ben si : ton adresse (donné par le fai) est donc en scope global, donc parfaitement routable (normal ipv6) donc si tu n’a pas de filtrage c’est “je vais et je viens entre tes ….”



D’autant plus qu tu as aussi un ipv6 local (scope : link) donc tu peux communiquer tranquille en local mais quand tu sors ce n’est pas avec cette ipv6 (fe80 je crois) mais bien avec un ip qui est routable donc nonbloqué par un routeur …

enfin moi je comprends cela.



et vu la range que nous file notre fai(le prefix) on peut avoir 264 machines par particulier .. de base sans mecanisme de masquerading .

pour qui  ? toi et moi qui connaissons ce mode mais pour 99% des noeuds ?

confusion nat / Firewall : trouves moi un parefeu qui ne fasse pas de nat …



ben heureusement qu’elles ONT DEJA un firewall iptables6 ! (lol) je n’avais pas imaginer une seule seconde que nos chers box soient ouverts en “incoming” en ipv6 (la bonne blague)



 “Le fait que les adresse soient globalement routables n’empêche pas le routeur de les bloquer s’il le souhaite.”

… à ma connaissance aucune box par défaut ne bloque le “outgoing” … c’est vamos à la playa pour tous !! (et ca changera pas avec ipv6 : qui est déjà en prod)



“Les adresses “link-local” ne sont routables que sur le lien donc même

pas sur le réseau local. Pour communiquer sur un réseau local on utilise

typiquement les adresses globales, tout simplement.”



ne sont routables que sur le lien, la moi pas comprendre toi !

sur un meme lien (scope lien, hein ?) il n’y a pas de routage a faire donc …



sur un réseau local toi tu va utiliser des prefix globaux (scope : global) ? … alors là je te suis plus mais bon ….

hum, réponse censé et pertinente.

cassé comme dirait Brice , c’est cela que je dois le prendre  ?

ben si tu veux, mais ca commence mal ici : “ Il est d’autant plus difficile de faire une analyse

des avantages et inconvénients du NAT que le débat est souvent très

passionnel.”

ah , a un show (room) , ok : cela nous rassures.



La maison brule et eux festoient et se congratulent , et surtout parlent beaucoup !!!

IPv6 ne va rien arrangé et vu certains features (ICMPv6 : il y a tout dedans !!!) cela va même faire empirer les choses.



longueurs de adresses

multi adressage de rigueur

Si certains ont encore des doutes , (info NXI) “  nous avons filtré toutes les adresses IPv6 qui visaient notre site” …



allez tchao les gusses.

Attends mec !

Quand tu te prends une attaque avec + de 10 000 sources d’attaque en simultanées provenant de PC des abonnés orange, free, belgacom, china telecom , toto telecom … tu accuses qui toi ?

Le pauvre mec dont le PC est un zombie ?



Le mien peut -etre, en ce moment même , tiens vas savoir : c’est peut-être moi sur cette attaque …

Et honnêtement à part zieuter mon ids (que je regardes pour m’endormir le soir … " />) en permanence,

… je ne sais pas comment je pourrais couper mon accès pour stopper l’attaque si je n’en ai pas connaissance et je pense que 99% de mes concitoyens n’ont pas ids, et sauraient encore moins comprendre les faux positifs qu’il leur balance à la tronche !!!



 

ben seb, tu as de la news par les temps qui court !



Je renouvelle ma question : MAIS où sont les sociétés expertes en sécurité en ce moment ???

Bizarre, plus de grandes gueules à l’horizon pour tous nous expliquer !

Faudra donc lire :



http://caleca.developpez.com/tutoriels/ip-v6/



(un super tuto pour newbies)

“C’est tout à fait faisable d’utiliser les adresses globales pour

communiquer en local, c’est une configuration qui convient mieux à la

plupart des usages (qui n’ont généralement rien à voir avec la topologie

du réseau). Certains systèmes préfèrent tout de même utiliser les

adresses privées.”



Alors bon je n ‘ai pas encore vu de grands réseaux d’entreprise en ipv6+, certes MAIS !

En ipv4 j’ai vu des grands réseaux en adresse public sur le LAN !!! (dans le réseau privée donc), j’vais pas citer les noms mais on dira la “très” grande distribution !!!

Du n’importe quoi !!

En ipv4 sur des grands réseaux , dans le lan (réseau privée , interne) on est en 10.0.0.0. Le reste rigolade.



Ensuite si il y en a qui vont allez dans le même délire que j’ai vu en ipv4 mettre des ip public pour coder leur réseau interne : chacun sa merde.



Pourquoi je dis ca ?

c simple pour des raison de sécurité evidente by design une ip privée ne peut sortir sur le web wan, externe (les routeurs ne routent). J’ai vu des cons foutre un modem rtc (c vieux) et donc créer une passerelle sur un réseau dont je tairai bien entendu le nom ici !!!

Donc le fait d’être en ip privée permet de “bloquer” le routage by design de ce genre de connerie (moyennant l’activation du forwarding)

 

Alors en ipv6 une fe80::/64 pour moi ne passera jamais le routeur (firewall c’est autre chose).



Note : je ne parle par de superneting etc, je ne suis pas un pure “réseauman” qui aurait désigné des plans d’adressage de fai (avec bgp, ospf etc …)

 

artragis a écrit :



@ ledufakademy



ipv6 possède pas mal de failles “by design” mais qui sont facilement identifiée.

Par contre “autoconf” ne signifie pas “je prends la modified mac”, non sur windows8, par défaut, autoconf = mode pseudo aléatoire en préféré. Sur mon Xubuntu pareil. Par contre sur OSX, ils faut changer la conf pour avoir le pseudo aléatoire.



Le mode “autoconf” signifie simplement utiliser DAD pour obtenir une ip.



Ensuite, les problèmes que tu opposent ne parle pas du nat mais du firewall.



En effet, qu’on ait du NAT ou pas, les botnets utilisent du trafic sortant. Du côté du contrôle anto DDOS, c’est pas plus compliquer de bloquer un ipv6 qu’un ipv4 c’est juste que tu bloques un préfix plutôt qu’une adresse complète.



Le NAT te permettait de “masquer” ton réseau, dans le sens où du coup l’architecture de ton réseau était totalement invisible derrière le NAT. Maintenant, la seule chose qui va changer c’est qu’au lieu d’avoir un DHCP, tu vas avoir du RADVD, et encore, je ne pense pas que les particuliers auront un radvd, un dhcpv6 sera sûrement utilisé avec les mêmes fonctionnalités qu’un DHCPv4 (pour pas exposer madame michu à autre chose).



Le NAT c’est de la “sécurité” par le secret, rien de plus. C’est facilement contournable, les outils de p2p l’ont vite compris.



Il existe des “ip privée” en le sens qu’il existe des préfix routables mais pas vers internet. Un peu comme le 2001:db8/32 par exemple.





oui by design (et tout comme ipv4) mais la c’est plus vaste, se cacher sera plus simple pour les hackers ou plus compliquer pour les néophytes … mais ça l’avenir nous le dira., j’ai déjà ma petite idée la dessus



oui , tout le monde sera en autoconf , je pense.



oui le nat permet de masquer (masquerading ) le réseau privée et isole dans une certaine mesure du WWW. C’est une sécurité par secret on est d’accord. Mais cela ne suffit pas .. tout  comme le firewall ne suffit plus tout : on passe tout et n’importe quoi par http de nos jours.

 

j’ai jouer un peu avec mon utm et effectivement il y a bien la présence d’un dhcp v6 , mais je ne sais pas ce qui est usité dans el gros groupes autoconf, rdavd ou dhcp 6 …. d’ou pour mon avis présence d’incertitudes au niveau secu.

 

j’avais vu et compris le mécanisme (ICMPv6 et les sous protocoles NDP etc…)

Par contre j’vais un doute sur l’utulisation à grande echelle de DHCPv6.



par contre je ne te suis pas quand tu parles de préfixe … (pour moi prefixe = 64 bits de poids fort de l’adresse -on y met le reseau, sous réseau etc.- les autres 64 etant le noeuds .. en générale la mac adresse , ou une pseudo aleatoire)

tu veux dire prefix + jeton ou noeuds ( ce qui forme une ipv6 complète) ou simplement le prefixe car je vois pas comment le dhcp(v6) peut gérer qu’un e seul partie de l’adresse !!! et le routeur l’autre ??