Je vais animer un atelier sur ce thème demain.
Voici le résumé des 8 pages et des deux points de vue...
Vision de ceux qui refusent qu’un firewall IPv6 soit activé par défaut :
- C'est aux périphériques de se sécuriser.
- Avec les Privacy Extensions, la surface d'attaque est tellement énorme que je ne suis pas spécialement inquiet (un seul subnet en IPv6 c'est par défaut 64 bits soit 18 446 744 billion d’IP. Ca fait 4 milliards de fois tout l'espace d'adressage IPv4, pour un seul pauvre subnet /64).
- « IPv6 est naturellement plus sécure en raison de la taille de l'espace d'adressage. »
- « IPv6 en mode open bar n'apporte pas plus d'Insécurité»
- « si le fait de vouloir mettre un niveau de sécurité cote box est un chose louable, techniquement c'est un chose parfaitement inutile »
- « Je n'ai pas envie qu'on me protège de force. Si je veux mettre un firewall, c'est moi qui le met. »
Vision de ceux qui sont pour le firewall IPv6 soit activé par défaut :
- Pour offrir la même sécurité que le NAT, par défaut tous les ports entrants sont bloqués en IPv6 « statefull firewall ». Pour autoriser les flux entrants, il faut donc ouvrir un par un les port souhaités, comme si on était derrière un NAT, sur le firewall de la box.
- « Tu peux pas demander à M. tout le monde d'assumer lui-même sa sécurité »
- « On ne maîtrise pas tout sur son LAN... Imprimante, caméra, tv, console de jeu, smartphone... Le pc finalement c'est un élément minoritaire »
- « Les PC Windows qui partagent des fichiers en ouvrant tout parce que l'utilisateur n'a pas fait les bonnes manips sont fréquents et même si on ne peut 'deviner' leur IPv6, on peut facilement en récupérer par fishing via emails ou sites attrape pigeons. Les Privacy Extensions ont été conçues pour la 'privacy' pas pour la sécurité »
- « Je vois tout les jours des webcam laissées avec le mot de passe par défaut. Le fait que les IPv6 soient difficiles a trouver ou non permanentes est une illusion de sécurité et protection. »
- « La serrure connectée de ton appartement ou ton imprimante , si elle récupère un IPv6 sans Firewall, elle sera directement exposée sur Internet et à la moindre faille, elle peut être contrôlée à distance. »
Même avis tranchés, pour les "zones safe" en entreprise, protégées par un firewall :
« La sécurité n'a aucun sens au niveau réseau "middlebox", seulement au niveau des terminaisons. Les zones 'safe‘ sont une catastrophe : il apparait qu'un élément étranger, parvenant à s'introduire, il prend le rôle de loup dans la bergerie: tout le monde étant à poil, il n'y a plus qu'à se servir. Il "suffit" qu'un type parviennent à abuser d'un défaut dans le réseau local (qui a parlé de wifi ?) ou qu'un PC se fasse trouer pour que l'exploitation soit totale »
vs
« si on suit cette logique les firewall d'entreprise n'ont aucun sens. Il faut juste blinder chaque poste de travail, serveurs, imprimantes, etc... ? »créer des zones 'safe' ou chaque équipement dans ces zones peut considérer qu'il n'a pas gérer lui-même la sécurité ou même le contrôle d'accès. Tant qu'on a pas un standard pour administrer de façon centraliser la sécurité embarqué dans chaque device du réseau on est un peu obligé d'avoir une centralisation dans un firewall en bordure, sinon c'est juste un cauchemar à gérer. Si j'ouvre un serveur web sur ma webcam, c'est que dans l'OS de ma webcam que je dois gérer les IP qui ont accès ? et si j'ai 10 webcam je dois passer sur les 10 pour faire la manip ? »