Je suis quand même plus ou moins obligé de reconnaître que je me range du côté de l'avis de Furlax. Concernant le firewall dont tu parles MacJL, c'est très bien mais... encore faut-il un équipement qui permette de faire ça, et en l'occurence ce n'est pas gagné. Ca a intérêt à fleurir sur les équipements supportant l'IPv6, mais pour le moment rien de tel à l'horizon.
C'est amené à évoluer, de la même façon que le NAT est apparu progressivement avec les 'box' et a explosé avec l'avènement du WiFi.
Le jour où l'IPv6 sera réellement en 'production' (entendre par là 'quand il sera devenu le protocole par défaut), nul doute que les équipements s'adapteront. Par exemple, une simple mise à jour du firmware des ADSL box suffirait pour qu'elle implémente un firewall. Les autres équipements suivront petit à petit.
Et une protection supplémentaire, individuelle à chaque équipement - que ce soit une passerelle ou un terminal - est salutaire, car elle offrira toujours un degré supplémentaire de protection par rapport à la protection illusoire d'un NAT.
De même, les logiciels (notamment les OS) évolueront également d'ici là, voire ont même déjà évolué. Un Linux, MacOS ou un Vista sont désormais suffisamment protégés par défaut pour avoir une IP publique sans 'tomber' dans les 5 minutes.
Et on a encore plusieurs années devant nous avant que l'IPv6 soit à nos 'portes'.
De toute façon, la plus grosse problématique reste le fait que chaque machine connectée au net dispose de sa propre IP publique
C'est salutaire pour l'émergence des nouveaux services et pour l'immense gain que représente la disparaition des problématiques de configuration de routeur/NAT pour le commun des mortels.
Je ne parle même pas de l'autoconfiguration de l'adresse IP et de la récupération des caractéristiques du réseau (DNS, ...).
Quant à la problématique d'une IP par terminal, c'est un faux problème, séparable en trois parties:
-
"on risque de connaître le nombre de machines de mon sous réseau en 'scannant' ma plage d'IP": non, il suffit que les ports des terminaux connectés soient fermés.
-
"on risque de mieux me tracer car mon adresse IP est fixe": c'est déjà partiellement le cas avec les IPv4 fixes. Et jusqu'à preuve du contraire, ça n'a pas fait tomber le réseau. De plus, rien n'empêche - pour les réseaux qui en ont réellement besoin (les 'pros') - d'utiliser une passerelle avec des mécanismes de 'NAT dynamique' (génération d'une IP 'virtuelle' pour le temps d'une connection vers l'extérieur + table d'association temporaire IP virtuelle <=> IP réelle pour re-router les paquets pendant le temps de la connexion). Bref, IPv6 ne fera jamais moins de choses qu'IPv4. Par contre, il permettra beaucoup plus.
-
"on risque d'accéder à une machine exclusivement à usage 'interne' à mon sous-réseau: non, on peut très bien configurer des adresses IPv6 dites 'privées', donc non routable sur le net, et par conséquent visibles qu'à partir d'un sous réseau donné. Ce sont les adresses en 'fe80::/64'. Même le NAS de furlax devrait pouvoir y survivre.
Enfin bref, ton NAT ne te protège pas de ce qui se passe dans le LAN, ni de ce qui sort de ton LAN (un LAN n'a jamais empêché une machine de devenir un robot spammeur si il chope un virus. Un bon firewall si!)
+100. Il n'y a que furlax pour
soutenir qu'un concierge est plus balèze qu'un videur (je cite:
"Un routeur NAT est bien meilleur qu'un pare feu [...] un parefeu logiciel ne sert qu'à ralentir inutilement un PC.").
De plus, on n'aurait pas eu l'explosion des NAT et la protection illusoire qu'ils apportent, la plupart des attaques par trojan/robots/appellez-les-comme-vous-voulez n'auraient déjà plus de raison d'être (ne resteraient que ceux capable de corrompre le firewall pour l'obliger à ouvrir des flux sortant non autorisés ... autant dire un trojan sur 100 000 pour un firewall logiciel ; zéro sur un firewall qui serait intégré à du matos, genre ADSL box ou point d'accès wifi).
PS quant à la mobilité: Furlax vient de ré-inventer ...
La gestion de la mobilité sous IPv6 (enfin non, pas tout à fait: lui propose un principe de DDNS avec re-routage systématique par le HA, sans mécanisme d'optimisation de route).
Au passage, la mobilité, c'est pas juste les téléphones portables, ce serait infiniment réducteur. Par exemple, cette gestion de la mobilité permettra de se connecter avec son ordi portable 'pro' au réseau de son entreprise depuis n'importe où (maison, MacDo, ...) avec tous les avantages d'un VPN, et ce de façon totalement transparente, sans ne rien avoir à faire (ni pour l'admin, ni pour l'utilisateur).
Ce n'est qu'un exemple parmi tant d'autres, mais celui-ci est symptomatique. Car l'intérêt d'IPv6, il est justement là: reléguer à nouveau les problématiques 'réseau' ... au niveau du réseau, et non plus aux couches applicatives comme c'est le cas d'IPv4.
Pour reprendre l'exemple de la mobilité sur le réseau: ça profitera bien entendu à un laptop en déplacement hors du réseau de l'entreprise, mais ça profitera également à tout autre applicatif utilisant IPv6, du client SIP à WoW ou aux chaînes TV diffusées sur le web, et ce sans qu'aucun effort supplémentaire de développement, de configuration ou de maintenance n'ait a être fourni. Même constat pour la QoS, le chiffrement des données, etc...
Résultat: ce sont les énormes coûts de développement, de déploiement, de maintenance et de scalabilité qui seront réduits de façon drastique (genre une seule passerelle type HA pour gérer l'équivalent de ce que font plein d'applicatifs séparés actuellement: plateforme SIP, VPN, ...) tout en offrant des possibilités bien plus étendues que ce que ne proposent actuellement les applications sur IPv4.