Auteur Sujet: IPv6 chez Bouygues...  (Lu 132212 fois)

0 Membres et 2 Invités sur ce sujet

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
IPv6 chez Bouygues...
« Réponse #180 le: 11 décembre 2016 à 11:16:45 »
Explique en quoi c'est débile ? Comment tu vas trouver l'IPv6 d'une caméra par exemple ?

Snickerss

  • Expert Free + Client Bbox fibre FTTH
  • Modérateur
  • *
  • Messages: 4 823
  • Mes paroles n'engagent que moi :)
    • BlueSky
IPv6 chez Bouygues...
« Réponse #181 le: 11 décembre 2016 à 11:25:46 »
Sur les premières versions de bittorent sync, c'était le même délire : pas de mot de passe, il fallait juste donner l'empreinte du dossier pour le partager. Psychologiquement, c'est vrai que c'est bizarre.

corrector

  • Invité
IPv6 chez Bouygues...
« Réponse #182 le: 11 décembre 2016 à 12:06:24 »
L'empreinte?

Snickerss

  • Expert Free + Client Bbox fibre FTTH
  • Modérateur
  • *
  • Messages: 4 823
  • Mes paroles n'engagent que moi :)
    • BlueSky
IPv6 chez Bouygues...
« Réponse #183 le: 11 décembre 2016 à 15:06:36 »
La clé si tu préfères ?

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
IPv6 chez Bouygues...
« Réponse #184 le: 11 décembre 2016 à 18:33:56 »
Cela dit c'est assez simple pour un PC, suffit de faire cliquer sur lien, collecter les logs, et avec l'UA + l'IP  + une faille qui va bien, pouf.
Ça permet uniquement de récupérer l'adresse temporaire, sur laquelle aucun service ne devrait être à l'écoute.

corrector

  • Invité
IPv6 chez Bouygues...
« Réponse #185 le: 11 décembre 2016 à 18:39:15 »
Ça permet uniquement de récupérer l'adresse temporaire, sur laquelle aucun service ne devrait être à l'écoute.
Tu es sûr de ça?

Ne devrait pas, d'après qui?

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
IPv6 chez Bouygues...
« Réponse #186 le: 11 décembre 2016 à 18:52:42 »
Tu es sûr de ça?

Ne devrait pas, d'après qui?

C'est mentionné dans la RFC : une adresse pour les connexions entrantes, une pour les connexions sortantes.
Mais je ne sais pas ce qu'il en est en pratique en fonction des programmes / OS.

https://tools.ietf.org/html/rfc4941
Citer
In such environments, one may need multiple addresses: a "public" (i.e., non-secret) server address, registered in the DNS, that is used to accept incoming connection requests from other machines, and a "temporary" address used to shield the identity of the client when it initiates communication


corrector

  • Invité
IPv6 chez Bouygues...
« Réponse #187 le: 11 décembre 2016 à 19:57:47 »
Oui d'accord, l'adresse temporaire est sélectionnée par la table de routage pour les connexions sortantes.

Et c'est l'adresse permanente qui est publiée dans les DNS et autres registres. Mais cela ne veut pas dire que les services ne sont pas accessibles par défaut sur les adresses temporaires, si tu ne prends pas de précaution au niveau de la configuration du serveur ou bien au niveau "mandatory access control" (pare-feu).

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6 chez Bouygues...
« Réponse #188 le: 11 décembre 2016 à 20:00:15 »
Explique en quoi c'est débile ? Comment tu vas trouver l'IPv6 d'une caméra par exemple ?

soit ta camera a une IPv6 public parce que t'as besoin d'y accéder a distance dans ce cas la moindre 'trace d'acces' que tu laisses hors de ton LAN peut permettre de retrouver l'IPv6 de ta cam (un wifi public par exemple, un proxy, un vpn, une extension navigateur, un PC public, voir peut-etre via un simple site web et du js en utilisant webrtc ou autre ou se faire infecter sans le savoir car y'a pas besoin d'etre root/admin pour faire une réso DNS local par exemple ou dumper le neighboorhood IPv6).

soit t'as pas besoin d’accéder a ta cam de l’extérieur dans ce cas autant ne pas lui donner une IPv6 public mais juste d'utiliser sa link-local IPv6 c'est largement mieux et suffisant.

Donc à  partir du moment ou tu as de l'IPv6 public , il te faut de la sécurité d’accès. Se croire a l'abris parce "qu'on ne peut deviner" l'IPv6 facilement me semble utopique et très risqué. C'est que mon avis bien sur, libres aux gens d'exposer leur machines en IPv6 public sans contrôle d’accès...

Apres on est dans le contexte 'grand public' ou l'utilisateur n'a pas forcement conscience de tout ca et doit faire 'confiance' a son FAI et aux fournisseurs des équipements et logiciels qu'il utilise. Ca n'est pas le contexte du geek informé et sensibilisé.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
IPv6 chez Bouygues...
« Réponse #189 le: 11 décembre 2016 à 20:16:31 »
Si je comprends bien, des que tu te connecte à un réseau potentiellement compromis.

Du coup quelle différence avec IPv4 ?


Se croire a l'abris parce "qu'on ne peut deviner" l'IPv6 facilement me semble utopique et très risqué.

Quel est le vecteur d'attaque aujourd'hui ? Les réseaux compromis ou le scan des IPs ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6 chez Bouygues...
« Réponse #190 le: 12 décembre 2016 à 21:14:28 »
Si je comprends bien, des que tu te connecte à un réseau potentiellement compromis.

Du coup quelle différence avec IPv4 ?

IPv4 ferme les ports au niveau gateway (box maison) donc on n'a pas besoin de les fermer sur le device (la cam). si quelqu'un chope ton IPv4 public le risque est faible.

En IPv6, si la gateway ne ferme pas les ports en IPv6 (cas de Free) et que quelqu'un chope l'IPv6 de ta cam le risque est fort.

Quel est le vecteur d'attaque aujourd'hui ? Les réseaux compromis ou le scan des IPs ?

en IPv4 ca ne resiste pas a un scan des IPs mais le NAT protege un peu par defaut (sauf si on laisse UPnP sans surveillance).

en IPv6 le scan est quasi impossible mais on peut recup des  IPv6 actives par les réseaux compromis ou/et des logs de proxy/vpn, des reso dns , etc (typiquement mettre sa cam en dyndns n'est pas forcement une bonne idée).

De toute facon une bonne 'pratice' est de verrouiller localement les ports en IPv6, ne plus faire comme en IPv4. Ca deviendra la norme avec le temps.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
IPv6 chez Bouygues...
« Réponse #191 le: 12 décembre 2016 à 21:29:05 »
Donc tant que tu ne compromets pas la sécurité de ton réseau en divulgant l'IP, tu es en sécurité, pour moi, c'est suffisant pour 99% des usages, m'enfin... :/