Re: [FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
Le 09/01/2021 à 08:56, OBConseil via frnog a écrit : Dans une autre vie j'étais développeur en S/T dans les locaux d'un grand avionneur basé à toulouse. Je travaillais sur le debug de bancs de test sous linux avec des patchs temps-réel. Dans ton cas, une solution peut être une ligne ADSL indépendante dans un coin, avec un réseau "labo" à part, physiquement distinct du réseau de prod. C'est un schéma que je vois souvent dans des corp ou des administrations sensibles. Et çà évite que les mecs soient tentés de bidouiller des trucs tous seuls... Sur mes réseaux, là ou j'ai des utilisateurs "techniques" qui ont ce type de besoin, je crée un VLAN "PUBLIC", avec sortie Internet, firewall LAN -> PUBLIC autorisé, mais PUBLIC -> LAN interdit. Je laisse totale liberté de bricolage aux gars sur ce réseau "bac à sable". -- L'expérience prouve que, si on met une porte blindée trop compliquée à ouvrir, les utilisateurs laissent la fenêtre ouverte. C'est un équilibre pas facile à trouver... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
Le 08/01/2021 à 17:47, Philippe Bourcier a écrit : Re, C'est tellement ca... ca a commencé avec les modems et ADSL "pirates" (y compris sur des infras critiques (au sens vies humaines) "parce qu'ils m'ont bloqué les repos pour les MAJ debian")... et maintenant c'est la grosse fête avec les routeurs 3G/4G et bientôt 5G ;). Perso, ma préférence pour gérer l'accès d'une grosse boîte c'est une blacklist des "trucs un peu chauds" qui affiche une page web pour demander la levée de la restriction avec garantie de réponse dans les 24h... c'est ce qui passe le mieux comme tradeoff "security vs UX". D'un autre côté, sur des accès non-filtrés j'ai déjà connu des enquêtes pédo, DDoS, etc... et c'est chaud quand même (surtout si tu gardes pas assez les logs), donc t'apprends vite à ne plus faire confiance aux users internes, quelle que soit la taille de la boîte. 路♂️ Dans une autre vie j'étais développeur en S/T dans les locaux d'un grand avionneur basé à toulouse. Je travaillais sur le debug de bancs de test sous linux avec des patchs temps-réel. Il fallait que je compare des versions, que j'aille chercher sur des blog, des forums divers & variés, et poste sur des ML,pour résoudre des problèmes sur ces techno à l'époque assez récentes. kernel.org était bloqué, ainsi que plein de sites d'info : "Reason : Hacking". La bas , ta stratégie ne marche pas : Tu va pas attendre 24h pour chaque lien vers un blog lambda dans lequel 99% du temps t'a pas ta réponse et où t'ira jamais plus après. Par contre, les sites du figaro et de l'équipe était , eux, disponibles. Par contre pour moi une solution est de placer des postes identifiés et reformatés chaque semaine (par ex) avec un accès complet, dans certains openspace. A l'époque ça s'est également fini que quand j'avais à télécharger X ou Y version de linux ben j'allais ailleurs & je ramenais sur une clé USB. OB --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
Re, >> Alors en fait, ne laisser passer que quelques sites (whitelist), >> c'est ce que font un grand nombre de banques, d'organismes et >> services publiques et de boîtes du CAC40... c'est loin d'être rare. > > Cela présente des avantages : ça rend la DSI incontournable (pas le > droit de se fâcher avec eux, si on veut qu'ils acceptent d'ouvrir vers > le site dont on a besoin), ça rend les utilisateurs autonomes (ils > prennent l'habitude de tout faire avec Gmail et un abonnement Orange, > sans passer par l'infra de la boite), etc. C'est tellement ca... ca a commencé avec les modems et ADSL "pirates" (y compris sur des infras critiques (au sens vies humaines) "parce qu'ils m'ont bloqué les repos pour les MAJ debian")... et maintenant c'est la grosse fête avec les routeurs 3G/4G et bientôt 5G ;). Perso, ma préférence pour gérer l'accès d'une grosse boîte c'est une blacklist des "trucs un peu chauds" qui affiche une page web pour demander la levée de la restriction avec garantie de réponse dans les 24h... c'est ce qui passe le mieux comme tradeoff "security vs UX". D'un autre côté, sur des accès non-filtrés j'ai déjà connu des enquêtes pédo, DDoS, etc... et c'est chaud quand même (surtout si tu gardes pas assez les logs), donc t'apprends vite à ne plus faire confiance aux users internes, quelle que soit la taille de la boîte. 路♂️ Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
On Fri, Jan 08, 2021 at 11:29:49AM +, BRUYELLES ALEXANDRE wrote a message of 69 lines which said: > Il y a des décennies, on pensait comme ça > Après tout, il suffit d'avoir une liste des gens qu'on connait et puis basta Ah oui, je me souviens d'une discussion avec le DSI d'une grosse boîte dans les années 90. Je lui expliquait les beautés d'Internet, qu'on pouvait se connecter au monde entier et il me répondait qu'on n'avait pas besoin de se connecter au monde entier. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
On Fri, Jan 08, 2021 at 10:36:27AM +, Philippe Bourcier wrote a message of 23 lines which said: > Alors en fait, ne laisser passer que quelques sites (whitelist), > c'est ce que font un grand nombre de banques, d'organismes et > services publiques et de boîtes du CAC40... c'est loin d'être rare. Cela présente des avantages : ça rend la DSI incontournable (pas le droit de se fâcher avec eux, si on veut qu'ils acceptent d'ouvrir vers le site dont on a besoin), ça rend les utilisateurs autonomes (ils prennent l'habitude de tout faire avec Gmail et un abonnement Orange, sans passer par l'infra de la boite), etc. Ça me rappelle l'époque où la secrétaire d'État au numérique racontait publiquement comment elle avait contourné le pare-feu de Matignon (où était installé son secrétariat d'État) car un RSSI fasciste avait trouvé que c'était une bonne idée de bloquer YouTube. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
>> Michel Py a écrit : >> Qu'est-ce que tu appelles le "mode de configuration", exactement ? > Radu-Adrian Feurdean a écrit : > Le fait d'utiliser ou non SLAAC, DHCP, Ah je comprends maintenant; oui c'est bien possible qu'on puisse trouver une manière d'ignorer DHCP et de n'utiliser que SLAAC, ou autre variante qui résoudrait cette faiblesse. Le problème, c'est que Toto il va revenir l'année prochaine avec la nouvelle version de ses scripts python et trouver une autre vulnérabilité basée sur autre chose. La bataille entre le glaive et le bouclier est éternelle, tant qu'il y a une raison de batailler sur un front donné çà va continuer. Le problème d'IPv6 c'est qu'il n'a pas supprimé le front IPv4; au lieu de livrer bataille sur 2 fronts simultanément (v4 et v6), c'est bien plus pratique de n'en avoir qu'un à défendre. Disable-NetAdapterBinding -name "*" -ComponentID ms_tcpip6 çà m'enlève le front IPv6 à batailler. Est-ce que c'est le nec-plus-ultra ? non, mais au passage quand Toto arrive sur mon réseau çà me fait 1 critical de moins. Les pénétrateurs ils aiment bien enfoncer les portes ouvertes, celle-là je la ferme. Avec l'avantage que je la ferme aussi pour un hacker avec des mauvaises intentions; les scripts et les schmilblicks que Toto utilise cette année ils vont bien finir par fuiter vers le coté obscur de la force "pas chère". Mon ennemi c'est pas la NSA ou le Mossad : ils ont trop de moyens. Par contre, Dugland Bachibouzouk qui commande un vrai faux pentest chez Toto et qui snapshote la VM pour lui piquer ses outils, çà arrive aussi. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
On Thu, Jan 7, 2021, at 20:53, Michel Py wrote: > Qu'est-ce que tu appelles le "mode de configuration", exactement ? Le fait d'utiliser ou non SLAAC, DHCP, --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
> Radu-Adrian Feurdean a écrit : > Apres je me demande: si on peut deactiver IPv6 par GPO, peut-on pas forcer le > mode de configuration par le meme GPO ? Qu'est-ce que tu appelles le "mode de configuration", exactement ? Avec GPO ou n'importe quel mécanisme qui permet de lancer un script Powershell en mode admin, c'est simple: Disable-NetAdapterBinding -name "*" -ComponentID ms_tcpip6 J'ai poussé çà sur un petit groupe hier, jusqu'à présent pas de pb. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
Bonjour et bonne année à tous, > Apres je me demande: si on peut deactiver IPv6 par GPO, peut-on pas forcer le > mode de configuration > par le meme GPO ? Oui, au pire ca te coûte un script avec des commandes netsh... Dans tous les cas, je trouve que Toto n'a pas bien fait son travail de conseil. Il y avait d'autres solutions que de recommander de désactiver IPv6 (mais qui peut quand même figurer dans la liste, c'est pas choquant en soit sur un LAN corp si t'as pas prévu un budget "migration full v6" 路♂️). Par ordre de préférence/priorité, j'aurais dit : 1) Avec un parc de machines récentes (Win 10 et Win Srv 2012+) : Désactiver entièrement NTLM... 2) Configurer IPv6 en static 3) Déployer DHCPv6 snooping (ipv6 dhcp guard) ... et autres noms pour la même chose ... C'est souvent le problème quand tu fais un pentest (métier que j'ai exercé quelques années), soit t'es bon pour casser les infras (esprit orienté "hacker"), soit t'es bon pour faire les recos pratiques (esprit "builder")... mais retrouver les 2 dans la même personne, c'est extrêmement rare (du coup les pentests à 2+, c'est pas mal, IMHO). Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
On Wed, Jan 6, 2021, at 08:58, Vincent Bernat wrote: > En IPv4, il y a DHCP-guard. En IPv6, c'est rare parce qu'il était > attendu (à ma connaissance) que les OS ne feraient du DHCPv6 que s'ils > recevaient un RA qui disait de faire du DHCP et il y a normalement > RA-guard. Pourquoi Windows fait-il du DHCPv6 sans avoir de RA qui lui > dit d'en faire ? Au pif parce-que celui qui fait le "Rogue DHCPv6", il peut aussi faire du "Rogue RA announcements" sur un reseau dont les admins ne savent meme pas que l'IPv6 existe (et donc ils n'ont PAS configure RA-guard) ? Sinon, les flags M et O dans les RA sont plutot indicatifs, et RFC8415 presente des cas ou DHCPv6 peut etre utilise sans l'implication des RA. Apres je me demande: si on peut deactiver IPv6 par GPO, peut-on pas forcer le mode de configuration par le meme GPO ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
On Wed, Jan 06, 2021 at 08:58:01AM +0100, Vincent Bernat wrote a message of 19 lines which said: > il était attendu (à ma connaissance) que les OS ne feraient du > DHCPv6 que s'ils recevaient un RA qui disait de faire du DHCP |...] > Pourquoi Windows fait-il du DHCPv6 sans avoir de RA qui lui dit d'en > faire ? Je ne crois pas qu'une telle règle existe. En tout cas, je ne trouve pas de référence. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
❦ 6 janvier 2021 08:46 +01, Stephane Bortzmeyer: >> En analysant un peu, ce n'est pas un problème nouveau; RFC7610 et >> DHCPv6-guard, çà n'existe pas pour rien; mais c'est loin d'être >> parfait. > > Quand il va découvrir qu'on peut faire exactement la même attaque en > IPv4, Toto va angoisser. > > https://www.bortzmeyer.org/7610.html En IPv4, il y a DHCP-guard. En IPv6, c'est rare parce qu'il était attendu (à ma connaissance) que les OS ne feraient du DHCPv6 que s'ils recevaient un RA qui disait de faire du DHCP et il y a normalement RA-guard. Pourquoi Windows fait-il du DHCPv6 sans avoir de RA qui lui dit d'en faire ? -- Big book, big bore. -- Callimachus --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
On Wed, Jan 06, 2021 at 08:11:36AM +0100, David Ponzone wrote a message of 26 lines which said: > Tu peux pas filtrer IPv6 en ingress sur tes switch ? Si on sait faire ça, on peut aussi bien faire du RA-guard. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
On Wed, Jan 06, 2021 at 04:57:54AM +, Michel Py wrote a message of 117 lines which said: > Toto aime bien écrire, mais il enfonce un peu des portes ouvertes; Oui, la plupart des rapports d'audit, c'est une ou deux découvertes utiles, délayées par des dizaines de pages de copier/coller de trucs publics que tout le monde connait déjà (si on peut faire du MITM on peut intercepter les communications, ah ben ça alors). > En analysant un peu, ce n'est pas un problème nouveau; RFC7610 et > DHCPv6-guard, çà n'existe pas pour rien; mais c'est loin d'être > parfait. Quand il va découvrir qu'on peut faire exactement la même attaque en IPv4, Toto va angoisser. https://www.bortzmeyer.org/7610.html Ah, et bravo pour le titre « Les entreprises », comme si toutes étaient pareilles et faisaient pareil. Je vais over-troller en citant Marine Le Pen : « les français en ont assez d'IPv6 ». --- Liste de diffusion du FRnOG http://www.frnog.org/
