Auteur Sujet: L’IPv6 pas avant 2015 chez Orange ?  (Lu 38974 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #36 le: 13 mars 2013 à 09:43:02 »
je ne sais pas de quels protocoles P2P tu veux parler
N'importe quel protocole où un "pair" a besoin d'ouvrir une connexion avec un autre "pair"!

Il y a :
- des protocoles d'échange de fichier comme eDonkey
- des protocoles de communication chat/voix/visio (voir SIP)
- des protocoles d'anonymat dans le foule, comme Tor

encore une fois pour moi le P2P ça marche directement derrière un PAT
Ah oui, comment un pair derrière un PAT peut ouvrir une connexion avec un autre?

C'est bien ça le problème!

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #37 le: 13 mars 2013 à 14:24:53 »
vous oubliez que les box/routeurs Internet supportent le protocole Upnp IGD. c'est exactement fait pour ces cas. ca permet a une application de demander a la box(routeur) d'ouvrir pour elle un port (ou une plage de ports).

par exemple si je veux heberger un serveur FTP sur mon PC. je prend un serveur FTP qui supporte UPnP IGD et automatiquement celui va faire ouvrir le port FTP sur la box et le rediriger sur le PC en question (en jargon on appele ca un upnp port mapping).
sans ce systeme je serais obligé d'aller dans la config de la box pour manuellement faire la redirection.

il y a un d'autre systemes equivalents notamment le NAT-PMP qui fait sensiblement la meme chose mais est moins supporté.

dans les box/routeur sans PAT (par exemple scénario ip V6) on peut utiliser le meme principe pour ouvrir les ports d'un firewall a la demande des applications.

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #38 le: 13 mars 2013 à 14:42:09 »
Perso, je suis pour faire simple : empiler des restrictions (NAT et autre) et des moyens de les contourner automatiquement (Upnp IGD), c'est le risque d'avoir des bugs...

Un petit logiciel malicieux installé sur un PC n'a aucun pb pour ouvrir des ports afin de rendre visible le PC sur Internet malgré le NAT.

Avoir un skype qui saute le firewall et met tous les PC sans firewall sur le même réseau, c'est super risqué. Skype n'aurait pas fait des bidouilles de ce type si on avait une IP directement sur le Net.

Faire un bon firewall coté client me semble la meilleure solution pour simplifier tout.

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #39 le: 13 mars 2013 à 14:55:37 »
la tu déporte le problème:
il faut bien que le parfeu sur le client détecte ce qu'il faut autoriser ou non.
soit il fait une détection automatique, et la il suffit de faire croire au firewall que tu es un programme sympa alors que tu es en réalité un truc qui va pomper toutes les données du pc
soit tu fais un truc d'autorisation manuelle et la l'utilisateur il accepte tout donc ça revient au même.

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #40 le: 13 mars 2013 à 14:58:05 »
Il me semble plsu simple de sécuriser sur le PC car sur le routeur, pas moyen de savoir l'application qui a fait une demande Upnp alors que sur le PC c'est possible.

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #41 le: 13 mars 2013 à 15:00:34 »
pas faux ça
après on peu imaginer une sorte de parfeu collaboratif ou les utilisateurs remontraient les programme malveillant, qui serait automatiquement black-listés.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #42 le: 13 mars 2013 à 16:29:28 »
Un petit logiciel malicieux installé sur un PC ...

tu fausses un peu le débat:

dans ce cas le mal est déjà fait, l'ennemi est dans les murs. aucune mesure interne aux machines ou a la périphérie du réseau n'y changera rien la.

toute sécurité réseau sur le LAN part du principe que l'utilisateur ne va pas installer ou exécuter des logiciels malveillants. contra ca c'est la sécurité applicative (logicielle) qui joue (antivirus, etc) et ça c'est un autre débat.

meme si la sécurité doit se voir comme un tout de haut en bas , vu la complexité des systèmes on est obligé de raisonner par couche quand meme.

Securiser un LAN par une firewall (ou un PAT) suffit largement a fournir un premier niveau de défense contre l’extérieur. mais ca n'est pas tout, loin de la. l'endroit le plus fragile est entre le clavier et la chaise et la on ne peut souvent pas y faire grand chose.

en entreprise on peut se permette de verrouiller les OS et les applications. A la maison c'est plus délicat et souvent ca nuit plus a l'usage qu'autre chose.

oui PAT+UPnP c'est pas le mieux en théorie mais c'est le mieux en pratique.

cela dit, il faut bien voir quel niveau de sécurité on met en place et contre qui. le but c'est pas d’empêcher le hacker expérimenté d'entrer, celui la trouvera généralement son chemin. le but c'est d’empêcher mr toutlemonde/le gamin d'a coté d'entrer parce qu'il a trouver sur Internet un programme marrant qui fait planter les ordis des autres ou prend la main sur leur webcam. bref empêcher l'effet viral/boule de neige d'une utilisation massive d'un défaut quelque part.


vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #43 le: 14 mars 2013 à 08:19:00 »
Je ne parles pas d'un hacker qui est sur le réseau mais un logiciel malveillant installée par Mme michu, par exemple pour regarder des films gratuits en streaming, ou installé a son insu.

Bref en cas de logiciel malveillant, il me semble plus simple de bloquer les actions de ce logiciel via un firewall logiciel sur le PC. Si on se met sur le réseau, sauf à mettre des règles très précises ou très restrictives, le logiciel arrivera à faire des connexions sortantes et entrantes sans problème.

N'oubliez pas qu'un début de l'ADSL, on était tous en direct sur internet avec nom modems ADSL USB (vous vous souvenez ?)

corrector

  • Invité
Discrimination des paquets émis localement
« Réponse #44 le: 14 mars 2013 à 16:39:46 »
Bref en cas de logiciel malveillant, il me semble plus simple de bloquer les actions de ce logiciel via un firewall logiciel sur le PC. Si on se met sur le réseau, sauf à mettre des règles très précises ou très restrictives, le logiciel arrivera à faire des connexions sortantes et entrantes sans problème.
Avec un "pare-feu applicatif" tu peux limiter les logiciels qui ont accès au réseau : tu peux autoriser les connexions sortantes pour seulement la poignée de logiciels qui en ont clairement besoin (Web, mail, FTP, VoIP...) et bloquer tous les autres par défaut. Tu peux aussi bloquer le réseau pour certains utilisateurs, comme les fonctions d'administration internes (UID < 1000 en général), ce que fait aussi Windows Vista avec son "LocalServiceNetworkRestricted").

Pour que la plupart des logiciels soient interdits de réseau, il faut que les logiciels dont la fonction essentielle n'est pas d'accéder au réseau n'y accèdent JAMAIS : il faut donc qu'ils n'essaient pas de gérer eux-même les MàJ!

Dans la couche réseau de linux les paquets ne sont pas seulement des suites d'octets, ce sont des structures de données munies de plein d'informations, et chaque sous-système qui touche à un paquet peut positionner des drapeaux qui serviront ensuite à discriminer. Il est possible de connaitre l'UID du processus qui a généré un paquet émis localement par exemple.

Dès qu'on quitte l'OS qui exécute ces processus, il n'y a plus aucun moyen de discriminer les paquets selon leur origine exacte.

corrector

  • Invité
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #45 le: 20 mars 2013 à 01:21:42 »
C'est drôle (ou pas) de justement continuer à se coltiner du NAT alors qu'IPv6 est prévu pour ne plus jamais avoir à gérer ce mécanisme
Tu parles du NAT (pur, 1à1, statique) ou du PAT là?

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #46 le: 20 mars 2013 à 14:25:52 »
Tu parles du NAT (pur, 1à1, statique) ou du PAT là?

Le PAT.

Le simple NAT (translation 1:1) est désormais implèmenté dans le kernel Linux ...

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
L’IPv6 pas avant 2015 chez Orange ?
« Réponse #47 le: 06 août 2013 à 14:28:48 »
Corrector, tu as tout compris (sans ironie!)

Citer
y'a la théorie des systèmes bien conçus et sur lesquels on a tout prévu et que même madame Michu peut utiliser sans risque.

ceux la j'en connais aucun.
Debian.

Citer
je suis d'accord avec toi sur le système, mais franchement tu lui fais assez confiance à windows pour le laisser sans parfeu sur un réseau publique?
pas moi!
Si tu fais confiance à microsoft, on n'peux rien pour toi ..



A propos, le nat ipv6 est implèmenté dans le kernel 3.7. Pourquoi si tard ? Parcque c'est une fonctionnalité zombie, qui n'est utile que dans 0,005% des cas.  La majorité des devs du kernel sont d'accords avec ca, la fonctionnalité n'est la que pour couvrir l'extraordinaire.

A propos, également, la majorité des trucs malins sur ta machine se connectent vers l'extérieur. Ils vont donc traverser ton nat/pat/cat, netfilter & compagnie.
Le NAT est utilisé massivement depuis longtemps, et la viralité informatique se porte très bien.
Quant aux services de photo ouverts au monde entier, c'est une question d'éducation des gens. Ca m'rappelle les gens qui se masturbent devant une cam, et qui se prennent une demande de rançon "sinon j'envoye la vidéo à tes parents/proches". Activité cognitive nulle ..

Pour conclure, une citation a propos d'Unix, qui résume ce que je pense:
"Unix was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things."

Unix n'est pas conçu pour empêcher ses utilisateurs de faire des choses stupides, ce serait aussi les empêcher de faire des choses intelligentes.

Et une autre de Thomas Jefferson:
"Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux"