________________________ LACNOG mailing list LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20210730/e3f7d4a3/attachment-0001.htm>


Más información sobre la lista de distribución LACNOG