Journal IPv6 et conséquences sur l'anonymat

Posté par .
Tags : aucun
49
14
jan.
2011
Bonjour,

je voulais revenir un peu sur les conséquences sur la vie privée du passage en IPv6. On a pu lire beaucoup de commentaires sur le sujet récemment sur ce site, et je ne les pense sont pas toujours pertinents. Je ne parlerai vraiment que de la couche réseau, que les gens sont déjà tracés par les cookies, l'entropie d'information de leurs navigateurs, leurs comptes facebook, ça ne m'intéresse pas.

En IPv6, on a toujours la même adresse

Il y a dans ce "problème" deux parties. Une adresse IPv6 est composée de deux composantes bien distinctes, l'adresse réseau (en gros, les 64 premiers bits) et l'identifiant d'interface (les 64 derniers). Pour la première partie, beaucoup pensent que l'IPv6 entraînera des préfixes réseaux fixes. Il n'en est rien, et certains FAI n'ont pas envie de le faire. Dans les exemples récents, Deutsche Telekom a déclaré vouloir déployer l'IPv6 en fournissant un /56 par abonné. Ce /56 changera au minimum une fois toutes les 24 heures... Les antis IP fixes se trompent donc de cibles, ce n'est pas une technologie qu'il faut combattre mais bien les politiques des fournisseurs d'accès. Je pense personnellement que ce n'est pas un problème d'avoir un préfixe fixe, mais si vous pensez le contraire sachez qu'IPv6 ne change rien.

Il est probable que s'il existe un marché pour des IP dynamiques, un fournisseur d'accès le proposera.

Pour les germanophones, l'article source chez heise.de.

Passons à la seconde partie, l'identifiant d'interface. Il est vrai que les premiers mécanismes d'autoconfiguration qui ont été publiés en RFC proposaient une dérivation de cet identifiant à partir de l'adresse MAC. Cette adresse MAC étant unique, il était virtuellement possible de savoir partout ou vous vous branchiez sur l'Internet, ou en tout cas partout ou votre carte réseau se branche (après, rien ne vous a jamais empêché de ne pas utiliser cette auto-configuration...). Ce problème est résolu depuis bien longtemps, d'abord par la RFC 3041 qui a été mise à jour par la 4941 (Privacy Extensions for Stateless Address Autoconfiguration in IPv6). Grâce à ces extensions, un identifiant d'interface est généré aléatoirement pour les connexions sortantes. Cela rend impossible le tracage des différentes cartes réseaux, et résoud ainsi le problème. La bonne nouvelle pour Madame Michu, c'est que ces options sont activées par défaut sous Windows (sous Linux, il faut le faire à la main).

En conclusion, les IPv6 fixes et le traçage des utilisateurs grâce à ça, c'est juste des foutaises. Mais vous n'en doutiez pas, j'en suis convaincu.

Et pour le vrai anonymat ?

Si vous pensez qu'avoir une IP dynamique est suffisant pour votre vie privée, vous êtes désormais rassuré. Si vous pensez que ça ne change pas grand chose, vous pourriez souhaiter avoir accès à des applications d'anonymat un peu plus solides, tel que Tor ou des « cascades de Mix ».

L'introduction de l'IPv6 peut poser des d'architectures à ces réseaux. Exemple : Tor. Permettre l'IPv6 sur Tor n'est pas sans poser problème, notamment au niveau de la cohérence du réseau, de la joignabilité de tous les nœuds, etc. C'est bien expliqué dans la FAQ du site, ils cherchent une solution. Je fais confiance aux gens de Tor pour avoir une solution élégante. Mais leur processus de décision sous la forme de propositions/commentaires/implémentation est assez lent (c'est ça qui le rend bien en même temps), et donc Tor en IPv6 ne sera pas pour tout de suite (pour ce que j'en sais).

Après, il y a d'autres solutions qui ont les mêmes problèmes que toutes les applications : il faut mettre à jour pour permettre une compatibilité IPv6. C'est notamment le cas des « cascades », qui ont un point unique d'entrée et de sortie. Il n'y a aucun problème théorique la-dessous, juste du temps de développement à avoir.

Donc si vous avez besoin de solutions d'anonymat solides : pour l'instant, en IPv6, ça ne marchera pas. Ce n'est pas directement un problème du protocole, mais un problème de compatibilité avec l'existant et de mises à jour des logiciels.

J'ai fait un rêve...

Pour la suite, je pense qu'IPv6 va apporter de nouvelles solutions intéressantes pour l'anonymat. Il y a pas mal de nouvelles idées dans le domaine de la recherche qui s'appuient sur les nouveaux protocoles qui vont avec l'IPv6, il en émergera bien un truc. La philosophie de l'abondance des adresses ouvre de nouvelles opportunités.

On peut également rêver d'une diffusion massive de l'IPSec, et notamment du chiffrement opportuniste. En IPv6, le support d'IPSec est obligatoire dans les RFC, et non plus optionnel comme en v4. S'il commence à être vraiment utilisé, ce serait un bon en avant magnifique. Pour rappel, en IPSec on peut chiffrer tout le contenu du paquet, en particulier les entêtes du niveau 4 (ICMP, TCP, UDP...). Impossible donc de savoir le type d'application, un observateur au milieu n'aura plus que la quantité de donnée échangée et les IP des correspondants (ce qui est déjà pas mal, certes).


Bon week-end anonyme à tous.
  • # Du vrai Internet.

    Posté par . Évalué à  10 .

    Les antis IP fixes se trompent donc de cibles, ce n'est pas une technologie qu'il faut combattre mais bien les politiques des fournisseurs d'accès.
    Ben pour ma part, je trouve que c'est la politique qui consiste à attribuer une IPv4 ou une plage IPv6 dynamique qu'il faut combattre, si l'obtention d'une IP fixe est payante ou impossible.

    Ça maintient l'utilisateur final dans un rôle passif de client anonyme et discret tout juste bon à consommer le contenu de serveurs tellement fixes qu'il pourrait les inscrire dans son fichier hosts et se passer de DNS.

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Du vrai Internet.

      Posté par (page perso) . Évalué à  10 .

      En fait ça doit surtout être l'inverse :
      – service de base : préfixe fixe ;
      – service supplémentaire, éventuellement payant : préfixe dynamique.

      Parce que faire changer le préfixe, c'est plus compliqué.
      • [^] # Re: Du vrai Internet.

        Posté par . Évalué à  5 .

        Je ne sais pas quel choix devrait être payant, mais il serait bien, pour commencer, que ce choix existe, en tant qu'option au sein d'un même abonnement, sans changer de FAI.
        Actuellement, la seule façon de choisir, c'est de changer de FAI :-(.
    • [^] # Re: Du vrai Internet.

      Posté par . Évalué à  5 .

      Je suis tout à fait d'accord avec toi. A l'origine d'Internet, c'était l'IP fixe et 1 IP par machine qui était la norme. Les IP dynamiques puis le NAT ont été des paliatifs au manque (donc au cout) des IP V4.
    • [^] # Re: Du vrai Internet.

      Posté par (page perso) . Évalué à  2 .

      Allez, je propose une solution qui mettra tout le monde d'accord : voyez-vous, une adresse IP fixe, c'est juste en pratique (je parle des connexions DSL, là) un attribut Framed-IP-Address dans le RADIUS du FAI. Le préfixe ? Pareil, un Framed-IPv6-Prefix. Ces deux infos ne sortent pas de nulle part, le SI du FAI les pioche dans le pool d'adresses/préfixes libres qui lui reste.

      Et la solution, donc ? Un rajout à l'interface client du SI permettant à l'abonné de demander une nouvelle adresse et un nouveau préfixe. Pour le FAI, c'est quelques lignes de code à écrire, et pour le client c'est le meilleur des deux mondes : son IP et son préfixe sont statiques (donc il peut faire tourner des serveurs, la minitélisation ne passera pas par lui s'il ne le souhaite pas), et s'il veut aller troller sur les sites où son IP est bannie^W^W^W^W^W^W^W^W^W^Wempêcher les mAIchantes mégacorps de le suivre à la trace, il va sur l'interface d'admin de son FAI, il clique sur le bouton, et il se dépêche de changer les enregistrements DNS qui pointent vers son IP actuelle avant que la session PPP expire.

      Bien entendu, ça suppose que le FAI aie quelque chose à carrer des geeks avec leurs serveurs et des paranos qui ont peur de se faire repérer par les Chinois du FBI. Mais bon, si votre FAI ne vous convient pas, vous savez ce qui vous reste à faire, hein.

      PS : accessoirement, et même si je comprends bien qu'il s'agit d'une allégorie, je ne suis pas tout à fait d'accord sur les « serveurs tellement fixes qu'il pourrait les inscrire dans son fichiers hosts » : à l'heure des CDN et de la répartition de charge à tout va, c'est loin d'être encore vrai...

      Envoyé depuis mon PDP 11/70

      • [^] # Re: Du vrai Internet.

        Posté par . Évalué à  2 .

        PS : accessoirement, et même si je comprends bien qu'il s'agit d'une allégorie, je ne suis pas tout à fait d'accord sur les « serveurs tellement fixes qu'il pourrait les inscrire dans son fichiers hosts » : à l'heure des CDN et de la répartition de charge à tout va, c'est loin d'être encore vrai...

        Puisqu'il reste encore une centaine de minutes pour tasser la déjection des Sarcophaga carnaria, je me permets d'indiquer que si on fixe en dur les IP vers lequelle un domaine en round robin pointe, ça fonctionne quand même très bien tant qu'il n'y a qu'une minorité de gens qui le fait.
        Ça peut être plus problématique dans le cas d'un CDN, si le fichier hosts est sur une machine portable qu'on va brancher sur différents réseaux (donc chez différents FAI, voire dans différents endroits du monde).

        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # typo ?

    Posté par (page perso) . Évalué à  2 .

    il manque un mot dans cette phrase

    "L'introduction de l'IPv6 peut poser des d'architectures à ces réseaux."

    carte des attaque DDOS http://map.ipviking.com/

    • [^] # Re: typo ?

      Posté par . Évalué à  4 .

      Effectivement, +problèmes.

      La phrase deviendrait : "L'introduction de l'IPv6 peut poser des problèmes d'architectures à ces réseaux."
    • [^] # Re: typo ?

      Posté par (page perso) . Évalué à  3 .

      Ça me parait correct à moi:

      Avant y'avait des NAT et des sous-NAT partout et c'était le gros bordel.

      Avec IPv6, on va pouvoir remettre un peu de cohérence là-dedans.

      -----------------> [ ]
  • # Quelques erreurs

    Posté par . Évalué à  1 .

    L'article commet quelques erreurs. Il présuppose de la façon dont va être mise en place la v6 par les acteurs du net. S'ils décident de rendre bavarde la topologie du réseau, ou S'ils y sont contraints par la loi, ça va être un vrai cauchemard. Deuxièmement, il s'arrête à un instant T de la situation actuelle sans prendre en compte le chemin que prend le net actuellement. Trois, il diffuse en filigrane l'idée que puisque nous sommes déjà pisté, un peu plus ou un peu ce n'est pas grave.
    • [^] # Re: Quelques erreurs

      Posté par . Évalué à  10 .

      > Il présuppose de la façon dont va être mise en place la v6 par les acteurs du net.

      Je présuppose surtout que l'IPv6 n'a aucune raison d'être mise en place de façon différente que l'IPv4. Des FAI fournissent des IP statiques, d'autres des dynamiques, et je suis persuadé que cela continuera. Mais je ne suis pas monsieur soleil, cela est clair.


      > Deuxièmement, il s'arrête à un instant T de la situation actuelle sans prendre en compte le chemin que prend le net actuellement.

      Ça m'intéresse de savoir "le chemin que le net prend actuellement.". Et les conséquences sur le sujet. Mon but n'est pas de dire que je détiens la vérité, mais d'en discuter :-)


      > Trois, il diffuse en filigrane l'idée que puisque nous sommes déjà pisté, un peu plus ou un peu ce n'est pas grave.

      Que nous sommes déjà en situation d'être pisté me semble évident. Que nous le sommes en partie, aussi. Que ce n'est pas grave, ce n'est certainement pas mon propos. Je dis juste que quelqu'un qui souhaite réellement être anonyme doit passer par des applications spécialisées, et que la version du protocole IP n'y changera rien.
  • # Typo

    Posté par (page perso) . Évalué à  10 .

    ce serait un bon en avant magnifique.

    Bond.

    James Bond.
  • # Oui enfin

    Posté par . Évalué à  4 .

    Dans les exemples récents, Deutsche Telekom a déclaré vouloir déployer l'IPv6 en fournissant un /56 par abonné. Ce /56 changera au minimum une fois toutes les 24 heures...

    Dans l'article que tu cites, ils expliquent bien que la déconnexion au bout de 24 heures n'aura plus lieu
    Doch gleichzeitig soll die DSL-Zwangstrennung nach 24 Stunden abgeschafft werden.


    Et si après une déconnexion tu te reconnectes de suite (donc si le routeur est constamment connecté), l'adresse IP ne changere pas, :
    Und wenn die Neuanwahl kurz nach der Trennung erfolgt, erhält der Kunde denselben Prefix wieder. Bei einer Dauerverbindung wird sich der Prefix also nur äußerst selten ändern.
    • [^] # Re: Oui enfin

      Posté par . Évalué à  2 .

      Bim, pris en flagrant délit de contresens, j'ai honte (m'apprendra à écrire "de mémoire lu y'a trois mois").

      Il reste qu'ils ne garantissent pas l'IP fixe, et que ça restera une option payante pour les entreprises. Si quelqu'un ne souhaite pas d'IP fixe, il lui suffit de couper son routeur "suffisamment longtemps".
  • # Mauvaise technologie

    Posté par . Évalué à  -10 .

    IPv6 a été conçu à une époque à laquelle pratiquement personne n'utilisait Internet. Le contexte était très différent. Et ce ne sont pas les quelques RFC nouvellement mises au point qui vont changer la donne. IPv6 est profondément une mauvaise technologie. Fondamentalement, IPv6 c'est big brother. Les quelques RFC ne changent rien, car elles ne sont en rien obligatoires. Et si les États décidaient de faire sans ? On aurait bien l'air con avec votre propagande IPv6. Et il est trop facile de se dédouaner en disant qu'une technologie n'est ni bonne ni mauvaise. Science sans conscience n'est que ruine de l'âme. Ceux qui mettent au point de tels outils alors que l'Homme est ce qui est, sont responsables. Trop facile de fabriquer des armes et dire qu'on est pas responsable de leurs utilisations alors que depuis toujours l'Homme fait la guerre. Sans ces patchs que sont les quelques RFC qui viennent amoindrir le fascisme numérique que porte en lui IPv6, cette technologie ne devrait même pas avoir droit de citer dans une démocratie. Et parce que vous pensez sans réel fondement que ces RFC vont être pour toujours appliquées, on devrait prendre le risque d'utiliser cette technologie ? IPv6 est à bannir. Et il faut créer une nouvelle version de l'IP.
    • [^] # Re: Mauvaise technologie

      Posté par (page perso) . Évalué à  10 .

      Putain, c'est d'la bonne, j'en veux aussi.
    • [^] # Re: Mauvaise technologie

      Posté par . Évalué à  6 .

      Salut, alike2. Tu as cassé ta touche « Entrée » ?
      Je croyais que l'IPv4 suffisait.

      Je suis dans ma tour d'ivoire (rien à foutre des autres, dites moi un truc pour moi), si je ne pose pas explicitement une question pour les 99%, les kévin, les Mm Michu alors c'est que je ne parle pas d'eux.

    • [^] # Re: Mauvaise technologie

      Posté par . Évalué à  4 .

      Va quand même falloir m'expliquer un truc, sachant que je ne connais strictement rien à IPv6, en partant de ce cas particulier :

      - je suis un branleur de pédonazi, c-à-d qu'au boulot, je ne bosse pas, je passe mon temps à consulter des sites pédonazis.
      - le réseau de mon employeur est connecté en IPv4 au net, donc forcement avec une NAT, bien que les IT soient aussi des branleurs (leur convictions sexuelo-politiques n'ont par contre pas d'importance) mais bon ils n'ont pas le choix, sinon, il n'y aurait pas de net pour les employés.
      - un des sites que je consulte est en fait surveillé! Aucun moyen d'y échapper, c'est Eric Besson himself qui a branché sur un hub près du serveur son portable avec tcpdump -XX et qui dicte les IPs à Hortefeux qui les note sur son petit carnet, bref, impossible d'enfumer des experts de ce niveau.
      - À partir de l'adresse IP, il retrouve l'adresse de ma boîte et débarquent en fraggant au passage la secrétaire avec leur flashball.
      - sauf que là, ils sont bien niqués... on est 2000 sur le site, les ITs ne loguent pas les accés exterieurs, et les tables NAT sont effacés depuis longtemps.

      Maintenant on recommence la même histoire avec IPv6. Il n'y a pas de NAT ni quoi que ce soit dans le même genre car rappelez vous, les IT sont des branlos. Sauf que maintenant mon addresse IPv6 est connu d'Hortefeux qui n'a aucun problème à me retrouver en la donnant aux ITs, qui vient me faire la moral, et là forcement je saute par la fenêtre car c'est pas tenable, et la CGT récupère mon sucide pour faire augmenter le montant des tickets restos à la prochain réunion du CE.

      Donc j'en déduis que IPv6 c'est vraiment moisi, à moins qu'on m'explique où je me trompe.

      C'est bizarre, j'ai l'impression que ça va moinsser chérie, et pas parce que je suis un pédonazi...
      • [^] # Re: Mauvaise technologie

        Posté par (page perso) . Évalué à  9 .

        Eh bien, comme tu es un branleur de pédonazi prudent, tu utilises les privacy extensions d'IPv6, et l'adresse qu'Éric Besson a détecté, eh bien c'était la tienne pendant 5 minutes, c'est tout. Et elle ne permet pas de retrouver ton ordinateur.
      • [^] # Re: Mauvaise technologie

        Posté par (page perso) . Évalué à  3 .

        Non, tu seras moinssé parce que tu ne lis pas le journal sur lequel tu commentes…

        Grâce à ces extensions, un identifiant d'interface est généré aléatoirement pour les connexions sortantes. Cela rend impossible le tracage des différentes cartes réseaux, et résoud ainsi le problème.
        • [^] # Re: Mauvaise technologie

          Posté par . Évalué à  3 .

          Oui enfin, il ne faut pas trop m'en demander non plus, je rappelle que je suis un pédonazi. Bon, j'ai fait un gros effort quand même, je suis allé lire la RFC en question et je suis nettement rassuré.
      • [^] # Re: Mauvaise technologie

        Posté par . Évalué à  9 .

        j'ai une préférence pour la solution IPv6 :
        -plus de bande passante
        -un pédonazi de moins
        -de meilleurs tickets restau (ou plus de frites à la cantine

        le pire étant quand même l'IT branleur pédonazi maispasfou, qui va faire la même chose, mais en utilisant l'IP du chef qui lui aura refusé une augmentation (oui ça fait beaucoup de conditions, mais les 2 premières sont indissociables)
      • [^] # Re: Mauvaise technologie

        Posté par (page perso) . Évalué à  3 .

        je passe mon temps à consulter des sites pédonazis

        Ton histoire ne tient pas du tout. Tu oublies que notre brave Brice a déjà filtré tous les sites pédonazis pour sauver notre jeunesse des prédateurs pédophiles.
      • [^] # Re: Mauvaise technologie

        Posté par (page perso) . Évalué à  3 .

        sauf que là, ils sont bien niqués... on est 2000 sur le site, les ITs ne loguent pas les accés exterieurs, et les tables NAT sont effacés depuis longtemps.

        Là, c'est ta boite qui va se faire détruire.
        Une loi plus si récente maintenant (LCEN) impose à toutes les entités qui fournissent un accès Internet (cela concerne aussi bien les FAI que les entreprises) de logguer un certain nombre d'informations. Notamment qui se connecte à quel site, qui envoie des mails à qui, etc.
        Et je crois bien qu'un décret d'application sorti pas plus tard que cette année (enfin... En 2010) a fixé la durée de conservation de ces logs à un an.
        • [^] # Re: Mauvaise technologie

          Posté par (page perso) . Évalué à  2 .

          Tu crois vraiment que les entreprises ont les moyens de conserver un an de logs de la table d'états de leur routeur NAT ? Je pense qu'aucune ne le fait. Aucune.
          • [^] # Re: Mauvaise technologie

            Posté par (page perso) . Évalué à  1 .

            Je n'ai pas dit que c'est en place dans les entreprises, j'ai juste mentionné que cela devrait être en place dans toute entreprise respectant la loi. C'est différent.

            Je me doute bien que peu le font. Il me semble d'ailleurs qu'il y a déjà une jurisprudence là-dessus : BNP Paribas s'est fait condamner il y a quelques années pour ne pas avoir pu donner d'informations sur une machine qui avait envoyé un mail litigieux depuis son réseau (pas le temps de retrouver de source fiable là-dessus).

            Quant à la difficulté de mise en place, les FAI avaient menacé d'augmenter le coût des abonnements rien que pour mettre en place les infrastructures permettant de stocker ces logs. Menace non suivie d'effet, en tout cas à cette époque. Est-ce que les logs sont tout de même conservés par ces derniers ? Aucune idée...
    • [^] # Re: Mauvaise technologie

      Posté par (page perso) . Évalué à  1 .

      Je t'ai démasqué, Pierre-Matthieu !
      https://linuxfr.org//comments/1133993.html#1133993

      Les fautes de Français sont une bien meilleure méthode de traçage que l'IPv6 !
      • [^] # Re: Mauvaise technologie

        Posté par (page perso) . Évalué à  1 .

        Oui, enfin, -er au lieu de -é, ça doit être la faute la plus répandue en français, je ne pense pas qu'on puisse tirer des conclusions jsute avec cette faute (ou alors j'en ai raté une plus caractéristique).

        En revanche, pour voir à quoi tu faisais référence, j'ai du me fader in extenso les délires sur le fascisme numérique IPv6 du guignol de service. Je ne te remercie pas, Jean-Philippe :-/

        Envoyé depuis mon PDP 11/70

  • # mauvais problème

    Posté par . Évalué à  -1 .

    je précise d'abord que je ne suis pas admin réseaux, et que je n'ai que quelques connaissances..
    je pense qu'il y a des anti IPv6 qui ne sont pas contre l'attribution des préfices statiques, mais plutot à l'annonymat que provoquait l'utilisation du DNAT pour masquer les IP locales et la topologie du réseau local au reste du monde. Je pense qu'il faut donc aussi repenser les architectures.

    De plus le DNAT fournissait un firewall à pas cher, en particulier sur les *box chez les particuliers. Pour moi c'est clair que je e passe pas en v6 tant qu'il y a pas un firewall sur la box.
    • [^] # Re: mauvais problème

      Posté par (page perso) . Évalué à  5 .

      je pense qu'il y a des anti IPv6 qui ne sont pas contre l'attribution des préfices statiques, mais plutot à l'annonymat que provoquait l'utilisation du DNAT pour masquer les IP locales et la topologie du réseau local

      Les privacy extensions d'IPv6 ont exactement le même effet.

      De plus le DNAT fournissait un firewall à pas cher, en particulier sur les *box chez les particuliers.

      Un pare-feu bloquant tout en entrée et autorisant tout en sortie a exactement le même effet, en moins cher.
      • [^] # Re: mauvais problème

        Posté par . Évalué à  0 .

        Tout à fait d'accord, mais je pensais plutôt à toutes les pauvre Mme Michu tentées de cliquer sur "activer l'IPv6" sur leur Box !!
        Et je serais tenté de dire que comme les *Box fournissent le mode routeur, ça me semblerait normal qu'ils fournissent le minimum pour sécuriser le réseau local des particuliers...

        Et tant que l'opérateur (Free en l'occurence) n'aura pas modifier le soft de son routeur, je déconseillerai à mes proches d'activer l'IPv6 sur leur Box!
    • [^] # Re: mauvais problème

      Posté par (page perso) . Évalué à  4 .

      Pour moi c'est clair que je e passe pas en v6 tant qu'il y a pas un firewall sur la box.

      Moi j'y passe. Je ne suis pas un assisté, mon opérateur est là pour me connecter à Internet, pas pour gérer la sécurité de ce que j'y branche. La box est une commodité, rien de plus. Si je veux plus que les services qu'elle fournit gracieusement, eh bien je prends un routeur perso.
      • [^] # Re: mauvais problème

        Posté par . Évalué à  4 .

        Ton approche est saine, sauf que le routeur perso "en plus" ce n'est pas des plus immédiats avec le choix de déploiement de l'IPv6 de certains (Free, notamment).
        • [^] # Re: mauvais problème

          Posté par . Évalué à  -1 .

          Merci, c'est là où je voulais en venir.
          Effectivement, dès que j'aurais investi dans un petit routeur wifi avec iptables et tout, je switche tout de suite sur IPv6 !

          C'est juste que en l'état, avec ma vieille box qui fait que du DNAT, pour moi le minimum syndical, pas d'IPv6 !
    • [^] # Re: mauvais problème

      Posté par . Évalué à  1 .

      Ça fait un bail que le NAT se traverse sans problème depuis Internet avec tout plein de bricoles. Demande-toi comment font les protocoles de VoIP par exemple (Skype est champion pour ça). Le NAT ne protège de rien, et ne cache rien du réseau local, c'est juste un gros bricolage foireux pour pallier le manque d'IPv4. Et un bon firewall est indispensable dans tous les cas.
      • [^] # Re: mauvais problème

        Posté par (page perso) . Évalué à  3 .

        On peut voir le problème de cette façon :
        * NAT IPv4 : solution complexe, exploitable, filtre par effet de bord et pas par volonté
        * IPv6 avec préfixe fourni au client : solution simple, difficilement exploitable, facile à filtrer… ou pas si l'on ne veut pas

        DLFP >> PCInpact > Numerama >> LinuxFr.org

      • [^] # Re: mauvais problème

        Posté par . Évalué à  3 .

        C'est pas de l'UPNP pour les services type Skype ? Tant qu'un logiciel client n'ouvre pas un port sur le routeur comme ça, comment peut-on accéder à ma machine derrière le NAT ?
        (c'est une vraie question que je me pose)
        • [^] # Re: mauvais problème

          Posté par . Évalué à  2 .

          Skype arrive même à traverser les réseaux avec juste le port 80 ouvert et un proxy nazi devant, et on ne sait pas toujours comment d'ailleurs. ;)

          Un exemple parmis d'autres pour traverser du NAT depuis l'exterieur : http://linide.sourceforge.net/nat-traverse/#technique
          • [^] # Re: mauvais problème

            Posté par . Évalué à  2 .

            Ou regarde aussi du coté de STUN, TURN et ICE.
          • [^] # Re: mauvais problème

            Posté par . Évalué à  2 .

            Hum, Skype est loin d'être aussi mystérieux. Skype a deux modes, la connexion « directe » entre deux clients qui permet la meilleure qualité. Pour ça, il faut qu'il arrive à ouvrir un port sur le NAT sur au moins l'un des deux ordinateurs (avec UPNP, par exemple). S'il arrive à ouvrir ce port, le client Skype devient automatiquement un relais potentiel pour les autres "bloqués qui ont un NAT impossible à ouvrir (ou un firewall, etc).

            Sur Windows, ces clients tentent d'ouvrir les ports 80 et 443 pour être prêts à acceuillir les clients sur des réseaux très filtrés. Sinon, il ouvre un port au hasard (ou un port défini par l'utilisateur dans les options).


            Si aucun des deux clients n'est accessible directement, ils passent par des relais. Ces relais sont d'autres utilisateurs qui eux ont le port ouvert et qui sont joigables. Par exemple s'il n'est possible que de passer par le port 80, il utilisera un relais avec le port 80 ouvert. Plus le réseau est filtré, moins le nombre de relais potentiels est grand et plus la qualité a des chances d'être dégradée.

            Skype est donc loin d'être magique. Il se contente d'utiliser chaque utilisateur comme relais potentiel, sans lui demander son avis (et sans lui demander la bande passante qu'il est près à y allouer). Si chaque utilisateur de Skype utilisait un firewall bloquant les connexions entrantes, le réseau s'écroulerait.
      • [^] # Re: mauvais problème

        Posté par . Évalué à  2 .

        si tu n'as pas accès à la conf du routeur, ni au pc derrière faudra m'expliquer par où tu passes.

        Du pc oui tu peux ouvrir un trou, mais de l'extérieur, j'aimerai bien voir :)

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: mauvais problème

      Posté par . Évalué à  10 .

      De plus le DNAT fournissait un firewall à pas cher

      Ah, c'est sûr, être obligé d'analyser tous les paquets, de tracker certains protocoles, et d'enregistrer chaque correspondance du NAT en mémoire, c'est vachement « moins cher » que de simplement router (ou non) des paquets.
      • [^] # Re: mauvais problème

        Posté par . Évalué à  -2 .

        C'est moins cher car facile à configuré (une case à cocher sur l'interface de la box).

        Faire des règles de filtrages par un particulier, c'est juste un poil plus compliqué à comprendre et à configuré pour Mr Lambda
    • [^] # Re: mauvais problème

      Posté par . Évalué à  1 .

      C'est bizarre comme raisonnement, tu n'as pas de firewall pour ipv4, mais tu en veux un pour ipv6. Si ta situation te plaît actuellement, ben continue à mettre un NAT avec ipv6 !
  • # Pour l'anonymat

    Posté par (page perso) . Évalué à  2 .

    Pour l'anonymat, il reste encore dieu merci la téléphonie.
    Quand j'utilise mon portable, mon fournisseur me donne une superbe ip rfc 1918, derriére un bon gros nat des familles avec un proxy.

    Ce qui fait que 1) j'ai une ip partagé avec un certain nombre de clients
    2) que cette ip est dynamique de surcroit
    3) que ce qui sort est "normalisé" par le proxy ( dans le sens ou les entétes sont toujours dans le même ordre )

    Et comble du bonheur, il bloque aussi l'usage des ports à la con pour l'envoi en douce des informations, que demander de plus ?

    Sans doute que le proxy n'enregistre pas tout, il reste plus qu'à mettre de l'https partout ( moi, c'est fait, j'attends plus que le reste du monde ).
    • [^] # Re: Pour l'anonymat

      Posté par (page perso) . Évalué à  2 .

      hmmm et l'IP dans la plage de temps où elle t'es attribuée est reliée au moins à ton IMSI (International_Mobile_Subscriber_Identity), cette information étant conservée (genre 9 mois ou un an) et fournie sur demande expresse lors d'une enquête. Je n'ai pas suivi si la loi hadopi permet à une entité privée d'effectuer cette demande (je n'ai pas vu d'article allant dans ce sens ou alors j'ai trop survolé), pour loppsi2 non plus je crois.

      Pour le https, oui, même s'il y aura au moins la liste des sites visités, grâce aux infos des DNS (internes). Bien sûr, cela fonctionne en IPv4 et est disponible s'il y avait un passage à l'IPv6.

      Bon, au moins ça évite les sites externes de collecter les infos te concernant sans action de leur part. En revanche, je ne sais pas si les sites "internes" de ton opérateur telecom ne pourraient pas bénéficier de ces infos (elles peuvent être consolidées par la suite éventuellement...).
      Cerise sur le gâteau pour les plus paranos, l'info de géolocalisation ou en tout cas la BTS (l'antenne) à laquelle tu es relié donne une idée de ta position ;-)
      • [^] # Re: Pour l'anonymat

        Posté par (page perso) . Évalué à  2 .

        Je fait confiance à la lourdeur administrative d'un opérateur télephonique pour que rien d'utile ne soit fait des informations /o\
    • [^] # Re: Pour l'anonymat

      Posté par (page perso) . Évalué à  3 .

      Si tu utilises de l'HTTPS, ça ne passe pas par le proxy (ou alors, ton opérateur téléphonique est très bon pour les attaques man-in-the-middle ;-)

      Envoyé depuis mon PDP 11/70

  • # Non, tu n'as pas toujours la meme adresse

    Posté par (page perso) . Évalué à  3 .

    Si tu lis le RFC 4941 : http://tools.ietf.org/html/rfc4941 , tu verras que tu as le choix, que Windows d'ailleurs l'implémentes de base et que sous Linux, c'est aussi complètement supporté (bien que pas activé par défaut). Un lien rapide : http://ipv6int.net/systems/linux-ipv6.html#privacy
    • [^] # Re: Non, tu n'as pas toujours la meme adresse

      Posté par . Évalué à  -4 .

      Ce n'est pas suffisant: le préfix réseau fournit par ton opérateur est fixe lui donc il va suffir pour identifier tes ordinateurs: ok, ce ne sera pas 100% précis car il sera partagé par toute la famille, mais réfléchis: avant seul les pouvoir publics(avec commission rogatoire d'un juge) et les FAI pouvaient réellement lier l'adresse IP a quelqu'un, maintenant avec les préfixes IPv6 *tout le monde* le pourra.

      Bon cela ne changera pas grand chose en pratique car une minorité des gens retirent leur cookies, mais pour ceux qui le faisaient et bien ils sont b*** maintenant: nettoyer ses cookies ne servira plus à grand chose: le préfix suffit a identifier..

      Donc pour cette minorité d'utilisateurs, IPv6 représente bien une perte de fonctionnalité: si tu veux garder le même niveau "d'anonymat", tu passe de nettoyer tes cookies et désactiver Flash (opérations pas très compliquées) à en plus: utiliser Tor (lent (d'après ce que j'ai entendu dire), compliqué a configurer et ne marche pas actuellement en IPv6!) ou payer le FAI pour qu'il te change ton préfixe régulièrement.
      • [^] # Re: Non, tu n'as pas toujours la meme adresse

        Posté par (page perso) . Évalué à  10 .

        Mais bordel, combien de fois faudra-t-il répéter la même chose ? De ce point de vue, IPv6 ne change rien par rapport à IPv4 : tu as un préfixe IPv6 public unique qui joue exactement le même rôle qu'une adresse IPv4 publique, et qui, selon le gré du FAI, change ou non, permettant ou non d'identifier ton foyer.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.