Set 242013
 

pfSense

Qualche giorno fa la versione 2.1 di pfSense è uscita dalla fase di “release-candidate” ed è stata finalmente rilasciata.

Al momento credo si tratti di una delle pochissime firewall-appliance  a supportare pienamente IPV6 e rilasciata con licenza open-source.

In un precedente articolo avevo esplorato alcune delle caratteristiche di questo prodotto. Continue reading »

Apr 042013
 

pfSense

Vista la mia innata predilezione per l’open source, una tra le mie appliances preferite negli ultimi anni è stata ENDIAN.

Si tratta di un buon progetto italiano che riunisce in un’ambiente LINUX i “soliti noti” nel campo della sicurezza e del networking  (SNORT, iptables, SQUID, Dansguardian, ClamAV…) dando la possibilità di controllare tutto per mezzo di un’accattivante interfaccia web. E’ molto facile da configurare, anche se alcune funzionalità vengono sacrificate proprio per aumentarne la facilità di configurazione.

E disponibile una versione “community” con pochissime limitazioni e scaricabile gratuitamente.

Purtroppo il team ENDIAN ha deciso di effettuare quello che secondo la mia modestissima opinione è un vero suicidio tecnologico/commerciale mancando di supportare IPV6.

Infatti al momento non viene rilasciata alcuna notizia ufficiale circa una futura implementazione del nuovo protocollo. Qualche “voce”  indica come possibile l’adozione di IPV6 con il rilascio della versione 3.0. (tra diversi anni, con l’attuale ciclo di release….). Ogni richiesta in merito sui vari forum viene sistematicamente ignorata.

Immagino siano pochi gli amministratori di sistema che dovendo scegliere oggi un nuovo firewall optino per una soluzione priva di IPV6.

Io ho iniziato a cercarne uno che almeno nella roadmap abbia un’implementazione totale di tutti i servizi con il nuovo protocollo.

Mi sono imbattuto in pfSense una soluzione open source basata su FreeBSD.

Siamo alla versione 2.01, ma è già disponibile uno snapshot beta 2.1 con un pieno supporto IPV6.

Tra le caratteristiche a mio avviso più interessanti: Continue reading »

Set 232012
 

[ vista la rilevanza dell’argomento trattato ho pubblicato questo articolo anche su SIAMOGEEK che ha un audience decisamente più vasta]

(Disclaimer: seguite questo tutorial a vostro rischio e pericolo. Potreste incorrere in danni hardware (brick del dispositivo) intrusioni di hacker nel vostro sistema, o sviluppare dipendenza difficilmete curabile da IPV6. In nessun caso l’autore potrà essere ritenuto responsabile)

Nel nostro paese è molto difficile ottenere una connessione con IPV6 nativo per la casa o l’ufficio.

La soluzione di seguito proposta consentirà di portare IPV6 sulla vostra LAN in maniera trasparente.

Il dispositivo che consente di ottenere questo risultato è un router un po’ particolare, ma facilissimo da procurare. Probabilmente se siete informatici per professione o diletto lo avete già nella cassetta del materiale di scarto :-).

Nel mio caso ne ho reperiti un paio, ma la mia scelta è caduta sul più potente router/access point Dlink DIR-600.

Dlink DIR-600

Continue reading »

Dic 212010
 

..in anticipo di un anno sui maya, internet come la conosciamo  potrebbe collassare a causa dell’annunciata fine degli indirizzi IP disponibili.

Come si può vedere in vari countdown (p. es http://ipv6.he.net/statistics/) mancherebbero meno di due mesi al nefasto evento.

Sarà vero?

In realtà lavoro con internet da 15 anni e già ai tempi annunciavano la fine dello spazio di indirizzamento entro i successivi 5 anni.

Lo stesso contatore di HE circa 2 anni fa ne annunciava l’esaurimento entro 300 giorni….

Questo fa pensare che il tempo mancante  sia una specie di funzione asintotica!

Scherzi a parte, gli indirizzi stanno effettivamente finendo anche se probabilmente ci vorranno più di 2 mesi.

Cosa cambia?

Inizialmente nulla.

Tutti i provider ne hanno una scorta più che abbondante, ma diventerà più difficile per nuovi operatori farsi assegnare delle sottoreti nuove.

E col mondo IPV6?

Il nuovo standard dovrebbe garantire uno spazio di indirizzamento talmente vasto da poter fornire un indirizzo IP ad ogni atomo presente nell’universo  e quindi risolvere definitivamente il problema.

Peccato che ancora quasi nessuno lo usi.

Non più tardi di un anno fa ho litigato nientepopodimeno che con la nostra registration authority perchè il check automatico del nameserver necessario alla registrazione di un dominio nel TLD .IT falliva a causa del fatto che uno dei miei DNS era configurato anche per gestire domini V6.

I provider che offrono connettivita IPV6 nativa sono ancora pochissimi.

Molti dei prodotti software più diffusi non supportano appieno gli indirizzi “lunghi” (si anche Thunderbird ha problemi, anche se con i nomi funziona…).

Quelli che come me vogliono iniziare a sperimentare la “nuova” tecnologia sono obbligati ad usare un tunnelbroker o altre diavolerie simili.

Insomma, sembra che il nuovo standard si stia avviando molto lentamente.

Forse gli annunci mediatici che seguiranno l’esaurimento del mondo V4 daranno la scossa necessaria per avviare (con calma…non c’è una reale fretta!) la transizione?

Io ho fatto un bel po’ di sperimentazione ed effettivamente il V6 funziona ed offre notevoli vantaggi.

Per chi non lo avesse già fatto e volesse approfondire e mettere alla prova le sue conoscenze tecniche sull’argomento, consiglio la certificazione IPV6 online di Hurricane Electric ( http://ipv6.he.net/certification/).

Copre vari step dal più semplice (strumenti come ping6) al più complicato (configurazione DNS glue per domini V6) in maniera ordinata e completa.

Se riuscitrete ad ottenere la certificazione di livello “sage” sarete sicuramente in grado di configurare i vostri spazi di nomi e le vostre reti  per gestire anche IPV6.

Per il momento non serve quasi a nulla, ma prima o poi…..