Refaire l'étanchéité en IPv6, Séparer le monde extérieur de l'intérieur en IPv6

[chgras]

Bonjour à tous,

Y en a t'il parmi vous qui se sont penché sur l'IPv6?
Actuellement en IPv4, avec un router et un lot d'adresses non routable (192.168.0.0/16 ou 10.0.0.0/8 ou ...) on fait l'étanchéité entre le monde extérieur et intérieur: Le réseau interne ne peut être vu de l'extérieur. Seule l'IP publique du router est vue.
A ma connaissance, en IPv6, tous les équipements d'un LAN auront une IP publique définie à partir de leur MAC address et seront visible de l'extérieur du LAN. Il n'y aura plus d'étanchéité.

Existe-t-il des options de conf sur les routers ou des équipements qui puissent assurer cette séparation des mondes? Ou faut-il mettre un firewall général juste derrière le router pour faire une pseudo-étanchéité?

[tommy3oay]

Bonjour,

Il est effectivement avéré, comme déjà discuté dans le fil des news lors de la journée test, que la fameuse limitation à une adresse IP routable par accès pourrait ne plus exister. Cependant, il est encore bien trop tôt pour savoir réellement comment les choses vont évoluer. Aujourd'hui, une partie des rentrées d'argent des fournisseurs est assurée par la quantité d'IP routables fournies au client. Si demain, n"importe quel accès grand public pourra aller piocher des dizaines d'adresses dans le pool du fournisseur, comment va t il compenser son manque à gagner ? Bref, il est faux de croire qu'IPv6 va forcément signer la fin des plages Ip privées.

Par contre, je rappelle que la fameuse "étanchéité", qui n'est autre que l'utilisation de NAT conditionnelle, n'est pas un paramètre de sécurité. J'estime que les OS ont désormais une offre de sécurité bien supérieure à ce que peut offrir une box ou routeur équivalent embarquant des soit disant firewalls. La démocratisation d'UPNP sur ces équipements permet aujourd'hui à n'importe quel programme d'aller trouer la fameuse étanchéité sans la moindre action de votre part. De fait, il suffit alors d'un simple script dans une page web pour rendre le système totalement disponible sur Internet.

[Mr. Mi]

Actuellement l'IPv6 apporte plus de "trou" de sécurité que de solution. Certe l'UPnP permet de tous casser chez un particulier, mais c'est différent quand on à totalement la main sur l'équipement. Je pense qu'aujourd'hui les admin sys sont de plus en plus fainéant, grâce au NAT, ils ont pu se permettre de "sous-sécuriser" les machines clientes en laissant les configurations par défauts où tous est ouverts. Néanmoins ce que dit tommy3oay sur le gagne pain des fournisseur d'adresses (les AS si je ne me m'abuse) et tous de même intéressant.

[pyrrha]

Je suppose que l'on peu se "protéger" en autorisant le forwarding (le passage de paquets réseau "internet" au réseau "local" par le routeur) que sur les connexions établies avec des en têtes tcp cohérentes.
Un peu comme on fait un firewall pour une machine directement connectée au net, sauf que ces règles s'appliqueront directement sur les chaines de routages et pas forcément d'entrée/sortie (paquets émis et reçus pour le routeur et non pour le/les réseaux qu'il y a derrière).

Si un expert peut me corriger, parce que j'ai certainement dis des choses pas forcément très juste, j'en serais ravis !

[Mr. Mi]

les experts IPv6 sont rare...Je viens de finir la lecture de "IPv6, Théorie et pratique" (o'reilly, 2005) je pense qu'il va me falloir encore 2/3 relecture...

[Jedge]

Hop je remonte car un pote m'a posé des questions dessus depuis qu'il a la freebox révolution ...et je ne sais pas quoi lui répondre !

Du coup si on passe en IPV6 le coté routeur protecteur de la box n'existe plus tant sur un mac que PC ?
Il faut remettre un firewall en place sur chaque poste présent dans le réseau dans ce cas ?

edit: les ibidules sont compatibles avec l'ipV6 ?

Ce message a été modifié par Jedge - 12 Aug 2011, 15:56.

[tommy3oay]

Par défaut, la box n'aura effectivement plus aucun rôle filtrant puisque tes postes disposeront directement d'adresses IPv6 routables. Je ne saurais par contre dire quel risque potentiel tu encours actuellement mais il me paraît nécessaire de réactiver le parefeu embarqué sur les systèmes.

Concernant Apple, les OS et matériels réseaux sont compatibles depuis quelques temps maintenant. Les airports extreme et express fonctionneront automatiquement sous ce mode si elles reçoivent une adresse WAN sous le format v6. Dans les réglages avancés de l'utilitaire Aiport, tu pourras néanmoins appliquer un filtrage entrant bloquant toute connexion non établie depuis le LAN.

[pyrrha]

Par défaut, la box n'aura effectivement plus aucun rôle filtrant puisque tes postes disposeront directement d'adresses IPv6 routables. Je ne saurais par contre dire quel risque potentiel tu encours actuellement mais il me paraît nécessaire de réactiver le parefeu embarqué sur les systèmes.

Concernant Apple, les OS et matériels réseaux sont compatibles depuis quelques temps maintenant. Les airports extreme et express fonctionneront automatiquement sous ce mode si elles reçoivent une adresse WAN sous le format v6. Dans les réglages avancés de l'utilitaire Aiport, tu pourras néanmoins appliquer un filtrage entrant bloquant toute connexion non établie depuis le LAN.

Je me suis un peu renseigné depuis ma dernière réponse, et si je ne fais pas d'erreurs, ça dépend beaucoup de ce que vont faire les FAIs : normalement (et ce serait le plus logique), ils nous attribueront un réseau (peut-être en /64, peut-être un peu moins) et une adresse "externe", qui serait celle de notre passerelle (notre box) entre notre réseau et Internet, du côté Internet donc. Ça n'empêche pas que nos IP soient routables sur Internet, on en fait directement partit, mais ça permet de faire du filtrage directement au niveau de la passerelle.
Ça évite d'avoir à le faire sur chaque postes...

Maintenant, de ce que j'ai compris, il n'y a grosso modo que Free qui permet d'avoir de l'IPv6, et actuellement, on a pas accès à la passerelle (elle est chez eux), donc là oui, la box est un simple pont (et modem), et il faudra faire du filtrage du chaque poste. Il faut juste espérer que c'est une solution provisoire, car ça limite aussi beaucoup de choses : le faire d'avoir sa propre passerelle personnalisée, avec un serveur DHCPv6 pour pouvoir attribuer comme on le souhaite les IP à chaque postes (et donc ne pas passer par l'auto configuration, aussi bien soit-elle), d'avoir notre propre serveur DNS sans avoir à le configurer manuellement sur chaque postes, etc.

Ce message a été modifié par pyrrha - 16 Aug 2011, 09:38.

[tommy3oay]

Tout à fait Pyrrha. Cela dépendra en grande partie des FAI (cf mon 1er message). Il est tout à fait possible de recréer un espace d'adressage privé techniquement parlant proche de ce qui existe actuellement : En IPv4, on utilise les adresses réservées par la RFC 1918. En IPv6, il s'agit des ULA définies par RFC 4193.

Petit article synthétique : http://en.wikipedia.org/wiki/Unique_Local_Address

[Jedge]

Merci pour les explications, j'aurais l'air "un peu" moins bete en lui répondant
je vais tester moi aussi à la maison avec ma FB revolution !