D'apres Freenews, il semblerait que les choses bougent chez free en ce qui concerne l'IPv6. Cela devrait ravir certains parmi linuxfr.
http://www.freenews.fr/nat/5472-freebox-free-en-route-vers-l(...)
A l'echelle mondiale ou même à celle d'une grosse entreprise je vois bien ou est l'interet de l'IPv6, mais à titre individuel j'ai toujours du mal à voir le plus que cela va apporter à mon petit mon reseau local
Journal IPv6 chez free ?
26
nov.
2007
# Chat /VoIP facile?
Posté par ʭ ☯ . Évalué à 9.
D'une manière générale, tout Upload (envoi de données) sera facilité : http, bittorrent, mldonkey, ssh.
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # et aussi SSH et tout le reste :
Posté par ccomb (site web personnel) . Évalué à 8.
[^] # Re: et aussi SSH et tout le reste :
Posté par briaeros007 . Évalué à 3.
Faudra par contre que je me renseigne comment faire un firewall applicatif sous linux (autorisé les ports dynamiques de tel applis sur tel applis, que les autres applis ont pas le droit de se connecter a cette ip, ...)
[^] # Re: et aussi SSH et tout le reste :
Posté par alexissoft . Évalué à 2.
Et du coup on peut faire des vhost pour tous les services, du genre pour FTP.
[^] # Re: Chat /VoIP facile?
Posté par Mouns (site web personnel) . Évalué à -1.
on pourra déployer des vers sur tous les windows de la terre.
on pourra rootkiter tous les apache+php mal codé.
non, serieusement, il faut plus qu'il y ait de NAT.
Oui, pour un internet libre où tout le monde se prend des scan SSH parce qu'il n'y a "pas besoin d'un mot de passe serieux car SSH crypte tout !" ( excuse mainte fois entendu dans la bouche de GNUbies ).
En fait, non, IPv6 c sympa, mais on va inventer des NAT IPv6 car le NAT sait se rendre utile de maniere efficace pour un surcout faible.
[^] # Re: Chat /VoIP facile?
Posté par briaeros007 . Évalué à 4.
on pourra rootkiter tous les apache+php mal codé.
Ce dont tu as besoin c'est d'un fw, pas d'un nat.
mais on va inventer des NAT IPv6 car le NAT sait se rendre utile de maniere efficace pour un surcout faible.
???
Tu trouve qu'il y a pas assez d'adresses ipv6 ?
[^] # Re: Chat /VoIP facile?
Posté par Aldoo . Évalué à 6.
Comme le NAT, souvent nécessaire en v4, avait pour effet secondaire d'être un FW (pour le filtrage d'adresses et de ports, pas applicatif ou protocolaire), je pense que beaucoup de monde en avait déduit NAT=FW.
Il ne faudrait pas qu'avec IPv6 on en vienne à se dire "plus de NAT, donc plus de FW !" (aussi bien dans le sens "plus besoin de", que dans le sens, "ah mince, on ne peut plus sécuriser !").
[^] # Re: Chat /VoIP facile?
Posté par zul (site web personnel) . Évalué à 4.
Avec ca, tu as 'le meme niveau' de securite qu'avec ton NAT.
Les vraies différences sont :
- tu peux avoir plusieurs machines avec un même service tournant sur le même port sans devoir faire des contorsions dans tous les sens avec le NAT (genre attribuer le port 22 pour la service 192.168.1.11:22 et le port 23 pour le service 192.168.1.12:22). Tu autorise les entrées vers le port 22 d'un ensemble de box.
- tu n'a pas de réecriture d'adresse à la con, et tu n'a donc pas besoin de super proxy à la con (genre pour la connection data de ftp, sip ...).
Le NAT ne donne qu'un faux sentiment de sécurité et ca reste une merde immonde à configurer (et ca casse la moitié des protocoles parce que Internet est pensé pour être du point à point).
[^] # Re: Chat /VoIP facile?
Posté par Aldoo . Évalué à 2.
Ton NAT, il ne bloque pas tous les flux entrants par défaut ???
Pour l'instant, c'est la configuration de base de tout NAT qui mérite ce nom que j'ai pu rencontrer.
Bon maintenant, je pense que c'est un faux débat d'opposer NAT à firewall, vu que ce sont deux fonctions quasiment inséparables d'un même programme (iptables) ou d'un même équipement (les routeurs du commerce, par exemple).
En effet, si on veut rester aux définitions, le NAT est juste un traducteur d'adresses, donc c'est neutre d'un point de vue sécurité. Pour que cela fasse quelque chose, il faut router les paquets traduits... et qui dit routage dit règles, ces mêmes règles qui définissent le comportement d'un firewall.
[^] # Re: Chat /VoIP facile?
Posté par guignome (site web personnel) . Évalué à 0.
[^] # Re: Chat /VoIP facile?
Posté par zul (site web personnel) . Évalué à 2.
Pour la remarque sur le port source dynamique, je ne comprend pas ou tu veux en venir. Sur une connection de A vers B (B etant le serveur distant), le port de A est toujours dynamique (enfin sauf si tu le fixe toi même comme un grand)). Si on veut communiqer avec toi, il faut un port fixe ou un moyen de le découvrir (via la commande PORT en FTP par exemple).
[^] # Re: Chat /VoIP facile?
Posté par Mouns (site web personnel) . Évalué à 1.
mais le NAT est Mme-Michu-Compliant
Mme Michu, comprend cette notion de "péage" qui traduit ce qui est autorisé à traduire de maniere transparente.
Pour Mme Michu, iptable c un truc d'informaticien "qui savent l'ordinateur".
A coté de cela, je n'ose parler des personnes qui se font avoir dans le joli monde des GNUbies où l'on confond trop facilement "linux+ssh+apache" avec "securité" ... et ou l'on s'étonne après que des scripts bizarre tournent sur la machine.
cela fait des années que mes serveurs se font port-scanner et, où ou des robots tentent de forcer via mot de passe un acces SSH ... sauf que j'ai desactivé l'auth par mot de passe, on ne peut que s'identifier par une clé .
Combien de GNUbies se sont fait avoir par un acces ssh root (ou autre) sans le savoir parce que le mot de passe root etait faible et ssh avait sa conf par défaut ?
mais ce qui est moche est que le principal vecteur d'attaque est ce que tu donnes sans réaliser le danger que cela représente :
c'est parce que la conf par défaut est gardé qu'il y a des failles de sécurité qui sont trouvé et que des robots sont utilisé pour des attaques distribués pour deployer des rootkit.
Casser une machine faisant uniquement NAT+FW, on reboote cette machine et c'est reglé et de nouveau en ligne.
Casser une machine perso avec un firewall, on reboot la machine et on espere qu'il n'y a pas trop de degat.
le NAT à le mérite d'empecher tout accès par defaut de manière independante aux machines.
VIVE LES CONFS PAR DEFAUT SUR LES MACHINES A TOUT FAIRE !
Ca me fait penser à un court metrage de Mathieu Kassowitz, je fais confiance sans prendre de précaution puisque l'on m'assure qu'il n'y a aucun risque !
C'est aussi facile de moinser betement que de faire confiance à une conf par défaut en se croyant protéger.
[^] # Re: Chat /VoIP facile?
Posté par briaeros007 . Évalué à 3.
Je te rassure tout de suite : le NAT AUSSI !
Le NAT elle sait meme pas ce que c'est.
Mme michu elle a un seul pc, elle a la *box par défaut, sans toucher à rien. et voila, c'est tout!
Maintenant plutot qu'un nat sur la fbx , tu fout une regle ip6tables par défaut, ben devine quoi : elle ne verras rien !
Mme michu n'héberge pas de services sur son pc !
Et en plus, avec ip6tables etr conntrack par défaut , Mme michu aura plus de probleme avec le FTP et le RTP (traduis par "Mais internet ne marche plus")
VIVE LES CONFS PAR DEFAUT SUR LES MACHINES A TOUT FAIRE !
Tout a fait d'accord
C'est valable aussi pour les fw, et les fw évitent la réecriture d'adresses ip, donc que du bon pour tous les proto dynamiques!
[^] # Re: Chat /VoIP facile?
Posté par guignome (site web personnel) . Évalué à 2.
# NAT, toussa
Posté par Aldoo . Évalué à 9.
Mais j'imagine que c'est le début d'un cauchemar pour changer ses habitudes afin de sécuriser tout ça.
Avec IPv4, quand on était derrière un NAT, on se sentait protégé, puisque les seuls ports qui passent sont ceux qu'on avait redirigés.
Avec IPv6, il va falloir choisir entre la facilité totale (chaque PC a une adresse sur le réseau public et tous ses ports accessibles), et un filtrage sélectif (on met un firewall en entrée qui ne laisse passer que les ports choisis : même galère de config que le NAT).
Au fond, ça me rappelle un peu les arguments contre l'UPnP, protocole qui permet d'automatiser l'attribution de port sur un NAT, mais qui pose potentiellement des problèmes de sécurité évidents.
Maintenant, l'IPv6 est une formidable opportunité, et ce serait bête de ne pas en profiter. Gageons que nous retrouverons vite des habitudes d'utilisation saines.
[^] # Re: NAT, toussa
Posté par Uriel Corfa . Évalué à 10.
Gageons plutôt que madame michu appellera plus souvent monsieur Darty parce que sa souris bouge toute seule, et gagons surtout que monsieur Norton Internet Security Plus 2008 Ultra Gold Edition considerera que IPv6 est une menace en soi et bloquera tout le traffic reseau :)
[^] # Re: NAT, toussa
Posté par arapaho . Évalué à 4.
Bien noter la nuance entre "être protégé" et "se sentir protégé".
>Avec IPv6, il va falloir choisir entre la facilité totale (chaque PC a une adresse sur le réseau public et tous ses ports accessibles), et un filtrage sélectif (on met un firewall en entrée qui ne laisse passer que les ports choisis : même galère de config que le NAT).
Ou un adressage local et public en coexistence. Ca blablatte en local comme désiré, le "routeur découvert" s'occupe de faire le travail sur les flux "publics". IPv6 est peut-être un peu plus complexe que la v4, mais apporte une sacrée souplesse dans les différentes opportunités qu'il offre. Faut pas non plus le diaboliser.
[^] # Re: NAT, toussa
Posté par Aldoo . Évalué à 1.
Je souligne juste que pour obtenir une sécurité équivalente à celle de l'IPv4, il faudra s'attendre à une prise de tête équivalente.
Cela dit, j'aimerais savoir pourquoi le NAT ne serait pas une véritable sécurité pour ce qui est des tentatives de connexions depuis l'extérieur ? Comment peut-on, depuis l'extérieur, joindre une machine spécifique du lan sur un port TCP ou UDP non redirigé, si la machine n'a pas d'une manière ou d'une autre initié la connexion ?
Je sais qu'il existe d'autres formes d'attaques (chevaux de troie, exploitant la faille de l'ICC, en particulier), mais bon c'est toujours ça de moins à se soucier.
Cela dit, on n'est d'accord, le NAT n'est pas du tout la panacée. Mais le problème reste complexe de manière inhérente (et n'est pas lié à l'utilisation particulière de la technique appelée NAT) : il y a nécessairement un trade-off à faire entre ce que peut décider chaque utilisateur de son côté et ce qui est décidé au niveau de l'interface lan/internet, et entre ce qui doit être fait manuellement et ce qui peut être fait automatiquement (à la UPnP).
[^] # Re: NAT, toussa
Posté par alexissoft . Évalué à 5.
Si tu configure par défaut comme ça, aucun problème.
[^] # Re: NAT, toussa
Posté par briaeros007 . Évalué à 4.
Pourquoi le nat "permettait" une pseudo sécurité ?
Tout simplement parce que des robots arrête pas de scanner l'ipv4.
Passe en ipv6, et le traffic lié au robots va etre beaucoup moins présent, et donc la probabilité de te faire attaqué aussi.
[^] # Re: NAT, toussa
Posté par Aldoo . Évalué à 3.
Est-ce que ce serait vrai dans un monde à 99% en v6 ?
Bon, cela dit, scanner 2^128 adresses, c'est plus difficile que 2^32. Peut-être qu'effectivement l'argument est valable, à condition, bien sûr d'attribuer les adresses suffisamment aléatoirement pour qu'un robot n'aie pas d'heuristique efficace pour restreindre l'espace de recherche.
[^] # Re: NAT, toussa
Posté par briaeros007 . Évalué à 5.
On conseille d'attribuer des /64 aux particuliers, et d'utiliser l'autoconfiguration (les 64 bits sont en réalité l'adresse MAC avec FFFE ou qqch comme ça).
Sur les 64 bits, tu vas réussir a discriminer, allez on va etre gentil : 32 bits. (en gros tout ce qui est constructeur dans l'adresse MAC)
Il te reste 32 bits (tout ipv4 ! ) a trouver chez CHAQUE particulier.
Pas mal non ;)
(en réalité moins : 24 bits en supposant connu le constructeur de l'adresse MAC que tu cherche).
[^] # Re: NAT, toussa
Posté par Aldoo . Évalué à 4.
En gros, effectivement, si l'autoconfiguration est suffisamment aléatoire, ce n'est plus avec un bête scan qu'on va trouver des machines à infecter.
MAIS il y a des paquets d'autres méthodes pour trouver des listes d'adresses correspondant à des vraies machines (en particulier, quand on se connecte à un réseau P2P, on "connaît" très vite une liste impressionnante de pairs).
[^] # Re: NAT, toussa
Posté par jigso . Évalué à 3.
[^] # Re: NAT, toussa
Posté par briaeros007 . Évalué à 2.
J'ai dis que ca permettait de diminuer le nombre de robots, et le certa semble etre d'accord (ralentir la propagation des vers, on a pas dis l'arrêter).
[^] # Re: NAT, toussa
Posté par laurentm . Évalué à 4.
=> http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-004/
# intérêt
Posté par matthieu bollot (site web personnel, Mastodon) . Évalué à 4.
Ce que je me demande c'est du coup, est-ce que les gens vont s'y mettre et virer la freebox en pare-feu ? Par-ce que dans ce cas, bonjour les virus qui commençaient à disparraître. Mais je me trompe peut-être sur cette possibilité ?
(Je crains pas les virus pour moi, mais y en a bien qui vont me demander de les aider, et je leur dirai I'll not fix your windows computer et j'aurais plus d'amis :'( )
[^] # Re: intérêt
Posté par matthieu bollot (site web personnel, Mastodon) . Évalué à 2.
[^] # Re: intérêt
Posté par Aldoo . Évalué à 4.
Mon commentaire aussi était plein de choses déjà dites dans ce qui a été posté pendant que je l'écrivais.
Pour revenir au sujet, je me demande si la réflexion sur la sécurité ne serait pas finalement, ce qui retient le plus Free de migrer immédiatement en v6...
Il serait raisonnable que Free livre sa box IPv6 configurée par défaut dans un mode très sécurisé. En même temps, il faudrait qu'il soit facile de la reconfigurer pour vraiment tirer partie de l'IPv6. Si en plus on veut faire tout ça en étant à la fois Michu-proof et power-user-friendly, c'est un vrai casse-tête !
# Je ne comprends pas pourquoi ...
Posté par soulflyb (Mastodon) . Évalué à 9.
Ben oui, comme ça chacun a son adresse IPv6 et le flicage est beaucoup plus simple !
-->[]
# [[IPv6]] => [[Multicast]]
Posté par nojhan (site web personnel, Mastodon) . Évalué à 6.
# Je veux pas casser l'ambiance mais...
Posté par Rémi PALANCHER (site web personnel) . Évalué à 4.
Pour résumer, les principaux concernés chez Iliad/Free ont clairement fait comprendre que ce n'était pas au programme pour l'ADSL. Ils ont fait une commande auprès du RIPE de plages ipv6 pour préparer l'avenir mais, tant qu'ils ne sont pas forcés, ils préfèrent attendre.
En gros, pour eux, les raisons sont simples :
- Madame Michu s'en fout pas mal. La TV, le téléphone et les mails, ça marche relativement bien en ipv4 + NAT.
- Les terminaux d'accès + DSLAM ne sont pas prêts. Aujourd'hui, les Freebox ne gèrent pas ipv6 et ça couterait assez cher à migrer (d'après eux).
- Les équipements de routage ne sont pas complètement prêts. Ils préfèrent attendre que quelqu'un s'amuse à migrer avant eux pour voir comment ça se comporte en charge.
Même pour les freebox optiques, il n'est pas prévu d'ipv6.
Cela dit, peut-être qu'ils vont s'en servir pour les téléphones de leur réseau UMTS ;)
[1] http://www.mail-archive.com/frnog@frnog.org/msg01777.html
[2] http://www.frnog.org/
[^] # Re: Je veux pas casser l'ambiance mais...
Posté par JoeBlack . Évalué à 3.
Je ne comprends pas. La freebox ne gère peut-être pas l'ipv6, mais vu qu'elle utilise un noyau Linux, il suffit (en gros) d'activer la pile ipv6... A moins que le matos ne soit très limité en puissance (et encore), je ne vois pas en quoi compiler et charger les modules ipv6 pour le noyau coûte si cher... Après, pour eux, il suffit de mettre à jour le firmware et c'est la freebox supporte l'ipv6... A moins que j'oublie un gros détail ?
[^] # Re: Je veux pas casser l'ambiance mais...
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 3.
la freebox est un système embarqué, avec ses limitations, tant en puissance de calcul qu'en stockage embarqués.
Hors pour imaginer une migration IPv6 il va falloir transformer toutes ses petites boites en *routeurs* IPv6 ce qui nécessite un peu plus qu'une pile IPv6
[^] # Re: Je veux pas casser l'ambiance mais...
Posté par briaeros007 . Évalué à 5.
Hors pour imaginer une migration IPv6 il va falloir transformer toutes ses petites boites en *routeurs* IPv6 ce qui nécessite un peu plus qu'une pile IPv6
Tellement peu de puissance de calcul que ca peut décoder un flux h264. Je connais pas bcp de routeur qui possèdent des DSP pour le faire.
Sans compter que "router" l'ipv6 prend ... MOINS de puissance que faire du NAT ipv4 (pas de checksum a recalculer !, pas de translation d'adresse à assurer, pas de suivi de connection à faire))
[^] # Re: Je veux pas casser l'ambiance mais...
Posté par Anonyme . Évalué à 2.
Par contre il doivent avoir un tas d'autres equipements pour faire marcher leur réseau, dont certains qui ne supportent pas forcement l'ipv6.
[^] # Re: Je veux pas casser l'ambiance mais...
Posté par Mildred (site web personnel) . Évalué à 2.
[^] # Re: Je veux pas casser l'ambiance mais...
Posté par ribwund . Évalué à 4.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.