[lacnog] IPs publicas bloqueadas.

Cesar E. Labrador C. cesarlabradorcastro01 en gmail.com
Vie Jul 30 13:01:45 -03 2021


Buenos dias;

Aqui en Venezuela particularmente he tenido este mismo problema en 
diferentes ISP que soy Consultor y Gerente de Operaciones en el NOC, se 
repite la misma historia y no solo con Nexflix sino con Disney+ entre 
otras Plataformas de Streaming asi como tambien con el Banking y Apps 
mas que todas nuevas.

Es un dolor de cabeza constante para el personal de Soporte que al final 
a nivel del NOC se debe resolver...

Estoy de acuerdo que lo ideal seria la implementacion de IPv6 pero el 
detalle es la Resistencia al Cambio de los Directivos de los ISP, sin 
embargo Yo sigo en la lucha para cambiar la cultura del uso de IPv4 e ir 
migrando al IPv6 a traves de mecanismos de transicion como NAT64 u otros 
metodos. No es tarea Facil pero hay vamos..

Saludos cordiales...

El 30/7/2021 a las 10:22 a. m., telecomunicaciones en arcoop.com.ar escribió:
>
> Buenos días. Una consulta que tiene que ver con el tema en cierta 
> forma, hace unos días que estamos teniendo problema con Nexflix, en 
> los usuarios que están detrás de un NAT, después de muchas pruebas he 
> podido comprobar que si asigno al cliente una IP publica todo sale 
> andando, alguien mas tiene ese problema??
>
>
> saludos
>
>
> El 30-07-2021 11:14, Fernando Frediani escribió:
>
>> Hola
>>
>> Este es un problema del que he estado hablando y desafortunadamente 
>> parece que se está volviendo cada vez más común y también tengo el 
>> mismo entendimiento que Ariel donde en escenarios, especialmente 
>> CGNAT, con muchas conexiones detrás de una IPv4 pública, puede 
>> terminar siendo interpretados como ataques y los sistemas de 
>> mitigación DDoS terminan bloqueando estas direcciones, lo que en 
>> consecuencia bloquea a muchos otros usuarios detrás de esa misma 
>> dirección pública.
>> El problema es que asignar nuevas direcciones IPv4 a un CGNAT no es 
>> tan sencillo, especialmente en tiempos de escasez de IPv4.
>>
>> Mientras los bancos y el contenido en general sigan descuidando el 
>> soporte de IPv6 y mientras esperamos y respetemos pacientemente "la 
>> buena voluntad" de que cada uno tenga IPv6 operativo, un intento en 
>> los sistemas CGNAT existentes, si compatible, es tratar de difundir a 
>> los usuarios tanto como sea posible posible a través de un mayor 
>> número de direcciones IPv4 diferentes disponibles en el grupo 
>> disponible para el equipo de CGNAT.
>>
>> Fernando
>>
>> On 29/07/2021 13:35, Ariel Weher wrote:
>>> Muy buenas tardes
>>> El inconveniente ocurre desde hace unos meses atrás y es cada día 
>>> más frecuente.
>>> Algunos sitios, principalmente portales de banca online están 
>>> empezando a filtrar direcciones IP asignadas a cajas de CGN. 
>>> Aparentemente deben estar basados en alguna fuente de información 
>>> externa tipo blacklist.
>>> Entiendo que hay alguna consideración de "seguridad" en donde estos 
>>> bancos determinan que muchas sesiones desde un mismo bloque IPv4 
>>> (CGN) es considerado un potencial peligro y deciden filtrarlos. En 
>>> un principio parecía que se mandaba el tráfico a blackhole, pero 
>>> durante el último tiempo agregaron una página de error 403 en donde 
>>> estos bancos informan que el ISP "tiene algún problema en su 
>>> infraestructura" e invitan a sus clientes a abrir un reclamo con su 
>>> ISP para poder volver a acceder al servicio de homebanking.
>>> Ninguno de estos portales tiene registros AAAA publicados, por lo 
>>> que (al momento de escribir este mail) desplegar IPv6 en el ISP no 
>>> resolvería el problema.
>>> Una solución temporal sería asignar IPv4 nuevas a los CGN o bien 
>>> asignar bloques IPv4 públicos a los clientes para que puedan acceder 
>>> a estos portales, pero está claro que luego del agotamiento esto es 
>>> inviable. Tampoco está claro cuánto dura en el tiempo una asignación 
>>> dedicada hasta que sea bloqueada nuevamente.
>>> Otro grave problema es que algunos clientes del ISP pueden acceder 
>>> al servicio y otros no (los CGN-eados), creando un verdadero 
>>> escenario de "el ISP no anda bien". Personalmente he intentado 
>>> comunicarme con los responsables de networking de estas 
>>> organizaciones vía los datos de whois y hasta el momento nunca me 
>>> respondieron.
>>> IMHO, en caso de que estos portales continúen con estas prácticas, 
>>> puede pasar que los ISP en conjunto también decidan filtrar para 
>>> todos sus clientes los sitios que hacen este tipo de mala práctica, 
>>> y se terminará afectando la neutralidad de la red.
>>> Saludos!
>>>
>>> On Mon, Jul 26, 2021 at 8:53 AM Carlos Marcelo Martinez Cagnazzo 
>>> <carlosm3011 en gmail.com <mailto:carlosm3011 en gmail.com>> wrote:
>>>
>>>     Hola Leandro
>>>     Si pudieras darnos información concreta por privado vemos si
>>>     desde lacnic podemos hacer algo
>>>     Carlos
>>>
>>>     via Newton Mail
>>>     <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.58&pv=14.6&source=email_footer_2>
>>>
>>>     On Mon, Jul 26, 2021 at 8:49, Leandro Roggerone
>>>     <leandro en tecnetmza.com.ar <mailto:leandro en tecnetmza.com.ar>> wrote:
>>>
>>>         Buenas, colegas ;
>>>         Para comentarles sobre una situacion que se esta repitiendo
>>>         ultimamente en nuestro ips.
>>>         Estamos recibiendo reclamos sobre clientes que no pueden
>>>         acceder a distintos servicios:
>>>         Ej,
>>>         Portales privados , apps de pedidos de comida , Home banking
>>>         , etc.
>>>         En la mayoria de estos intentos se devuelven mensajes
>>>         refiriendose a problemas con nuestras ips.
>>>         Les queria consultar si han tenido este inconveniente y como
>>>         han procedido para solucionarlo.
>>>         Desde aqui , ya hemos intentado lo siguiente:
>>>         a )Contactar al webmaster de los sitios:
>>>         Esto es practicamente imposible, la ayuda en los sitios está
>>>         referida al sitio en si y no a la conectividad.
>>>         b ) Buscar nuestra ip en listas negras , por ejemplo a
>>>         travez de mxtoolbox.
>>>         De aqui he logrado obtener una lista de ips bloqueadas ,
>>>         pero sobre todo para hacer uso de servidores de correo el
>>>         cual no es mi caso.
>>>
>>>         Cualquier info que nos pueda ayudar sera bienvenida.
>>>         Leandro.
>>>
>>>
>>>         <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215927-1361e986-2592-dc9c-c8d2-3bfb55258755/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
>>>         	Libre de virus. www.avast.com
>>>         <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
>>>
>>>
>>>
>>>         _______________________________________________ LACNOG
>>>         mailing list LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>>         mail.lacnic.net/mailman/listinfo/lacnog
>>>         <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215944-1bcc89ef-b287-24fd-c2a0-56a56fb20eae/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/listinfo/lacnog>
>>>         Cancelar suscripcion: mail.lacnic.net/mailman/options/lacnog
>>>         <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215954-4027e3bf-48c7-d329-7516-0fb3921ad776/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/options/lacnog>
>>>
>>>     _______________________________________________
>>>     LACNOG mailing list
>>>     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>>     https://mail.lacnic.net/mailman/listinfo/lacnog
>>>     <https://mail.lacnic.net/mailman/listinfo/lacnog>
>>>     Cancelar suscripcion:
>>>     https://mail.lacnic.net/mailman/options/lacnog
>>>     <https://mail.lacnic.net/mailman/options/lacnog>
>>>
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion:https://mail.lacnic.net/mailman/options/lacnog
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> https://mail.lacnic.net/mailman/listinfo/lacnog 
>> <https://mail.lacnic.net/mailman/listinfo/lacnog>
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 
>> <https://mail.lacnic.net/mailman/options/lacnog>
>
> ARCOOP - Barracuda Spam & Virus Firewall   ­­
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

-- 
Cesar E. Labrador C.
Consultor Especialista en Telecomunicaciones y Ciberseguridad.
Enrutamiento en Internet, Ciberseguridad, Gestion de Red: NOC y SOC, Redes Inalambricas.
Instructor Programa de Academias Cisco.

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20210730/c5f5f73c/attachment-0001.htm>


Más información sobre la lista de distribución LACNOG