Auteur Sujet: IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?  (Lu 8396 fois)

0 Membres et 1 Invité sur ce sujet

tivoli

  • Toulouse (31)
  • Client Bbox fibre FTTH
  • *
  • Messages: 1 936
  • Toulouse (31)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #12 le: 28 mars 2018 à 15:13:11 »
j'ai pas envie qu'on me protege de force. Si je veux mettre un FW c'est moi qui le met.

Le probleme c'est que avant IPv6 on etait protege, faire un changement qui impacte les utilisateurs c'est quand meme pas ideal.

Ca se finirait par : IPv6 c'est pourri depuis que je l'ai je me fais pirater

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 172
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall
« Réponse #13 le: 28 mars 2018 à 16:06:18 »
mouais je vois.

m'enfin c'est quand meme pitoyable. En gros c'est comme si pour traverser la rue y a un flic qui doit te tenir la main et sans lui ben tu peux pas traverser. Tout ca parce que que globalement y a trop de cons qui se pourraient se faire ecraser...

C'est simpliste et faux comme comparaison.

Si on cherche des coupables ca serait plutot Windows et les autres systèmes non sécurisés.
Ca seraient les "appliances" (imprimantes, IoT, routeur, etc) pleines de failles de sécurité.

Bref ce n'est pas l'utilisateur le responsable mais ce qu'il utilise et il n'a pas vraiment le choix.

Aujourd'hui quand une société se fait attaquer par un botnet, les IPs des attaquants sont transmisses a l'ANSSI qui renvoi le blâme aux FAI (en gros c'est aux FAI de 'faire' quelque chose).

Maintenant si chaque fois qu'un PC Windows (ou une appliance) se faisait contaminer on faisait payer une amende a Microsoft (ou au constructeur de l'appliance) au lieu de mettre ca sur le dos du FAI peut-être que les choses changeraient.

En automobile quand un véhicule a un défaut grave c'est le constructeur qui est responsable pas le conducteur ou celui qui fourni la route.


doctorrock

  • Client Orange Fibre
  • *
  • Messages: 391
  • Courbevoie 92
IPv6: Le firewall
« Réponse #14 le: 28 mars 2018 à 16:46:07 »
En automobile quand un véhicule a un défaut grave c'est le constructeur qui est responsable pas le conducteur ou celui qui fourni la route.

Le parallèle avec la voiture et l'informatique marche dans de nombreux cas.

J'achète une voiture qui roule physiquement jusqu'à 240Km/h , mais les routes de mon pays sont limitées par les autorités à 130Km/h.
Libre à moi de franchir la limite, ou pas ; mais moi utilisateur final : j'ai le choix , et le constructeur ne m'a pas bridé.

Je n'aime pas penser que mon FAI filtre mon trafic en amont , genre il le firewalise.
Mais j'aime l'idée que des prestataires externes - comme nous , majoritairement pro - puissent aller sécuriser madame Michu si elle le demande, car son FAI ne lui propose qu'une connexion "brute" et "non sécurisée".

Concernant IPV4, IPV6 , comme pour tout, c'est la pression financière qui gagnera.
J'aime l'idée de proposer une connexion IPV6 gratuite, et de faire payer très cher la connexion IPV4  (côté client, comme serveur).

C'est en faisant en sorte que le diesel monte à un tarif délirant (c'est en cours), qu'on sortira du diesel , pas avant.  Idem pour IPV4 : tant qu'on ne tape pas fort dans le porte-feuille , rien ne bougera jamais

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 551
IPv6: Le firewall
« Réponse #15 le: 28 mars 2018 à 20:39:37 »
Ca se finirait par : IPv6 c'est pourri depuis que je l'ai je me fais pirater
Juste qu'avec les malware qui sont pas mal distribues via navigateur, ca marche tout aussi bien avec IPv4 derriere NAT.

vivien

  • Administrateur
  • *
  • Messages: 32 171
    • Twitter LaFibre.info
IPv6: Le firewall
« Réponse #16 le: 28 mars 2018 à 21:03:36 »
Plusieurs acteurs de l'internet des objets refusent IPv6, pour éviter d'être exposé directement à Internet, donc je pense qu'une protection par défaut des flux entrant est nécessaire.

Il est par contre évident qu'il faut qu'elle puisse être désactivé entièrement ou configurer pour ouvrir certains ports vers certaines IPv6 ou l'ensemble du /64.

obinou

  • AS197422 Tetaneutral.net
  • Modérateur
  • *
  • Messages: 1 339
  • Montgesty (46150)
    • Tetaneutral.net
IPv6: Le firewall
« Réponse #17 le: 28 mars 2018 à 21:04:37 »
A titre perso, je choisis la proposition Free : C'est au périphérique de se sécuriser.
Et avec les Privacy Extensions, la surface d'attaque est tellement énorme que je ne suis pas spécialement inquiet.

Après, un firewall qui bloque tout par défaut, pourquoi pas, juste pas celui d'Orange.

Moi j'aime bien la solution d'Orange, justement : La box ne fait plus NAT mais t'a bien un firewall par défaut, que tu peux débloquer.
Après tout, actuellement quand t'a ce type de besoin t'es bien déjà obligé de rediriger un port (Ou d'utiliser UPNP... qu'on pourrait étendre pour la même logique).
Ya des tuto partout pour expliquer ce système de redirection, et si ca arrive en IPv6 t'inquiète pas que les gens le feront vite aussi.

Le truc c'est que même avec une surface d'attaque réduite (via l'utilisation - non systématique :-( - de la rfc privacy extension) , on peut très bien imaginer que la collecte des IP se fasse différemment , via des exploits sur les serveurs web ou mail, de routeurs...

Ca me dérange pas la sécurité par défaut tant que l'utilisateur a le contrôle. La "solution" de bouygues .... j'en reste sur le derrière , ça veux dire qu'un mec qui veux héberger un NAS doit se monter un tunnel...  :o
 
(Moi sur ma BBox, déjà j'ai pas d'IPV6 (je pige pas pkoi),  le port 25 est bloqué par défaut, mais tu peux le désactiver. Par contre je me suis rendu compte que le réseau bouygues refuse d'acheminer les paquets sortant sur le port 445 vers leur destination, et ça c'est pas configurable ....  J'en comprends la raison mais quand même)

Bref sur ces points-là, Bouygues, que par ailleurs j'aime bien, me saoule au plus haut point en m'obligeant à utiliser des VPN partout pour ce genre de détails .


kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 172
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall
« Réponse #18 le: 29 mars 2018 à 08:49:55 »
Moi j'aime bien la solution d'Orange, justement : La box ne fait plus NAT mais t'a bien un firewall par défaut, que tu peux débloquer.
Après tout, actuellement quand t'a ce type de besoin t'es bien déjà obligé de rediriger un port (Ou d'utiliser UPNP... qu'on pourrait étendre pour la même logique).

sauf que l'implèmentation d'Orange est mal faite. Le firewall IPv6 est une simple copie du firewall IPv4 donc ne fonctionne qu'avec UDP et TCP: on ne peux ouvrir une IPv6 entière sur l’extérieur , on ne peut ouvrir que des ports UDP ou TCP. En plus la box ne permet pas d'exploiter le /56. Le déblocage c'est tout ou rien donc on ne peut exposer a 100% que quelques IPv6. C'est tout le /64 ou rien.

Un des avantages d'IPv6 étant justement de pouvoir enfin utiliser autre chose qu'UDP et TCP c'est un très dommage.

obinou

  • AS197422 Tetaneutral.net
  • Modérateur
  • *
  • Messages: 1 339
  • Montgesty (46150)
    • Tetaneutral.net
IPv6: Le firewall
« Réponse #19 le: 29 mars 2018 à 08:54:31 »
sauf que l'implèmentation d'Orange est mal faite. Le firewall IPv6 est une simple copie du firewall IPv4 donc ne fonctionne qu'avec UDP et TCP: on ne peux ouvrir une IPv6 entière sur l’extérieur , on ne peut ouvrir que des ports UDP ou TCP. En plus la box ne permet pas d'exploiter le /56. Le déblocage c'est tout ou rien donc on ne peut exposer a 100% que quelques IPv6. C'est tout le /64 ou rien.

Un des avantages d'IPv6 étant justement de pouvoir enfin utiliser autre chose qu'UDP et TCP c'est un très dommage.

Ah ok , ça je ne savais pas - je ne suis pas familier des livebox.

Effectivement, je te rejoins à 100% sur ces points - d'autant que j'utilise IPIP et GRE à titre perso.

Il doit y avoir une raison pour laquelle ça marche si mal. Chez Free c'est pareil, j'ai jamais réussi à utiliser leur système , vu qu'ils ne diffusent que le /64 au lieu du /60 attribué, ce qui complique largement la gestion de sous-réseaux. Bref.... :-(



Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 7 332
  • Paris (15ème)
    • Twitter
IPv6: Le firewall
« Réponse #20 le: 29 mars 2018 à 12:50:00 »
Ne vous en faites pas. Vu les performances à pleurer en v6 sur autre chose que TCP/UDP, c'est pas une grosse perte.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 172
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall
« Réponse #21 le: 29 mars 2018 à 14:23:36 »
Ne vous en faites pas. Vu les performances à pleurer en v6 sur autre chose que TCP/UDP, c'est pas une grosse perte.

performances de quoi? des stacks des OS?
t'as des exemples/benchs ?
un routeur highperf qui route du v6 s'en tape si c'est de l'udp ou du tcp ou autre non ?

et on peut tres bien vouloir utiliser autre que chose que tcp/udp sans pour autant avoir besoin de perf. cf DCCP par exemple.

doum

  • Client Bbox fibre FTTH
  • *
  • Messages: 295
  • FTTH 1000/200 sur Nice (06)
IPv6: Le firewall
« Réponse #22 le: 29 mars 2018 à 17:28:46 »
mouais je vois.

m'enfin c'est quand meme pitoyable. En gros c'est comme si pour traverser la rue y a un flic qui doit te tenir la main et sans lui ben tu peux pas traverser. Tout ca parce que que globalement y a trop de cons qui se pourraient se faire ecraser...

comparaison completement nul
traverser une rue c'est un truc que tes parents t'aprennent des ton plus jeune age (attendre le feu vert, regarder a gauche et a droite), et c'est a la portée de tout le monde, y compris les moins doués.
savoir sécurisé un systeme informatique (ouais parceque faut arreter, y'a pas que Windows qui a des failles loin de la...) ca ne l'est pas.

Si tu veux une offre pro y'en a, tu prends une offre pro et tu mets le firewall que tu veux, ou rien si t'es un warrior.

faut pas oublier que sur nos reseaux domestique il n'y a pas qu'un ordi...Il y a une console de jeu (va savoir si y' a des failles et va y installer un firewall...), des lecteurs multimedia, des NAS, des decodeurs tv, de la domotique, et demain des frigos...

donc dans le cadre d'une offre grand public, je trouverai hallucinant qu'on fournisse un truc en mode open bar tout ouvert et demerde toi. Tout le monde n'est pas ingé réseau.

Pour moi la meilleure solution c'est tout fermé par défaut, mais avec une bonne interface et des bonnes features pour que ceux qui savent puissent faire ce qu'ils veulent.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 7 332
  • Paris (15ème)
    • Twitter
IPv6: Le firewall
« Réponse #23 le: 29 mars 2018 à 18:07:00 »
performances de quoi? des stacks des OS?

De la livebox. Elle sature a 150-200Mbit/s (selon tes règles de FW) sur autre chose que TCP ou UDP.

Mes tunnels GRE6 ont besoin de patate, eux :)

 

Mobile View