Auteur Sujet: Actualités IPV6 Orange (Lu 370243 fois)

scope · « **Réponse #504 le:** 13 février 2016 à 16:18:21 »

Citation de: corrector le 13 février 2016 à 14:29:11

Tu as essayé avec FileZilla Server?

server ! eh eh

corrector · « **Réponse #505 le:** 13 février 2016 à 16:28:38 »

Citation de: scope le 13 février 2016 à 15:58:32

En serveur ftp mode passif, le client que j'utilise affiche bien
les commandes PASV avec les n° de port proposés par le serveur;
que le client ouvrira.

En serveur ftp mode actif, le client affiche aussi les commandes PORT
avec les ports qu'il demande d'ouvrir par le serveur.

Le fait d'utiliser plusieurs connexions TCP n'est pas une exclusivité du FTP, mais le fait (par défaut) de recevoir des connexions TCP sur le client n'est pas commun, en dehors des protocoles P2P bien sûr.

Cela avait l'avantage de permettre d'envoyer un fichier d'un serveur FTP à un autre directement. Cependant cette fonction a été bloquée car il était très facile d'en abuser : rien dans le protocole ne permet à un serveur FTP de vérifier qu'il envoie des données à un autre serveur FTP. Tu pourrais demander à un serveur FTP de se connecter sur un serveur SMTP (même si une liste noire exclut les ports bien connus, c'est ad hoc et ça ne résout pas le problème général).

Si le protocole avait été moins mal conçu, une couche de présentation aurait évité la plupart des problèmes; voilà ce qu'il faudrait :

Fc : serveur FTP client FTPDATA
Fs : serveur FTP serveur FTPDATA

Fc->Fs : Hello, ceci est une connexion FTPDATA pour le compte du client a.b.c.d:port
Fc->Fs : Acceptes-tu de recevoir une connexion FTPDATA?
Fs->Fc : J'accepte la connexion FTPDATA.
Fc->Fs : Voici les données : ......

De façon générale, tous les protocoles doivent avoir une telle protection : le contenu de la connexion TCP doit inclure le nom du protocole afin d'éviter les mélanges, comme un détrompeur sur une prise. Le mieux est d'avoir un échange de politesses algorithmiques qui prouve que chacun implèmente le protocole.

C'est une erreur de conception qui reste trop commune.

corrector · « **Réponse #506 le:** 13 février 2016 à 17:04:48 »

Essai avec https://ftptest.net/

Warning: Plaintext FTP is insecure. You should use explicit FTP over TLS.
Status: Resolving address of 82.225.X.X
Status: Connecting to 82.225.X.X
Warning: The entered address does not resolve to an IPv6 address.
Status: Connected, waiting for welcome message...
Reply: 220-FileZilla Server 0.9.53 beta
Reply: 220-written by Tim Kosse (tim.kosse@filezilla-project.org)
Reply: 220 Please visit https://filezilla-project.org/
Command: CLNT https://ftptest.net on behalf of 2a01:e35:2XXX:XXX0:XXXX:XXXX:XXXX:XXXX
Reply: 200 Don't care
Command: USER test
Reply: 331 Password required for test
Command: PASS ****
Reply: 230 Logged on
Command: SYST
Reply: 215 UNIX emulated by FileZilla
Command: FEAT
Reply: 211-Features:
Reply: MDTM
Reply: REST STREAM
Reply: SIZE
Reply: MLST type*;size*;modify*;
Reply: MLSD
Reply: AUTH SSL
Reply: AUTH TLS
Reply: PROT
Reply: PBSZ
Reply: UTF8
Reply: CLNT
Reply: MFMT
Reply: EPSV
Reply: EPRT
Reply: 211 End
Command: PWD
Reply: 257 "/" is current directory.
Status: Current path is /
Command: TYPE I
Reply: 200 Type set to I
Command: PASV
Reply: 227 Entering Passive Mode (82,225,X,X,227,253)
Command: MLSD
Status: Data connection established.
Reply: 150 Opening data channel for directory listing of "/"
Reply: 226 Successfully transferred "/"
Status: Success

(000016)13/02/2016 15:46:23 - (not logged in) (136.243.154.86)> Connected on port 21, sending welcome message... (000016)13/02/2016 15:46:23 - (not logged in) (136.243.154.86)> 220-FileZilla Server 0.9.53 beta (000016)13/02/2016 15:46:23 - (not logged in) (136.243.154.86)> 220-written by Tim Kosse (tim.kosse@filezilla-project.org) (000016)13/02/2016 15:46:23 - (not logged in) (136.243.154.86)> 220 Please visit https://filezilla-project.org/ (000016)13/02/2016 15:46:24 - (not logged in) (136.243.154.86)> CLNT https://ftptest.net on behalf of 2a01:e35:2e1X:XXX0:XXXX:XXXX:XXXX:XXXX (000016)13/02/2016 15:46:24 - (not logged in) (136.243.154.86)> 200 Don't care (000016)13/02/2016 15:46:24 - (not logged in) (136.243.154.86)> USER test (000016)13/02/2016 15:46:24 - (not logged in) (136.243.154.86)> 331 Password required for test (000016)13/02/2016 15:46:24 - (not logged in) (136.243.154.86)> PASS **** (000016)13/02/2016 15:46:24 - test (136.243.154.86)> 230 Logged on (000016)13/02/2016 15:46:24 - test (136.243.154.86)> SYST (000016)13/02/2016 15:46:24 - test (136.243.154.86)> 215 UNIX emulated by FileZilla (000016)13/02/2016 15:46:24 - test (136.243.154.86)> FEAT (000016)13/02/2016 15:46:24 - test (136.243.154.86)> 211-Features: (000016)13/02/2016 15:46:24 - test (136.243.154.86)> MDTM (000016)13/02/2016 15:46:24 - test (136.243.154.86)> REST STREAM (000016)13/02/2016 15:46:24 - test (136.243.154.86)> SIZE (000016)13/02/2016 15:46:24 - test (136.243.154.86)> MLST type*;size*;modify*; (000016)13/02/2016 15:46:24 - test (136.243.154.86)> MLSD (000016)13/02/2016 15:46:24 - test (136.243.154.86)> AUTH SSL (000016)13/02/2016 15:46:24 - test (136.243.154.86)> AUTH TLS (000016)13/02/2016 15:46:24 - test (136.243.154.86)> PROT (000016)13/02/2016 15:46:24 - test (136.243.154.86)> PBSZ (000016)13/02/2016 15:46:24 - test (136.243.154.86)> UTF8 (000016)13/02/2016 15:46:24 - test (136.243.154.86)> CLNT (000016)13/02/2016 15:46:24 - test (136.243.154.86)> MFMT (000016)13/02/2016 15:46:24 - test (136.243.154.86)> EPSV (000016)13/02/2016 15:46:24 - test (136.243.154.86)> EPRT (000016)13/02/2016 15:46:24 - test (136.243.154.86)> 211 End (000016)13/02/2016 15:46:24 - test (136.243.154.86)> PWD (000016)13/02/2016 15:46:24 - test (136.243.154.86)> 257 "/" is current directory. (000016)13/02/2016 15:46:24 - test (136.243.154.86)> TYPE I (000016)13/02/2016 15:46:24 - test (136.243.154.86)> 200 Type set to I (000016)13/02/2016 15:46:24 - test (136.243.154.86)> PASV (000016)13/02/2016 15:46:24 - test (136.243.154.86)> 227 Entering Passive Mode (192,168,1,1,206,73) (000016)13/02/2016 15:46:25 - test (136.243.154.86)> MLSD (000016)13/02/2016 15:46:25 - test (136.243.154.86)> 150 Opening data channel for directory listing of "/" (000016)13/02/2016 15:46:25 - test (136.243.154.86)> 226 Successfully transferred "/" (000016)13/02/2016 15:46:25 - test (136.243.154.86)> disconnected.

Essai en mode TLS :

... (tout pareil)

Command: PASV
Reply: 227 Entering Passive Mode (192,168,1,1,247,66)
Error: Server returned unroutable private IP address in PASV reply

corrector · « **Réponse #507 le:** 13 février 2016 à 17:34:35 »

Citation de: scope le 13 février 2016 à 15:58:32

En serveur ftp mode passif, le client que j'utilise affiche bien
les commandes PASV avec les n° de port proposés par le serveur;
que le client ouvrira.

Non, attention à la terminologie; on n'ouvre pas un port!

Avec PASV le client n'ouvre aucun port, il fait une ouverture active de connexion tout en fixant le port source (bind(2), connect(2)). Le serveur a fait une ouverture passive (listen(2), accept(2)).

Sauf que de nombreux serveurs ne fixent PAS le port source contrairement au schéma et à la spécification, vu que ça ne sert rigoureusement à rien.

Citation de: scope le 13 février 2016 à 15:58:32

En serveur ftp mode actif, le client affiche aussi les commandes PORT
avec les ports qu'il demande d'ouvrir par le serveur.

Non, le client FTP fait une ouverture passive TCP (listen(2), accept(2)), et il demande au serveur FTP de faire une ouverture active de connexion (connect(2)).

Source : WP : FTP : La connexion de données

Citation de: scope le 13 février 2016 à 15:58:32

le protocole ftp est une vieillerie un peu bizarre ...

Un "peu" bizarre ... non plus que ça. C'est une somme de bizarreries.

Le protocole a la particularité d'être intrinsèquement "insécurisé", indépendamment de la couche réseau : même sur IPsec (et DNSSEC pour la résolution des noms), l'utilisation de ce protocole dans sa version native (d'origine sans TLS) est vulnérable à des attaques par tipiakage de la connexion de données : la partie passive (client qui fait PORT ou serveur quand le client fait PASV) n'a strictement aucun moyen de s'assurer que la connexion provient de la partie active; un attaquant peut ouvrir une connexion au bon moment et envoyer des données, surtout sur des systèmes qui ne randomisent pas les numéros de port.

La plupart des protocoles sont sûrs en présence de IPsec complet (chiffrement de tous les paquets). FTP n'est même pas sûr à 100% sur localhost sauf à activer TLS en mode "fort" :

corrector · « **Réponse #508 le:** 13 février 2016 à 17:57:09 »

Citation de: Je@nb le 12 février 2016 à 14:57:18

Ca c'est quand tu as un firewall idiot.
Généralement quand tu as un firewall stateful, pour ce genre de protocoles batards (FTP, SIP/RTP) tu as des modules complèmentaires qui vont scruter le contenu du paquet pour ouvrir à la volée les ports nécessaires.
Genre FTP avec le module conntrack_ftp (pour le firewall) et conntrack_nat_ftp (pour nat) vont pour les paquets FTP voir à la volée le port qui est annoncé dans le paquet pour l'ouvrir car "RELATED" au paquet ftp principal. Donc sur un bon firewall (et la lb pourrait le faire, ça se trouve elle le fait mais vu que je m'en sers pas j'en sais rien), tu ouvres que le 21 et les paquest established/related et ça passe sans soucis.

Ce qui cesse de marcher dès que tu actives FTP sur TLS.

Ta contribution au non chiffrement du net est bien notée et approuvée par la NSA.

alteadev · « **Réponse #509 le:** 26 février 2016 à 11:24:00 »

Cette nuit passage en ipv6 au Chesnay (78).

Du coup j'ai du boulot ;-)

Pas de baisse de débit, tout au contraire

https://www.speedtest.net/my-result/5119171327

alteadev · « **Réponse #510 le:** 26 février 2016 à 11:34:59 »

Citation de: Breizh 29 le 06 avril 2015 à 12:59:35

Bon de ce j'ai compris sur les ipv6 c'est que chaque pc a son adresse public, en soit c'est vraiment génial.
Mais tu maitrises plus rien plus de nat chaque machine livré à elle même, imagine un dsi ne pas maitriser le truc.
Déjà moi avec mes 9/10 Pc j'ai du mal, je préfère mon routeur qui est la porte d'entrée que je gère.

Plus de NAT, mais un pare-feu à configurer pour l'ipv6. (Voir la configuration Ouverture de port(s) dans le firewall IPv6)

Votre Livebox par défaut protège vos équipements locaux en entrée et laisse passer leur flux sortant.
Donc pas de panique ;-)

corrector · « **Réponse #511 le:** 26 février 2016 à 12:49:29 »

Beurk.

Est-ce qu'il y a un protocole permettant d'ouvrir les ports automatiquement, au moins?

Darklight · « **Réponse #512 le:** 26 février 2016 à 14:37:04 »

Je viens de remarquer un détail qui me semble important concernant l'IPv6 sur une livebox 2, ADSL, dans l'Oise (60) :

Depuis la mise à jour qui à modifiée le mot de passe "admin", l'option IPv6 était apparue sur la livebox, bien qu'inutilisable.
Pourtant j'ai remarqué que depuis une mise à jour (plus ou moins récente) l'IPv6 à disparue dans le menu configuration avancée

Cela doit surement avoir un rapport avec le déploiement IPv6 pour la fibre et vdsl dans la région, si ça peut donner un indice (ou pas)...
L'image ci-dessous montre l'option qui à disparue sur la livebox dont je parle

zoc · « **Réponse #513 le:** 26 février 2016 à 14:43:32 »

Non, il y avait tout simplement un bug dans le firmware qui faisait que la fenêtre s'affichait, qu'IPv6 soit disponible ou non.

C'était pareil avec ma LB3 qui affichait cet écran en Avril 2015 quand on m'a installé la fibre, écran qui a disparu lors de la mise à jour suivante (en Juin ou Juillet de mémoire).

alteadev · « **Réponse #514 le:** 26 février 2016 à 15:30:25 »

Citation de: scope le 13 mars 2015 à 18:18:42

Haaa, les appareils ipv4 et ipv6 pouraient donc alors cohabiter
sur mon réseau local et être gérés, protégés (firewall) par la livebox !
Bonne nouvelle, merci.

oui le pare-feu ipv6 de la Livebox bloque par défaut les connexions entrantes.

Polynesia · « **Réponse #515 le:** 26 février 2016 à 15:53:27 »

En configurant le par feu ipv6, je peux enfin utiliser l'ipv6 si je ne me suis pas tromper