Conférence IPv6, un second souffle pour l'internet

• # .

  Posté par ribwund le 25 juin 2008 à 21:39. Évalué à 2.

  

  Et rien sur les faiblesses d'IPv6 ? Le fait que ce soit très (trop ?) facile de foutre le bordel sur un réseau géré par autoconfiguration par exemple.

  • [^] # Re: .

    Posté par alexissoft le 26 juin 2008 à 01:00. Évalué à 8.

    

    Et rien sur les faiblesse d'IPv4 ? Le fait que ce soit très (trop ?) facile de foutre le bordel sur un réseau géré par DHCP par exemple.
    
    Je sais pas, mettre un second DHCP, voler des adresses. De toute façon, si tu veux foutre en l'air un réseau, et que t'es dans le subnet, un peu rien peut t'en empêcher.

    • [^] # Re: .

      Posté par ribwund le 27 juin 2008 à 01:42. Évalué à 7.

      

      Sauf qu'il faut être mal intentionné. La c'est juste ce boulet de windows qui balance des prefixes et des routes sur le reseau, et tout les ordis se les prennent.
      
      Et on voit ça sur tous les réseaux. C'est juste que les gens sous windows qui rentrent chez eux avec leur portable, ils cochent la case "Partage de connexion" et quand ils reviennent sur ton réseau ils vont surtout pas penser à la décocher, et vu que Vista est IPv6-ready, le partage de connexion c'est pas juste du NAT, c'est aussi du 6to4 avec RouterAdvertisement dans tous les sens (et j'ai l'impression que les gens ont en plus un firewall qui empeche windows de se rendre compte qu'il fout la merde).
      
      Au final tu te retrouves avec 5-6 routes par defaut vers des Vista mal-configurés et autant d'adresses qui viennent d'autoconf. Du coup tu envisages assez rapidement de désactiver l'autoconf IPv6 dans ton kernel.
      
      
      (Et oui sinon je suis super fan d'IPv6, c'est juste que j'ai l'impresssion que dans certains cas, il suffit d'être mal configuré pour foutre la merde, alors qu'en IPv4 il faut être mal intentionné).

      • [^] # Re: .

        Posté par alexissoft le 29 juin 2008 à 16:20. Évalué à 3.

        

        Vous avez tenté d'envoyer un lionceau sauvage chez MS pour régler le problème ?
        
        Ça m'est arrivé aussi. J'ai du débrancher les ordis un par un, jusqu'à ce que la route n'apparaisse plus...

  • [^] # Re: .

    Posté par porki le 26 juin 2008 à 05:40. Évalué à 4.

    

    Pourrais-tu donner plus d'informations sur le sujet car ce n'est pas la première fois que j'entends parler de ce problème d'autoconfiguration. En synthèse de mes recherches, j'en déduis pourtant que :
    --> l'allocation d'adresse avec état (DHCPv6) est sécurisée autant qu'avec DHCP sous IPv4. Je veux dire qu'il y a possibilité d'utiliser de l'authentification (RFC 3118) mais que si personne ne le fait, ce n'est pas la faute à la technique.
    --> la définition d'une adresse locale se fait en fonction de sa propre adresse MAC (pour un LAN ethernet) et ensuite on regarde si une autre machine dispose de cette adresse sur le LAN. Là effectivement, un attaquant pourrait répondre à toutes ces requêtes en disant que cette adresse est prise (et donc nous ne pourrions l'utiliser). De toute façon en régime stabilisé, nous ne devons pas utiliser cette adresse pour communiquer.
    --> l'allocation d'adresse sans état : lorsque l'on cherche à connaître le préfixe du réseau (c'est le routeur qui doit répondre) et autres, on utilise de l'ICMPv6 qui apparemment propose également de l'authentification.
    
    Dans la logique d'IPv6 où le nombre d'adresses allouables est tel que nous n'aurons pas de pénurie avant longtemps, DHCP n'est pas utilisé pour optimiser l'adressage (donc réallouer les adresses dès qu'elles ne sont plus utilisées) mais plus pour faciliter le déploiement d'ordinateurs ou la migration d'un réseau existant vers une nouvelle plage IP. Ainsi, le principe d'attribution d'adressage IP ne doit être utilisé que rarement (baux très longs), exception faite des cas de mobilité.
    
    Bref, je ne vois que peu de failles dans l'autoconfiguration d'IPv6. Qu'est-ce que j'ai loupé ?

    • [^] # Re: .

      Posté par fcartegnie le 26 juin 2008 à 17:00. Évalué à 1.

      

      Les attaques en DHCP, ça ne dépend que de l'architecture du réseau.
      Si t'es sur du switché, avec les bonnes acl, logiquement le switch (par mac learning ou config manuelle) ne répond plus qu'a 1 seule @ mac et/ou port et supprime certains broadcasts. Pas de serveur dhcp installable sur un port non autorisé donc.
      C'est plus long, plus complexe, et c'est plus cher.

    • [^] # Re: .

      Posté par ribwund le 27 juin 2008 à 01:43. Évalué à 2.

      

      N'importe qui peut envoyer des préfixes, c'est surtout ça mon problème. En IPv4 il faut configurer un serveur DHCP, en IPv6 il faut cliquer dans la mauvaise case sur Vista. C'est *beaucoup* trop facile à changer. (cf mon post au dessus pour les détails)

      • [^] # Re: .

        Posté par porki le 27 juin 2008 à 03:39. Évalué à 1.

        

        Quel est donc le moyen de se protéger de ces postes qui viendraient polluer le réseau ?

        • [^] # Re: .

          Posté par ribwund le 27 juin 2008 à 11:28. Évalué à 2.

          

          Il y a je crois une RFC qui veut introduire un filtrage de ICMPv6 sur les switches, mais ca implique la plupart du temps de renouveller son équipement (hors de question, et de toute manière un tel matos n'existe pas encore).

• # Camp IPv6 sur Rennes

  Posté par LoninoL le 26 juin 2008 à 00:14. Évalué à 4.

  

  Pour information, toujours sur le sujet de l'IPv6 et la semaine prochaine (30 juin au 4 juillet), il y a un "Camp IPv6" sur Rennes (locaux de Telecom Bretagne) avec le G6 et l'IPv6 Task Force France.
  C'est sûr ce n'est pas Sophia mais on annonce du beau temps aussi en Bretagne.
  Tous les détails sont ici http://www.g6.asso.fr/index.php/Camp_IPv6
  

  • [^] # Re: Camp IPv6 sur Rennes

    Posté par Francois Revol (site web personnel) le 26 juin 2008 à 18:36. Évalué à 1.

    

    Dommage c'est en plein sur le RMLL :-(

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.