Auteur Sujet: IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?  (Lu 15410 fois)

0 Membres et 1 Invité sur ce sujet

Strangelovian

  • Client Orange Fibre
  • *
  • Messages: 26
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #72 le: 31 août 2019 à 18:03:23 »
en IPv6 ? c'est curieux.
C’est vrai qu’il y a une masse de ipv4 dans le lot. Mais j’ai vu des patterns louches en v6 aussi, ça m’a étonné. Simples erreurs envoyées vers les /56 assignés par Orange?

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 950
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #73 le: 31 août 2019 à 18:11:17 »
Simples erreurs envoyées vers les /56 assignés par Orange?

possible. c'était quelles "interface id" utilisées (4 derniers octets) ? car meme si les prefix sont connus, la difficulté est d'avoir une interface id valide.


doum

  • Client Bbox fibre FTTH
  • *
  • Messages: 296
  • FTTH 1000/200 sur Nice (06)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #74 le: 02 septembre 2019 à 12:29:25 »
Non.

C'est à l'hôte d'avoir un pare-feu correcte.

Autrement ça ne doit pas avoir le droit de s'appeler accès à l'Internet.

désolé mais c'est completement con comme argument

deja le fait de bloquer "par defaut" le traffic entrant n'empeche pas du tout d'acceder a internet. d'autant qu’ethnologiquement acceder a internet veut bien dire ce que ca veut dire, tu payes pas un "internet qui accedent a toi" :D
par ailleurs le fait de bloquer par defaut ne veut pas dire que l'utilisateur avancé peut décider d'ouvrir si il le souhaite. :D

enfin "c'est a l'hote d'avoir un pare feu correct" c'est vrai pour les gros systemes, ca l'est bcp moins pour toutes les merdes connectés qu'on va de plus en plus etre amené a branhcer sur nos réseaux domestiques (frigo, domotique, aspirateurs robots et tutti quanti)

Je pense que faire une sécurité a 2 niveaux est largement préférable (a condition que ce soit désactivable pour ceux qui souhaite)

vivien

  • Administrateur
  • *
  • Messages: 35 096
    • Twitter LaFibre.info
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #75 le: 29 septembre 2019 à 16:59:26 »
Chez Orne THD, un petit bouton, activé par défaut, bloque les flux entrants IPv6 : (en IPv4, le NAT bloque de fait les paquets entrants)


cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 187
    • Ukrainian Resilient Data Network
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #76 le: 30 septembre 2019 à 01:32:26 »
désolé mais c'est completement con comme argument

deja le fait de bloquer "par defaut" le traffic entrant n'empeche pas du tout d'acceder a internet. d'autant qu’ethnologiquement acceder a internet veut bien dire ce que ca veut dire, tu payes pas un "internet qui accedent a toi" :D
par ailleurs le fait de bloquer par defaut ne veut pas dire que l'utilisateur avancé peut décider d'ouvrir si il le souhaite. :D

L'accès à l'Internet implique l'adressage d'une interface réseau avec une adresse IP publique. Si celle-ci est filtrée et que ledit filtrage est hors du contrôle de l'interface alors cette interface n'a pas un accès propre à l'Internet.

Une configuration avec filtrage par défaut oblige les développeurs de logiciels à implèmenter des serveurs tiers pour établir des connexions alors qu'il n'y en a normalement pas besoin. Par exemple, il n'est pas possible d'utiliser SIP correctement, alors qu'en IPv6 ça devrait être beaucoup plus simple.

Un système correcte demande l'autorisation à l'utilisateur pour écouter sur l'adresse, il n'y a pas besoin de filtrage en amont.

enfin "c'est a l'hote d'avoir un pare feu correct" c'est vrai pour les gros systemes, ca l'est bcp moins pour toutes les merdes connectés qu'on va de plus en plus etre amené a branhcer sur nos réseaux domestiques (frigo, domotique, aspirateurs robots et tutti quanti)

Ça s'appelle de la sécurité par obscurité et c'est stupide. De plus, les trouver sur l'Internet en IPv6 sera difficile contrairement à l'Internet IPv4, donc le vecteur d'attaque sera différent.
« Modifié: 30 septembre 2019 à 04:42:17 par cali »

vivien

  • Administrateur
  • *
  • Messages: 35 096
    • Twitter LaFibre.info
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #77 le: 30 septembre 2019 à 08:36:31 »
La bonne solution est bien d'activer le firewall par défaut en IPv6.

J'entends bien tes arguments Cali, "la sécurité doit être gérée sur le terminal", mais si un PC peut la gérer, les objets connectés ont plus de mal : mises à jour rares, manque de CPU / RAM pour mettre tout le nécessaire....

Ton ampoule connectée en Wi-Fi, si elle récupère un IPv6 sans Firewall sera directement exposée sur Internet et à la moindre faille elle peut être contrôlée à distance.

C'est la première raison évoquées par les objets connectés pour ne pas faire d'IPv6.

Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 1 766
  • Strasbourg (67)
    • OrneTHD
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #78 le: 30 septembre 2019 à 08:54:22 »
Il faut faire des choix pragmatiques.

Moi, j'ai les clients qui appelent au moindre problème (même si c'est dans leur LAN et que c'est pas notre problème).

Donc on filtre par défaut pour éviter les déconvenues, tout en laissant le choix pour ceux qui savent ce qu'ils font.

Free_me

  • Client Free fibre
  • *
  • Messages: 1 337
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #79 le: 30 septembre 2019 à 12:45:30 »
je suis plutot de l'avis de cali.
mais bon malheureusement ipv6 est pas construit pour securiser des ampoules a 2 balles, et c'est effectivement a chaque peripherique de se demerder.
Et comme c'est concretement ingerable, on en reviens avec l'architecture ipv4 un truc qui fait passerelle pour les autres, et on blinde au mieux la passerelle.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 8 154
  • Paris (15ème)
    • Twitter
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #80 le: 30 septembre 2019 à 12:51:05 »
J'attends encore un exploit réel de vos fantasmes, perso. IPv6 Privacy Extensions suffisant largement...

nicox11

  • Client Orange Fibre
  • *
  • Messages: 67
  • Toulouse (31)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #81 le: 30 septembre 2019 à 13:58:24 »
Je vois pas où est le soucis à partir du moment que tu peux désactiver le firewall...

De base Mme Michu est protégée et n'as pas besoin d'y toucher.
Le tech' peut ouvrir certains ports/IP si nécessaire.
Le mec super confiant en chacun de ses endpoints peut désactiver le firewall (dès qu'un de ses endpoints est mal configuré l'ensemble est compromis).

Tout doit être paramétrable, mais la valeur par défaut doit être la plus protectrice à mes yeux.

vivien

  • Administrateur
  • *
  • Messages: 35 096
    • Twitter LaFibre.info
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #82 le: 30 septembre 2019 à 14:05:07 »
J'attends encore un exploit réel de vos fantasmes, perso. IPv6 Privacy Extensions suffisant largement...

En fait IPv6 Privacy Extensions ne protège pas si l'attaquant peu écouter ton réseau (ou simplement le résolveur DNS) : Il aura rapidement la liste des adresses IP utilisées.

Par contre on d’accord sur le fait que IPv6 Privacy Extensions réduit le risque.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 950
  • FTTH 1Gb/s sur Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #83 le: 30 septembre 2019 à 14:32:52 »
Les Privacy Extensions ont été conçues pour la 'privacy' pas pour la sécurité.

Aller miser sur le fait qu'il est difficile d'obtenir l'IP ou que celle-ci change tout les 10 minutes n'est pas un gage de sécurité.

Le problème ce ne sont pas trop les ampoules ou autres objets connectés qui par nature sont conçus pour être connectés a Internet et n'ont aucun port ouvert accessible. Ils fonctionnement en mode 'pull' avec un service cloud distant (en pratique ce sont des clients https qui interrogent a interval fixe un serveur https et ne font absolument rien d'autre).

Le problème c'est plus pour les objets 'lan' comme les caméra IP ou les imprimantes qui n'ont pas été concus pour être directement exposés sur Internet (du moins les plus anciens d'entres eux). Ces objets, par nature, exposent des ports pour être utilisé/contrôlé, le plus souvent avec une sécurité d'accès inexistante ou minimal (simple mot de passe). C'est ceux-la qui peuvent poser problème dans un contexte IPv6 mais il est fréquent qu'ils ne soient meme pas compatible IPv6 de toute facon...


 

Mobile View