[lacnog] bloqueo de prefijos en internet

Alejandro D'Egidio adegidio en telecentro.net.ar
Vie Oct 1 10:12:38 -03 2021


Estimados: 

Buen día. 

Creo que se pueden tomar diferentes consideraciones de estos temas planteados: 


    * Despliegue de IPv6 : 
        * No hay dudas de que a esta altura todos ya deberíamos tener desplegado IPv6 al menos en dual-stack y en al menos una porción de la red, o estar en proceso de hacerlo en el corto plazo. 
    * Estado de la tecnología : 
        * En muchos casos el esquema "simple" de despliegue en DS puede estar limitado por la tecnología de acceso, por ejemplo en empresas de cable que todavía tengan cablemodems DOCSIS 2.0. 
        * Este es un caso difícil de resolver en el corto plazo porque implica una gran inversión de CPEs y hasta equipos adicionales como CMTS en algunos casos. 
    * Mecanismos de transición : 
        * Soy fan de 464XLAT, de eso no hay duda y siempre trato de promoverlo, pero su implementación, especialmente en redes fijas, depende también de los modelos y firmwares de los CPEs que tengan instalados, esto suele ser un gran problemas en empresas ya establecidas y donde no están teniendo un gran crecimiento de clientes. Si se trata de empresas nuevas, que están creciendo o que están realizando un recambio tecnológico, definitivamente es muy recomendable que tengan en cuenta un mecanismo como 464XLAT. 
    * CGN : 
        * Este es un mal necesario del cual muchos operadores no pueden escapar por falta de direcciones IPv4 públicas y limitaciones para implementar mecanismos del tipo IPv4aaS (Ej 464XLAT). 
        * Si alguna empresa está por implementar CGN (y no pueden escapar de esto), primero deben desplegar IPv6. Van a tener muchos beneficios al desplegar primero IPv6. 
        * Un Carrier Grade NAT no es equipo de NAT con esteroides, contempla un conjunto de protocolos y funcionalidades que mejoran la utilización de recursos del equipo (haciéndolo más eficiente) y permitiendo minimizar el impacto en plataformas como las de juegos a través de la implementación de Full-Cone NAT. 
        * La forma en que se distribuyen las conexiones a través de los puertos del pool de NAT va a depender del mecanismo de asignación de puertos y del dimensionamiento de los mismos (Ej: Dinámico, Fijo o Determinístico, Port Block Allocation). 
        * Con esto no defiendo a CGN, simplemente digo que si evaluaron y no pueden escapar de utilizarlo, va a impactar mucho en el servicio si no se tienen las suficientes consideraciones. 
    * PSN : 
        * Si bien PSN toma direccionamiento IPv6 hay algunos documentos públicos donde muestran que igualmente utilizan IPv4 para tener servicio. 
        * Me puedo estar equivocando pero, hasta donde pude entender, Sony no es que solo filtra por muchas conexiones desde una misma IP si no que también bloquea por problemas detectados en las conexiones necesarias para el funcionamiento de juegos. Estos temas se logran minimizar mucho (y hasta no tenerlos) con la correcta estrategia de distribución de puertos e implementación de funcionalidades correctas de CGN. 



Saludos, 
Alejandro 


De: "Latin America and Caribbean Region Network Operators Group" <lacnog en lacnic.net> 
Para: "Latin America and Caribbean Region Network Operators Group" <lacnog en lacnic.net> 
CC: "JORDI PALET MARTINEZ" <jordi.palet en consulintel.es> 
Enviados: Viernes, 1 de Octubre 2021 9:03:55 
Asunto: Re: [lacnog] bloqueo de prefijos en internet 



Hola Fernando, 



Yo creo que la diferencia es que la distribución de puertos/IPs en un NAT64 no es contigua, y tengo la sensación de que eso evita en gran medida las colisiones que se crean cuando asignas, por ejemplo, 1.000 puertos de una misma IP a 60 usuarios diferentes. 



Sinceramente no lo se, no lo he “investigado”, pero me baso en hechos: no conozco ningún caso de bloqueos de prefijos IPv4 por parte de PSN ni de otros, que en cambio si que han sido reportados como “generadores” de listas negras en CGN. 



Hablamos de muchos cientos de millones de usuarios de 464XLAT, y no de hace pocos meses, sino de muchos años, y no solo en redes móviles, sino también para proporcionar servicios de banda ancha con CPEs con acceso 3G/4G/5G. 






Saludos, 

Jordi 

@jordipalet 









El 1/10/21 13:53, "LACNOG en nombre de Fernando Frediani" < [ mailto:lacnog-bounces en lacnic.net | lacnog-bounces en lacnic.net ] en nombre de [ mailto:fhfrediani en gmail.com | fhfrediani en gmail.com ] > escribió: 





Jordi, Henri 

Sé que 464XLAT funciona de manera diferente a dual-stack y tiene una capacidad de ahorro de IPv4 mayor que CGNAT con puerto fijo o bulk port allocation, pero lo que estoy diciendo es que para este problema de PSN nada cambia porque aunque los PS más nuevos tienen soporte de IPv6, esto sigue siendo solo para el Sistema Operativo y no para juegos y partidos, por lo que todo el tráfico que llega a ellos y necesariamente pasa por la caja CGN o NAT64 sigue siendo solo IPv4. 

Saludos 
Fernando 


On 01/10/2021 07:23, Henri Alves de Godoy wrote: 





Hola Fernando, 





Pensar que 464XLAT y Dual Stack funcionan de la misma manera es un error. Operan de diferentes formas y conceptos. 





Incluso los nuevos PS soportan IPv6, son implementaciones pobres según el informe, ya que no dan preferencia al protocolo v6, pero es un buen comienzo. 





Att, 


Henri. 





Em sex., 1 de out. de 2021 às 03:38, JORDI PALET MARTINEZ vía LACNOG < [ mailto:lacnog en lacnic.net | lacnog en lacnic.net ] > escreveu: 

BQ_BEGIN



Hola Fernando, 



No exactamente: 

1. Al implementar IPv6, hay mucho menos tráfico en el NAT64, por lo tanto, muchas menos IPs compartidas. Las nuevas PS ya soportan IPv6. 

2. La asignación de puertos/IPs en NAT64 es diferente que en CGN (aunque puede depender de las implementaciones). La prueba es que ningún ISP que haya desplegado 464XLAT ha tenido rangos IPv4 bloqueados. 




Saludos, 

Jordi 

@jordipalet 









El 1/10/21 6:08, "LACNOG en nombre de Fernando Frediani" < [ mailto:lacnog-bounces en lacnic.net | lacnog-bounces en lacnic.net ] en nombre de [ mailto:fhfrediani en gmail.com | fhfrediani en gmail.com ] > escribió: 





Jordi 

Creo que 464XLAT o Dual Stack funcionan de la misma manera porque al final, si el destino es solo IPv4, se usarán las mismas direcciones de los rangos de IPv4 públicos en la interfaz WAN del equipo CGANT para llegar al destino. 
De hecho, los problemas con PSN son muy conocidos y, además de no tenerem soporte para IPv6, acaban creando esta dificultad para las operaciones CGNAT que cada día son más habituales. 

Fernando 


On 30/09/2021 11:37, JORDI PALET MARTINEZ vía LACNOG wrote: 

BQ_BEGIN


Hola Leandro, 



Usas CGN? 



Si es así, ello puede ser parte del problema y no hay solución hasta donde yo se, con servicios como PSN, pero cada vez hay mas que tienen el mismo “problema”. 



Cuando detectan usuarios detrás de CGN, dado que ello impide el correcto funcionamiento de los servicios, agregan los rangos * completos * en listas-negras propias, y (insisto, hasta donde yo sé), nadie ha conseguido eliminar dichas direcciones de las black-lists. Es decir, te toca ir rotando las direcciones del CGN, y cuando las hayas agotado todas, hacer transferencias para obtener mas … 



Obviamente la solución a largo plazo es un buen despliegue de IPv6-only con IPv4aaS, como 464XLAT. 



Es algo que se ha comentado otras veces en esta lista, y también varias veces en NANOG y otros NOG. 




Saludos, 

Jordi 

@jordipalet 









El 30/9/21 16:33, "LACNOG en nombre de Leandro Roggerone" < [ mailto:lacnog-bounces en lacnic.net | lacnog-bounces en lacnic.net ] en nombre de [ mailto:leandro en tecnetmza.com.ar | leandro en tecnetmza.com.ar ] > escribió: 





Estimados , mi nombre es Leandro soy operador de core ip en TECNET SA (as 263793) en Mendoza, Argentina. 



Les escribo por un comportamiento que estamos notando en nuestra red: 
Clientes reclamando que no pueden acceder a ciertos servicios ,, por ejemplo: 
Plataformas de video juegos , como psn , plataformas de video , como clarovideo , etc. 
Luego de hacer analisis y debug , confirmamos acceso en l3 hacia las redes / hosts relacionados. 
Hemos encontrado que en algunos casos somos redirigidos con avisos de bloqueo de ips por actividad maliciosa. 
Sobre esto quería consultarles: 


Existe una entidad que traquea las ips / redes desde las cuales se estan generando actividades maliciosas ? 
Existen entidades principales q 





Cuales son las entidades principales donde se listan las redes bloqueadas? y 


Cuales son las principales fuentes de consulta que usan las plataformas para dar o no servicio ? 
Existe algun procedimiento conocido para evitar caer en las listas negras ? 
Saludos, 
Leandro. 




[ https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail ] 	

Libre de virus. [ https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail | www.avast.com ] 


_______________________________________________ LACNOG mailing list [ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] [ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 


********************************************** 
IPv4 is over 
Are you ready for the new Internet ? 
[ http://www.theipv6company.com/ | http://www.theipv6company.com ] 
The IPv6 Company 

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it. 


_______________________________________________ 
LACNOG mailing list 
[ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] 
[ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] 
Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 




_______________________________________________ LACNOG mailing list [ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] [ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 



********************************************** 
IPv4 is over 
Are you ready for the new Internet ? 
[ http://www.theipv6company.com/ | http://www.theipv6company.com ] 
The IPv6 Company 

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it. 


_______________________________________________ 
LACNOG mailing list 
[ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] 
[ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] 
Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 
BQ_END









-- 


-- 


Henri Alves Godoy 


Tecnologia da Informação e Comunicação 


Faculdade de Ciências Aplicadas - FCA 


Universidade Estadual de Campinas - UNICAMP 


Fone: (19) 3701-6682 




_______________________________________________ 
LACNOG mailing list 
[ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] 
[ https://mail.lacnic.net/mailman/listinfo/lacnog | https://mail.lacnic.net/mailman/listinfo/lacnog ] 
Cancelar suscripcion: [ https://mail.lacnic.net/mailman/options/lacnog | https://mail.lacnic.net/mailman/options/lacnog ] 

BQ_END


_______________________________________________ LACNOG mailing list LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 

********************************************** 
IPv4 is over 
Are you ready for the new Internet ? 
http://www.theipv6company.com 
The IPv6 Company 

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it. 


_______________________________________________ 
LACNOG mailing list 
LACNOG en lacnic.net 
https://mail.lacnic.net/mailman/listinfo/lacnog 
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20211001/f58ee0a4/attachment-0001.htm>


Más información sobre la lista de distribución LACNOG