Auteur Sujet: IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?  (Lu 8394 fois)

0 Membres et 1 Invité sur ce sujet

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 7 332
  • Paris (15ème)
    • Twitter
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #36 le: 18 mai 2018 à 22:02:30 »
+1, pareil ici, et jamais rien :)

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 172
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #37 le: 18 mai 2018 à 23:24:22 »
Repetez donc apres moi: IPv6 est naturellement plus secure en raison de la taille de l'espace d'adressage.

non. c'est aussi faux que dire IPv4 est secure a cause du NAT.

Ton exemple unique ne fait pas une généralité. En plus t'es du métier, encore heureux que tu te soit pas fait 'percer'.

Le souci c'est l'utilisateur lambda pas le pro du métier. Le souci sont les bugs/failles exploitables parce que c'est ouvert.

Les PC Windows qui partagent des fichiers en ouvrant tout parce que l'utilisateur n'a pas fait les bonnes manips sont fréquents et meme si on ne peut 'deviner' leur IPv6 on peut facilement en recuperer par fishing via emails ou sites 'attrape pigeons'.

Idem pour les web cam réseau mal configurées.

En plus faire un scan régulier ne prouve rien, si a un moment quelqu'un est entré et a fait quelque chose tu ne l'a peut-être pas vu (je dis pas que c'est ton cas juste que le scan ne prouve rien).

Le plus gros souci c'est qu'IPv6 devient de plus en plus fréquent en grand public et de plus en plus connu et utilisé du coté des 'bad guys' aussi. On est phase de monter assez forte donc il faut s'attendre a de plus en plus de problemes.

C'est pour ca qu'au minimum un statefull firewall par defaut, pour le grand public, est plus que louable. En plus ca ne genre en rien.

petit exemple: https://www.shodan.io/search?query=%28%22openwrt%22+OR+%22dd-wrt%22+OR+%22dnsmasq%22+OR+%28%22tomato%22+%22firmware%22%29%29+port%3A53+has_ipv6%3Atrue (ne pas se fier au pays indiqué, la base IPv6 de shodan n'est pas géolocalisée).

kazyor

  • Expert SFR
  • Expert
  • *
  • Messages: 520
  • Lyon 7ème (69)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #38 le: 19 mai 2018 à 11:56:07 »
Repetez donc apres moi: IPv6 est naturellement plus secure en raison de la taille de l'espace d'adressage.

Mmmh, un billet de blog que j'ai lu récemment : http://netpatterns.blogspot.fr/2016/01/the-rising-sophistication-of-network.html

En résumé :
  • Tous les appareils font une requête sur les pools NTP à un moment ou un autre.
  • Les pools officiels et defaults de debian contiennent des serveurs ipv6 qui collectent les ip sources.
  • Shodan lance un scan sur l'ip peut après.


Bref, de mon côté, je me suis intéressé à ipv6 et à sa sécurité (firewall / fail2ban / etc.) que récemment.
Je n'ai toujours pas l'impression de maitriser. Du coup je suis plutôt du genre à recommander aux Mme Michus qui m'entourent de ne pas l'activer quand ils ont le choix avec leur FAI ...
Pour eux, avec ipv6 le gain est nul et pour moins c'est des problèmes en moins à gérer :D

kazyor

  • Expert SFR
  • Expert
  • *
  • Messages: 520
  • Lyon 7ème (69)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #39 le: 19 mai 2018 à 11:59:10 »
A l'époque où j'avais un pc Windows (c'était xp... Ca vous donne une idée de l'époque), je me souviens de quantités d'applications qui voulaient une connexion sortante (j'avais un firewall qui me posait la question).

Amusez-vous à installer sur Android l'appli NetGuard (opensource et pas besoin de root) vous serez surpris par toutes les requêtes sortantes ...
Et en mode paranoïa, ça fait peur :)

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 7 332
  • Paris (15ème)
    • Twitter
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #40 le: 19 mai 2018 à 12:28:19 »
En résumé :
  • Tous les appareils font une requête sur les pools NTP à un moment ou un autre.
  • Les pools officiels et defaults de debian contiennent des serveurs ipv6 qui collectent les ip sources.
  • Shodan lance un scan sur l'ip peut après.
C'est pour ça qu'on a mis en place les Privacy Extensions :)

Nh3xus

  • Réseau Deux Sarres (57)
  • Client K-Net
  • *
  • Messages: 2 532
  • Sarrebourg (57)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #41 le: 19 mai 2018 à 12:32:07 »
C'est pour ça qu'on a mis en place les Privacy Extensions :)

Oui voilà.

C'est très rare de voir un système qui utilise l'EUI-64 à la place des privacy extensions par défaut.

kazyor

  • Expert SFR
  • Expert
  • *
  • Messages: 520
  • Lyon 7ème (69)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #42 le: 19 mai 2018 à 12:36:32 »
Faut que je me renseigne sur ce point alors :)

Rapidement, je lis que le Time Out classique est de 24h ... Suffisant ?
J'ai aucune idée de la fréquence "classique" des requêtes NTP :)

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 551
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #43 le: 19 mai 2018 à 17:24:36 »
Le souci c'est l'utilisateur lambda
Justement, a ce niveau la il y a de moins en moins de soucis.

Le souci sont les bugs/failles exploitables parce que c'est ouvert.
Ce n'est plus un souci. C'est ce que j'essaye d'expliquer. Un /64 ca fait 18446744073709551616 adresses. Trouve dedans les 10 ou 100 ou 1000 qui sont sur un equipement.

Les PC Windows qui partagent des fichiers en ouvrant tout parce que l'utilisateur n'a pas fait les bonnes manips sont fréquents et meme si on ne peut 'deviner' leur IPv6 on peut facilement en recuperer par fishing via emails ou sites 'attrape pigeons'.
N'importe quoi:
 - des default des OS recent sont immensement plus securises qu'il y a 5 ou 10 ans.
 - si on doit passer par la casse phishing, il y a deja assez de degats pour pouvoir tranquilement dire que l'IPv6 n'a strictement aucune importance. Ca marche sufisamment bien en IPv4 derriere NAT.

Idem pour les web cam réseau mal configurées.
Toujours le meme n'importe quoi.

En plus faire un scan régulier ne prouve rien, si a un moment quelqu'un est entré et a fait quelque chose tu ne l'a peut-être pas vu (je dis pas que c'est ton cas juste que le scan ne prouve rien).
Vu comme ca, tous tes arguments ne prouvent rien. Je vois de plus en plus d'utilisateurs qui ne savent plus utiliser le partage de fichier ou des equipements qui malgre le fait qu'ils ne supoprtent pas IPv6 sont bel et bien hackables.

Le plus gros souci c'est qu'IPv6 devient de plus en plus fréquent en grand public et de plus en plus connu et utilisé du coté des 'bad guys' aussi. On est phase de monter assez forte donc il faut s'attendre a de plus en plus de problemes.
Le vrai probleme c'est que les "bad guys" n'ont pas besoin d'IPv6, je dirais meme que ce leur rapporte quasiment rien (tres peu et pour des cas tres specifiques).

C'est pour ca qu'au minimum un statefull firewall par defaut, pour le grand public, est plus que louable. En plus ca ne genre en rien.
Ca rend la situation quasiment au meme niveau qu'en IPv4 avec NAT. De point de vue pratique c'est exactement au meme niveau.

petit exemple: https://www.shodan.io/search?query=%28%22openwrt%22+OR+%22dd-wrt%22+OR+%22dnsmasq%22+OR+%28%22tomato%22+%22firmware%22%29%29+port%3A53+has_ipv6%3Atrue (ne pas se fier au pays indiqué, la base IPv6 de shodan n'est pas géolocalisée).
Exemple de quoi ? De resolvers DNS, plus precisement dnsmasq ? Essaye avec un des parametres un peu plus realistes (deja enleve dnsmasq), ca change...

Va falloir arreter la paranoia, la securite par le reseau il faut uniquement la faire de facon 100% controlee - ce qui n'est pas le cas quand c'est le FAI qui te l'impose, en plus avec un box qui doit couter au minimum et doit avoir plusieurs chats (plus importants) a fouter.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 172
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #44 le: 19 mai 2018 à 17:39:21 »
Toujours le meme n'importe quoi
pourtant je vois tout les jours des webcam laissées avec le mdp par défaut. tres facile a choper par js via un site.

Je crois qu'on se comprend pas sur le fait qu'IPv6 n'apporte pas plus de sécurité qu'IPv4 (ce qui je pense). Le fait que les IPv6 soient difficiles a trouver ou non permanentes est une illusion de sécurité et protection.

Ca rend la situation quasiment au meme niveau qu'en IPv4 avec NAT. De point de vue pratique c'est exactement au meme niveau.
la dessus on est d'accord. IPv6 n'apporte pas plus de sécurité.

Va falloir arreter la paranoia, la securite par le reseau il faut uniquement la faire de facon 100% controlee - ce qui n'est pas le cas quand c'est le FAI qui te l'impose, en plus avec un box qui doit couter au minimum et doit avoir plusieurs chats (plus importants) a fouter.

on demande juste un opt-in par défaut du fw avec un opt-out manuel , rien de plus. De toute facon les FAI le feront d'eux-même quand le nombre d'IPv6 participants a des botnets que l'ANSSI lui rapportera sera trop important a gerer (ce qui fut le cas avec IPv4).
Tu peux pas demander a mr tout le monde d'assumer lui-meme sa sécurité.

Certes les PC et autres devices font des progrès aussi mais on en est pas encore au point ou tout est blindé pour être a nu en direct sur le Net. Dans le future peut-être quand IPv6 sera la norme et que tout sera 'battle tested' avant d'être mis entre les mains du grand public.

fait le test https://ipv6.chappell-family.com/ipv6tcptest/ avec un android par exemple derriere une box sans firewall IPv6.

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 551
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #45 le: 19 mai 2018 à 17:40:08 »
  • Tous les appareils font une requête sur les pools NTP à un moment ou un autre.
  • Les pools officiels et defaults de debian contiennent des serveurs ipv6 qui collectent les ip sources.
  • Shodan lance un scan sur l'ip peut après.
Oui et ?
Ok, ca trouve des choses.
Ok, certains equipements en question n'utilisent pas les privacy addresses
Ok, certains ne sont pas derriere un firewall

1. Le dataset : ca fait quelle taille ? ca represente quoi exactement ? qui a acces ? (OK, tout le monde ou presque)
2. Qui d'autre peut mettre en place quelque-chose de similaire pour collecter des donnees a un tel niveau ? Qui peut faire mieux ?

Une fois qu'on a repondu correctement a ces questions, les choses n'ont plus l'air pareil.

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 551
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #46 le: 19 mai 2018 à 17:48:38 »
pourtant je vois tout les jours des webcam laissés avec le mdp par défaut. tres facile a choper par js via un site.

Je crois qu'on se comprend pas sur le fait qu'IPv6 n'apporte pas plus de sécurité qu'IPv4 (ce qui je pense). Le fait que les IPv6 soient difficiles a trouver ou non permanentes est une illusion de sécurité et protection.
la dessus on est d'accord. IPv6 n'apporte pas plus de sécurité.
Effectivement on se comprend mal. IPv6 en mode open bar n'apporte pas plus d'INsecurite.

on demande juste un opt-in par défaut du fw avec un opt-out manuel , rien de plus. De toute facon les FAI le feront d'eux-même quand le nombre d'IPv6 participants a des botnets que l'ANSSI lui rapportera sera trop important a gerer (ce qui fut le cas avec IPv4).
En attendant, pas de firewall vaut mieux qu'un mauvais firewall (pas deactivable ou qui fait shuter vilamment les performances).

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 172
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #47 le: 19 mai 2018 à 17:51:44 »
En attendant, pas de firewall vaut mieux qu'un mauvais firewall (pas deactivable ou qui fait shuter vilamment les performances).

ca c'est certain.

 

Mobile View