Freenews

[NAT] Montée en puissance de l'IPv6
« le: 14 novembre 2008 17:30:43 »
 

On parle de plus en plus du protocole IP V6. Les discussions d'informaticiens réseau sur les avantages de cette version du protocole IP soulignent une évolution nécessaire qui permettrais de continuer à développer le réseau internet...

Quelles sont les principales différences vis à vis du protocole IPv4 actuellement utilisé par tous les fournisseurs d'accès ?

Lire l'intégralité de la news

Roman2K

[NAT] Montée en puissance de l'IPv6
« Réponse #1 le: 14 novembre 2008 18:15:37 »
Citer
du principe de NAT (Network Translation address)
NAT = Network Address Translation

Citer
la translation d’adresse
"translation" en Anglais signifie "traduction" alors qu'en Français, le même mot signifie plutôt mouvement.

Cyril31

[NAT] Montée en puissance de l'IPv6
« Réponse #2 le: 14 novembre 2008 18:28:25 »
IPv6 sera a n'en pas douter le futur de l'internet que nous connaissons, pénurie d'adresse publiques oblige, le protocole est au point les matériels aussi, les OS devraient l'être à peu prés tous, reste à mon avis un passage douloureux à organiser à l'échelle du net, le passage progressif d'IPv4 vers V6, bien que des solutions de tunneling soient déjà en place ...Petite parantése puisque le rédacteur aborde le réseau RENATER, dont fait parti le réseau ASTER en Midi-Pyrénées, il apparait que la région  abandonne Orange pro business pour ce qui est de la gestion de l'interconnexion entre ASTER/RENATER et le réseau des réseaux pour migrer vers Oeuf-Sijtetel (c), d'autres régions ont elles déjà franchi ce cap de l'abandon de l'opérateur agrumique dans le domaine de la formation et de la recherche ?

Yann

[NAT] Montée en puissance de l'IPv6
« Réponse #3 le: 14 novembre 2008 18:32:09 »
Bonjour,

Très bon article, c'est une bonne description de l'état de ce protocole.

Juste une remarque :
Citer
On note pas mal de discussions à ce sujet sur les forums, beaucoup d’inquiétudes pour la protection individuelle, ou celle des données puisqu’une fois repéré un hacker peut tranquillement vous espionner...
Heu... non, le "hacker" a autre chose à faire. Il préfère coder sur ses programmes, sur le noyau Linux, etc. La traduction en français de hacker est bidouilleur, bricoleur (mais très doué). À ne pas confondre avec un "cracker", qu'on pourrait plutôt traduire en "pirate informatique".
Cette erreur courante, limite pardonnable sur les sites généralistes comme ceux des quotidiens traditionnels, est décevante ici :-/


cngz

[NAT] Montée en puissance de l'IPv6
« Réponse #4 le: 14 novembre 2008 18:54:23 »
Google, dans son rapport « Global Ipv6 statistics » <= je voudrais bien un lien vers ce rapport :°

123xyz123

[NAT] Montée en puissance de l'IPv6
« Réponse #5 le: 14 novembre 2008 19:25:59 »
Citation de: cngz
Google, dans son rapport « Global Ipv6 statistics » <= je voudrais bien un lien vers ce rapport :°
http://rosie.ripe.net/ripe/meetings/ripe-57/presentations/uploads/Thursday/Plenary%2014:00/upl/Colitti-Global_IPv6_statistics_-_Measuring_the_current_state_of_IPv6_for_ordinary_users_.7gzD.pdf

Citer
Revers de la médaille, chaque utilisateur est repérable car son adresse est unique, et peut même inclure son adresse MAC, qui est l’adresse physique de sa carte réseau... pas bieeeennn !
C'est configurable avec la "Privacy Extension" (qui doit être par défaut sous Windows), sous linux il faut mettre /proc/sys/net/ipv6/conf/eth0/use_tempaddr à 2.

cngz

[NAT] Montée en puissance de l'IPv6
« Réponse #6 le: 14 novembre 2008 20:09:10 »
Citation de: 123xyz123
Citation de: cngz
Google, dans son rapport « Global Ipv6 statistics » <= je voudrais bien un lien vers ce rapport :°
http://rosie.ripe.net/ripe/meetings/ripe-57/presentations/uploads/Thursday/Plenary%2014:00/upl/Colitti-Global_IPv6_statistics_-_Measuring_the_current_state_of_IPv6_for_ordinary_users_.7gzD.pdf

Citer
Revers de la médaille, chaque utilisateur est repérable car son adresse est unique, et peut même inclure son adresse MAC, qui est l’adresse physique de sa carte réseau... pas bieeeennn !
C'est configurable avec la "Privacy Extension" (qui doit être par défaut sous Windows), sous linux il faut mettre /proc/sys/net/ipv6/conf/eth0/use_tempaddr à 2.
Merci pour le lien, et pour l'info de l'option linux (ps: il garde le paramètre au reboot ?)


123xyz123

[NAT] Montée en puissance de l'IPv6
« Réponse #7 le: 14 novembre 2008 20:12:13 »
Citation de: cngz
Citation de: 123xyz123
Citation de: cngz
Google, dans son rapport « Global Ipv6 statistics » <= je voudrais bien un lien vers ce rapport :°
http://rosie.ripe.net/ripe/meetings/ripe-57/presentations/uploads/Thursday/Plenary%2014:00/upl/Colitti-Global_IPv6_statistics_-_Measuring_the_current_state_of_IPv6_for_ordinary_users_.7gzD.pdf

Citer
Revers de la médaille, chaque utilisateur est repérable car son adresse est unique, et peut même inclure son adresse MAC, qui est l’adresse physique de sa carte réseau... pas bieeeennn !
C'est configurable avec la "Privacy Extension" (qui doit être par défaut sous Windows), sous linux il faut mettre /proc/sys/net/ipv6/conf/eth0/use_tempaddr à 2.
Merci pour le lien, et pour l'info de l'option linux (ps: il garde le paramètre au reboot ?)
Il faut le mettre dans /etc/sysctl.conf pour que ce soit permanent (et peut etre demander a sa distribution de le faire par défaut, l'argument de protection de la vie privée est souvent suffisant pour le faire accepter).

R404A

[NAT] Montée en puissance de l'IPv6
« Réponse #8 le: 14 novembre 2008 20:14:07 »
Citation de: cactux
Bonjour,

Très bon article, c'est une bonne description de l'état de ce protocole.

Juste une remarque :
Citer
On note pas mal de discussions à ce sujet sur les forums, beaucoup d’inquiétudes pour la protection individuelle, ou celle des données puisqu’une fois repéré un hacker peut tranquillement vous espionner...
Heu... non, le "hacker" a autre chose à faire. Il préfère coder sur ses programmes, sur le noyau Linux, etc. La traduction en français de hacker est bidouilleur, bricoleur (mais très doué). À ne pas confondre avec un "cracker", qu'on pourrait plutôt traduire en "pirate informatique".
Cette erreur courante, limite pardonnable sur les sites généralistes comme ceux des quotidiens traditionnels, est décevante ici :-/
exact mais par contre ça va être encore plus facile pour se faire pister et gauler direct en cas où tu traverses en dehors des clous :lol: c'est albanel qui doit se frotter les mains (sans citer tout les autres)
mais bon
pour les boites ça va grandement leur facilités la vie (après basculement de tout les poste et serveurs en ipv6, bon courage pour certains)
perso j'attendrais le dernier moment pour passé du coté obscure :lol:

MacJL

[NAT] Montée en puissance de l'IPv6
« Réponse #9 le: 14 novembre 2008 21:04:35 »
Citation de: R404A
Citation de: cactux
Bonjour,

Très bon article, c'est une bonne description de l'état de ce protocole.

Juste une remarque :
Citer
On note pas mal de discussions à ce sujet sur les forums, beaucoup d’inquiétudes pour la protection individuelle, ou celle des données puisqu’une fois repéré un hacker peut tranquillement vous espionner...
Heu... non, le "hacker" a autre chose à faire. Il préfère coder sur ses programmes, sur le noyau Linux, etc. La traduction en français de hacker est bidouilleur, bricoleur (mais très doué). À ne pas confondre avec un "cracker", qu'on pourrait plutôt traduire en "pirate informatique".
Cette erreur courante, limite pardonnable sur les sites généralistes comme ceux des quotidiens traditionnels, est décevante ici :-/
exact mais par contre ça va être encore plus facile pour se faire pister et gauler direct en cas où tu traverses en dehors des clous :lol: c'est albanel qui doit se frotter les mains (sans citer tout les autres)
mais bon
pour les boites ça va grandement leur facilités la vie (après basculement de tout les poste et serveurs en ipv6, bon courage pour certains)
perso j'attendrais le dernier moment pour passé du coté obscure :lol:
Pourquoi serait-ce plus simple de se faire pister qu'actuellement? L'adresse IP de ta freebox est déjà fixe, et personnelle. Donc au mieux, "on" saura avec quel ordi de chez toi tu fais de trucs illégaux, mais rien de plus. En plus, ça sera plus facile de prouver que c'est ton voisin qui a piraté ta connexion et qui télécharge illégalement. A moins que tu sois le voisin en question (et donc que tu mérites bien de te faire attrapper), je ne vois pas ce que ça va changer.

olivaw

[NAT] Montée en puissance de l'IPv6
« Réponse #10 le: 14 novembre 2008 21:42:42 »
Citer
l’IPv6 correspond à un taux de pénétration sur le territoire de 0,65%...

IPv6, qui était jusqu’ici mis en veilleuse, semble parti pour devenir le protocole standard de communication réseaux
Ces deux phrases ne seraient-elles pas un peu contradictoires ?

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #11 le: 15 novembre 2008 01:25:12 »
Je préfère la translation NAT et la déclaration obligatoire des circuits empruntables par les connexions entrantes.

"Gros gros avantages : un nombre d’adresses disponibles permettant le développement de la domotique. chaque objet de la maison peut se voir attribuer une adresse unique, cette adresse est totalement mobile, et contrôlable sur tout réseau IPv6. Ce qui veut dire que vous pourrez superviser l’état de n’importe quelle objet de la vie courante ou qu’il se trouve..."
Aucun intéret.
Pour les kamikazes du zéro réglages / zéro suivi, on peut arriver au même résultat moyennant l'activation, au niveau du routeur, d'un dispositif logiciel permettant la déclaration automatique d'une translation à établir (genre, je branche ma cafetière au réseau, et, après la phase DHCP, celle-ci demande au routeur que le port 13264 lui soit forwardé depuis Internet, si pas déjà forwardé à un autre équipement).
Il suffirait donc de définir un protocole (beaucoup plus simple et qui permettrait de conserver les avantage du filtrage NAT) de demande de publication de port sur Internet.
De toutes façons, aucune entreprise "sensible" n'acceptera qu'on puisse ainsi savoir combien et quelles machines du parc se connectent à quel site (genre on pourrait surveiller uniquement l'activité du bureau de veille concurrencielle ...).

123xyz123

[NAT] Montée en puissance de l'IPv6
« Réponse #12 le: 15 novembre 2008 02:00:42 »
Citation de: Furlax
Je préfère la translation NAT et la déclaration obligatoire des circuits empruntables par les connexions entrantes.
C'est possible en IPv6, exactement de la même façon qu'en v4 pour ceux qui avaient la chance d'avoir suffisant d'IP. Ça s'appelle un firewall à état (stateful) et c'est bien plus propre que de faire du NAT pour faire du filtrage.

Citation de: Furlax
Il suffirait donc de définir un protocole (beaucoup plus simple et qui permettrait de conserver les avantage du filtrage NAT) de demande de publication de port sur Internet.
Ou alors plutot que de reinventer UPnP, tu peux utiliser IPv6, c'est plus propre, ça évite les conflits de ports (si deux machines veulent ouvrir le port 80).

Citation de: Furlax
De toutes façons, aucune entreprise "sensible" n'acceptera qu'on puisse ainsi savoir combien et quelles machines du parc se connectent à quel site (genre on pourrait surveiller uniquement l'activité du bureau de veille concurrencielle ...).
Ou alors elles utilisent l'option privacy pour les addresses. D'ailleurs je ne pense pas que ce genre d'information (nombre de machine derriere le NAT) soit caché par le NAT, on peut très bien avoir une estimation.
Si ils veulent vraiment maitriser ça ils utilisent TOR dans tout les cas.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #13 le: 15 novembre 2008 10:23:17 »
L'intérêt d'IPv6 est surtout de boulverser la conception même du réseau internet, à savoir passer :

- d'un schéma proche du minitel où les clients utilisent à 90% le réseau pour downloader ce que proposent des serveurs

- à un schéma qui est plus proche de ce que propose le P2P actuellement: chaque acteur récupère autant du contenu qu'il n'en fournit.

A noter que le magazine PC Expert propose un article assez intéressant ce mois-ci à propos d'IPv6.


wenhelt

[NAT] Montée en puissance de l'IPv6
« Réponse #14 le: 16 novembre 2008 16:16:40 »
Mes derniers essais montrent que le cable supporte l'IPV6, malgre l'absence de communication de presse a ce sujet.

Malheureusement, peu de routeurs grand public supportent l'IPV6.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #15 le: 17 novembre 2008 11:42:12 »
Je n'ai rien contre l'extension de l'espace adressable sur le net (arrivée des téléphones portables, etc), mais je suis opposé à l'effet de bord du "tout accessible à partir du net par défaut" qu'on cherche à nous vendre en plus. C'est pas parce que quelquechose est possible "facilement" que c'est souhaitable.
Citation de: 123xyz123
... et c'est bien plus propre que de faire du NAT pour faire du filtrage.
La "propreté" (l'esthétisme technique) débouche sur des évolutions qui n'ont pas leur place dans une logique d'économie et de préservation de l'existant.
Citer
Ou alors plutot que de reinventer UPnP, tu peux utiliser IPv6, c'est plus propre, ça évite les conflits de ports (si deux machines veulent ouvrir le port 80).
Je répète ma remarque concernant la "propreté".
Internet gateway device (le protocole UPnP dont il est question) existe mais n'est quasiment implémenté nullepart. Pourquoi ? Parce qu'il n'est pas souhaitable que des trous puissent être faits ainsi dans le routage NAT.
Pour ce qui est des conflits de ports (si deux machines veulent ouvrir le port XX), et bien il n'y a qu'à ajouter un bouton "changer de port" sur la cafetière. Pour l'adressage, utiliser 6 octets pour accéder à un service, dont 4 pour l'IP et 2 pour le port, n'est pas plus bète que d'utiliser tous les 6 octets seulement pour l'IP. Tu remplaces le point par le double point et t'as ton adresse.

Aujourd'hui, quand on émet une simple requête http vers un serveur, on n'est pas à l'abri de recevoir en retour une demande de connexion tentée uniquement dans l'hypothèse où on aurait sur la bécane l'un ou l'autre trojan (ou juste une version pas à jour d'un service buggé).

J'ai vu l'autre jour le reportage sur les Remelele (rencontres Mondiales du logiciel libre) ou le gars en costard gris (qui représentait un mini-fournisseur d'accès) racontait avoir apporté un adressage de classe C à un évènement et présentait ça comme interressant parce que ça permettait aux gens sur le site de publier l'adresse de leur poste pour permettre le DL de contenu ...
Est-ce que la même chose n'aurait pas été possible avec routeur supportant Internet Gateway Device et en distribuant à chaque participant ... mettons ... 10 ports ?

En sécurité, on est souvent amené à faire des coupes franches sur des technos en vertue du principe de précaution.
Par exemple, il existe des logiciels cryptant les exécutables pour éviter le rétro-engineering. Ces logiciels sont systématiquement reconnus comme des menaces virales par les anti-virus. Que faire ? Bazarder la sécurité de son réseau en inhibant la détection de cette menace ? Ou faire le ménage chez ses fournisseurs de soft en leur expliquant que leurs problèmes de propriété intellectuelle nous paraissent négligeables par rapport à nos problèmes de sécurité ?

C'est exactement la même chose pour IP v6 ... il y a de la simplicité esthétique dans le tout adressable ... et dans l'accès sans translation à n'importe quel dispositif. Mais, même si les attaques au hasard étaient rares, je préfèrerai toujours "un peu plus de sécurité par défaut" à une ouverture a priori et sans condition. Donc IPv6, oui ... mais uniquement si on peut continuer à faire du routage NAT derrière (exactement comme avant).

Citer
Ou alors elles utilisent l'option privacy pour les addresses. D'ailleurs je ne pense pas que ce genre d'information (nombre de machine derriere le NAT) soit caché par le NAT, on peut très bien avoir une estimation.
Si ils veulent vraiment maitriser ça ils utilisent TOR dans tout les cas.
Ce serait possible d'avoir des réponses moins "saupoudrage d'acronymes" ?
L'option "privacy" pour les adresses ? C'est quoi ça ?

Je veux bien comprendre que l'augmentation de l'espace d'adressage est un rendez-vous technique qu'on ne pourra pas sécher.

Mais il faudrait faire en sorte que ça n'ajoute pas des problèmes nouveaux relatifs à la divulgation d'informations qui n'ont pas lieu d'être divulguées ou relatifs à l'exportation vers le réseau global de l'imanquable bordel du domaine privé que ceci va engendrer.

Le réseau local, en tant que correspondant unique vu de l'extérieur, n'est pas qu'un concept inutile.
Traiter différemment ce qui vient de chez moi de ce qui vient de l'extérieur n'est pas inutile.
Prétendre qu'on va distribuer une fois pour toute une adressee unique à tout dispositif susceptible de se connecter quelque part n'est qu'un leurre stupide et dangereux pour la jonction public/privé du net.
La prochaine étape, c'est quoi ? Une adresse par utilisateur ? Une adresse par session de browser ?
Arrêtons de croire que l'adressage universel est la panacée. C'est pas parce que certains logiciels ont hardcodé le nombre 80 qu'il faut baisser les bras.
"Servir" au tout venant sur le web doit rester le résultat d'une démarche volontariste.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #16 le: 17 novembre 2008 11:56:26 »
Citation de: nouknouk
L'intérêt d'IPv6 est surtout de boulverser la conception même du réseau internet, à savoir passer [...] à un schéma qui est plus proche de ce que propose le P2P actuellement: chaque acteur récupère autant du contenu qu'il n'en fournit.
Voilà typiquement le genre de vue de l'esprit "technico-artistico-new-age" que je rejette.
C'est totalement faux.
L'IPv6 existe déjà.
C'est parce qu'il faut activer l'IPv6 chez free pour avoir un telesite que cette techno a un quelconque rapport avec l'essence même des télésites.
Imposer l'IPv6 pour les telesites, c'est comme d'imposer le port de tongs pour conduire une méhari : c'est une obligation conceptuellement inutile et arbitraire.

MacJL

[NAT] Montée en puissance de l'IPv6
« Réponse #17 le: 17 novembre 2008 13:32:48 »
Citation de: Furlax
C'est exactement la même chose pour IP v6 ... il y a de la simplicité esthétique dans le tout adressable ... et dans l'accès sans translation à n'importe quel dispositif. Mais, même si les attaques au hasard étaient rares, je préfèrerai toujours "un peu plus de sécurité par défaut" à une ouverture a priori et sans condition. Donc IPv6, oui ... mais uniquement si on peut continuer à faire du routage NAT derrière (exactement comme avant).
Pourqoi veux-tu du NAT, alors que la fonctionnalité voulue est celle d'un Firewall? Les mauvaises habitudes peut-être...

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #18 le: 17 novembre 2008 13:39:13 »
Citation de: Furlax
Voilà typiquement le genre de vue de l'esprit "technico-artistico-new-age" que je rejette.
C'est totalement faux.
L'IPv6 existe déjà.
C'est parce qu'il faut activer l'IPv6 chez free pour avoir un telesite que cette techno a un quelconque rapport avec l'essence même des télésites.
Imposer l'IPv6 pour les telesites, c'est comme d'imposer le port de tongs pour conduire une méhari : c'est une obligation conceptuellement inutile et arbitraire.
T'as bien lu ce que je disais ?

Alors pour reprendre point par point:

- l'IPv6 existe déjà. Ben oui. Et alors ? Tu aimes visiblement enfoncer des portes ouvertes. Ici, on parle de l'adoption massive de la nouvelle version du protocole et de l'influence que ce changement d'ordre technique aura à moyen terme sur les services proposés à l'utilisateur final. Et il y en a une foultitude que tu sembles ignorer (bien au delà des solutions réelles que IPv6 apporte aux fournisseurs d'accès et au backbone), genre la gestion de la mobilité, la sécurisation des échanges, la QoS, le broadcasting, ...

- "technico-artistico-new-age" : faudra définir. Je ne prétend pas avoir la science infuse, mais au vu de mon parcours, notamment académique, j'ai au sujet d'IPv6 bien plus qu'une simple 'vue de l'esprit'.

- Quant aux télésites, je n'y ai jamais fais référence et encore moins pensé une seule seconde. Je ne vois d'ailleurs pas ça peut bien venir foutre là: aux dernières nouvelles, les télésites sont hébergés sur des serveurs, que je sache. L'IPv6 ne se résume pas aux télésites, fort heureusement.

Quant à invoquer les raisons de sécurité pour s'opposer à la venue d'IPv6, c'est comme vouloir que toutes les voitures ne roulent pas à plus de 10km/h sous prétexte que c'est moins risqué pour les piétons. Ca n'a rien à voir.

Le NAT a été conçu pour gérer des plages d'IP privées, et jamais de la vie pour sécuriser un réseau. Le NAT ne donne qu'une pâle illusion de sécurité qui sera bien plus avantageusement et bien plus efficacement remplacée par un bête firewall (soft ou hard) dont la gestion de ladite sécurité est la vraie fonction.

Citation de: MacJL
Pourqoi veux-tu du NAT, alors que la fonctionnalité voulue est celle d'un Firewall? Les mauvaises habitudes peut-être...
Exactement.
Et j'irais même bien plus loin: Ce sont les discours comme celui de furlax, qui veulent laisser croire que le NAT est un élément de sécurité qui sont les plus dommageables aux internautes.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #19 le: 17 novembre 2008 14:55:06 »
Mais de quoi vous parlez ?
Evidemment qu'un routeur NAT est un élément de sécurité.
Commencez par comprendre ça et on voit pour la suite.
Par défaut, un routeur NAT ne laisse rien entrer. Si les éléments de mon réseau local ne prennent pas l'initiative d'une connexion, j'ai l'absolue certitude qu'aucun packet ne leur arrivera.
Je me fous complètement de vos solutions soft destinées à remplacer une situation hard donnée.
Appelez ça comme vous voulez, mais un routeur NAT est un dispositif permettant aux éléments d'un réseau local d'accéder / d'être accessibles à / à partir d'Internet. En face, s'il n'y a qu'IPv6, on perd en sécurité par défaut.
Evidement qu'IPv6 redevient interressant si vous mettez chez tout le monde un routeur filtrant par défaut toutes les adresses et capable de faire exactement ce que fait un routeur NAT aujourd'hui (c'est à dire reprendre à son compte les packets émis, assurer la gestion de tables de translation de ports, etc).
Savez-vous que même "d'ignorer" un packet coute de la bande passante sur un réseau local ? Savez-vous ce qu'est une connexion "forcefully rejected" ?
C'est l'académie des neuf que vous avez fait ?
Le routeur NAT n'est pas fait pour ceci ... ne sert pas à cela ... ça vous prend souvent de pretter des intentions à des technologies ?
Moi je regarde les faits : essayez d'installer un PC neuf sous xp première mouture (sans aucun SP) et de télécharger les premiers patchs de quelques centaines de mégas sans vous faire coincer par un automate de recherche de faille qui passe par là ... c'est impossible sans routeur NAT.
Que proposez-vous de comparable en IPv6 ? Quel dispositif fourni en standard et au minimum dans toute offre IPv6 permet cet accès Internet avec connexion à sens unique (du réseau privé vers l'extérieur) ?
C'est pas une fois que la trame a passé le routeur qu'il faut s'amuser à lui courir après.
Citer
Citation de: MacJL
Pourqoi veux-tu du NAT, alors que la fonctionnalité voulue est celle d'un Firewall? Les mauvaises habitudes peut-être...
Exactement.
Et j'irais même bien plus loin: Ce sont les discours comme celui de furlax, qui veulent laisser croire que le NAT est un élément de sécurité qui sont les plus dommageables aux internautes.
Et le droit d'avoir chez moi un SAN disposant d'une adresse IP mais invisible depuis l'extérieur, c'est une mauvaise habitude ?
Le droit d'avoir tous mes éléments réseau accessibles de chez moi mais invisibles de l'extérieur, c'est une mauvaise habitude aussi ?
Quand tout sera IPv6, chaque élément aura une adresse et on saura quel élément accède à l'extérieur. Et bien pour moi, c'est une perte de sécurité d'autant plus lourde que cette information n'a pas BESOIN de sortir de mon réseau (la preuve : ça fonctionne très bien comme ça en ce moment).
Le routeur NAT procure une sorte d'adresse flottante aux éléments du réseau privé. Tout le reste n'est que la manifestation d'un gros lobbying liberticide (à ce titre, je trouve particulièrement idiot de prétendre que l'IPv6 donnera au web un essort de type P2P).

Quand j'écris que l'IPv6 existe déjà, je veux évidement parler de l'ajout des deux octets de port à coté de l'adresse IPv4 (et dans le contexte de la mise en accessibilité des cafetières présentes sur un réseau privé).

Quand je parle des télésites dans le contexte de ce fil, c'est parceque chez Free, IPv6 et télésites sont liés. Inutile de répéter ce que j'ai moi même écrit (l'absence de rapport qu'il y a entre les deux techniques).
J'ai parlé des télésites parce que, dans l'esprit des gens, c'est un exemple de décentralisation du web, avec des sites hébergés "at home" ... je disais que l'IPv6 n'était pas plus nécessaire à l'hébrgement de sites chez soi que des tongs ne le sont quand on conduit une méhari.

Enfin, je n'ai pas rejeté l'IPv6 en bloc. Si ce truc permet de filer plus facilement une adresse aux téléphones portables qui veulent arriver en masse sur le net ... voire de communiquer de façon sécurisée (ce qu'il ne prétend pas vraiment ...) ou d'assurer une QoS qui n'existait pas ... alors pourquoi pas. Mais avec un routeur NAT entre mon réseau local et le réseau global. Et je parle d'une véritable passerelle, pas seulement du routage ... une passerelle parce que sans passerelle, la citadelle est moins bien protégée.
Il faut lire ... et avant de lire, si on comprend un peu quelque chose, ça permet de savoir ce qui risque d'être bientôt écrit.
http://www.silicon.fr/fr/news/2008/11/13/ipv6___les_fai_craignent_pour_la_securite_du_reseau

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #20 le: 17 novembre 2008 15:55:14 »
Citation de: Furlax
Mais de quoi vous parlez ? [...] Commencez par comprendre ça et on voit pour la suite. [...] Je me fous complètement de vos solutions [...] C’est l’académie des neuf que vous avez fait ? [...] Moi je regarde les faits [...] Tout le reste n’est que la manifestation d’un gros lobbying liberticide [...] à ce titre, je trouve particulièrement idiot [...] Il faut lire ... et avant de lire, si on comprend un peu quelque chose [...]
Continue avec tes certitudes et ton agressivité. Ca ne te mènera certainement pas très loin, mais au moins ça t'évitera de te remettre en cause. Tu as raison, ton opinion est forcément la meilleure puisque qu'elle vient de toi.

Et puis c'est bien connu: les ingénieurs en télécom, les membres de l'IETF ayant élaboré des drafts d'IPv6, ou les mecs qui bossent au quotidien pour les plus grands FAI européens sont tous des grosses billes et leur opinion ne vaut pas un clou. Je suis bien placé pour le savoir.

Perso, j'ai d'autre choses à faire plutôt que perdre mon temps à discuter avec un "sourd agressif". Rien de personnel, mais je préfère de loin les "technico-artistico-new-age".


Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #21 le: 17 novembre 2008 16:02:02 »
Super, je suis content d'avoir argumenté ... et je vois qu'on s'interresse et qu'on site le passage le plus interressant de mon post.

MacJL

[NAT] Montée en puissance de l'IPv6
« Réponse #22 le: 17 novembre 2008 17:09:59 »
Citation de: Furlax
Mais de quoi vous parlez ?
[...]blablabla[...]
Tout ce que tu veux, c'est un FIREWALL! Et ce n'implique pas forcément un firewall software sur chaque machine! Depuis que XP SP2 inclus un Firewall, tout le monde croit savoir ce que c'est, mais visiblement, non. Tu peux mettre un firewall (hardware) entre ta connexion et ton réseau local, de sorte à ce que tout ton trafic passe uniquement par lui, et que ça soit lui qui gère toute la sécurité de ton LAN. La freebox pourrait même devenir un firewall simpliste si free ajoutait cette option. Si elle est assez puissante pour faire du NAT, elle pourra traiter des règles de firewall simples (voir très très très simple si actuellement le NAT te suffit pour la sécurité de ton réseau local!!!)

Yoann Ferret

[NAT] Montée en puissance de l'IPv6
« Réponse #23 le: 17 novembre 2008 17:22:57 »
Je suis quand même plus ou moins obligé de reconnaître que je me range du côté de l'avis de Furlax. Concernant le firewall dont tu parles MacJL, c'est très bien mais... encore faut-il un équipement qui permette de faire ça, et en l'occurence ce n'est pas gagné. Ca a intérêt à fleurir sur les équipements supportant l'IPv6, mais pour le moment rien de tel à l'horizon.

De toute façon, la plus grosse problématique reste le fait que chaque machine connectée au net dispose de sa propre IP publique, ce qui peut être tout à fait indésirable pour un petit réseau d'entreprise ou dans n'importe quelle situation où on ne souhaite pas qu'il soit exposé clairement de combien de machines on dispose (par exemple). L'idée de filtrer les connexions par port c'est une chose, mais celle d'attribuer une IP publique à toute machine en est bien une autre...

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #24 le: 17 novembre 2008 17:23:44 »
J'ai pas dit le contraire ... le routeur NAT fait office de firewall simpliste. Mais pas seulement.
Il permet aussi de cacher, sur le réseau global, les adresses des dispositifs présents sur le réseau local.
Le problème (que je cherche désespérément à soulever depuis que Free implémente IPv6), c'est que ce que tu décris (et que je n'ai cessé de décrire) n'est actuellement pas proposé en standard avec IPv6 alors que ça l'est avec IPv4. Tout ça parce que le routage NAT n'est plus techniquement NECESSAIRE. Alors tout le monde vient se gargariser avec du firewall soft sur chaque station.
Pour l'instant, les virus n'ont pas encore entamé le tournant IPv6 ... mais c'est normal, avec 0,5% du parc, on n'a pas encore de raison de développer du spécifique. Comme toujours, les problèmes surviendront quand il sera trop tard pour revenir en arrière. Et là, on aura perdu le routage NAT.
On parle de routeur NAT ... que je vois comme une sorte de concierge/videur/syndic qui parle en ton nom quand tu t'adresses au gens de l'extérieur de ta résidence et empèche le colportage et la mendicité ... et toi, 5 post après, tu me dis que j'ai besoin d'un videur ! ... la belle découverte ! ;-)

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #25 le: 17 novembre 2008 17:30:09 »
Au fait, pour ceux qui pensent encore que l'IPv6 est LA solution au problème de l'accès Données des téléphones portables, je peux aussi leur dire qu'ils se trompent.
D'abord parce qu'on n'économisera pas la mesure d'exception (c'est à dire une forme d'adressage applicatif) pour la connexion vers un mobile, qu'il soit ou pas en adressage IPv6 (ne parlons pas de mobilité IPv6 sans perte de connexion sur handover ... c'est déjà assez amusant comme ça pour qu'on ne parle pas en plus de réseau mère et de HoA/CoA ... avec passage forcé des trames par l'agent du réseau mère, ce qui fait que je pourrai transmettre des données à mon téléphone portable IPv6 couvert par mon super routeur dernière génération et qui se trouve à 5 cm de mon PC ... seulement à la vitesse du lien internet montant de mon domicile).
Pourquoi ?
Parce qu'en téléphonie mobile, on aura très bientôt besoin de liens (i.e. d'adresses) multi-modaux et de "suivi logique" des appareils alors même qu'ils se promènent de réseau en réseau : un téléphone multi-modal, une fois en zone wifi, peut très bien cesser toute activité Données sur le réseau 3G. C'est un leurre que de croire qu'à terme, connaissant l'adresse IP d'un mobile (sur le réseau 3G de son opérateur) on pourra toujours le joindre (de la façon la plus efficace).
Un concept plus "logique" (moins physique) tel que le SIP parait plus versatile (entre parenthèse, le SIP implique une implémentation, au moins dédiée, de la logique Internet Gateway Device  dans le routeur NAT ... et donc l'intégration d'une notion de port dans l'adresse du mobile) : une sorte de DNS dynamique orienté mobile. L'accessibilité étant obtenue sur la base d'un publish effectué par le portable dès lors qu'il arrive sur un nouveau réseau (peu importe son type ou son adresse).

MacJL

[NAT] Montée en puissance de l'IPv6
« Réponse #26 le: 17 novembre 2008 18:05:10 »
Citation de: Furlax
On parle de routeur NAT ... que je vois comme une sorte de concierge/videur/syndic qui parle en ton nom quand tu t'adresses au gens de l'extérieur de ta résidence et empèche le colportage et la mendicité ... et toi, 5 post après, tu me dis que j'ai besoin d'un videur ! ... la belle découverte ! ;-)
Non! Tu as juste un concierge, mais comme il est sympa, tu l'utilises en tant que videur d'appoint! Ca va marcher pour la plupart des gens qui vont se présenter à ta porte, mais le jour un t'as un gros balèze qui arrive, ton concierge ne te servira à rien. Tandis qu'un vrai videur aurait pu le repousser :D

Enfin bref, ton NAT ne te protège pas de ce qui se passe dans le LAN, ni de ce qui sort de ton LAN (un LAN n'a jamais empêché une machine de devenir un robot spammeur si il chope un virus. Un bon firewall si!)

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #27 le: 17 novembre 2008 18:32:02 »
Citation de: yoann007
Je suis quand même plus ou moins obligé de reconnaître que je me range du côté de l'avis de Furlax. Concernant le firewall dont tu parles MacJL, c'est très bien mais... encore faut-il un équipement qui permette de faire ça, et en l'occurence ce n'est pas gagné. Ca a intérêt à fleurir sur les équipements supportant l'IPv6, mais pour le moment rien de tel à l'horizon.
C'est amené à évoluer, de la même façon que le NAT est apparu progressivement avec les 'box' et a explosé avec l'avènement du WiFi.

Le jour où l'IPv6 sera réellement en 'production' (entendre par là 'quand il sera devenu le protocole par défaut), nul doute que les équipements s'adapteront. Par exemple, une simple mise à jour du firmware des ADSL box suffirait pour qu'elle implémente un firewall. Les autres équipements suivront petit à petit.

Et une protection supplémentaire, individuelle à chaque équipement - que ce soit une passerelle ou un terminal - est salutaire, car elle offrira toujours un degré supplémentaire de protection par rapport à la protection illusoire d'un NAT.

De même, les logiciels (notamment les OS) évolueront également d'ici là, voire ont même déjà évolué. Un Linux, MacOS ou un Vista sont désormais suffisamment protégés par défaut pour avoir une IP publique sans 'tomber' dans les 5 minutes.

Et on a encore plusieurs années devant nous avant que l'IPv6 soit à nos 'portes'.

Citer
De toute façon, la plus grosse problématique reste le fait que chaque machine connectée au net dispose de sa propre IP publique
C'est salutaire pour l'émergence des nouveaux services et pour l'immense gain que représente la disparaition des problématiques de configuration de routeur/NAT pour le commun des mortels.
Je ne parle même pas de l'autoconfiguration de l'adresse IP et de la récupération des caractéristiques du réseau (DNS, ...).

Quant à la problématique d'une IP par terminal, c'est un faux problème, séparable en trois parties:

- "on risque de connaître le nombre de machines de mon sous réseau en 'scannant' ma plage d'IP": non, il suffit que les ports des terminaux connectés soient fermés.

- "on risque de mieux me tracer car mon adresse IP est fixe": c'est déjà partiellement le cas avec les IPv4 fixes. Et jusqu'à preuve du contraire, ça n'a pas fait tomber le réseau. De plus, rien n'empêche - pour les réseaux qui en ont réellement besoin (les 'pros') - d'utiliser une passerelle avec des mécanismes de 'NAT dynamique' (génération d'une IP 'virtuelle' pour le temps d'une connection vers l'extérieur + table d'association temporaire IP virtuelle <=> IP réelle pour re-router les paquets pendant le temps de la connexion). Bref, IPv6 ne fera jamais moins de choses qu'IPv4. Par contre, il permettra beaucoup plus.

- "on risque d'accéder à une machine exclusivement à usage 'interne' à mon sous-réseau: non, on peut très bien configurer des adresses IPv6 dites 'privées', donc non routable sur le net, et par conséquent visibles qu'à partir d'un sous réseau donné. Ce sont les adresses en 'fe80::/64'. Même le NAS de furlax devrait pouvoir y survivre.

Citer
Enfin bref, ton NAT ne te protège pas de ce qui se passe dans le LAN, ni de ce qui sort de ton LAN (un LAN n'a jamais empêché une machine de devenir un robot spammeur si il chope un virus. Un bon firewall si!)
+100. Il n'y a que furlax pour soutenir qu'un concierge est plus balèze qu'un videur (je cite: "Un routeur NAT est bien meilleur qu'un pare feu [...] un parefeu logiciel ne sert qu'à ralentir inutilement un PC.").

De plus, on n'aurait pas eu l'explosion des NAT et la protection illusoire qu'ils apportent, la plupart des attaques par trojan/robots/appellez-les-comme-vous-voulez n'auraient déjà plus de raison d'être (ne resteraient que ceux capable de corrompre le firewall pour l'obliger à ouvrir des flux sortant non autorisés ... autant dire un trojan sur 100 000 pour un firewall logiciel ; zéro sur un firewall qui serait intégré à du matos, genre ADSL box ou point d'accès wifi).

PS quant à la mobilité: Furlax vient de ré-inventer ... La gestion de la mobilité sous IPv6 (enfin non, pas tout à fait: lui propose un principe de DDNS avec re-routage systématique par le HA, sans mécanisme d'optimisation de route).

Au passage, la mobilité, c'est pas juste les téléphones portables, ce serait infiniment réducteur. Par exemple, cette gestion de la mobilité permettra de se connecter avec son ordi portable 'pro' au réseau de son entreprise depuis n'importe où (maison, MacDo, ...) avec tous les avantages d'un VPN, et ce de façon totalement transparente, sans ne rien avoir à faire (ni pour l'admin, ni pour l'utilisateur).

Ce n'est qu'un exemple parmi tant d'autres, mais celui-ci est symptomatique. Car l'intérêt d'IPv6, il est justement là: reléguer à nouveau les problématiques 'réseau' ... au niveau du réseau, et non plus aux couches applicatives comme c'est le cas d'IPv4.
Pour reprendre l'exemple de la mobilité sur le réseau: ça profitera bien entendu à un laptop en déplacement hors du réseau de l'entreprise, mais ça profitera également à tout autre applicatif utilisant IPv6, du client SIP à WoW ou aux chaînes TV diffusées sur le web, et ce sans qu'aucun effort supplémentaire de développement, de configuration ou de maintenance n'ait a être fourni. Même constat pour la QoS, le chiffrement des données, etc...

Résultat: ce sont les énormes coûts de développement, de déploiement, de maintenance et de scalabilité qui seront réduits de façon drastique (genre une seule passerelle type HA pour gérer l'équivalent de ce que font plein d'applicatifs séparés actuellement: plateforme SIP, VPN, ...) tout en offrant des possibilités bien plus étendues que ce que ne proposent actuellement les applications sur IPv4.


Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #28 le: 17 novembre 2008 23:44:53 »
Citation de: MacJL
Non! Tu as juste un concierge, mais comme il est sympa, tu l'utilises en tant que videur d'appoint! Ca va marcher pour la plupart des gens qui vont se présenter à ta porte, mais le jour un t'as un gros balèze qui arrive, ton concierge ne te servira à rien. Tandis qu'un vrai videur aurait pu le repousser :D
Ah bon, il existe des gros balèzes qui passent un routeur NAT type freebox ... ben faudra m'expliquer la faille, parce que, conceptuellement, je ne vois pas comment ils font.
Citer
Enfin bref, ton NAT ne te protège pas de ce qui se passe dans le LAN, ni de ce qui sort de ton LAN (un LAN n'a jamais empêché une machine de devenir un robot spammeur si il chope un virus. Un bon firewall si!)
J'ai pas dit que j'avais besoin de ça ou qu'un routeur NAT faisait aussi ça. Il n'a pas besoin de faire ça pour participer à la sécurisation de mon LAN (suffisant si je limite strictement mon usage d'Internet)

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #29 le: 17 novembre 2008 23:56:33 »
Citation de: nouknouk
Il n'y a que furlax pour soutenir qu'un concierge est plus balèze qu'un videur (je cite: "Un routeur NAT est bien meilleur qu'un pare feu [...] un parefeu logiciel ne sert qu'à ralentir inutilement un PC.").
Je répète (puisqu'il faut ressituer le contexte de la phrase citée) : un routeur NAT, qui arrête le trafic avant l'entrée du réseau local, est plus efficace qu'un parfe feu logiciel quand il s'agit d'empècher un hacker d'entrer sur un réseau privé (je parle de celui qui voudrait cibler le PC de monsieur Machin, sans se déplacer pour brancher son boitier martien sur le poteau de la ligne téléphonique). Le routeur de ma freebox a arrêté plus d'attaques que n'importe quel pare feu ne le fera jamais sur mon lan : il est en première ligne.
Citation de: nouknouk
PS quant à la mobilité: Furlax vient de ré-inventer ... La gestion de la mobilité sous IPv6 (enfin non, pas tout à fait: lui propose un principe de DDNS avec re-routage systématique par le HA, sans mécanisme d'optimisation de route).
T'as, comme d'habitude, lu mon post à moitié. Le re-routage dynamique par le HA sans mécanisme d'optimisation de route, c'est IPv6.
Il n'y a aucun problème de routage en DDNS puisque l'adresse réelle est utilisée en permanence (l'inconvénient est néanmoins dans l'obligation de rouvrir les connexions en cas de handover).
Le mécanisme que je viens de décrire est, à l'évidence, celui qui sera utilisé à terme.

L'IP fixe n'a pas fait tomber le réseau ... non non ...
Les cookies nonplus ...
Mais quand je vois que je suis obligé d'effacer le cookie SFR pour pouvoir réafficher les téléphones auxquels j'ai droit (parce que leur soft de consultation est buggé et que le bug se transmet de session en session), je me dis que je suis bien content que l'info contenue dans ce cookie ne soit pas lié à mon IP et stocké du coté serveur.

"Car l'intérêt d'IPv6, il est justement là: reléguer à nouveau les problématiques 'réseau' ... au niveau du réseau, et non plus aux couches applicatives comme c'est le cas d'IPv4." ... et à part ça, on fait pas dans le new age ? ;-)

"genre une seule passerelle type HA pour gérer l'équivalent de ce que font plein d'applicatifs séparés actuellement: plateforme SIP, VPN, ...) " : j'ai envie d'écrire un simple "bullshit !" ...
Le reroutage IPv6, parce qu'il est conçu pour permettre à la couche "réseau" de tenir le choc en cas de handover, maintient de façon artificielle les connexions vers des adresses "habituelles". De ce fait, tout le trafic passera d'abord par le HA avant de repartir vers l'adresse réelle ("l'adresse temporaire" ... amusant de voir à quel point les experts on une vision manichéenne de la mobilité) du destinataire. De ce fait, le net devient centralisé autour des HA, la toile ne pourra plus se reconfigurer si un HA tombe : le reroutage adaptatif géré par les noeuds sera restreint par la mise en place d'un point de passage obligé (et qui doit toujours être opérationnel).
En IPv6, ton portable connecté dans un Macdo, t'es tout sauf incognito : ton HA peut très bien enregistrer ton adresse temporaire et peut s'en servir pour te tracer. L'adresse réellement PHYSIQUE n'existera plus.

On pourra intercepter (de n'importe où, en se faisant router tout ce qui passe) tout le trafic qui va vers une adresse donnée : il suffira de corrompre la correspondance HoA/CoA (ou de disposer de la complicité du HA). On verra tout à coup des millions de PC faire des passages aussi éclairs que virtuels dans les locaux de la RIAA ou des ministères (qui pourront alors honteusement voler le crédit UL/DL de leurs administrés) ... Ca revient à cracher purement et simplement dans la soupe de la liberté.
Avec un système de type DDNS, du fait que la connexion est rompue en cas de handover, on est forcément informé (au niveau applicatif, coté client) de la modification de l'adresse CoA du destinataire. Il suffit donc de s'interdire le handover en P2P.

Je répète : en IPv6 si mon voisin vient chez moi avec son PC portable en utilisant le handover IPv6, il peut se trouver sur mon réseau wifi et pourtant les trames entre lui et moi passeront par le lien montant de ma connexion Internet, par mon FAI et par le sien, pour revenir vers mon FAI et vers mon réseau. L'association HoA/CoA est faite au niveau du HA, et pas ailleurs.
Et ne me parlez pas d'optimisation de routage parce qu'aucun routeur IPv6 pour particulier ne dispose de la fonction. De toutes façons, les extensions d'en-tête de routage sont une bidouille inommable et insécurisable.

Si, à la place, j'avais utilisé une adresse de type DDNS et si j'avais eu l'idée de rouvrir automatiquement les connexions fermées en cas de handover, j'aurais toujours dialogué avec l'adresse CoA. De plus ça laisse la possibilité d'associer plusieurs CoA à un dispositif (ça s'appelle la redandance, la QoS, et c'est une bonne façon d'utiliser la présence d'adaptateurs multiples ou de load balancer entre les différents adaptateurs disponibles sur le PC portable ... on peut alors envisager de la continuité de service en cas de recouvrement partiel des réseaux traversés)

Un protocole qui fait le café peut toujours vous servir la ciguë.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #30 le: 18 novembre 2008 00:14:54 »
Citation de: Furlax
Je répète (puisqu'il faut ressituer le contexte de la phrase citée) : un routeur NAT, qui arrête le trafic avant l'entrée du réseau local, est plus efficace qu'un parfe feu logiciel quand il s'agit d'empècher un hacker d'entrer sur un réseau privé
Je répète donc que n'importe quel firewall codé en 200 lignes par un étudiant sera tout autant capable de refuser une connexion que ton NAT. Je répète également que ton NAT ne filtrera jamais les connexions sortantes pour se prémunir des virus et autres trojans, alors que le firewall le permettra. Donc je répète qu'un firewall n'est pas moins efficace pour le trafic entrant et permettra en outre l'application de politiques de sécurisation du trafic sortant.

Ensuite, que ton paquet soit arrêté par le premier élément de ton réseau ou un poil plus tard, ça ne changera absolument rien au résultat, surtout dans le cadre d'un réseau domestique.

Enfin, un firewall stateless simple n'a jamais ralenti un PC. Un antivirus ou un spyware oui. Mais pas un firewall: prends un 486DX33, installe netfilter & iptables et ajoute quelques règles. Je te mets au défi de relever une baisse de performances.

Donc, je répète qu'avec le contexte ou bien sans, je vois pas plus comment "Un routeur NAT est bien meilleur qu'un pare feu [...] un parefeu logiciel ne sert qu'à ralentir inutilement un PC.", sauf à vouloir y mettre une bonne dose de mauvaise volonté.

Citation de: Furlax
T'as, comme d'habitude, lu mon post à moitié
Même pas. Tu dis dans ton post:
- qu'on n'évitera pas l'intervention de mécanismes au niveau applicatif. C'est faux.
- qu'on ne peut pas faire de mobilité sans imposer au HA de re-router tout le trafic. C'est tout aussi faux.

Citation de: Furlax
"Car l'intérêt d'IPv6, il est justement là: reléguer à nouveau les problématiques 'réseau' ... au niveau du réseau, et non plus aux couches applicatives comme c'est le cas d'IPv4." ... et à part ça, on fait pas dans le new age ? ;-)
Non, faire dans le "new age", c'est dire "je vais remettre les choses à leur place juste parce que ça fait plus joli même s'il n'y a aucun intérêt concret". Or, mon paragraphe suivant t'as expliqué tout l'intérêt d'une telle réorganisation (notamment question coûts induits et services implémentés 'de fait' par toute application utilisant IPv6).

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #31 le: 18 novembre 2008 00:56:16 »
Citation de: nouknouk
Ensuite, que ton paquet soit arrêté par le premier élément de ton réseau ou un poil plus tard, ça ne changera absolument rien au résultat, surtout dans le cadre d'un réseau domestique.
Au contraire, basculer tout le réseau en DMZ change tout.
Dans un cas, je maitrise ce qui arrive dans mon réseau, dans l'autre, je peux me faire freezer (ou bien ralentir) par n'importe qui.
Si je suis un tant soit peu limite/critique sur un flux, je perds toute prévisibilité.
Si je veux ouvrir un service interne à mon LAN (je sais pas moi ... par exemple un soft d'agenda partagé, sans serveur fixe et déployé sur le LAN d'un cabinet de médecins ... une appli de dialogue, un SAN), je suis obligé de le sécuriser parce que je ne peux pas filtrer les tentatives de connexion de façon fiable. Aujourd'hui, je peux me contenter de m'arrêter si l'adresse de la machine sur laquelle je m'exécute n'est pas en 192.0.168.xx (genre il y a eu un hard reboot de la freebox adsl ... dommage).
Plus rien ne fonctionnera sans les sempiternelles mises à jour de sécurité.
Citation de: nouknouk
Enfin, un firewall stateless simple n'a jamais ralenti un PC.
Peut-être pas le PC (mais c'est certain que si) mais sans aucun doute le réseau juste derrière.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #32 le: 18 novembre 2008 01:10:28 »
Citation de: Furlax
Au contraire, basculer tout le réseau en DMZ change tout. Dans un cas, je maitrise ce qui arrive dans mon réseau, dans l'autre, je peux me faire freezer (ou bien ralentir) par n'importe qui
Parce que bien sûr, c'est ton lien local qui saturera avant le lien avec ton FAI :rolleyes:
Et quand bien même si c'était le cas, un firewall au niveau de ton ADSL box ne serait toujours pas plus vulnérable que ton NAT.

Citer
Si je veux ouvrir un service interne à mon LAN (je sais pas moi ... par exemple un soft d'agenda partagé, sans serveur fixe et déployé sur le LAN d'un cabinet de médecins ... une appli de dialogue, un SAN), je suis obligé de le sécuriser parce que je ne peux pas filtrer les tentatives de connexion de façon fiable. Plus rien ne fonctionnera sans les sempiternelles mises à jour de sécurité.
Et dire que je pensais que toi tu lisais mes posts !
Dommage, ils parlaient pourtant d'adresses lien-local et site-local. J'ai même parlé de ton ami le SAN :rolleyes:

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #33 le: 18 novembre 2008 01:14:18 »
Citation de: nouknouk
Et dire que je pensais que toi tu lisais mes posts !
Dommage, ils parlaient pourtant d'adresses lien-local et site-local. J'ai même parlé de ton ami le SAN :rolleyes:
Mon ami le SAN peut se contenter d'une adresse locale.
Mon ami le PC de la secrétaire a besoin d'accéder au web et de gérer le planing du cabinet avec ses autres amis.
Il n'a qu'une adresse et il faudra que je choisisse si elle est locale ou publique ?
Non non, je t'avais bien lu.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #34 le: 18 novembre 2008 01:20:05 »
Citation de: Furlax
Mon ami le SAN peut se contenter d'une adresse locale.
Mon ami le PC de la secrétaire a besoin d'accéder au web et de gérer le planing du cabinet avec ses autres amis.
IPv6 permet justement que la même interface réseau physique puisse recevoir plusieurs adresses IPv6.
Si ça c'est pas une vraie chance pour ta secrétaire !
En plus, rien n'empêchera ton firewall de n'autoriser que les IPs expressément autorisées.
Citation de: Furlax
Citation de: nouknouk
Enfin, un firewall stateless simple n'a jamais ralenti un PC.
Peut-être pas le PC (mais c'est certain que si) mais sans aucun doute le réseau juste derrière.
Ah bon ? Tu m'apprends un truc. Va me falloir des références, là.


Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #35 le: 18 novembre 2008 01:34:40 »
Citation de: nouknouk
Je répète donc que n'importe quel firewall codé en 200 lignes par un étudiant sera tout autant capable de refuser une connexion que ton NAT.
Cette confiance démesurée envers les étudiants a largement contribué aux balbutiements de sécurité d'Internet qu'on commence à peine de surmonter grâce aux routeurs NAT.
Que celui qui n'a jamais eu besoin de désactiver son firewall "juste pour voir si le problème ne venait pas de là" (LowId, soft antivirus qui ne se met pas à jour, etc ...) me jette la première pierre.
La moindre mise à jour d'XP peut changer la façon dont le firewall réagit.
Ca m'est arrivé le mois dernier : après une mise à jour XP, le système de suivi des exécutables (permettant de propager les droits aux exe renommés) a subitement changé de comportement, et ainsi, sur une mise à jour nocturne des système, j'ai retrouvé un parc de PC de médecins incapable de faire de la télédéclaration.
Un firewall ne protège rien une fois que la place est investie par un virus. C'est là le véritable fléau : croire que firewall+anti virus permet de s'abstenir de briefer les utilisateurs sur les dangers de DL n'importe quoi.
Les gens téléchargent des softs de jeu pour passer le temps.
99% des softs de jeu sont bourrés de spyware/trojans.
Le routeur NAT n'est pas la panacée, mais il protège au moins le juste qui n'accède au web que dans le cadre imparti. Evidemment qu'il faut un antivirus et un firewall sur chaque PC quand on est sur un réseau non sécurisé (ou simplement utilisé par d'autre que soi, si on suppose qu'on sait ce qu'on fait).
J'estime que si le mal t'est arrivé par une connexion sortante que tu as toi même établie, tu es plus fautif que si tu l'as chopé simplement parce que tu existait et que ta machine n'était pas à jour.
Un soft peut aussi bien effacer ton disque dur à une date fixée plutôt que de chercher à se faire détecter en passant ton firewall.
Aucun AV ne détecte une appli de 10 lignes écrite en C++ et qui efface tout. Parce que ce n'est pas considéré comme un virus.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #36 le: 18 novembre 2008 01:48:50 »
Citation de: nouknouk
IPv6 permet justement que la même interface réseau physique puisse recevoir plusieurs adresses IPv6.
Ah bon, et ça va simplifier l'admin du réseau ça ? ;-)
Citation de: nouknouk
En plus, rien n'empêchera ton firewall de n'autoriser que les IPs expressément autorisées.
De quel firewall tu parles ? Y a-t-il un firewall dans la freebox configurée en IPv6 ? Tu sais comment si ta Nintendo DS est correctement protégée contre les attaques externes ? T'as envie d'apprendre dans le journal que ton réseau prend l'eau chaque matin ?
Tu parles d'un dispositif s'exécutant sur les machines du réseau ? Alors oui ... on peut aussi reporter le problème un cran plus loin, laisser la porte du PC ouverte ... bosser sur des machines virtuelles "sécurisées" et, pourquoi pas, mettre un mot de passe sur les .zip partagés ... ;-)
Citation de: nouknouk
Ah bon ? Tu m'apprends un truc. Va me falloir des références, là.
Il te faut des références pour comprendre qu'en partage de bande passante ou en protocole CSMA (/CA type wifi ... et dans une moindre mesure puisque tout le monde a un switch à présent, dans le CSMA/CD des topologies bus qui existent encore à certains endroits), un réseau peut pâtir de la présence de trames indésirables ?

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #37 le: 18 novembre 2008 01:53:40 »
Citation de: Furlax
Cette confiance démesurée envers les étudiants a largement contribué aux balbutiements de sécurité d'Internet qu'on commence à peine de surmonter grâce aux routeurs NAT.
Va falloir m'expliquer ce que ça vient faire là.
Mais je suis d'accord, les "d'jeuns", c'est de là que viennent tous les problèmes, y compris leur saleté de langage SMS, c'est dire :lol:
Quant au NAT, il a bien évidemment été conçu pour répondre à des problématiques de sécurité, toujours à cause de ces sales jeunes (:

Citer
Que celui qui n'a jamais eu besoin de désactiver son firewall "juste pour voir si le problème ne venait pas de là" (LowId, soft antivirus qui ne se met pas à jour, etc ...) me jette la première pierre.
Ne me tente pas.
Si tu désactives ton firewall, c'est comme supporter le PSG à Marseille : on ne peut plus rien pour toi.

Quant au lowId ... éclaire moi, j'ai comme un doute ... ce serait pas justement une limitation liée au NAT et à la nécessité de configurer manuellement des ports entrants et sortant en UDP ?
Si c'est le cas, vivement qu'IPv6 arrive ;)

Citer
La moindre mise à jour d'XP peut changer la façon dont le firewall réagit.
Ca m'est arrivé le mois dernier : après une mise à jour XP, le système de suivi des exécutables (permettant de propager les droits aux exe renommés) a subitement changé de comportement, et ainsi, sur une mise à jour nocturne des système, j'ai retrouvé un parc de PC de médecins incapable de faire de la télédéclaration.
Et donc bien sûr la mise à jour foireuse de Windows est imputable directement à IPv6 :rolleyes:
De plus, tu nous cites là le cas d'un excès de protection, pas d'une vulnérabilité.
Citer
Un firewall ne protège rien une fois que la place est investie par un virus. C'est là le véritable fléau : croire que firewall+anti virus permet de s'abstenir de briefer les utilisateurs sur les dangers de DL n'importe quoi.
On est donc bien d'accord que laisser croire qu'un NAT résoudra plus de soucis est encore plus absurde.

Citer
Le routeur NAT n'est pas la panacée, mais il protège au moins le juste qui n'accède au web que dans le cadre imparti. Evidemment qu'il faut un antivirus et un firewall sur chaque PC quand on est sur un réseau non sécurisé (ou simplement utilisé par d'autre que soi, si on suppose qu'on sait ce qu'on fait).
Tout comme ton firewall, mais en moins bien.

Citer
J'estime que si le mal t'est arrivé par une connexion sortante que tu as toi même établie, tu es plus fautif que si tu l'as chopé simplement parce que tu existait et que ta machine n'était pas à jour.
On parlait de connexion sortante non voulue par un logiciel planqué (trojan, ...).
Le firewall a des chances de la stopper ; le NAT n'en a aucune.

Quand à Windows XP tout juste sorti de la boite, il ne ne gère même pas IPv6, donc il est relativement protégé ;)
Les autres systèmes d'exploitation un poil plus récents ont quant à eux de vrais mécanismes de sécurité et des ports fermés pour de vrai. Et d'ici à ce qu'IPv6 arrive, ce seront eux qui seront dans la place.

Citer
Un soft peut aussi bien effacer ton disque dur à une date fixée plutôt que de chercher à se faire détecter en passant ton firewall. Aucun AV ne détecte une appli de 10 lignes écrite en C++ et qui efface tout. Parce que ce n'est pas considéré comme un virus.
Merde, et moi qui croyait que mon firewall + IPv6 allaient me protéger de tout, même du rhume.
Détecter un virus, c'est ni le rôle d'un firewal, ni d'un NAT, ni d'un quelconque élément d'un réseau. C'est le rôle d'un ... antivirus.
Donc, si fait l'impasse sur le HS, on le comptabilise comment cet ... "argument" ? en défaveur du NAT ou pas ?

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #38 le: 18 novembre 2008 02:26:29 »
Bref, il est temps d'arrêter de jouer avec mon ami. Ce que j'en retiens:

- IPv6 ne pose pas de réels problèmes de sécurité intrinsèques. et croire le contraire est juste un injure à tous les gens qui ont bossé sur le protocole depuis plus de 10 ans.

- le NAT n'a jamais été là pour apporter de la sécurité et n'est qu'une rustine ajoutée à IPv4 pour palier uniquement à un manque d'adresses IP. Au contraire, le NAT apporte son lot de soucis (dont un sentiment injustifié de sécurisation du réseau)

- la question de la confidentialité et du traçage n'est qu'un faux problème et que même en admettant qu'IPv6 ne résolve rien, il ne fera de toute façon pas pire qu'IPv4.

- IPv6 permettra de gérer en natif beaucoup de 'services' réseau (chiffrement, QoS, mobilité, configuration automatique, ...) qui permettront non seulement de les rendre disponibles à chaque application utilisant le réseau, mais également de réduire les coûts et le problématiques de déploiement/développement/maintenance/prise de tête.

- IPv6 favorisera une émergence de nouveaux services actuellement impossibles, difficiles ou chers à mettre en oeuvre (handover, mobilité, broadcasting, P2P).

- l'absence de NAT simplifiera également beaucoup de chose pour madame Michu qui ne bloquera pas devant un problème d'ovuerture de port pour son MSN/EMule/WoW/Quake/...

Après, si IPv6 ne vous convainc toujours pas, c'est votre choix. Perso, je ne rechignerai pas à me séparer de mon NAT et de ma foultitude de petits logiciels réseaux 'rustine' qui ne me serviront plus à rien avec IPv6.

Sur ce, bon dodo :D

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #39 le: 18 novembre 2008 02:43:19 »
Citation de: nouknouk
(...verbiage pseudo-parodique ...)ces sales jeunes (:
Cet humour n'engage que toi.
Citation de: nouknouk
Ben si tu désactives ton firewall, on ne peut plus rien pour toi.
Pardon, j'le refrai pu.
Bizarrement, j'étais confiant ... grâce à la présence d'un routeur NAT ...
Citation de: nouknouk
Quant au lowId ... éclaire moi, j'ai comme un doute ... ce serait pas justement une limitation liée au NAT et à la nécessité de configurer manuellement des ports entrants et sortant en UDP ?
Si c'est le cas, vivement qu'IPv6 arrive (:
Non, le lowID est un bug qui se corrige. Je n'incrimine pas le tourniquet à l'entrée du magasin quand le directeur de la grande surface oublie le panneau signalant le passage. Et surtout, il ne me vient pas à l'idée de passe en open space.
Citation de: nouknouk
Et donc bien sûr la mise à jour foireuse de Windows est imputable directement à IPv6 :rolleyes:
Non, au firewall logiciel et aux sempiternelles mises à jour.
Citation de: nouknouk
De plus, tu nous cites là le cas d'un excès de protection, pas d'une vulnérabilité.
Je cite le principe du double coupe-circuit gérant l'arrivée d'eau et qui permet de tester une vanne en restant online.
Citer
On est donc bien d'accord que laisser croire qu'un NAT résoudra plus de soucis est encore plus absurde.
Le routeur NAT résoud déjà énormément de soucis. C'est pas parce qu'il ne les résoud pas tous qu'il faut le jeter.
Citer
Tout comme ton firewall, mais en moins bien.
Au commencement, le firewall n'existe pas ... il faut attendre le 7ième jour pour le voir venir (et on peut crever en première semaine).
Citer
Révise le fonctionnement d'un trojan: on parlait de connexion sortante non voulue par un logiciel planqué. Le firewall a des chances de la stopper ; le NAT n'en a aucune.
Qui parle de Trojan ici ? Toi ... pas moi.
Les attaques que le routeur NAT permet d'éviter sont celles de type DoS ou qui exploitent une faille connue d'un service. J'ai jamais parlé de Trojan (il est où le trojan dans la Genese ? c'est un concept Homérien)
Citer
Merde, et moi qui croyait que mon firewall, IPv6 allait me protéger de tout, même du rhume. Mais au fait, on comptabilise cet argument en défaveur du NAT ou pas ?
On comptabilise la nécessaire collaboration de l'utilisateur dans la rubrique "si on divise le monde en deux, avec d'un coté les PC serveurs et les cafetières sans clavier/ni souris, et de l'autre le PC de madame Michu, secretaire, et bien le Routeur NAT protège très bien la première catégorie tandis qu'aucun dispositif ne protège pleinement la seconde. On peut donc très clairement situer le créneau firewall et dire que la perte du routeur NAT est cruelle et qu'elle va compliquer les choses".

Certes, il y a bien une problématique de restriction d'accès sur les cafetières. Mais prétendre que le "tout firewall" la résoudra de façon plus élégante qu'un routeur NAT est faux. Le routeur NAT est nécessaire et suffisant pour ces éléments là.

Une machine dédiée, avec une plateforme logicielle limitée (pas de possibilité d'Up-load), est inattaquable, qui-plus-est si par défaut, elle est invisible du net.

Pourquoi ouvrir les vannes pour le plaisir d'ajouter un firewall sur tout ce qui bouge ? Pour le plaisir de s'embèter à gérer l'accès sur ces dispositifs ? (pour gérer qui a/n'a pas le droit de se connecter) On a une notion toute trouvée de "réseau local" à disposition (avec un portier partagé). Au besoin, s'il le faut, on peut ajouter un mot de passe ... mais là on sort du controle d'accès de niveau réseau.

Si un PC du réseau passe dans le camp ennemi, il est de toutes façons probable que la cafetière verra arriver une connexion qui lui apparaitra comme "autorisée". Et ça, ni le firewall, ni le routeur NAT ne pourront l'éviter.

Avec un routeur NAT en passerelle, sur des machines sans clavier ni souris ou exclusivement manipulées par moi, on peut donc économiser l'usage d'un firewall (à configurer spécifiquement) ... et on se laisse la possibilité d'autoriser l'accès à la cafetière depuis le réseau global.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #40 le: 18 novembre 2008 02:51:51 »
Citer
un sentiment injustifié de sécurisation du réseau
C'est injustifié de parler de blocage par défaut des attaques type sasser par un routeur NAT ? (répondre qu'un firewall les bloque aussi ne fera pas avancer les choses). IPv6 sans routeur NAT ne sécurise pas autant qu'IPv4 + un routeur NAT. Je ne dénigre pas IPv6 au profit d'IPv4, je dénigre l'abandon du routeur NAT (je sais bien qu'IPv6 est moins sexy derrière un routeur NAT et que c'est la raison qui pousse à son abandon).

Il faut distinguer les problèmes : l'adressage, la QoS, la mobilité, la sécurité et la vie privée.

L'IPv6 assure en adressage (à un point exagéré ... on aurait dû l'appeler IPv16 ... 128 bits d'adresse ... pourquoi pas 1024 ?).

En ce qui concerne la QoS, il me semble que les promoteurs d'ATM avaient déjà tenu le même discours. Dans les faits, les réseaux ne sont pas ATM de bout en bout et les mécanismes de QoS sont peu implémentés (sur freebox ? pour favoriser le flux TV/Téléphone ?).

En mobilité l'apport me parait être une simple transcription du concept de renvoi avec le handicap induit par le fait qu'on cherche à éviter la prise en compte du handover à des niveaux supérieurs (qu'on ne veut pas "perturber"). Résultat : on se retrouve avec des problèmes d'optimisation de chemin et des transmission d'en-têtes étendus que personne n'exploitera en réalité mais qui poseront des problèmes de sécurité.

En sécurité, on perd la meurtrière à l'entrée du LAN et on perd en introduisant un nouveau concept attaquable (le HA) sans qu'il soit possible de se rabattre sur un niveau d'abstraction moindre (spécifier qu'on ne veut pas de translation Hoa/CoA).
Quand je compare IPv4 et IPv6 sur le chapitre de la sécurité par défaut, je n'évoque pas une tierce application (le firewall)

En contribuant à l'abandon pur et simple des routeurs NAT et en attribuant des adresses fixes à des dispositifs mobiles (si j'ouvre une connexion depuis un wifi macdo, je diffuse mon adresse HoA ... et je n'ai aucun moyen de ne pas la diffuser), l'IPv6 est clairement pourri en préservation de la vie privée.

IPv6 ... c'est comme si lors du passage à 10 chiffres pour le téléphone, on était passé à 32 chiffres, sans la fonction "cacher le numéro" et avec l'obligation de donner son nom en décrochant le combiné (même dans une cabine publique ou chez son voisin). Y a pas à dire, c'est super pour la tracabilité de la viande de veau.

Avec IPv6 on marche sur la tête. Ce genre de norme ne serait jamais passé sans son cortège de réduction de libertés (la tendance actuelle sur le web, non ?) caché par des leurres dérisoires. Que ce truc ait été pondu et validé par tout ce que la terre a produit comme cerveaux interressés par la télématique ne me rassure pas du tout. Parce que j'ai la norme sous les yeux, que je la lis et que je me forge une opinion par moi-même.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #41 le: 18 novembre 2008 08:59:21 »
pour faire court:

- chaque sous réseau (donc chaque 'abonné') comporte 2^64 adresses, donc le nombre d'adresses est 3 milliards de fois plus important que l'ensemble des adresses IPv4 actuellement affectables. C'est pas pour rien ou juste pour frimer dans la cour de récré: les attaques de type 'scanning d'IP' n'auront plus aucun lieu d'être car la probabilité qu'un scanner trouve en un siècle ne serait-ce qu'une seule machine d'un sous-réseau, cette probabilité est bien moins importante que de trouver les bons numéros d'euro-millions. Au passage, les trames envoyées par ton éventuel scanner n'arriveront jamais jusqu'à ton sous réseau: les paquets seront rejetés avant ta box, par le réseau de ton FAI. L'attaque par saturation des liens est donc exclue également, et de façon plus efficace que ton NAT.

Donc les peurs d'attaques de type scanning ou DoS concernant les équipements appartenant à ton sous-réseau n'ont plus lieu d'être. Les probabilités ont gagné.

- chaque interface peut par défaut s'attribuer deux adresses: une adresse 'privée' à ton sous-réseau, et une adresse publique routable sur le net. Si par défaut aucun port entrant n'est activé sur ton adresse publique, tu as de fait la même protection que ton NAT avec deux zone distinctes (réseau local et publique), ce qui (1) n'empêchera pas éventuellement d'ouvrir par défaut des ports entrants avec les autres équipements de ton sous-réseau et (2) n'empêchera pas de t'ouvrir des ports 'publiques'. La sécurisation est donc au moins aussi importante que celle apportée par ton NAT et que tu vantes tant. Mais on y a gagné en plus plusieurs choses d'importantes: (1) plus aucun équipement tiers n'a à être configuré ; c'est l'équipement terminal qui gère comme un grand sa politique de sécurité, pas son voisin qui la gère pour lui. (2) chaque équipement est libre d'utiliser tous les moyens qu'il souhaite pour communiquer, y compris des ports entrants, de l'UDP, ... puisque c'est lui qui se pose ses limites
De même, ton OS 'frais installé du matin' n'aura qu'à n'ouvrir que des ports publics sortants vers ton serveur de mise à jour préféré et rien ne sera plus dangereux que derrière ton NAT.
Bien entendu, qui peut le plus peut le moins: pour les quelques sous-réseaux qui en ressentiront le besoin (entreprises, administrations, ...), rien n'empêche d'ajouter un firewall en entrée du réseau pour ajouter une couche supplémentaire de sécurisation. C'est ni plus ni moins que ce qui est déjà en place.

Le problème de sécurisation de ton réseau local est donc clos.

- concernant la QoS, tu pointes toi même le pourquoi du comment ça s'est pas fait: c'est effectivement à cause de la multiplicité des protocoles que la QoS n'a pas été utilisée concrètement. L'IPv6 est justement là pour faire migrer l'ensemble des acteurs du réseau vers un modèle 'tout IP', homogène donc. Ce n'est pas une vue de l'esprit, un vœu pieux ou une réflexion "new age", c'est la réalité concrète et actuelle dans les roadmaps des grands opérateurs, poussés qu'ils sont par l'appât d'énormes réductions des coûts de maintenance. Pour dire que ça a marqué les esprits: c'est même d'ailleurs le paradigme n°1 de LTE.

Et c'est bien cette homogénéisation vers le 'tout IP' qui va -de fait- donner toutes les chances aux fonctionnalités spécifiées dans le standard d'être réellement adoptées. C'est valable pour la QoS comme pour tous les autre services proposés par IPv6.

- concernant le problème de diffusion de ton adresse en mobilité, qui peut le plus peut le moins: on a vu qu'il existe différents moyens pour gérer la mobilité, du tunnelling avec re-routage systématique par le HA (qui dans ce cas là ne divulgera pas ton adresse temporaire) jusqu'au mécanisme d'optimisation de route, qui relâche les contraintes de privacy au profit d'une optimisation de la connexion et de l'utilisation du réseau. Les deux étant disponibles, rien ne t'empêche de faire ton choix au cas par cas. Et contrairement à une solution équivalente dans IPv4, celle-ci est totalement transparente pour l'applicatif. Donc la solution la plus sécurisante peut très bien être utilisée par défaut tout en laissant la possibilité de faire un choix différent en fonction de ses besoins et du contexte. On ne sera plus contraint par le choix définitif du développeur de l'application.

On vient donc encore d'y gagner en flexibilité sans sacrifier la politique de confidentialité


Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #42 le: 18 novembre 2008 09:25:52 »
Tous les protocoles de sécurité inventé à ce jour ont démontré leurs limites.
En sécurisation Wifi, on a 10 option cochables, et il n'en reste qu'une ou 2 qui soient vraiment sûres.

Implémenter la sécurité dans un protocole inventé off-shore, déployé d'un seul tenant et jamais soumis à l'épreuve du feu est la négation même de toute l'histoire récente de l'informatique. Les technologies du net doivent dériver les unes des autres. L'existant ayant survécu à l'épreuve du temps doit être respecté et traité comme quelque chose de précieux parce que le réseau, c'est quelque chose de sensible.

90% d'IPv6 est déjà à la poubelle (et a toujours été conçu pour y passer) et le reste n'est que foutaise dangereuse et liberticide.

A lire : http://www.lima.icao.int/MeetProg/2008/AUTO/06%20AutoSemCARSAM_Seguran%C3%A7a%20IPv6.pdf

KissKool

[NAT] Montée en puissance de l'IPv6
« Réponse #43 le: 18 novembre 2008 09:28:56 »
ca serait drole de voir les lumières de sa maison piratées et contrôlées à distance, n'est ce pas ?

moi en tout cas, ca me ferait beaucoup rigoler :D

always connected ! même dans les toilettes !

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #44 le: 18 novembre 2008 10:24:45 »
Citation de: Furlax
Tous les protocoles de sécurité inventé à ce jour ont démontré leurs limites.
En sécurisation Wifi, on a 10 option cochables, et il n'en reste qu'une ou 2 qui soient vraiment sûres.
Implémenter la sécurité dans un protocole inventé off-shore, déployé d'un seul tenant et jamais soumis à l'épreuve du feu est la négation même de toute l'histoire récente de l'informatique.
IPSec est 'juste' mis à l'épreuve du feu au quotidien, dans les VPN. Excuse du peu.
Et même en admettant que IPsec tombe un jour, rien n'empêchera de rajouter une couche de sécurisation au niveau applicatif, exactement de la même manière que ce qu'on fait actuellement.
En attendant, on a de quoi voir venir pour un bon bout de temps...

Citer
Les technologies du net doivent dériver les unes des autres. L'existant ayant survécu à l'épreuve du temps doit être respecté et traité comme quelque chose de précieux parce que le réseau, c'est quelque chose de sensible.
Parce que IPv6 ne dérive de rien et surtout pas d'IPv4. Evidemment l'ensemble des concepts qu'on peut voir dans IPv6 n'ont rien à voir avec ce qui existe déjà. C'est d'ailleurs exactement pour ça que le nom 'IPvX' a été choisi :rolleyes:

Citer
90% d'IPv6 est déjà à la poubelle (et a toujours été conçu pour y passer) et le reste n'est que foutaise dangereuse et liberticide. A lire : http://www.lima.icao.int/MeetProg/2008/AUTO/06%20AutoSemCARSAM_Seguran%C3%A7a%20IPv6.pdf
Perso, j'accorderai plus de crédit au consensus formé par la recherche informatique et l'ensemble des opérateurs mondiaux, plutôt qu'à un forumeur arc bouté sur des arguments de la teneur de celui ci-dessus et qui ne connaissais même pas l'existence des IPv6 privées au début du thread. Les trois slides d'un commercial d'une société privée ne m'ont pas plus convaincu.

Après, je n'ai jamais dit que l'IPv6 était le Saint Graal, mais de là à dire que 90% d'IPv6 est à mettre à la poubelle (ce qui correspond à y inclure une bonne partie d'IPv4) ... si je suis un "technico-artistico-new-age", ton dernier 'argument' ne peux être que celui d'un "vieux réac' abonné au FUD".

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #45 le: 18 novembre 2008 11:12:56 »
Citation de: nouknouk
la probabilité qu'un scanner trouve en un siècle ne serait-ce qu'une seule machine d'un sous-réseau, cette probabilité est bien moins importante que de trouver les bons numéros d'euro-millions.
Oui, et KAD et son processus de découverte de noeuds te remercie. Tout le serverless remercie IPv6.
Bizarre tout de même comme raisonnement ... les adresses email se rédigent dans quel espace d'adressage déjà ? Et tu ne reçois jamais de spam ?
Citation de: nouknouk
Si par défaut aucun port entrant n'est activé sur ton adresse publique, tu as de fait la même protection que ton NAT avec deux zone distinctes (réseau local et publique), ce qui (1) n'empêchera pas éventuellement d'ouvrir par défaut des ports entrants avec les autres équipements de ton sous-réseau et (2) n'empêchera pas de t'ouvrir des ports 'publiques'.
Je croyais qu'on cherchait à simplifier le truc ?
Citation de: nouknouk
(1) plus aucun équipement tiers n'a à être configuré.
C'est quoi le problème de l'équipement tiers au juste ? Pour moi, le réseau local est une entité propre qui mérite sa politique de sécurisation. L'équipement "tiers" ne va pas disparaitre en IPv6 (il n'y a que les ultra dans ton genre qui croient ça encore).
Citation de: nouknouk
c'est l'équipement terminal qui gère comme un grand sa politique de sécurité
Je préfère m'en occuper pour le compte de madame Michu et son eeeeePC.
Citer
chaque équipement est libre d'utiliser tous les moyens qu'il souhaite pour communiquer, y compris des ports entrants, de l'UDP, ... puisque c'est lui qui se pose ses limites
Chaque équipement est surtout libre de se faire véroler.
Citer
De même, ton OS 'frais installé du matin' n'aura qu'à n'ouvrir que des ports publics sortants vers ton serveur de mise à jour préféré et rien ne sera plus dangereux que derrière ton NAT.
Et ça va simplifier l'installation des OS ça ? le firewall ne connait pas les adresses web, il bosse sur adresse IP.
Et pour les ports entrants ? Il va ouvrir quoi par défaut ? Rien du tout ?
Je peux exécuter n'importe quoi sur mon PC, celui-ci n'arrivera pas à véroler ma freebox en lui faisant ouvrir les ports fermés. Peut-on dire la même chose à propos d'un firewall soft s'exécutant sur un PC ? La présence d'un "tiers" est la seule garantie que nous ayons.
Il est plus facile de pister un hacker qui diffuse un virus hardcodant une adresse de connexion (parce que le virus ne peut attendre qu'on le contacte) qu'un hacker ménageant une backdoor générique dont on sait que quelqu'un (avec le bon mot de passe) pourra abuser à son gré, quand il voudra.
C'est parceque t'as deux adresses à scope différent que ton listen (port) sera selectif sur une adresse plutôt que sur l'autre.
Aujourd'hui, si j'ai un routeur fiable (pas la freebox dans ce cas, because pb du hard reboot qui désactive le routeur) je peux installer VNC sur tous mes postes et laisser la prise en main open (pas de mot de passe). En IPv6, il faudra que je me prenne la tête à paramétrer un firewall (et ça ne se limitera pas à dire "VNC peut-il ouvrir un port ? OUI/NON").
En mode non connecté, avec IPv4 + NAT, on n'était pas obligé de s'assurer que les adresses IP de l'émetteur étaient vraies : le LAN existait réellement et le routeur à son entrée bloquait tout par défaut. L'adresse IP de l'émetteur n'était donc pas utilisée (ou très peu) pour les considérations de sécurité.
En IPv6, UDP est quasi mort (ou alors il faut recourir à l'authentification type RFC4302, mais ça suppose que le client connait mieux le serveur que le pirate, ce qui n'est pas le cas dans la majorité des cas où UDP est utilisé en réseau global actuellement).
Du fait que l'adresse IP de l'émetteur devient stratégique (pour la politique de sécurité) tandis que personne n'est en mesure de garantir sa véracité, l'UDP light tel qu'on le connait ne peut plus exister.
Du coup, UDP se retrouve, dans les faits, cantonné aux interfaces locales (alors que c'est bien pratique de transmettre en mode non connecté sur le réseau, par exemple en P2P).
Citer
Le problème de sécurisation de ton réseau local est donc clos.
Certainement pas. Et le Lan IPv6 est plus qu'open.
Citer
poussés qu'ils sont par l'appât d'énormes réductions des coûts de maintenance.
Amusant !
Citer
Et contrairement à une solution équivalente dans IPv4, celle-ci est totalement transparente pour l'applicatif.
Il suffisait d'ajouter un niveau logique "DDNS" à la pile réseau. On aurait eu la même transparence pour l'applicatif (avec l'avantage de laisser le choix, de chaque coté de recourir ou non aux handover).
Au fait, c'est quoi déjà le mécanisme qui permet d'authentifier de façon sûre la procédure de Binding Update ? (malgré l'age avancé d'IPv6, ça publie encore sur le sujet).

En fait, pratiquement chaque recommandation du standard IPv6 initial a donné lieu à un "workaround", à un gel implicite ou est encore en papotage. Ce protocole se mèle de choses qui ne le regardent pas (on se demande pourquoi) et il a tout naturellement du mal.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #46 le: 18 novembre 2008 11:15:47 »
Citation de: nouknouk
vieux réac' abonné au FUD"
Ok, je viens de me renseigner sur le FUD (Fear Uncertainty and Doubt).

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #47 le: 18 novembre 2008 11:22:14 »
Citation de: nouknouk
(...) et qui ne connaissais même pas l'existence des IPv6 privées au début du thread.
Et encore, t'as rien vu ... dans deux jours, je te ponds une RFC de remplacement dans le forum.
Je constate tout de même que les états d'âme que je développe depuis quelques heures au fil de mes lectures suivent exactement le même cheminement que plusieurs années de palabres d'experts. Je constate aussi que je suis arrivé sur pas mal de points au niveau des discussions les plus récentes, que les dernières rustines ne sont toujours pas étanches et qu'on rajoute petit à petit tout ce qu'on voulait voir initialement disparaitre.
Pourquoi ne pas avoir tout laissé en l'état en ajoutant deux octets de préfixe à l'adresse IP ? Mystère. (miracle : j'ai deux jours d'avance sur ma RFC)

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #48 le: 18 novembre 2008 11:56:35 »
Citation de: Furlax
Oui, et KAD et son processus de découverte de noeuds te remercie. Tout le serverless remercie IPv6. [...] Bizarre tout de même comme raisonnement ... les adresses email se rédigent dans quel espace d'adressage déjà ? Et tu ne reçois jamais de spam ?
Rien à voir. On va mettre cet argument au même niveau que les étudiants qui sont à l'origine de tous les maux du web que le NAT a finalement sauvé :rolleyes:

Citer
Je croyais qu'on cherchait à simplifier le truc ?
Et le fait que les terminaux gèrent les deux espaces d'adressage comme deux entités distinctes et lui donne la capacité de déterminer quelle réseau(x) il écoutera, c'est pas plus simple ?
Qu'est-ce qu'il te manque par rapport à ton NAT, hormis que c'est plus simple que de devoir tout configurer en plus dans un NAT quand tu veux ouvrir des ports publics entrants ?
Citer
Citation de: nouknouk
(1) plus aucun équipement tiers n'a à être configuré.
C'est quoi le problème de l'équipement tiers au juste ? Pour moi, le réseau local est une entité propre qui mérite sa politique de sécurisation.
Et que fait un socket capable d'écouter séparément sur deux sous-réseaux distincts ?
Citer
L'équipement "tiers" ne va pas disparaitre en IPv6 (il n'y a que les ultra dans ton genre qui croient ça encore).
Je préfère m'en occuper pour le compte de madame Michu et son eeeeePC.
J'ai jamais dit que les équipements tiers devaient disparaître. J'ai juste dit que laisser un comportement par défaut et la possibilité de se passer d'équipement tiers pour les architectures simples (domestiques) n'est pas un mal. Qui peut le plus peut le moins.
Et figure toi que tout le monde n'est pas dans ce cas, et les milliers de madame Michu qui n'ont pas un furlax à côté d'eux n'ont qu'une envie "que ça marche".
Citer
Chaque équipement est surtout libre de se faire véroler.
Ben on n'a jamais dit qu'IPv6 allait tuer tous les virus non plus ! Et un pc avec une politique de sécurité de base (ports ouverts et fermés) ne fera pas moins qu'un NAT.
Citer
Citation de: nouknouk
De même, ton OS 'frais installé du matin' n'aura qu'à n'ouvrir que des ports publics sortants vers ton serveur de mise à jour préféré et rien ne sera plus dangereux que derrière ton NAT.
Et ça va simplifier l'installation des OS ça ? le firewall ne connait pas les adresses web, il bosse sur adresse IP. Et pour les ports entrants ? Il va ouvrir quoi par défaut ? Rien du tout ?
Et que fait un OS récent ?
Concrètement, tu installeras un Linux ou autre:
- il va récupérer une adresse IP publique pour initier des connexions sortantes (accès web, smtp, windows update, ...)
- il va récupérer une adresse privée ou il pourra écouter sur des ports du sous-réseau local par défaut (ssh ...).

On n'a même pas encore installé de firewall que ton PC a déjà autant de sécurité que derrière une NAT.
Va falloir que tu m'expliques ce qui change et ce qui est plus dangereux qu'avec ton NAT.

Citer
Je peux exécuter n'importe quoi sur mon PC, celui-ci n'arrivera pas à véroler ma freebox en lui faisant ouvrir les ports fermés. Peut-on dire la même chose à propos d'un firewall soft s'exécutant sur un PC ? La présence d'un "tiers" est la seule garantie que nous ayons.
Si ton PC est vérolé, rien ne sera plus simple pour lui que d'aller se connecter systématiquement (connexion sortante, autorisée par le NAT) à un réseau IRC quelconque pour dialoguer. Donc on n'a rien de moins que ce que fait le NAT.

Citer
C'est parceque t'as deux adresses à scope différent que ton listen (port) sera selectif sur une adresse plutôt que sur l'autre.
Ben si, c'est comme les IPv6 privées: faut se renseigner avant de sortir des bêtises. Un indice: "socket ipv6 wildcard adresses listen"
Pire, IPv4 le fait déjà depuis 15 ans et n'importe quel logiciel serveur décent permet de sélectionner les plages d'adresse à écouter.

Citer
Aujourd'hui, si j'ai un routeur fiable je peux installer VNC sur tous mes postes et laisser la prise en main open (pas de mot de passe). En IPv6, il faudra que je me prenne la tête à paramétrer un firewall (et ça ne se limitera pas à dire "VNC peut-il ouvrir un port ? OUI/NON").
Et demain, ton VNCServer6 n'écoutera par défaut que les IP locales, et une case à cocher ou une ligne dans un '.conf' à changer te donneront la possibilité d'écouter d'autres adresses, y compris publiques, sans avoir à rediriger un port sur ton NAT. Il est où le problème avec IPv6 ?

Citer
En IPv6, UDP est quasi mort
Merde, c'est les utilisateurs de Skype, les joueurs de CS et de Wow qui vont faire la gueule !
Y sont quand même pas très malins les concepteurs d'IPv6 pour avoir oublié ça ! Envoie leur un mail !

Citer
Je constate tout de même que les états d'âme que je développe depuis quelques heures au fil de mes lectures suivent exactement le même cheminement que plusieurs années de palabres d'experts.
Faut pas avoir froid au yeux pour sortir qu'en quelques heures t'as compris plus vite les problématiques que des experts ont mis des années à intégrer.

Mais, encore une fois, tu as raison envers et contre tout: IPv6 est en passe d'être massivement adopté et tous ceux qui ont pris cette décision sont bien moins malin que toi qui a tout de suite vu que "90% d'IPv6 était à foutre à la poubelle".

Au final, tu tournes autour du pot, mais tu ne m'as toujours pas donné un seul argument valable pour m'expliquer en quoi IPv6 est moins bien ou moins sécurisé que ton IPv4 + NAT. Et je ne peux pas ranger l'argument des "foutaises dangereuses et liberticides" dans la liste des arguments valables.


Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #49 le: 18 novembre 2008 12:41:37 »
Citation de: nouknouk
Rien à voir.
Et l'amorçage alors ?
Est-il plus facile d'amorcer à partir d'une table d'adresses connues :
a) quand tout le monde s'est mis à faire du DHCPv6 aléatoire pour éviter de se faire tracer au niveau du poste de travail.
b) quand on a des routeurs NAT qui ne changent pas d'IP.
("hein Biloute ?" dirait Kad)