Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 22:18, Laurent Barme wrote:

Le 26/06/2023 à 21:23, Léo El Amri via frnog a écrit :
Je ne comprend pas très bien comment c'est possible. Est-ce qu'on 
parle d'un serveur HTTP ? Si oui, est-ce que "le serveur non contacté" 
est derrière un reverse-proxy ? 
Il s'agit bien sûr d'un serveur HTTP (…non de domaine…). Il n'y avait 
pas de "reverse-proxy" (et je vois pas trop ce que cela vient faire ici).


Alors du coup je n'ai rien compris à l'architecture. Il n'y a pas de 
concept d'erreur TLS dans un navigateur si le serveur ne répond pas.


Si non comment est-ce que le client peut avoir une erreur TLS si le 
serveur n'est jamais atteint ?
Le serveur n'est jamais atteint car il n'écoutait pas sur une IPv6. 
L'erreur de certificat est manifestement un bug (et une fausse piste qui 
m'a fait perdre du temps). Voici mon hypothèse : l'OS résout le nom de 
domaine en IPv6, le navigateur ne parvient pas à obtenir le certificat 
SSL pour cette IPv6 (pas de réponse du serveur) affiche une erreur TLS 
au lieu d'essayer de passer par l'IPv4 à moins que l'OS refuse de 
fournir une IPv4 puisqu'il a trouvé une IPv6 pour le nom de domaine.


Je ne connais aucun navigateur avec ce comportement, mais soit.
Déjà, l'OS résout le nom de domaine pour les familles d'adresse 
demandées par l'application. Si cette dernière ne supporte pas happy 
eyeballs, il y a de fortes chances qu'elle tente la première réponse 
qu'elle a obtenu. Admettons que ce soit une adresse IPv6. Si le 
navigateur essaye de se connecter en TLS sur l'adresse IP retournée par 
l'OS, mais que personne ne répond en face, l'application n'a même pas 
l'occasion de négocier du TLS, donc il ne devrait même pas y avoir 
d'erreur de certificat TLS. Enfin, l'OS n'a pas la responsabilité de se 
connecter sous une autre adresse IP, c'est l'application qui décide ça, 
et si elle est naïve, il y a de fortes chances qu'elle ne retente rien, 
et qu'elle affiche que le site est indisponible.
Si l'application montre un autre comportement que celui-ci, c'est 
qu'elle est sérieusement cassée.


(Par OS je sous-entend iOS ou Android)

depuis un mobile via la 4G (quelque soit le navigateur utilisé) alors 
qu'il fonctionne bien par ailleurs ! Depuis le même mobile, toujours 
en 4G, un autre site sur le même serveur fonctionne pourtant sans 
souci. Le blocage se produit sur le réseau Orange et Bouygues mais 
pas sur Free ni en WiFi (via une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors 
que le serveur n’était pas configuré pour accepter les connexions 
IPv6. Comme Orange et Bouygues privilégient manifestement l'IPv6 
quand il y en a une déclarée… évidemment ça coince.


Pour moi c'est un problème logiciel : Le happy eyeballs n'a pas été 
utilisé.
Ok le "happy eyeballs" n'a manifestement pas été utilisé mais il est 
impossible d'intervenir au niveau du logiciel/OS des visiteurs d'un site.


Je rappelle que ce sous-fil de discussion (désolé Louis pour la 
digression) part de mon témoignage à propos d'une intervention à faire 
impérativement sur le logiciel d'après une réponse de Bertrand.


Je suis d'avis de ne pas supporter les logiciels cassés dans une 
certaine mesure. Là on est dans cette "certaine mesure". Les standards 
existaient avant les implémentations dans la nature (un bon contre 
exemple est IRC). Essayer de supporter ces logiciels défectueux ce 
serait comme lorsqu'on essayait de continuer de supporter IE5 en 2010. 
On voit l'impact que ça a eu sur le "web". Sauf que là on a même pas 
l'excuse de "c'est l'application la plus utilisée du monde".


La solution aura été de simplement supprimer l'entrée  de la zone 
DNS pour le nom de domaine. Configurer le serveur web pour de l'IPv6 
aurait considérablement agrandi la surface d'attaques possibles.


Et un problème humain ! Si le serveur n'accepte pas l'IPv6, 
l'administrateur n'aurait jamais du renseigner de  dans la zone !


Tout à fait ; c'est toujours un problème humain si on remonte 
suffisamment la pile. D'ailleurs si l'humain n'avait pas inventé l'IPv6… 
:-))


C'est vrai, mais il ne faut pas abuser. Et là on parle de LA personne 
qui est sensée être le plus au courant de l'environnement qu'elle 
configure. En plus si le serveur est déjà utilisé pour d'autres sites et 
que les zones DNS de ces autres sites n'ont pas d'IPv6, ça met la puce à 
l'oreille.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

L'IPv6, ça nettoie aussi les "tuyaux" de toute la m***e car les pirates savent 
pas faire.


Si, si, ils apprennent ; j'observe (et bloque) déjà des attaques en IPv6, y 
compris sur le mail (pour rejoindre un peu le sujet initial de ce fil).


Cela dit, pour le moment, je vois nettement moins d'attaque en IPv6 qu'en IPv4. 
A ce propos, si on pouvait récupérer les IPv4 utilisées par les pirates, cela en 
ferait un paquet de disponible



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Frank ALEXIS]

Me sens moins seul ;-)

Y'a un paquet de "logiciels" et services / sites web / portails / appliances / 
IoT et bidules antédiluvien mais qui marchent parfaitement bien et font le job 
à jeter alors ... bonjour le progrès et l'écologie du truc au final :-o

Frank

> Le 26 juin 2023 à 17:39, David Ponzone  a écrit :
> 
> 
>> Le 26 juin 2023 à 17:38, Bertrand FRUCHET via frnog  a 
>> écrit :
>> 
>> Bonjour la liste,
>> 
>> C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer 
>> quand vous avez des dysfonctionnements.
>> 
>> L'IPv6 est une merveille de technologie qui oblige enfin les utilisateurs (y 
>> compris madame michu) à utiliser des entrées DNS.
>> 
> 
> J’avoue que j’ai pas bien compris le sens de cette phrase :)
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 21:23, Léo El Amri via frnog a écrit :

Je ne comprend pas très bien comment c'est possible. Est-ce qu'on parle d'un 
serveur HTTP ? Si oui, est-ce que "le serveur non contacté" est derrière un 
reverse-proxy ? 
Il s'agit bien sûr d'un serveur HTTP (…non de domaine…). Il n'y avait pas de 
"reverse-proxy" (et je vois pas trop ce que cela vient faire ici).


Si non comment est-ce que le client peut avoir une erreur TLS si le serveur 
n'est jamais atteint ?
Le serveur n'est jamais atteint car il n'écoutait pas sur une IPv6. L'erreur de 
certificat est manifestement un bug (et une fausse piste qui m'a fait perdre du 
temps). Voici mon hypothèse : l'OS résout le nom de domaine en IPv6, le 
navigateur ne parvient pas à obtenir le certificat SSL pour cette IPv6 (pas de 
réponse du serveur) affiche une erreur TLS au lieu d'essayer de passer par 
l'IPv4 à moins que l'OS refuse de fournir une IPv4 puisqu'il a trouvé une IPv6 
pour le nom de domaine.




depuis un mobile via la 4G (quelque soit le navigateur utilisé) alors qu'il 
fonctionne bien par ailleurs ! Depuis le même mobile, toujours en 4G, un 
autre site sur le même serveur fonctionne pourtant sans souci. Le blocage se 
produit sur le réseau Orange et Bouygues mais pas sur Free ni en WiFi (via 
une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors que le 
serveur n’était pas configuré pour accepter les connexions IPv6. Comme Orange 
et Bouygues privilégient manifestement l'IPv6 quand il y en a une déclarée… 
évidemment ça coince.


Pour moi c'est un problème logiciel : Le happy eyeballs n'a pas été utilisé.
Ok le "happy eyeballs" n'a manifestement pas été utilisé mais il est impossible 
d'intervenir au niveau du logiciel/OS des visiteurs d'un site.


Je rappelle que ce sous-fil de discussion (désolé Louis pour la digression) part 
de mon témoignage à propos d'une intervention à faire impérativement sur le 
logiciel d'après une réponse de Bertrand.





La solution aura été de simplement supprimer l'entrée  de la zone DNS 
pour le nom de domaine. Configurer le serveur web pour de l'IPv6 aurait 
considérablement agrandi la surface d'attaques possibles.


Et un problème humain ! Si le serveur n'accepte pas l'IPv6, l'administrateur 
n'aurait jamais du renseigner de  dans la zone !


Tout à fait ; c'est toujours un problème humain si on remonte suffisamment la 
pile. D'ailleurs si l'humain n'avait pas inventé l'IPv6… :-))



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 21:04, Mathieu Poussin a écrit :

"Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en a une 
déclarée…"

C'est pas comme ca que ca marche.
Ton ISP ou intermédiaire réseau n'a aucun contrôle la dessus, si ton OS

Ah effectivement cela peut venir de l'OS !
Je ne me souviens plus avec certitude si avec le même mobile en passant par une 
connexion WiFi/ADSL (et donc le même OS) cela fonctionnait ou pas.



détecte que tu as une stack IPv6 fonctionnelle et que ton DNS résout IPv6 (et 
pour http, que ton serveur répond en IPv6, si non ca fallback en IPv4 au bout 
de quelques secondes

Bah là justement non, ça n'a pas "fallbacké". C'est bien là le problème !


), alors c'est toujours IPv6 qui sera utilisé, même si ca résout aussi en 
IPv4(IPv6 est toujours prioritaire sur IPv4).


Donc j'ai sans doute incriminé à tort le type de connexion au lieu de l'OS mais 
le résultat que je voulais illustrer est le même : le problème était lié à 
l'IPv6 et la solution la plus simple ne consistait pas à changer de logiciel 
mais à supprimer la . Je ne peux pas contrôler les logiciels qu'utilisent 
les visiteurs d'un site mais la DNS du site si.



Effectivement, lorsque les visiteurs n'auront plus qu'un accès via une IPv6, je 
n'aurai plus le choix que d'activer l'IPv6 sur le vhost et voir débouler les 
attaques en IPv6 aussi.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 18:48, Laurent Barme wrote:


Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut 
changer quand vous avez des dysfonctionnements.


Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un 
retour d'expérience comme exemple :


Les symptômes étaient sibyllins : un nouveau site sur un nouveau nom de 
domaine se prend une erreur SSL d'emblée (le serveur n'est même pas 
sollicité)


Je ne comprend pas très bien comment c'est possible. Est-ce qu'on parle 
d'un serveur HTTP ? Si oui, est-ce que "le serveur non contacté" est 
derrière un reverse-proxy ? Si non comment est-ce que le client peut 
avoir une erreur TLS si le serveur n'est jamais atteint ?


depuis un mobile via la 4G (quelque soit le navigateur 
utilisé) alors qu'il fonctionne bien par ailleurs ! Depuis le même 
mobile, toujours en 4G, un autre site sur le même serveur fonctionne 
pourtant sans souci. Le blocage se produit sur le réseau Orange et 
Bouygues mais pas sur Free ni en WiFi (via une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors que 
le serveur n’était pas configuré pour accepter les connexions IPv6. 
Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en 
a une déclarée… évidemment ça coince.


Pour moi c'est un problème logiciel : Le happy eyeballs n'a pas été utilisé.

La solution aura été de simplement supprimer l'entrée  de la zone 
DNS pour le nom de domaine. Configurer le serveur web pour de l'IPv6 
aurait considérablement agrandi la surface d'attaques possibles.


Et un problème humain ! Si le serveur n'accepte pas l'IPv6, 
l'administrateur n'aurait jamais du renseigner de  dans la zone !



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Retex sur la solution VERSA SD-WAN

[Boris]

Bonjour,Pour faire factuel :Versa c'est très puissant (routage par la source et 
pas la destination, QoS, Templates, etc) mais c'est aussi très lourd à gérer 
côté Infra. Chez nous ça représente 16 grosses VMS (sans compter les Gateway 
clients en DC) à maintenir avec une quantité d'interco et de VRF pour le 
proposer à nos clients. Si tu n'as jamais vu l'interface Director Versa prépare 
toi c'est velu. Côté techno ça reste une UBUNTU LTS avec BGP, NameSpace et 
Tunneling sous CLI type JUNOS.Fortinet c'est pratique et intégré à tous les 
modèles mais c'est aussi très vite limité niveau routage applicatif.My 
2ctsBoris PASCAULT / Najihel  On Mon, 12 Jun 2023 17:10:17 +0200  
julien.va...@sfam.eu  wrote 
Bonjour à Tous, 

Nous envisageons de remplacer notre MPLS operateur historique Data & VoiP par 
une solution SD-WAN, avec une attirance pour la solution de Fortinet.
Mais suite à la presentation de Colt avec leur solution de Versa Network, leur 
SDWAN repondrai mieux à nos besoins d'intégration, exploitation ..
Certains d'entre vous ont déjà travaillé avec cet equipementier pour me 
partager un retour d'Experience, sur la marque, philosophie, sdwan ? je ne 
cache pas que je viens de les decouvrir.

Bonne soirée

Julien,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 19:52, Vincent Bernat a écrit :

On 2023-06-26 19:18, Laurent Barme wrote:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors j'ai 
désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la solution que 
tu aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit 
comme le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter 
solliciter d'avantage de ressource que de les ignorer en bloc ?


Bah facile, tu bloques les /64. L'assignement des /64 se fait par utilisateur 
(que ce soit côté serveur ou côté client). Tu blacklistes autant de monde sur 
un /64 IPv6 que sur une /32 IPv4.


Sauf qu'il y a 2^64 IPv6/64 et seulement 2^32 IPv4 et je doute qu'un pirate se 
contente d'un seul IPv6/64 (un et pas une car il s'agit d'un subnet) : il y a 
plus de potentiel d'attaque en IPv6 qu'en IPv4.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Christophe Moille]

Le lundi 26 juin 2023 à 17:23:52 (+0200), Laurent Barme a écrit :
> 
> Comme Stéphane (Rivière) et Frank, je me suis heurté à des
> dysfonctionnements vicieux qui se sont résolus en désactivant l'IPv6. Et non
> seulement l'IPv6 est la source de plein d'emm*rdes mais en plus c'est un
> danger potentiel pour la sécurité et une menace pour la vie privée.

Remplace ipv6 par numérique et la proposition garde tout son sens.

> Et donc, je me suis préparé à passer à l'IPv6 mais je ne suis pas pressé,
> pas du tout même :-)

-- 
Transparency is for those who carry out public duties and exercise public 
power. Privacy is for everyone else.
- Glenn Greenwald, journaliste politique et avocat


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Mathieu Poussin]

> "Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en a 
> une déclarée…"

C'est pas comme ca que ca marche.
Ton ISP ou intermédiaire réseau n'a aucun contrôle la dessus, si ton OS détecte 
que tu as une stack IPv6 fonctionnelle et que ton DNS résout IPv6 (et pour 
http, que ton serveur répond en IPv6, si non ca fallback en IPv4 au bout de 
quelques secondes), alors c'est toujours IPv6 qui sera utilisé, même si ca 
résout aussi en IPv4(IPv6 est toujours prioritaire sur IPv4).

Et oui, IPv4 est bien un protocole obsolète, qui n'évoluera plus en dehors de 
workarounds crade type NAT ou ALG, ceux qui se tuent à le défendre je le vois 
comme ceux qui il y a 15 ans défendaient X.25 et ATM.

Que votre boite arrive pas a se bouger pour pousser l'IPv6 je comprend, c'est 
pas leur priorité, par contre de voir des ingés réseaux bloquer ca 
volontairement je m'y fais pas, IPv6 tout le monde y passera, que vous le 
vouliez ou non, alors autant faire ca tranquillement progressivement que dans 
10 ans quand votre CxO viendra vous engueuler parce que le nouveau service dont 
vous dépendez n'est dispo qu'en IPv6 et qu'il faut que ca marche sous 15 jours 
max.
N'oubliez pas aussi que niveau ISP c'est de plus en plus souvent IPv-6-nly sur 
la partie desserte/distribution donc avec un bottleneck potentiel sur le trafic 
IPv4 (a coup de CGNAT, ou autre).

Pour le sujet mail je dirais de bloquer le /64, voir le /54 si on suit 
strictement la convention sur l'allocation des subnets et qu'on veut viser plus 
safe. (mais bon je pense que pas mal d'ISP dans le monde allouent un pauvre /64 
par client)

a+



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Bertrand FRUCHET via frnog]

Bonsoir Louis,

Je reprend le fil par le haut car votre question et certaines de mes 
réponses ont mis le feu à la liste.


Effectivement, la messagerie est le parent pauvre des services Internet 
publics fonctionnant en IPv6.


Et on comprend bien que les sociétés qui ont pignon sur rue n'ont aucun 
intérêt à investir dans l'IPv6, elles protègent leur marché grâce à 
leurs IPv4 distribuées bien trop généreusement il y a des décennies par 
les mêmes (RIPE) qui imposent aujourd'hui aux petits de se passer d'IPv4 
(plus de 400 jours d'attente pour la première attribution d'IPv4 
actuellement, plus de 900 ASN en attente !). J'ai espéré que la dernière 
AG du RIPE (Avril 2023) allait changer les choses, je me suis trompé.



Bonjour,

En faisant des recherches sur l'état de l'art des infrastructures 
mail, j'ai remarqué que très peu de domaines d'entreprise supportent 
la réception de mail en IPv6.
Que ce soit orange, protonmail, ovh pour n'en citer que quelques uns, 
aucun d'entre eux ne semble avoir d'IPv6 sur leur MX. Le seul que j'ai 
trouvé jusqu'à présent est gmail.


Il aurait pu y avoir du dual-stack, mais rien.
Et en faisant des recherches sur le sujet, je suis tombé sur un 
article expliquant que des outils existent pour ce genre d'infa : 
https://labs.ripe.net/author/mirjam/sending-and-receiving-emails-over-ipv6/


Ma question est donc la suivante : connaissez-vous les raisons pour 
lesquelles les entreprises, même les hébergeurs mail, s'en tiennent à 
l'IPv4 uniquement ?


Merci d'avance,
Louis Poidevin

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 19:06, Laurent Barme wrote:


Le 26/06/2023 à 18:50, Léo El Amri via frnog a écrit :

On 26/06/2023 18:32, Laurent Barme wrote:



…


Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48 
si on est vraiment pas content). Par contre je ne vois pas où est le 
danger. Si c'est une question de taille de table de blocage, tu ne 
peux de toute façon pas bloquer moins qu'un /64 dans un bloc IPv6, 
entre autre en raison du point suivant (les extensions de "vie privée" 
IPv6).


2^64 > 2^32 ; même en bloquant par /64, ça en fait potentiellement un 
peu plus quand même question taille de table de blocage.


En effet, c'est possible. Mais je pense que ça dépend moins du nombre 
d'adresses disponibles que du nombre d'attaquants actifs. Un /64 en IPv6 
c'est souvent l'équivalent d'un /32 en IPv4. Le problème de taille de la 
table de blocage se pose SI les attaquants ont accès à plus de /64 IPv6 
qu'ils n'auraient accès à des /32 IPv4. Et dans ce cas, en effet, il 
faudrait faire des règles de blocages intelligentes ou carrément faire 
du DPI. Je n'ai jamais été exposé à ces problèmes donc je ne me rend pas 
compte de la "chance" que ça arrive. Mais des solutions existent, donc 
la (grande) taille de l’espace d'adressage me semble être un argument 
peu recevable pour justifier de ne pas utiliser l'IPv6.


Pour ce qui concerne la menace que je perçois pour la vie privée 
c'est lié à l'identification plus précise de l'utilisateur dont le 
poste n'est pas (un peu) masqué par une IP publique partagée.


Il me semble que jusqu'à très très récemment, la plupart des 
équipements dans une "maison" étaient tous derrière une unique IPv4 
publique. Et je ne vois pas en quoi les extensions de vie privée de 
l'IPv6 (pour le SLAAC), qui émulent plus ou moins le même niveau de 
"""protection""" que le type de NAT IPv4 sus-mentionné, ne répondent 
pas au besoin. On peut certes mieux identifier une machine sur une 
session donnée, mais, pour Windows en tous cas, au prochain 
redémarrage l'adresse IPv6 aura changé. Je ne pense pas qu'on puisse 
faire mieux au niveau de la couche IP.
Tu as raison mais la ré-attribution d'une IPv6 par poste ça peut être 
désactivé, le NAT non. De plus, si entre deux redémarrage sous Windows, 
l'IPv6 reste constante alors, le port du NAT change à chaque nouvelle 
requête.


Pour moi, si le comportement par défaut ne respecte pas la vie-privée, 
c'est un problème logiciel. À l'époque de la RFC 4941 on aurait pu dire 
que c'est un problème humain (de configuration), mais désormais la 
recommandation de NE PAS faire de cette option un comportement pas 
défaut a été retiré (RFC 8981). Linux est un assez mauvais élève par 
défaut, mais les solutions user-land sont très bonnes. Windows est 
curieusement un bon élève par défaut : activé et changement toutes les 
24h ou à chaque redémarrage.


Si l'utilisateur veut désactiver les options de "vie privée", qu'on le 
laisse faire !



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Vincent Bernat]

On 2023-06-26 19:52, Vincent Bernat wrote:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, 
alors j'ai désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la 
solution que tu aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible 
gratuit comme le mien) qui permet de parer jusqu'à 2^64 pirates sans 
solliciter solliciter d'avantage de ressource que de les ignorer en 
bloc ?


Bah facile, tu bloques les /64. L'assignement des /64 se fait par 
utilisateur (que ce soit côté serveur ou côté client). Tu blacklistes 
autant de monde sur un /64 IPv6 que sur une /32 IPv4.


Je n'avais pas manifestement compris ta remarque dans le bon sens. Une 
correction donc :


1. Moins de pirates en IPv6 qu'en IPv4
2. À population égale, pourquoi tu aurais plus de /64 IPv6 utilisées que 
de /32 IPv4 ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Pierre-Henry Muller via frnog]

Email Signature
Le 26/06/2023 à 19:43, Maxime DERCHE a écrit :



Configurer le serveur web pour de l'IPv6 aurait considérablement 
agrandi la surface d'attaques possibles.


C'est exactement à cause de ce genre d'ânerie que je persiste à prôner 
les outils normatifs et notamment le pire d'entre eux, l'analyse de 
risque, même si je considère ces outils dangereux et largement sur-côtés.


J'aimerais bien voir l'analyse de risque qui conclurait à un plus 
grand risque en coupant IPv6.


=> Dans la mesure où IPv6 est activé par défaut partout côté serveur 
dans le noyau et pour tout ce qui existe au niveau 7 depuis des 
années, l'activer dans un vhost HTTP/HTTPS n'agrandit absolument pas 
la surface d'attaque : elle est /déjà/ là, cette surface d'attaque...


Une analyse de risque sérieuse qui désactive IPv6 devrait également 
désactiver IPv4. Le Air Gaped est la seule solution pour retirer le 
risque d'être connecté, pas la version du protocole.


On fait du v6 par défaut depuis 2008, le v4 public est optionnel et le 
v4 privé très fortement limité avec NAT multiple interdits et c'est un 
bonheur à administrer.


Par contre  on a un blocage particulier c'est le réseau utilisateur, les 
clients ont du multi wan de nos jours et on n'a rien trouvé dans les 
possibilités d'IPv6 à part le NAT sortant pour faire du failover entre 
interface WAN. Sans NAT faut attribuer à chaque terminal, deux adresses 
IPv6 de deux subnets différents (des deux FAI) et donc deux routes v6 et 
là ça bloque. Et puis il y a encore pas mal d'équipements qui pour faire 
fonctionner de l'ipv6 obligent à avoir de l'ipv4 (coucou les imprimantes 
Canon et HP). Bref pour les réseaux d'entreprise pour le moment on n'a 
pas trouvé la solution mais côté hébergement / serveurs / réseaux WAN 
tout fonctionne bien. Fini le temps où on mettait un reverse proxy tcp / 
udp devant les Tomcat non compatibles par exemple :D



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Vincent Bernat]

On 2023-06-26 19:18, Laurent Barme wrote:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors 
j'ai désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la 
solution que tu aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit 
comme le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter 
solliciter d'avantage de ressource que de les ignorer en bloc ?


Bah facile, tu bloques les /64. L'assignement des /64 se fait par 
utilisateur (que ce soit côté serveur ou côté client). Tu blacklistes 
autant de monde sur un /64 IPv6 que sur une /32 IPv4.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 19:43, Maxime DERCHE a écrit :

Bonsoir,






=> Dans la mesure où IPv6 est activé par défaut partout côté serveur dans le 
noyau et pour tout ce qui existe au niveau 7 depuis des années, l'activer dans 
un vhost HTTP/HTTPS n'agrandit absolument pas la surface d'attaque : elle est 
/déjà/ là, cette surface d'attaque...



Tout à fait, elle est là mais elle se gère plus économiquement : si le vhost 
n'est pas configuré pour l'IPv6 alors toutes les requêtes en provenance d'une 
IPv6 sont simplement ignorées. Sinon, il faut filtrer pour trier les requêtes 
légitimes de celles qui ne le sont pas et ça demande plus de ressources, entre 
autres par ce que 2^64 est sensiblement plus grand que 2^32 :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Maxime DERCHE]

Bonsoir,

Le 26/06/2023 à 18:48, Laurent Barme a écrit :


Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer quand 
vous avez des dysfonctionnements.


Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un retour 
d'expérience comme exemple :


(...)

Configurer le serveur web pour de l'IPv6 aurait considérablement agrandi 
la surface d'attaques possibles.


C'est exactement à cause de ce genre d'ânerie que je persiste à prôner les outils 
normatifs et notamment le pire d'entre eux, l'analyse de risque, même si je considère 
ces outils dangereux et largement sur-côtés.


J'aimerais bien voir l'analyse de risque qui conclurait à un plus grand risque en 
coupant IPv6.


=> Dans la mesure où IPv6 est activé par défaut partout côté serveur dans le noyau et 
pour tout ce qui existe au niveau 7 depuis des années, l'activer dans un vhost 
HTTP/HTTPS n'agrandit absolument pas la surface d'attaque : elle est /déjà/ là, cette 
surface d'attaque...



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature
Description: OpenPGP digital signature

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 18:39, Léo El Amri via frnog a écrit :

On 26/06/2023 17:23, Laurent Barme wrote:

Stephane (Borrtzmeyer) est prescripteur et pas acteur


Si Bortzmeyer n'est pas acteur, que faut-il faire pour l'être ?

Etre simplement confronté aux conséquences de la mise en œuvre de l'IPv6, en 
tant qu'administrateur de serveurs que l'on défend contre les pirates par exemple.


Cela dit, il n'y a aucune critique sous entendue par le fait d'être prescripteur 
plutôt qu'acteur, il en faut dans chaque catégorie. Et je me trompe aussi sans 
doute sur l'attention que Stephane porte sur les difficultés de mises en œuvre 
de l'IPv6…



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 19:09, Raphaël Jacquot a écrit :

traduction:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors j'ai 
désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la solution que tu 
aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit comme 
le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter solliciter 
d'avantage de ressource que de les ignorer en bloc ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Raphaël Jacquot]

traduction:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors 
j'ai désactivé IPv6


:-D

Le 26/06/2023 à 18:48, Laurent Barme a écrit :


Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut 
changer quand vous avez des dysfonctionnements.


Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un 
retour d'expérience comme exemple :


Les symptômes étaient sibyllins : un nouveau site sur un nouveau nom de 
domaine se prend une erreur SSL d'emblée (le serveur n'est même pas 
sollicité) depuis un mobile via la 4G (quelque soit le navigateur 
utilisé) alors qu'il fonctionne bien par ailleurs ! Depuis le même 
mobile, toujours en 4G, un autre site sur le même serveur fonctionne 
pourtant sans souci. Le blocage se produit sur le réseau Orange et 
Bouygues mais pas sur Free ni en WiFi (via une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors que 
le serveur n’était pas configuré pour accepter les connexions IPv6. 
Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en 
a une déclarée… évidemment ça coince.


La solution aura été de simplement supprimer l'entrée  de la zone 
DNS pour le nom de domaine. Configurer le serveur web pour de l'IPv6 
aurait considérablement agrandi la surface d'attaques possibles.



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 18:50, Léo El Amri via frnog a écrit :

On 26/06/2023 18:32, Laurent Barme wrote:



…


Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48 si on 
est vraiment pas content). Par contre je ne vois pas où est le danger. Si 
c'est une question de taille de table de blocage, tu ne peux de toute façon 
pas bloquer moins qu'un /64 dans un bloc IPv6, entre autre en raison du point 
suivant (les extensions de "vie privée" IPv6).


2^64 > 2^32 ; même en bloquant par /64, ça en fait potentiellement un peu plus 
quand même question taille de table de blocage.


Pour ce qui concerne la menace que je perçois pour la vie privée c'est lié à 
l'identification plus précise de l'utilisateur dont le poste n'est pas (un 
peu) masqué par une IP publique partagée.


Il me semble que jusqu'à très très récemment, la plupart des équipements dans 
une "maison" étaient tous derrière une unique IPv4 publique. Et je ne vois pas 
en quoi les extensions de vie privée de l'IPv6 (pour le SLAAC), qui émulent 
plus ou moins le même niveau de """protection""" que le type de NAT IPv4 
sus-mentionné, ne répondent pas au besoin. On peut certes mieux identifier une 
machine sur une session donnée, mais, pour Windows en tous cas, au prochain 
redémarrage l'adresse IPv6 aura changé. Je ne pense pas qu'on puisse faire 
mieux au niveau de la couche IP.
Tu as raison mais la ré-attribution d'une IPv6 par poste ça peut être désactivé, 
le NAT non. De plus, si entre deux redémarrage sous Windows, l'IPv6 reste 
constante alors, le port du NAT change à chaque nouvelle requête.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Re: Recherche un contact humain à RENATER

[Cedrick Adrien Mbeyet]

Bonsoir à tous,
Merci beaucoup pour les retours et les contacts reçus.
Nous sommes actuellement en contact avec RENATER et éventuellement je
posterai les résultats de notre collaboration.
Merci à tous encore une fois,

==
Cedrick Adrien MBEYET
Ebene Cybercity, Mauritius
+230 5851 7674

+++ Never give up, Keep moving forward +++


On Fri, Jun 23, 2023 at 5:16 PM Cedrick Adrien Mbeyet 
wrote:

> Bonjour,
> Je recherche un contact humain chez RENATER. Nous recevons un nombre assez
> volumineux de requêtes sur nos services en provenance de leur IP.
> Au lieu de bloquer tout leur espace IP, nous sommes plutôt d'avis de
> discuter avec qui de droit et collaborer ensemble.
> Merci d'avance.
>
> ==
> Cedrick Adrien MBEYET
> Africa Network Infomation Center (AFRINIC) Ltd
> Ebene Cybercity, Mauritius
> +230 5851 7674
>
> +++ Never give up, Keep moving forward +++
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 18:32, Laurent Barme wrote:


Le 26/06/2023 à 18:07, Léo El Amri via frnog a écrit :

On 26/06/2023 17:23, Laurent Barme wrote:
l'IPv6 est [...] un danger potentiel pour la sécurité et une menace 
pour la vie privée.


Comment ? Pourquoi ?

(On est pas vendredi, je demande vraiment)

Il n'y a pas de "vendredi" pour moi (je bosse tous les jours).


Merci :)

Si tu as des archives, tu peux retrouver la discussion suite à mon 
message sur le sujet le 26/04/21 08:45. Tiens, cela fait moins 
de 10 ans, Denis n'est pas encore complétement sorti de son hibernation 
:-).


Elles sont parties en cold-storage, et les archives en ligne ne semblent 
pas remonter si loin :/


Sinon, pour le danger potentiel c'est lié pour moi au nombre d'IP qu'il 
faudrait bloquer. En ce sens, l'échange cité ci-dessus m'a permis de 
prendre sereinement la décision de bloquer les IPv6 par /64.


Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48 si 
on est vraiment pas content). Par contre je ne vois pas où est le 
danger. Si c'est une question de taille de table de blocage, tu ne peux 
de toute façon pas bloquer moins qu'un /64 dans un bloc IPv6, entre 
autre en raison du point suivant (les extensions de "vie privée" IPv6).


Pour ce qui concerne la menace que je perçois pour la vie privée c'est 
lié à l'identification plus précise de l'utilisateur dont le poste n'est 
pas (un peu) masqué par une IP publique partagée.


Il me semble que jusqu'à très très récemment, la plupart des équipements 
dans une "maison" étaient tous derrière une unique IPv4 publique. Et je 
ne vois pas en quoi les extensions de vie privée de l'IPv6 (pour le 
SLAAC), qui émulent plus ou moins le même niveau de """protection""" que 
le type de NAT IPv4 sus-mentionné, ne répondent pas au besoin. On peut 
certes mieux identifier une machine sur une session donnée, mais, pour 
Windows en tous cas, au prochain redémarrage l'adresse IPv6 aura changé. 
Je ne pense pas qu'on puisse faire mieux au niveau de la couche IP.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer 
quand vous avez des dysfonctionnements.


Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un retour 
d'expérience comme exemple :


Les symptômes étaient sibyllins : un nouveau site sur un nouveau nom de domaine 
se prend une erreur SSL d'emblée (le serveur n'est même pas sollicité) depuis un 
mobile via la 4G (quelque soit le navigateur utilisé) alors qu'il fonctionne 
bien par ailleurs ! Depuis le même mobile, toujours en 4G, un autre site sur le 
même serveur fonctionne pourtant sans souci. Le blocage se produit sur le réseau 
Orange et Bouygues mais pas sur Free ni en WiFi (via une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors que le 
serveur n’était pas configuré pour accepter les connexions IPv6. Comme Orange et 
Bouygues privilégient manifestement l'IPv6 quand il y en a une déclarée… 
évidemment ça coince.


La solution aura été de simplement supprimer l'entrée  de la zone DNS pour 
le nom de domaine. Configurer le serveur web pour de l'IPv6 aurait 
considérablement agrandi la surface d'attaques possibles.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 17:23, Laurent Barme wrote:

Stephane (Borrtzmeyer) est prescripteur et pas acteur


Si Bortzmeyer n'est pas acteur, que faut-il faire pour l'être ?

Est-ce que moi je le suis ? En tant que simple consommateur d'Internet 
(je n'ai pas d'AS ni de réseau publique) est-ce que activer l'IPv6 sur 
mes machines hébergées "dans le cloud", configurer mes quelques réseaux 
privés correctement pour que ça "juste marche(TM)" en IPv6 et développer 
la compatibilité des applications (lorsque c'est nécessaire) ne fait pas 
de moi un acteur ? Est-ce qu'il faut forcément être un AS pour prétendre 
au titre d'acteur ? Si oui, je ne comprend pas comment l'Internet tout 
court a pu exister (notons que je n'étais pas né). L'échelle était 
certes plus petite qu'aujourd'hui, mais si à l'époque on a réussi en 
partant de rien, je ne vois pas comment aujourd'hui on ne pourrait pas 
réussir en partant de quelque-chose de similaire. Les APIs sur nos OS 
sont déjà prêtes (même si ça reste un peu le bordel pour certains), il 
nous manque juste le réseau.


Et puis il faut rester cohérent sur les critiques qu'on fait à l'IPv6. 
Si c'est un problème d'inertie, pourquoi est-ce que Google y arrive et 
pas les PMEs (ou "artisans") ? Si c'est une question de moyens, pourquoi 
Twitter n'y arrive pas, mais que Ungleich y arrive ? Et si c'est une 
question de lacunes, comment ça se fait que des réseaux (privés) 
dual-stack comme pur-IPv6 existent et tournent correctement ?
Si ce n'est ni une question d'inertie, ni une question de taille, ni une 
question de moyens, ni une question technique, qu'est-ce qu'il reste ? 
Le facteur humain ? Je ne veux pas en arriver à ce "point godwin de 
l'IPv6" un peu facile, mais franchement je vois pas ce que ça peut être 
d'autre que "la flemme".


Je veux bien qu'on ait des problèmes d'IPv6 ; rien qu'à mon échelle j'en 
ai rencontré une pelletée. Je blame en partie Linux et en partie les 
applications que j'utilise, mais surtout je me blame moi pour ne pas 
avoir pris le temps de considérer l'IPv6 comme ce que c'est : Un 
protocole différent, qui demande à ré-apprendre une partie du réseau, et 
qui, par sa nouveauté (si on peut encore dire ça) est encore mal intégré 
dans nos écosystèmes techniques.


Enfin, je ne comprend pas ceux pour qui l'IPv6 donne de l'urticaire 
alors que le NAT ne leur en donne pas.


My-2ct-qui-valent-moins-que-2ct


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Paul Rolland (ポール・ロラン)]

Hello,

On Mon, 26 Jun 2023 17:39:16 +0200
David Ponzone  wrote:

> > Le 26 juin 2023 à 17:38, Bertrand FRUCHET via frnog  a
> > écrit :
> > 
> > Bonjour la liste,
> > 
> > C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut
> > changer quand vous avez des dysfonctionnements.
> > 
> > L'IPv6 est une merveille de technologie qui oblige enfin les
> > utilisateurs (y compris madame michu) à utiliser des entrées DNS. 
> 
> J’avoue que j’ai pas bien compris le sens de cette phrase :)

Surement juste que c'est fini l'epoque ou on retenait les adresses IP
parce que c'etait franchement plus facile que de retenir les noms DNS :D

Moi, j'en ai tellement manipule que je me souviens encore d'un paquet
d'adresses de mon epoque Oleane par exemple...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 18:07, Léo El Amri via frnog a écrit :

On 26/06/2023 17:23, Laurent Barme wrote:
l'IPv6 est [...] un danger potentiel pour la sécurité et une menace pour la 
vie privée.


Comment ? Pourquoi ?

(On est pas vendredi, je demande vraiment)

Il n'y a pas de "vendredi" pour moi (je bosse tous les jours).

Si tu as des archives, tu peux retrouver la discussion suite à mon message sur 
le sujet le 26/04/21 08:45. Tiens, cela fait moins de 10 ans, Denis 
n'est pas encore complétement sorti de son hibernation :-).


Sinon, pour le danger potentiel c'est lié pour moi au nombre d'IP qu'il faudrait 
bloquer. En ce sens, l'échange cité ci-dessus m'a permis de prendre sereinement 
la décision de bloquer les IPv6 par /64.


Pour ce qui concerne la menace que je perçois pour la vie privée c'est lié à 
l'identification plus précise de l'utilisateur dont le poste n'est pas (un peu) 
masqué par une IP publique partagée.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 11:50:06AM +,
 Louis Poidevin via frnog  wrote 
 a message of 105 lines which said:

> En faisant des recherches sur l'état de l'art des infrastructures
> mail, j'ai remarqué que très peu de domaines d'entreprise supportent
> la réception de mail en IPv6.

La preuve qu'IPv6 marche mieux qu'IPv4 :

% ping -c 3 2409  
PING 2409 (0.0.9.105) 56(84) bytes of data.

--- 2409 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2027ms


% ping -c 3 2409::
PING 2409::(2409::) 56 data bytes
64 bytes from 2409::: icmp_seq=1 ttl=52 time=136 ms
64 bytes from 2409::: icmp_seq=2 ttl=52 time=136 ms
64 bytes from 2409::: icmp_seq=3 ttl=52 time=136 ms

--- 2409:: ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 135.946/135.952/135.957/0.004 ms


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 17:23, Laurent Barme wrote:

l'IPv6 est [...] un danger potentiel pour la sécurité et une menace pour la vie 
privée.


Comment ? Pourquoi ?

(On est pas vendredi, je demande vraiment)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Denis Fondras]

Le Mon, Jun 26, 2023 at 05:23:52PM +0200, Laurent Barme a écrit :
> danger potentiel pour la sécurité et une menace pour la vie privée.
> 

Qui a activé la Delorean ?
Ca doit bien faire 10 ans que je n'avais pas lu ce FUD :) 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[David Ponzone]

> Le 26 juin 2023 à 17:38, Bertrand FRUCHET via frnog  a écrit 
> :
> 
> Bonjour la liste,
> 
> C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer 
> quand vous avez des dysfonctionnements.
> 
> L'IPv6 est une merveille de technologie qui oblige enfin les utilisateurs (y 
> compris madame michu) à utiliser des entrées DNS.
> 

J’avoue que j’ai pas bien compris le sens de cette phrase :)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Bertrand FRUCHET via frnog]

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut 
changer quand vous avez des dysfonctionnements.


L'IPv6 est une merveille de technologie qui oblige enfin les 
utilisateurs (y compris madame michu) à utiliser des entrées DNS.


Je ne suis pas prescripteur, nous fournissons des infrastructures de 
virtualisation IPv6 only ou dual stack et des services hébergés IPv6 
only ou dual stack.


L'IPv6, ça nettoie aussi les "tuyaux" de toute la m***e car les pirates 
savent pas faire.


Cordialement.

Le 26/06/2023 à 17:26, David Ponzone a écrit :

Ca ne serait pas le premier « produit » , qui malgré une situation « 
monopolistique » , échoue à s’imposer à cause d’une complexité excessive (et 
injustifiée).


Le 26 juin 2023 à 17:23, Laurent Barme <5...@barme.fr> a écrit :

Je comprends son point de vue mais le problème de Stephane (Borrtzmeyer) est 
qu'il est prescripteur et pas acteur…

Comme Stéphane (Rivière) et Frank, je me suis heurté à des dysfonctionnements 
vicieux qui se sont résolus en désactivant l'IPv6. Et non seulement l'IPv6 est 
la source de plein d'emm*rdes mais en plus c'est un danger potentiel pour la 
sécurité et une menace pour la vie privée.

Et donc, je me suis préparé à passer à l'IPv6 mais je ne suis pas pressé, pas 
du tout même :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[David Ponzone]

Ca ne serait pas le premier « produit » , qui malgré une situation « 
monopolistique » , échoue à s’imposer à cause d’une complexité excessive (et 
injustifiée).

> Le 26 juin 2023 à 17:23, Laurent Barme <5...@barme.fr> a écrit :
> 
> Je comprends son point de vue mais le problème de Stephane (Borrtzmeyer) est 
> qu'il est prescripteur et pas acteur…
> 
> Comme Stéphane (Rivière) et Frank, je me suis heurté à des dysfonctionnements 
> vicieux qui se sont résolus en désactivant l'IPv6. Et non seulement l'IPv6 
> est la source de plein d'emm*rdes mais en plus c'est un danger potentiel pour 
> la sécurité et une menace pour la vie privée.
> 
> Et donc, je me suis préparé à passer à l'IPv6 mais je ne suis pas pressé, pas 
> du tout même :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Je comprends son point de vue mais le problème de Stephane (Borrtzmeyer) est 
qu'il est prescripteur et pas acteur…


Comme Stéphane (Rivière) et Frank, je me suis heurté à des dysfonctionnements 
vicieux qui se sont résolus en désactivant l'IPv6. Et non seulement l'IPv6 est 
la source de plein d'emm*rdes mais en plus c'est un danger potentiel pour la 
sécurité et une menace pour la vie privée.


Et donc, je me suis préparé à passer à l'IPv6 mais je ne suis pas pressé, pas du 
tout même :-)


Le 26/06/2023 à 17:09, Frank ALEXIS a écrit :

Heu oui en même temps GG ils n’ont quand même pas la même force de frappe
et les ressources que nous autres pauvres artisans qui gèrent déjà le
critique en live et le miraculeux dans 2h …

Le pragmatisme c’est aussi comprendre que la réalité dépasse la fiction du
full ipv6 « parce que c’est RFC 19765 » et que c’est comme ça qu’il faut
faire dans le BisounoursWorld

Si c’était facile, stable et que tout marche si bien, on aurait tous nos
bobox/routeurs/grille pains en v6 mais c’est pas le cas et ce prendre la
tête dans une PME pour faire plaisir à un truc imbuvable qui ne marche même
pas partout et sur tous les services … what else ?

My 2 cts sous 39° qui fait fondre les neurones

Frank


Le lun. 26 juin 2023 à 16:42, Stephane Bortzmeyer  a
écrit :


On Mon, Jun 26, 2023 at 04:37:29PM +0200,
  Stéphane Rivière  wrote
  a message of 35 lines which said:


La vraie raison de la non adoption d'ipv6 n'est même pas la flemme
mais le pragmatisme.

Pragmatisme, nom masculin : autre nom de l'égoïsme « quand je n'en
ai pas besoin, je m'en fous »


Ça ne sert à rien, ça ne va rien rapporter, ça va bouffer du temps,
coûter de l'argent et créer des anomalies.

D'ailleurs, on voit bien que les entreprises qui ont déployé IPv6,
comme Google, sont toutes en faillite.


Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits
libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans

Yakafokon. J'attends la spec'
https://www.bortzmeyer.org/ipv6-compatibilite.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Frank ALEXIS]

Heu oui en même temps GG ils n’ont quand même pas la même force de frappe
et les ressources que nous autres pauvres artisans qui gèrent déjà le
critique en live et le miraculeux dans 2h …

Le pragmatisme c’est aussi comprendre que la réalité dépasse la fiction du
full ipv6 « parce que c’est RFC 19765 » et que c’est comme ça qu’il faut
faire dans le BisounoursWorld

Si c’était facile, stable et que tout marche si bien, on aurait tous nos
bobox/routeurs/grille pains en v6 mais c’est pas le cas et ce prendre la
tête dans une PME pour faire plaisir à un truc imbuvable qui ne marche même
pas partout et sur tous les services … what else ?

My 2 cts sous 39° qui fait fondre les neurones

Frank


Le lun. 26 juin 2023 à 16:42, Stephane Bortzmeyer  a
écrit :

> On Mon, Jun 26, 2023 at 04:37:29PM +0200,
>  Stéphane Rivière  wrote
>  a message of 35 lines which said:
>
> > La vraie raison de la non adoption d'ipv6 n'est même pas la flemme
> > mais le pragmatisme.
>
> Pragmatisme, nom masculin : autre nom de l'égoïsme « quand je n'en
> ai pas besoin, je m'en fous »
>
> > Ça ne sert à rien, ça ne va rien rapporter, ça va bouffer du temps,
> > coûter de l'argent et créer des anomalies.
>
> D'ailleurs, on voit bien que les entreprises qui ont déployé IPv6,
> comme Google, sont toutes en faillite.
>
> > Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits
> > libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans
>
> Yakafokon. J'attends la spec'
> https://www.bortzmeyer.org/ipv6-compatibilite.html
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 04:37:29PM +0200,
 Stéphane Rivière  wrote 
 a message of 35 lines which said:

> La vraie raison de la non adoption d'ipv6 n'est même pas la flemme
> mais le pragmatisme.

Pragmatisme, nom masculin : autre nom de l'égoïsme « quand je n'en
ai pas besoin, je m'en fous »

> Ça ne sert à rien, ça ne va rien rapporter, ça va bouffer du temps,
> coûter de l'argent et créer des anomalies.

D'ailleurs, on voit bien que les entreprises qui ont déployé IPv6,
comme Google, sont toutes en faillite.

> Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits
> libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans

Yakafokon. J'attends la spec'
https://www.bortzmeyer.org/ipv6-compatibilite.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

> I've been advocating that a few major routers should simply drop all
> IPv4 for one minute at noon UTC. Next month, make it two minutes. IPv6
> adoption would skyrocket.

Cette manie des totalitaires d'user de la force pour imposer leurs
idéologies est fascinante (C) Spock.

La vraie raison de la non adoption d'ipv6 n'est même pas la flemme mais
le pragmatisme.

Ça ne sert à rien, ça ne va rien rapporter, ça va bouffer du temps,
coûter de l'argent et créer des anomalies.

Suis agnostique. Quand faudra y passer, on agira. En attendant, il y a
une TDL infinie de trucs plus importants à régler.

Enfin... si, au lieu de tout casser, ils avaient utilisé un des bits
libres comme flag d'extension d'adresse, on serait en ipv5 depuis 20 ans
à la place d'une guerre qui a commencé il y a 30 ans et dont les accords
de paix ne sont pas encore effectifs.

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 11:57:56AM +,
 Louis Poidevin  wrote 
 a message of 69 lines which said:

> La vraie si possible. ^^

Lu sur Ycombinator :

I've been advocating that a few major routers should simply drop all
IPv4 for one minute at noon UTC. Next month, make it two minutes. IPv6
adoption would skyrocket.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Debian Lover en 100% remote, je recrute ! 

[Quentin Guillier]

Hello la communauté ! 
Je suis Quentin, je suis Team Lead chez Boondmanager. Avec Gwen dans mon 
équipe, nous souhaiterions renforcer l'équipe afin de former un trio et réussir 
notre développement à l'international. 

Boondmanager c'est quoi ? 力
Un ERP pour les sociétés de conseils, fondée en 2009, rentable et autofinancée. 

Le poste : 
• 100% remote (depuis 14 ans, on a pas attendu le covid)
• Salaire 45k/55K 
• Je te rassure on est pas dans notre coin à bosser. Il y a une vrai 
ambiance et dynamique de travail + 3 séminaires par an

La mission : 
• Amélioration de la résilience sur des composants Infras.
• Refonte de notre plateforme d'intégration continue.
• et bien d'autres tu l'auras compris ;) 易

Tu peux directement contacter Jf ici : 
https://www.linkedin.com/in/jean-florian-chevalier-recruteur-talent-acquisition/
 et voici l'offre : 
https://www.boondmanager.com/job/ingenieur-systeme-linux-devops-h-f-en-100-teletravail/
 

n'hésite pas à me contacter égaleement 

Cordialement,
Quentin Guillier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Pierre-Henry Muller via frnog]

Je m'avance pour une raison technique, pour envoyer des emails le 
serveur doit avoir un PTR sur ses IPs or certains Cloud proposent de 
gérer le reverse en IPv4 mais très rarement en IPv6... J'ai bien entendu 
exclu de facto certains qui ne permettent pas le reverse dns en v4 et v6.


Sinon avec des briques open source c'est aussi facile qu'en v4. Certes 
les blacklists ne savent pas gérer v6 mais vu le bordel qu'a mis 
Spamhaus la semaine passée en interdisant à plusieurs Cloud de faire des 
requêtes chez eux sans être authentifié API, ça a conduit à un rejet 
massif d'emails légitime ce qui a conduit beaucoup d'admins mail à virer 
Spamhaus plutôt qu'à récupérer une clef.


Du coup pour moi, le débat sur les blacklists n'a plus lieu d'être 
puisqu'elles sont de moins en moins nécessaires et que l'on fait bien 
mieux avec du Crowdsec / Fail2ban bien réglé.


Sinon en fausse raison comme dans beaucoup d'autres point technique y a 
la flemme et le ça rapportera rien de plus à part des problèmes.


Email Signature
Le 26/06/2023 à 13:57, Louis Poidevin via frnog a écrit :

La vraie si possible. ^^


--- Original Message ---
Le lundi 26 juin 2023 à 13:53, Stephane Bortzmeyer  a écrit :



On Mon, Jun 26, 2023 at 11:50:06AM +,
Louis Poidevin via frnogfr...@frnog.org  wrote

a message of 105 lines which said:


Ma question est donc la suivante : connaissez-vous les raisons pour
lesquelles les entreprises, même les hébergeurs mail, s'en tiennent
à l'IPv4 uniquement ?

Il faut une réponse bienveillante ou bien il faut la vraie ? :-)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Gwenaël Oberlinger]

Bonjour,

Pour les services mails je n'en ai aucune idée (j'avoue être en ipv4 only
aussi car l'intérêt de l'ipv6 me semble faible, donc c'est aussi un côté
flemme à gérer -une des vraies raison ;) ? - :D ).

Par contre, l'ipv6 à pas mal d'inconvénients sur certains services
notamment ceux qui gèrent du gratuit limité sans compte (donc via IP
principalement), ce n'est pas le top pour gérer ça mais si rien
d'impossible pour autant.

La grosse limitation à mon niveau (ayant besoin de quasi 1Tbps de BP),
c'était surtout les réseaux ipv6.   Il y a encore 2-3ans, c'était une cata,
des soucis de débit à droite ou gauche, des réseaux ipv6 saturés parfois et
des tunnels différents selon la geoc même chez le même FAI. On arrivait
dans un délire de plaintes d'utilisateurs pour débit faible, et la cause
c'était l'ipv6.

Malgré tout, en 2023, cela s'est considérablement amélioré, merci les
upgrades en 100G (et +) un peu partout. On envisage de proposer l'ipv6 l'an
prochain, en test.

Le dual stack reste malgré tout obligatoire, l'ipv6 only c'est bien entendu
suicidaire. Beaucoup de FAI n'ont pas l'ipv6 (celui avec lequel j'écris ces
lignes n'a pas l'ipv6 par exemple).

Du coup le côté "ça libère de l'ipv4" et permet de progresser vers
l'utopique ipv6 only à l'horizon 2100 (troll :D)) est hélas pas trop
possible pour le moment.

Mais je pense que la vraie raison générale reste aussi un côté flemme, ça
marche en ipv4, donc pourquoi changer. Une réalité.  En général, la plupart
des boîtes ont déjà leurs ranges IP donc tant qu'il y'a de la dispo ils ne
vont pas se faire chier.

Et puis quand tu commences à avoir moins d'ip dispo en général les gens
trouvent d'autre solution... comme un reverse proxy général (une IP) qui va
renvoyer vers pleins d'app interne (en ip privée) etc etc.



On Mon, 26 Jun 2023 at 15:54, Stephane Bortzmeyer  wrote:

> On Mon, Jun 26, 2023 at 11:50:06AM +,
>  Louis Poidevin via frnog  wrote
>  a message of 105 lines which said:
>
> > Ma question est donc la suivante : connaissez-vous les raisons pour
> > lesquelles les entreprises, même les hébergeurs mail, s'en tiennent
> > à l'IPv4 uniquement ?
>
> Il faut une réponse bienveillante ou bien il faut la vraie ? :-)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 

*Cordialement / Best regards,Gwenaël OBERLINGER*
--
Uptobox.com CTO / Vulnerator
Phone: (+33) 6 29 65 35 52
https://twitter.com/starouille

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] RE: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[JCLB]

Tout comme pour les bases GeoIP, les bases de blacklists SMTP ne sont pas 
toutes prêtes à collecter les infos en v6… ça ne semble pas être une priorité 
de leur biz modèle.
Mais si personne ne collecte de stats pour les remonter, et que personne ne 
déploie, c’est l’Ouroboros.
Sans compter les histoires de taille de préfixe à classer, comme le décrit 
l’article du RIPE labs.

Personnellement je suis plus inquiet du volume de machines hébergeant des zones 
DNS ne disposant pas d’IPv6…

Pour rappel Mardi 04/07 matin l’ARCEP présentera son rapport sur l’état de 
l’internet en France.


Jean-Charles BISECCO


De : frnog-requ...@frnog.org  De la part de Louis 
Poidevin via frnog
Envoyé : lundi 26 juin 2023 13:50
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

Bonjour,

En faisant des recherches sur l'état de l'art des infrastructures mail, j'ai 
remarqué que très peu de domaines d'entreprise supportent la réception de mail 
en IPv6.
Que ce soit orange, protonmail, ovh pour n'en citer que quelques uns, aucun 
d'entre eux ne semble avoir d'IPv6 sur leur MX. Le seul que j'ai trouvé jusqu'à 
présent est gmail.

Il aurait pu y avoir du dual-stack, mais rien.
Et en faisant des recherches sur le sujet, je suis tombé sur un article 
expliquant que des outils existent pour ce genre d'infa : 
https://labs.ripe.net/author/mirjam/sending-and-receiving-emails-over-ipv6/

Ma question est donc la suivante : connaissez-vous les raisons pour lesquelles 
les entreprises, même les hébergeurs mail, s'en tiennent à l'IPv4 uniquement ?

Merci d'avance,
Louis Poidevin

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Louis Poidevin via frnog]

La vraie si possible. ^^


--- Original Message ---
Le lundi 26 juin 2023 à 13:53, Stephane Bortzmeyer  a écrit :


> 

> 

> On Mon, Jun 26, 2023 at 11:50:06AM +,
> Louis Poidevin via frnog frnog@frnog.org wrote
> 

> a message of 105 lines which said:
> 

> > Ma question est donc la suivante : connaissez-vous les raisons pour
> > lesquelles les entreprises, même les hébergeurs mail, s'en tiennent
> > à l'IPv4 uniquement ?
> 

> 

> Il faut une réponse bienveillante ou bien il faut la vraie ? :-)
> 

> 

> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

signature.asc
Description: OpenPGP digital signature

[FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stephane Bortzmeyer]

On Mon, Jun 26, 2023 at 11:50:06AM +,
 Louis Poidevin via frnog  wrote 
 a message of 105 lines which said:

> Ma question est donc la suivante : connaissez-vous les raisons pour
> lesquelles les entreprises, même les hébergeurs mail, s'en tiennent
> à l'IPv4 uniquement ?

Il faut une réponse bienveillante ou bien il faut la vraie ? :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Louis Poidevin via frnog]

Bonjour,

En faisant des recherches sur l'état de l'art des infrastructures mail, j'ai 
remarqué que très peu de domaines d'entreprise supportent la réception de mail 
en IPv6.Que ce soit orange, protonmail, ovh pour n'en citer que quelques uns, 
aucun d'entre eux ne semble avoir d'IPv6 sur leur MX. Le seul que j'ai trouvé 
jusqu'à présent est gmail.


Il aurait pu y avoir du dual-stack, mais rien.

Et en faisant des recherches sur le sujet, je suis tombé sur un article 
expliquant que des outils existent pour ce genre d'infa : 
https://labs.ripe.net/author/mirjam/sending-and-receiving-emails-over-ipv6/

Ma question est donc la suivante : connaissez-vous les raisons pour lesquelles 
les entreprises, même les hébergeurs mail, s'en tiennent à l'IPv4 uniquement ?

Merci d'avance,
Louis Poidevin

signature.asc
Description: OpenPGP digital signature

[FRnOG] [TECH] E-gov DNS: Are They Redundant Enough?

[Stephane Bortzmeyer]

[Spoiler : non]

https://labs.ripe.net/author/giovane_moura/e-gov-dns-are-they-redundant-enough/


---
Liste de diffusion du FRnOG
http://www.frnog.org/