Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Stéphane Rivière]

> Zscaler est un gros pare feu déporté dans le cloud, et facturé en SaaS à

Merci Damien pour cette explication détaillée.

J'avais été voir sur leur site sans tout comprendre... En particulier du
point de vue de l'inspection.

Effectivement, il faut avoir envie de confier son trafic tout nu à un
acteur étatsunien. J'y vois la même naïveté qu'avec le Cloud, et même
son alter-ego au niveau réseau.

Être à la fois chez Zscaler et AWS aurait en ce sens une logique (sic).

Je me demande même comment AWS n'a pas pensé à proposer ce type de
service :)

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Benoit FrNOG Plessis via frnog]

On 28/01/2021 00:54, Damien DUJARDIN wrote:
> Concernant l'inspection SSL/TLS, cela est possible car le client injecte
> volontairement une AC racine privée sur ses postes de travail. Et ce n'est
> pas Zscaler qui l'auto-injecte par magie, cela est heureusement impossible.

Ici l'injection est bel et bien faite par le logiciel client zscaler,
que ce soit sur les machines dans le domaine ou les machines des externes.

Contrairement à ce que je pensais initialement le certificat est bien
visible dans le store windows, je ne sais pas pourquoi il m'a échappé
précédement ...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Damien DUJARDIN]

Zscaler est un gros pare feu déporté dans le cloud, et facturé en SaaS à
ses clients entreprises qui n'ont pas envie de maintenir Proxy+ips+nextGen
en interne. C'est particulièrement utilisé par des boîtes avec de nombreux
petits sites géographiquement éloignés, qui veulent profiter du cloud pour
attendre le serveur Zscaler le plus proche

Tu peux l'utiliser du simple proxy Web déclaré dans les navigateurs, au
filtrage complet de tout ton traffic internet au travers de tunnels. Chaque
client choisi ce qu'il redirige vers Zscaler, comme il choisirait ce qu'il
redirige vers un pare-feu en interne.
Comme tout service de sécurité privatif, c'est le client qui choisi le
niveau de sécurité qu'il active sur la plate-forme.

Concernant l'inspection SSL/TLS, cela est possible car le client injecte
volontairement une AC racine privée sur ses postes de travail. Et ce n'est
pas Zscaler qui l'auto-injecte par magie, cela est heureusement impossible.
C'est bel et bien le client qui le fait volontairement, typiquement via des
GPOs sur son parc de machine, comme il le fairait s'il déployait de
l'inspection SSL sur un proxy interne.
Ça a ses limites, comme par exemple l'utilisation de BYOD sur lequel
l'administrateur ne peut pas forcément injecter l'AC racine privee, ou
encore l'utilisation d'un navigateur qui utilise son propre magasin de
certificats non modifiable par un administrateur entreprise.
Cote risques, c'est au client de voir si faire inspecter tout son traffic
SSL par un acteur cloud, qui plus est américain, est judicieux ou non.

Bonne soirée à tous


Le mer. 27 janv. 2021 à 23:41, Benoit FrNOG Plessis via frnog <
frnog@frnog.org> a écrit :

> On 27/01/2021 21:23, Radu-Adrian Feurdean wrote:
> > On Wed, Jan 27, 2021, at 18:57, Benoit FrNOG Plessis via frnog wrote:
> >> J'ai récement découvert "Zscaler" qui intercepte n'importe quel site
> >> SSL/TLS qu'il soit avec HSTS, DANE ou DNS CAA. Le truc serait pas payant
> >> qu'on le prendrait pour un rootkit je pense ...
> > Ce n'est pas interception, c'est du proxy.
>
> Comme disent les anglais potahto potayto
>
> C'est un proxy qui fonctionne sans l'accord des applications, filtre les
> requetes DNS, injecte un certificat AC "caché" (non visible dans l'OS) ...
>
> On est au dela d'un simple proxy, voir même d'un proxy transparent
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Benoit FrNOG Plessis via frnog]

On 27/01/2021 21:23, Radu-Adrian Feurdean wrote:
> On Wed, Jan 27, 2021, at 18:57, Benoit FrNOG Plessis via frnog wrote:
>> J'ai récement découvert "Zscaler" qui intercepte n'importe quel site
>> SSL/TLS qu'il soit avec HSTS, DANE ou DNS CAA. Le truc serait pas payant
>> qu'on le prendrait pour un rootkit je pense ...
> Ce n'est pas interception, c'est du proxy.

Comme disent les anglais potahto potayto

C'est un proxy qui fonctionne sans l'accord des applications, filtre les
requetes DNS, injecte un certificat AC "caché" (non visible dans l'OS) ...

On est au dela d'un simple proxy, voir même d'un proxy transparent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Radu-Adrian Feurdean]

On Wed, Jan 27, 2021, at 18:57, Benoit FrNOG Plessis via frnog wrote:
> J'ai récement découvert "Zscaler" qui intercepte n'importe quel site
> SSL/TLS qu'il soit avec HSTS, DANE ou DNS CAA. Le truc serait pas payant
> qu'on le prendrait pour un rootkit je pense ...

Ce n'est pas interception, c'est du proxy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Benoit FrNOG Plessis via frnog]

On 10/01/2021 16:02, Xavier Beaudouin wrote:
>
>> Et en 2021, le nombre de sites en HTTPS augmente chaque jour (je retrouve
>> plus la stat), le HSTS se renforce, tu peux plus péter le chiffrement au
>> niveau UTM sans que ça altère l'expérience utilisateur, alors pour savoir
>> ce que fait le poste, il te faut de l'EDR, avec des To de stockage, et de
>> la lecture de toujours plus de logs. C'est pas de l'impuissance, c'est que
>> tout mis bout à bout, on a plus le choix, la sécurité périphérique n'est
>> plus suffisante.
> Ça c'est la rançon de la gloire d'avoir intercepté le traffic légitime des 
> usager... C'est bien domage, car un proxy cache était assez pratique pour 
> ne pas charger 1000 fois jquery et whatever... Bon Decentraleyes aide déjà
> pas mal ... Mais c'est une question d'envie perso / politik de la boite.

L'interception est loin d'être finie, maintenant ils fournissent cela
via du "cloud security"

J'ai récement découvert "Zscaler" qui intercepte n'importe quel site
SSL/TLS qu'il soit avec HSTS, DANE ou DNS CAA. Le truc serait pas payant
qu'on le prendrait pour un rootkit je pense ...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Michel Py]

> Xavier Beaudouin a écrit :
> Pour les ASA- (-X) de notre coté, on vas les dégager. Entre l'UI en java 
> merdique qui
> bouffe tous les cores et leur idée géniale de faire 2 objets, un en IPv4 et 
> un IPv6...

Ca va être pas cher sur eBay et en broke à la fin de l'année; on n'est surement 
pas les seuls a avoir fait la même analyse.
Peut-être que je vais en garder deux pour ne faire que du tunnel, et stocker 
les autres comme spare et ne pas renouveler la maintenance.

>> Adrien Rivas a écrit :
>> Et que tout le monde n'a pas le débit pour faire remonter l'accès
>> internet en central, donc on met en place du split tunneling,

Pas forcément le choix, et ce n'est pas seulement un problème de débit (certes 
important quand même); l'utilisateur en Floride qui ouvre son VPN vers moi en 
Californie pour accéder un serveur public sur la cote Est, Ca rajoute 60ms de 
latence plus la gigue plus les aléas de traverser 2 tier-1; le split-tunnel 
c'est parfois nécessaire.

> Xavier Beaudouin a écrit :
> Autrement un poste de travail en "deporté" eg : citrix par exemple permet 
> justement de limiter
> l'effet de bord de poste de travail verolé ET ne pas avoir besoin d'un Tbps 
> pour gérer le traffic.

C'est vrai, mais je suis bien content que ce n'est pas moi qui s'occupe de la 
partie VDAAS; on en fait aussi, et j'entends de la grogne et à propos de la 
technique et à propos des couts.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Xavier Beaudouin]

Hello

>> > Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me
> convient
>>
>> C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence
> planifiée à la con. J'ai 2 gammes, les ASA et les FP2420, qui arrivent
> en fin de maintenance logiciel en Aout ou Septembre de cette année. Dès que
> çà touche la sécurité, plus de MAJ çà veut dire remplacement du matériel,
> ce qui était leur objectif. Eh bien, à force de jouer au con, Cisco a gagné
> : ils me forcent à remplacer le matos, ben oui je vais le remplacer. Avec
> du PA, possiblement.
> 
> Ils le font tous, plus ou moins violemment, mais Fortinet c'est 9 ans (me
> semble) et 4 à 5 versions d'OS majeures entre la sortie du produit et le
> EoL, c'est court, et en même temps quand tu vois les progrès entre deux
> gammes de produits c'est long. PA je connais pas, mais c'est vrai que ça
> semble "séduisant" comme produit, ça parle et j'ai l'impression que c'est
> rarement remis en question, sauf niveau prix où là c'est clairement pas à
> portée de tout le monde.

Pour les ASA- (-X) de notre coté, on vas les dégager. Entre l'UI en java 
merdique qui bouffe tous les cores et leur idée géniale de faire 2 objets, un
en IPv4 et un IPv6... on vas s'en passer parce que 
- on doit passer 2G in /out de traffic
- la maintenance coute un bras
- il ne sert pas a un grand chose
- on a décidé de faire de l'open source et ... 2 xeon-d coutent moins cher 
  que un ASA pour faire ce qu'on a envie de faire (du pkt filter only).

> Et que tout le monde n'a pas le débit pour faire remonter l'accès internet
> en central, donc on met en place du split tunneling, parce qu'à 40 sur la
> ligne Adsl, avec le web ça couine un peu. Il y a même des clients avec
> juste une box en déporté, parce que le firewall à 400 balles c'est trop
> cher pour un bureau avec une seule personne et "ça fait des économies",
> alors la même, pas de split tunneling, rien que de la navigation locale
> derrière une box opérateur pas sécure, faut bien apporter un minimum sur le
> poste de travail.

Autrement un poste de travail en "deporté" eg : citrix par exemple permet
justement de limiter l'effet de bord de poste de travail verolé ET ne pas 
avoir besoin d'un Tbps pour gérer le traffic.

> Et en 2021, le nombre de sites en HTTPS augmente chaque jour (je retrouve
> plus la stat), le HSTS se renforce, tu peux plus péter le chiffrement au
> niveau UTM sans que ça altère l'expérience utilisateur, alors pour savoir
> ce que fait le poste, il te faut de l'EDR, avec des To de stockage, et de
> la lecture de toujours plus de logs. C'est pas de l'impuissance, c'est que
> tout mis bout à bout, on a plus le choix, la sécurité périphérique n'est
> plus suffisante.

Ça c'est la rançon de la gloire d'avoir intercepté le traffic légitime des 
usager... C'est bien domage, car un proxy cache était assez pratique pour 
ne pas charger 1000 fois jquery et whatever... Bon Decentraleyes aide déjà
pas mal ... Mais c'est une question d'envie perso / politik de la boite.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Adrien Rivas]

> > Toussaint OTTAVI a écrit :
> > L'expérience prouve que, si on met une porte blindée trop compliquée à
ouvrir, les
> > utilisateurs laissent la fenêtre ouverte. C'est un équilibre pas facile
à trouver...
>
> +1. Et, risquer que l'utilisateur ouvre la fenêtre pour regarder le match
de foot, c'est contre-productif : la fenêtre, une fois ouverte, est
extrêmement difficile à refermer. Au bout du compte c'est parfois
préférable de les laisser regarder le foot et de laisser leurs chefs de
service faire la police. Pareil pour les clés USB : si l'utilisateur a une
raison légitime de s'en servir, il va trouver comment détourner les
restrictions qu'on met en place pour les désactiver, et là encore on ouvre
la boite de Pandore.

Pas mieux, je pense pas que ce soit mon rôle de définir pour mon client ce
qui doit être accessible ou pas, seulement bloquer ce qui "me" gène et qui
va me faire avoir une demande de logs de la part de la gendarmerie. Le
mature, unethical, les réseaux sociaux, jeux en ligne, newly observed
domain, si après il faut débloquer le client me le dit, s'il veut du mature
au bureau je double les logs.

> >> Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW
favori pour
> >> ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield, Untangle,
Meraki, Pfsense
>
> > Effectivement. Mais je n'ai juste pas confiance en un seul fournisseur
:-)
> > Et j'ai eu plusieurs fois l'occasion de constater que j'avais raison...
> >> soit tu peux le faire au niveau poste de travail
>
> > Deux choses à propos du filtrage sur les postes :
> > - C'est extrêmement chronophage et source de problèmes. Si on gère un
seul gros réseau, le outils de management de l'éditeur
> > peuvent faire le job. Mais si on gère plusieurs dizaines de petits
réseaux indépendants, je n'ai pas trouvé l'outil qui convient...

On fait du trend (pas mieux pas pire que d'autres), t'as une console
revendeur qui te permet de découper et classer tes clients, et tu reçois
par défaut des alertes sur ce qui se passe. On a dans les 5000 AV
d'installés (chez +/- 200 clients), ça fait le job.

> > Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me
convient
>
> C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence
planifiée à la con. J'ai 2 gammes, les ASA et les FP2420, qui arrivent
en fin de maintenance logiciel en Aout ou Septembre de cette année. Dès que
çà touche la sécurité, plus de MAJ çà veut dire remplacement du matériel,
ce qui était leur objectif. Eh bien, à force de jouer au con, Cisco a gagné
: ils me forcent à remplacer le matos, ben oui je vais le remplacer. Avec
du PA, possiblement.

Ils le font tous, plus ou moins violemment, mais Fortinet c'est 9 ans (me
semble) et 4 à 5 versions d'OS majeures entre la sortie du produit et le
EoL, c'est court, et en même temps quand tu vois les progrès entre deux
gammes de produits c'est long. PA je connais pas, mais c'est vrai que ça
semble "séduisant" comme produit, ça parle et j'ai l'impression que c'est
rarement remis en question, sauf niveau prix où là c'est clairement pas à
portée de tout le monde.

> > David Ponzone a écrit :
> > Non c’est l’aveu qu'on est en 2021, que de plus en plus de salariés ont
un laptop pro qui se baladent chez eux ou autre.
>
> +1. Sur un WiFi potentiellement rempli de saloperies y compris dans un
aéroport (pas trop en ce moment mais çà reviendra), ou a la maison avec la
progéniture adolescente du salarié, qui passe une grande partie de son
temps à essayer de cracker la protection de Papa pour regarder le contenu
réservé aux adultes. Et en essayant, télécharge une ribambelle d'outils qui
contiennent moulte virus, root kits et autres portes dérobées.

Et que tout le monde n'a pas le débit pour faire remonter l'accès internet
en central, donc on met en place du split tunneling, parce qu'à 40 sur la
ligne Adsl, avec le web ça couine un peu. Il y a même des clients avec
juste une box en déporté, parce que le firewall à 400 balles c'est trop
cher pour un bureau avec une seule personne et "ça fait des économies",
alors la même, pas de split tunneling, rien que de la navigation locale
derrière une box opérateur pas sécure, faut bien apporter un minimum sur le
poste de travail.

Et en 2021, le nombre de sites en HTTPS augmente chaque jour (je retrouve
plus la stat), le HSTS se renforce, tu peux plus péter le chiffrement au
niveau UTM sans que ça altère l'expérience utilisateur, alors pour savoir
ce que fait le poste, il te faut de l'EDR, avec des To de stockage, et de
la lecture de toujours plus de logs. C'est pas de l'impuissance, c'est que
tout mis bout à bout, on a plus le choix, la sécurité périphérique n'est
plus suffisante.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Michel Py]

> OBConseil a écrit :
> kernel.org était bloqué, ainsi que plein de sites d'info : "Reason : 
> Hacking". La bas,
> ta stratégie ne marche pas : Tu va pas attendre 24h pour chaque lien vers un 
> blog
> lambda dans lequel 99% du temps t'a pas ta réponse et où t'ira jamais plus 
> après.

+1

> Par contre, les sites du figaro et de l'équipe était, eux, disponibles.

Et puis ? on peut plus regarder le match de foot au bureau, maintenant ? :-)

En redevenant sérieux,

> Toussaint OTTAVI a écrit :
> L'expérience prouve que, si on met une porte blindée trop compliquée à 
> ouvrir, les
> utilisateurs laissent la fenêtre ouverte. C'est un équilibre pas facile à 
> trouver...

+1. Et, risquer que l'utilisateur ouvre la fenêtre pour regarder le match de 
foot, c'est contre-productif : la fenêtre, une fois ouverte, est extrêmement 
difficile à refermer. Au bout du compte c'est parfois préférable de les laisser 
regarder le foot et de laisser leurs chefs de service faire la police. Pareil 
pour les clés USB : si l'utilisateur a une raison légitime de s'en servir, il 
va trouver comment détourner les restrictions qu'on met en place pour les 
désactiver, et là encore on ouvre la boite de Pandore.


>> Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW favori 
>> pour
>> ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield, Untangle, Meraki, 
>> Pfsense

> Effectivement. Mais je n'ai juste pas confiance en un seul fournisseur :-)
> Et j'ai eu plusieurs fois l'occasion de constater que j'avais raison...

+1. C'est bien pour çà qu'il faut de multiples systèmes indépendants, pour que 
le jour ou il y en a un qui ne marche pas, l'autre continue.

>> soit tu peux le faire au niveau poste de travail

> Deux choses à propos du filtrage sur les postes :
> - C'est extrêmement chronophage et source de problèmes. Si on gère un seul 
> gros réseau, le outils de management de l'éditeur
> peuvent faire le job. Mais si on gère plusieurs dizaines de petits réseaux 
> indépendants, je n'ai pas trouvé l'outil qui convient...

T'inquiètes pas, tu n'es pas le seul.

>> Michel Py a écrit :
>> Les ASA/Firepower ils vont possiblement dégager à la fin de l'année pour une 
>> autre crèmerie.
>> Fortinet, Checkpoint, Barracuda et Sophos on a déjà donné donc c'est même 
>> pas dans la course.

> Tu as de la chance de pouvoir changer aussi facilement de crèmerie :-) Moi, 
> cela ne me traverse même pas l'esprit tant le travail
> de migration serait colossal (ce sont les mêmes appareils qui font tout : 
> firewall, UTM, VPN, interco, failover, wifi, etc...)

C'est encore plus colossal quand tu as des centaines de sites répartis sur 6 
fuseaux horaires.

> Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me convient

C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence 
planifiée à la con. J'ai 2 gammes, les ASA et les FP2420, qui arrivent en 
fin de maintenance logiciel en Aout ou Septembre de cette année. Dès que çà 
touche la sécurité, plus de MAJ çà veut dire remplacement du matériel, ce qui 
était leur objectif. Eh bien, à force de jouer au con, Cisco a gagné : ils me 
forcent à remplacer le matos, ben oui je vais le remplacer. Avec du PA, 
possiblement.

> et de le doubler en frontal par d'autres outils plus ciblés sur le filtrage 
> du caca en provenance d'Internet.

Oui en théorie, sauf que à tant que s'emmerder avec un projet colossal, autant 
en profiter pour nettoyer et en plus se débarrasser de ce que l'équipe 
considère comme étant de la daube. Je vais probablement mettre de l'ASR devant 
les pare-feu, ceci dit.

>> Niveau poste de travail j'ai un mix entre Windows defender, Symantec, Cisco, 
>> et
>> Eset (beurk). Malwarebytes j'aimais bien dans le temps; perso j'en ai 2 à 
>> vie.

> Même remarque : comment tu fais pour gérer autant d'outils différents ?

Je fais pas, c'est le bordel. J'essaie de standardiser, mais çà n'arrive pas du 
jour au lendemain.

> Moi, je voudrais arriver à normaliser sur un seul. Même si ce sera 
> obligatoirement un compromis. Le critère essentiel est
> la gestion multi-tier (une seule console d'admin pour gérer tous mes clients, 
> au lieu d'une console d'admin par client).

Pareil, ce que tu saisis pas c'est la taille et la complexité de mon 
environnement. Tous les jours on crée, achète, fusionne, réorganise des 
branches. Il y en a qui sont des employés, d'autres des filiales, d'autres des 
franchises, etc. Rien que des noms de domaines différents on en a au moins 30. 
En 1 coup je viens d'hériter de 50 sites distants et plusieurs centaines 
d'utilisateurs. Il y en a qui ont Windows Home qu'on ne peut même pas joindre 
au domaine, certains qui croient que la machinbox Comcast c'est un pare-feu, et 
j'en passe. Les franchises achètent / fournissent leur propre matos, au 
contraire des filiales auxquelles on envoie les laptops avec l'image qui va 
bien. En plus, il y a toujours une période de transition : pendant plusieurs 
semaines, il faut 

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[David Ponzone]

> - C'était un peu le sens de ma contribution initiale : être contraint de 
> filtrer les connexions vers des IP malveillantes depuis les postes de 
> travail, n'est-ce pas un aveu d'impuissance sur la façon dont nous concevons 
> et gérons nos réseaux ?
> 

Non c’est l’aveu qu'on est en 2021, que de plus en plus de salariés ont un 
laptop pro qui se baladent chez eux ou autre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Arnaud Launay]

Le Fri, Jan 08, 2021 at 08:34:44PM +, Michel Py a écrit:
> Au niveau contrôle de la pub : adblockplus.org (indispensable).

ublock origin + privacy badger... adblock, ils laissent passer les pubs des 
marketeux
qui acceptent de les payer...

https://adblockplus.org/fr/about#acceptableads


+ facebook container pour le principe (mais c'est moins "utile")

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Toussaint OTTAVI]

Le 08/01/2021 à 21:34, Michel Py a écrit :

Les ASA/Firepower ils vont possiblement dégager à la fin de l'année pour une 
autre crèmerie. Fortinet, Checkpoint, Barracuda et Sophos on a déjà donné donc 
c'est même pas dans la course.


Tu as de la chance de pouvoir changer aussi facilement de crèmerie :-) 
Moi, cela ne me traverse même pas l'esprit tant le travail de migration 
serait colossal (ce sont les mêmes appareils qui font tout : firewall, 
UTM, VPN, interco, failover, wifi, etc...)


Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me 
convient, et de le doubler en frontal par d'autres outils plus ciblés 
sur le filtrage du caca en provenance d'Internet.



Niveau poste de travail j'ai un mix entre Windows defender, Symantec, Cisco, et 
Eset (beurk). Malwarebytes j'aimais bien dans le temps; perso j'en ai 2 à vie.


Même remarque : comment tu fais pour gérer autant d'outils différents ? 
Moi, je voudrais arriver à normaliser sur un seul. Même si ce sera 
obligatoirement un compromis. Le critère essentiel est la gestion 
multi-tier (une seule console d'admin pour gérer tous mes clients, au 
lieu d'une console d'admin par client).



Au niveau IPv4 pur j'utilise :
https://team-cymru.com/community-services/bogon-reference/bogon-reference-bgp/
https://www.spamhaus.org/bgpf/
Et bien sur le mien : http://arneill-py.sacramento.ca.us/cbbc/ que plusieurs 
ici utilisent et même y contribuent, merci.


Oui, çà fait un moment que j'avais noté çà dans ma todo-list ;-) Sur un 
projet associatif, j'utilise les listes de blocage Firehol. C'est pas 
mal. Mais le script d'agrégation est un peu étrange. L'idée, ce serait 
de ré-écrire le mien, qui puise dans les sources de mon choix. Cà donne 
des blocklists gargantuesques. Et je tombe sur un autre problème qui est 
qu'elles sont trop grosses pour les petits firewalls, sur les petits 
sites...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Toussaint OTTAVI]

Le 08/01/2021 à 20:54, Adrien Rivas a écrit :

Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW
favori pour ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield,
Untangle, Meraki, Pfsense - ,


Effectivement. Mais je n'ai juste pas confiance en un seul fournisseur 
:-) Et j'ai eu plusieurs fois l'occasion de constater que j'avais raison...



soit tu peux le faire au niveau poste de
travail et là tu as le choix entre la solution embarquée dans ton "Internet
Services" - Kaspersky, Trend, Forticlient (même base que pour les
Fortigate, et, pour l'instant, encore gratuit en 6.0)


Deux choses à propos du filtrage sur les postes :
- C'est extrêmement chronophage et source de problèmes. Si on gère un 
seul gros réseau, le outils de management de l'éditeur peuvent faire le 
job. Mais si on gère plusieurs dizaines de petits réseaux indépendants, 
je n'ai pas trouvé l'outil qui convient...
- C'était un peu le sens de ma contribution initiale : être contraint de 
filtrer les connexions vers des IP malveillantes depuis les postes de 
travail, n'est-ce pas un aveu d'impuissance sur la façon dont nous 
concevons et gérons nos réseaux ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Michel Py]

>> Michel Py a écrit :
>> C'est devenu trop dynamique de whitelister. On en est rendu à blacklister ce 
>> qui est connu comme étant nocif, et ce qui n'est pas strictement nécessaire.

> Adrien Rivas a écrit :
> Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW
> soit tu peux le faire au niveau poste de travail

Non seulement il faut faire les deux, mais en plus de çà il faut en faire 3 
autres.

> Toussaint OTTAVI a écrit :
> J'en arrive à peu près à cette conclusion également. Mais encore faut-il avoir
> une source efficace de saletés. Ou agréger plusieurs sources. Des suggestions 
> ?

Au niveau UTM/NGFW j'utilise Untangle (perso); pour l'instant à $job[0] c'est 
ASA/Firepower et Meraki pour les petits sites. Les ASA/Firepower ils vont 
possiblement dégager à la fin de l'année pour une autre crèmerie. Fortinet, 
Checkpoint, Barracuda et Sophos on a déjà donné donc c'est même pas dans la 
course. 

Niveau poste de travail j'ai un mix entre Windows defender, Symantec, Cisco, et 
Eset (beurk). Malwarebytes j'aimais bien dans le temps; perso j'en ai 2 à vie.

En plus :

Au niveau contrôle de la pub : adblockplus.org (indispensable).

Au niveau DNS j'utilise Cisco OpenDNS (perso) / Cisco Umbrella (pro). C'est pas 
parfait, mais c'est pas emmerdant et ça marche pour moi.

Au niveau IPv4 pur j'utilise :
https://team-cymru.com/community-services/bogon-reference/bogon-reference-bgp/
https://www.spamhaus.org/bgpf/
Et bien sur le mien : http://arneill-py.sacramento.ca.us/cbbc/ que plusieurs 
ici utilisent et même y contribuent, merci.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Adrien Rivas]

Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW
favori pour ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield,
Untangle, Meraki, Pfsense - , soit tu peux le faire au niveau poste de
travail et là tu as le choix entre la solution embarquée dans ton "Internet
Services" - Kaspersky, Trend, Forticlient (même base que pour les
Fortigate, et, pour l'instant, encore gratuit en 6.0) ou un produit plus
spécifique - Websense, ou même peerblock, qui te permet(ait?) d'aller
chercher des bases communautaires, mais ce dernier n'est plus trop gratuit.

Le ven. 8 janv. 2021 à 20:14, Toussaint OTTAVI  a
écrit :

>
> Le 08/01/2021 à 18:49, Michel Py a écrit :
> > C'est devenu trop dynamique de whitelister. On en est rendu à
> blacklister ce qui est connu comme étant nocif, et ce qui n'est pas
> strictement nécessaire.
>
> J'en arrive à peu près à cette conclusion également. Mais encore faut-il
> avoir une source efficace de saletés. Ou agréger plusieurs sources. Des
> suggestions ?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Toussaint OTTAVI]

Le 08/01/2021 à 18:49, Michel Py a écrit :

C'est devenu trop dynamique de whitelister. On en est rendu à blacklister ce 
qui est connu comme étant nocif, et ce qui n'est pas strictement nécessaire.


J'en arrive à peu près à cette conclusion également. Mais encore faut-il 
avoir une source efficace de saletés. Ou agréger plusieurs sources. Des 
suggestions ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Michel Py]

> Philippe Bourcier a écrit :
> Alors en fait, ne laisser passer que quelques sites (whitelist), c'est ce que 
> font un grand nombre
> de banques, d'organismes et services publiques et de boîtes du CAC40... c'est 
> loin d'être rare.

Je travaille dans une banque, et c'est devenu impossible de faire çà. Depuis 
l'avènement du cloud et de la C.H.I.A.A.S. la liste des sites nécessaires est 
devenue tellement importante qu'essayer de maintenir le bon vieux temps du 
Mainframe est futile. On autorise le site www.machin.com, et du jour au 
lendemain machin.com change xyz.machin.com vers machin.truc.com et la machine 
s'arrête. C'est devenu trop dynamique de whitelister. On en est rendu à 
blacklister ce qui est connu comme étant nocif, et ce qui n'est pas strictement 
nécessaire.

Bien évidemment on filtre certaines catégories, mais c'est pour faire bien 
propre sur soi, pas pour des raisons de sécurité.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[David Ponzone]

Tu te rappelles son nom ? Il est où maintenant ?

En même temps, y a pas un mec chez nous qui a déclaré qu’Internet n’était 
qu’une passade ?
Et un autre qui a voulu relancer le Minitel en 1994.


> Le 8 janv. 2021 à 16:39, Stephane Bortzmeyer  a écrit :
> 
> On Fri, Jan 08, 2021 at 11:29:49AM +,
> BRUYELLES ALEXANDRE  wrote 
> a message of 69 lines which said:
> 
>> Il y a des décennies, on pensait comme ça
>> Après tout, il suffit d'avoir une liste des gens qu'on connait et puis basta
> 
> Ah oui, je me souviens d'une discussion avec le DSI d'une grosse boîte
> dans les années 90. Je lui expliquait les beautés d'Internet, qu'on
> pouvait se connecter au monde entier et il me répondait qu'on n'avait
> pas besoin de se connecter au monde entier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[BRUYELLES ALEXANDRE]

> Quelques
dizaine d'adresses réellement "utiles" par personne et par jour ?

As-tu bu ?

Il y a des décennies, on pensait comme ça
Après tout, il suffit d'avoir une liste des gens qu'on connait et puis basta

Et puis, constatant le soucis, on a inventé le DNS
Révolution ..

> C'est trop facile de dire : "Il faut sécuriser le terminal". A défaut de
pouvoir supprimer le véritable problème (l'interface chaise-clavier),
j'ai l'impression que c'est un peu un aveu d'impuissance : "De nos
jours, au vu de la multiplicité des menaces, on est totalement incapable
de sécuriser correctement le réseau, donc il ne reste plus qu'à
sécuriser l'endpoint"...

Trop facile ?
Mais .. quand je suis malade, mon docteur ne projette pas de medoc sur mon 
fauteuil
Ce n'est pas "au vue de la multiplicité des menaces", c'est plutôt "à l'humble 
constatation que moi, netadmin, ne suis pas omniscient et donc apte à juger de 
ce qui est bon ou pas, en me basant sur du L3/L4"


M'enfin

De : frnog-requ...@frnog.org  de la part de Toussaint 
OTTAVI 
Envoyé : vendredi 8 janvier 2021 11:12:50
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Mail externe : n'ouvrez pas de lien ou de pièce jointe si vous ne connaissez 
pas l'expéditeur

Le 08/01/2021 à 10:57, David Ponzone a écrit :
> Et si tu généralises ça, tu crois qu’il va se passer combien de temps avant 
> que les m*rdes soient IPv6-Ready ?

Ma remarque s'applique d'autant plus à IPv6 : pour au max quelques
dizaine d'adresses réellement "utiles" par personne et par jour, on
devrait laisser une porte ouverte vers un nombre d'adresses tellement
grand que je ne sais même pas l'écrire ?

C'est trop facile de dire : "Il faut sécuriser le terminal". A défaut de
pouvoir supprimer le véritable problème (l'interface chaise-clavier),
j'ai l'impression que c'est un peu un aveu d'impuissance : "De nos
jours, au vu de la multiplicité des menaces, on est totalement incapable
de sécuriser correctement le réseau, donc il ne reste plus qu'à
sécuriser l'endpoint"...

Cà nous ramène à la définition fondamentale de l'informatique : "Une
science conçue pour régler des problèmes qui n'existaient pas avant son
invention" :-D


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Toussaint OTTAVI]

Le 08/01/2021 à 11:36, Philippe Bourcier a écrit :

Alors en fait, ne laisser passer que quelques sites (whitelist), c'est ce que 
font un grand nombre de banques, d'organismes et services publiques et de 
boîtes du CAC40... c'est loin d'être rare.


Pour un service IT d'une grande entreprise, c'est jouable. Moi, je suis 
prestataire IT de plusieurs TPE aux budgets limités. Donc, boulot à 
faire autant de fois que j'ai de clients ? Utiliser le filtrage URL de 
mon fournisseur de firewall, tout en ayant conscience que c'est bidon ? 
Tout centraliser sur une infra unique gérée par moi (boulot 
supplémentaire + besoins en bande passante) ? Avec le double risque de 
surcharge du support : 1/ "Je ne peux pas aller sur le site de mon 
vendeur de caouètes" 2/ Scanner les logs et repérer les whitelist 
"techniques" nécessaires au bon fonctionnement des outils : antivirus, 
CRLs, etc...


On a diverses expérimentations, plus ou moins concluantes. Je cherche 
encore la solution idéale... L'idée de base est bien de fermer par 
défaut. Mais, à cette échelle, ce n'est pas simple à implémenter, et 
encore moins rentable !



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Philippe Bourcier]

Re,

> Cà nous ramène à la définition fondamentale de l'informatique : "Une
> science conçue pour régler des problèmes qui n'existaient pas avant son
> invention" :-D

Alors en fait, ne laisser passer que quelques sites (whitelist), c'est ce que 
font un grand nombre de banques, d'organismes et services publiques et de 
boîtes du CAC40... c'est loin d'être rare.


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Toussaint OTTAVI]

Le 08/01/2021 à 10:57, David Ponzone a écrit :

Et si tu généralises ça, tu crois qu’il va se passer combien de temps avant que 
les m*rdes soient IPv6-Ready ?


Ma remarque s'applique d'autant plus à IPv6 : pour au max quelques 
dizaine d'adresses réellement "utiles" par personne et par jour, on 
devrait laisser une porte ouverte vers un nombre d'adresses tellement 
grand que je ne sais même pas l'écrire ?


C'est trop facile de dire : "Il faut sécuriser le terminal". A défaut de 
pouvoir supprimer le véritable problème (l'interface chaise-clavier), 
j'ai l'impression que c'est un peu un aveu d'impuissance : "De nos 
jours, au vu de la multiplicité des menaces, on est totalement incapable 
de sécuriser correctement le réseau, donc il ne reste plus qu'à 
sécuriser l'endpoint"...


Cà nous ramène à la définition fondamentale de l'informatique : "Une 
science conçue pour régler des problèmes qui n'existaient pas avant son 
invention" :-D



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[David Ponzone]

Et si tu généralises ça, tu crois qu’il va se passer combien de temps avant que 
les m*rdes soient IPv6-Ready ?

> Le 8 janv. 2021 à 10:38, Toussaint OTTAVI  a écrit :
> C'est pas plus simple de désactiver carrément tout Internet ? :-)
> 
> ...
> Donc, pour un besoin de 10, on laisse une porte grande ouverte vers 4 
> milliards, dont plusieurs centaines de milliers de m*rdes  ? Yapa un problème 
> quelque part ?
> 
> Happy Friday ;-)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Toussaint OTTAVI]

Le 06/01/2021 à 05:57, Michel Py a écrit :

Disable IPv6 on internal Windows hosts if not in use.


C'est pas plus simple de désactiver carrément tout Internet ? :-)

Je précise que je ne suis pas loin d'être sérieux :
- 4 milliards d'adresses en v4 (à peine un peu plus pour ceux qui sont 
en v6)
- Combien d'adresses correspondant à des sites potentiellement dangereux 
/ nuisibles ?
- Depuis un terminal "moderne", combien de connexions vers combien de 
sites non souhaités "à l'insu de mon plein gré" ?
- Combien de connexions par jour vers des sites légitimes réellement 
nécessaires pour un utilisateur lambda en entreprise ? Une dizaine ?


Donc, pour un besoin de 10, on laisse une porte grande ouverte vers 4 
milliards, dont plusieurs centaines de milliers de m*rdes  ? Yapa un 
problème quelque part ?


Happy Friday ;-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Nicolas Vuillermet]

*sort les ciseaux Wi-Fi*


Autant tirer le câble réseau, c’est plus secure.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Stéphane Rivière]

> Est-ce vraiment intellectuellement honnête ?

Bien sûr. Plus t'as de doze, plus t'as de problèmes, plus ça rapporte au
prestataire en papouilleries et autres couches de scotch.

> Si ce genre de boite était vraiment "ton ami qui te veut du bien", le rapport 
> dirai "go delete windows"
> Virer windows, comme virer v4, n'est qu'une question de moyens et de travail, 
> en quantité raisonnable vis-à-vis du bénéfices à moyen terme

+1000

> Et kudo à Philippe pour dire que LAN == insecure

+1000

En peut-être aussi quelque part sur les firewalls sur (non pas ce qui
entre) mais ce qui sort ? J'en connais qui se reconnaîtront :>

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Stéphane Rivière]

Le 06/01/2021 à 12:23, Sébastien Lesimple a écrit :
> Je suis bien d'accord mais va faire accepter a un DSI dont la seule
> obsession est le "Quick Win", et le "Azure c'est génial", qu'avant
> d'aller se palucher devant son CEO et le CoDir, il faut mettre son achi
> à l'état de l'art...

Bon... Puisque c'est nawak dès dredi-2... Allons-y...

Tu le sais. Ça fait 50 ans que ça dure. Un Directeur Informatique, c'est
un gars qui était Directeur Financier, RH, etc. et qui a merdé.

Donc il est puni.
Et prends le poste.

Après, il se rancarde un peu, découvre LMI et SVM (ça existe encore SVM
?) et comprend (lumière !) que Info = Mi€ro$oft.

De plus Kro$oft a l'avantage d'être un parapluie.

Si ça marche pas (et ça ne marchera pas), le DSI dira "Msieu, Sépamoi,
j'ai PriKroSoft = Sépamafot¹

> Mais çà, c'est impossible dans ce monde de mecs qui se disent DSI mais
> qui ne font que gérer un budget sans même comprendre de quoi ils parlent!

C'est ça. Et t'as des soutiers payés la misère pour faire tenir le
stromphgluffe. C'est de la faute des soutiers, même quand /ça marche/.

Ils avaient qu'à être les premiers de la classe pour devenir de...
mauvais DRH qui finiront... DSI CQFD.

Got it ? (C) Dilbert

¹ soit presque le nom du Sémafot, une bête honnête, elle. C'est un kwab
antillais aux pinces asymétriques qui agite sans cesse la grosse comme
un pénitent battrait sa coulpe ! http://tiracoon.fr/picture.php?/2460

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Michel 'ic' Luczak]

> On 6 Jan 2021, at 05:57, Michel Py  wrote:

[TL;DR]

> IPv6

Je vous invite à lire l’excellent 
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2018/pdf/BRKSEC-3200.pdf 

 sur le sujet.

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[BRUYELLES ALEXANDRE]

o/

> L'idée d'IPv6, c'est que çà allait remplacer IPv4 "dans 2 ou 3 ans". Cà fait 
> 20 ans qu'on me ressasse la même connerie. Malgré que les raisons que les 
> vendeurs de cyber-peur qui retournent leur veste tous les ans soient parfois 
> questionnables, çà n'enlève rien au fait qu'IPv6 est 2 fois le travail et 3 
> fois les emmerdes.

L'implicite de la théorie, c'est que les gens comme toi bossent
Ça remplace IPv4 dans 2 ou 3 ans, et en effet, je connais des gens qui ont 
remplacés IPv4 en 2 ou 3 ans
Mais en travaillant sur le sujet, pas en attendant que ça se fasse par miracle
Du coup oui, ça fait 20 ans que tu te touches, et le sujet n'avance pas tout 
seul


> Recommandation d'une grosse boite de sécurité réputée et cotée en bourse à 
> une autre grosse boite : désactivez IPv6.
Argument d'autorité, qui suppute que les intérêts de la boite de sécurité 
concordent avec les intérêts de la boite "cliente"
Est-ce vraiment intellectuellement honnête ?
Si ce genre de boite était vraiment "ton ami qui te veut du bien", le rapport 
dirai "go delete windows"
Virer windows, comme virer v4, n'est qu'une question de moyens et de travail, 
en quantité raisonnable vis-à-vis du bénéfices à moyen terme

Et kudo à Philippe pour dire que LAN == insecure
La sécurité, comme la connectivité, se fait sur les endpoints
Le reste n'est que porcherie plus ou moins problématique




De : frnog-requ...@frnog.org  de la part de Michel Py 

Envoyé : mercredi 6 janvier 2021 09:28:50
À : 'David Ponzone'
Cc : frnog@frnog.org
Objet : RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Mail externe : n'ouvrez pas de lien ou de pièce jointe si vous ne connaissez 
pas l'expéditeur

> David Ponzone a écrit :
> Tu peux pas filtrer IPv6 en ingress sur tes switch ?

Quand c'est dans le même VLAN çà devient chiant. C'est un peu comme 
port-security basé sur l'adresse MAC et autres ruses level 2 : çà marche, sauf 
quand çà ne marche pas.
Exemple Catalyst : port-security çà marche quand tu as "switchport access vlan 
toto", et le jour ou "par miracle" tu dois implémenter en plus "switchport 
voice vlan tata" tout ton machin se met à merder.
Et je commence pas avec les stacks et les switchs virtuels (VSS), ce genre de 
truc c'est pas prévu dans le chipset, au bout du compte tu te fais tellement 
chier à comprendre quelle est la combinaison plateforme/version qui marche ou 
pas que tu aurais mieux fait de pas essayer. Ne pas router les paquets (L3) 
IPv6, c'est facile; ne pas switcher (L2) les trames qui contiennent IPv6 au 
niveau supérieur, j'y crois pas.


> Erwan David a écrit :
> Moi j'aurais dit "disable windows", non ?

Cà fait 30 ans que tout le monde essaie. Même problème : c'est de la merde, 
mais écrire qu'il faut s'en débarrasser c'est perdre son temps.
Tu veux te débarrasser de Micro$hiotte Windoze ? 3 milliards d'humains (ou 
plus) te soutiennent. Pourquoi depuis 30 ans toi et les milliers de vieux cons 
qui étaient jeunes cons en leur temps ont échoué : parce que vous n'avez 
toujours pas compris comment marche le business. J'ai été un jeune con ;-)


>> Michel Py a écrit :
>> En bas du rapport de plus de 100 pages de Toto, qui va finir dans l'email de 
>> quelqu'un
>> qui gagne en dollars ce que je gagne en cents, et qui va direct aux 
>> conclusions :
>> Key Recommendations :
>> - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal 
>> Windows hosts if not in use.

> Pierre Emeriaud a écrit :
> C'est complètement con comme suggestion. C'est comme s'il y a 30 ans on avait 
> dit "disable ipv4" parce qu'ip
> et ethernet ne sont pas fiables par rapport à osi. Au final c'est pas ce qui 
> a été fait. On se retrouve
> aujourd'hui avec les mêmes attaques qu'à l'époque, et c'est justement parce 
> que les entreprises n'ont pas
> implémenté ipv6 qu'elles se retrouvent dans la merde dès qu'un pentester a le 
> droit de s'amuser un peu.

Je suis à moitié d'accord et à moitié pas. Le coup du serveur DHCP rogue en 
IPv4, çà ne passe plus; ça nous a tellement cassé les pieds dans le temps que 
maintenant on y fait attention.
Et tu oublies le problème de base : impossible d'enlever IPv4, donc IPv6 
continue à rester un emmerdement, aggravé par le fait qu'IPv6 est codé 
prioritaire.

Je suis intellectuellement honnête : le coup du "security circus" et du 
pentester qui s'amuse, çà fait marcher le business de la cyber-peur depuis des 
lustres; et les décideurs qui se mettent à genoux et fuitent un litre d'huile 
dès que bozo approche leur doigt de leur trou du cul, c'est lamentable. Rien de 
nouveau. Ceci étant dit, IPv6 n'a rien changé à cette situation sauf la 
doubler, et je te retourne la faveur : vu que la connerie est inchangée, 
explique moi pourquoi, en plus de l

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Sébastien Lesimple]

Je suis bien d'accord mais va faire accepter a un DSI dont la seule
obsession est le "Quick Win", et le "Azure c'est génial", qu'avant
d'aller se palucher devant son CEO et le CoDir, il faut mettre son achi
à l'état de l'art...
Et donc SMSI/802.1x/segmentation fonctionnelle/chiffrement disque
dur/conformité du poste/IAM-Audit des droits etc... c'est juste la base
Mais çà, c'est impossible dans ce monde de mecs qui se disent DSI mais
qui ne font que gérer un budget sans même comprendre de quoi ils parlent!

Le 06/01/2021 à 08:23, Philippe ASTIER via frnog a écrit :
> Je plusoie.
>
> OK, IPv6 a facilité l’accès à une merde de Windows, sur une infra boiteuse où 
> IPv6 n’est pas maitrisé, les serveurs mais configurés. 
> On peut aussi faire du rogue DHCPv4 et intercepter le traffic des clients si 
> l’infra est merdique.
>
> A ce tarif là, IPv4 transporte des virus tous les jours, let’s ban IPv4.
>
> Sérieusement, le problème n*1, maintenant que Flash est décédé, ça reste 
> Windows. 
> Faire transiter des mots de passe hashés, ça devrait même pas exister.
>
> C’est pas pour rien que les entreprises modernes font du réseau « zéro-trust 
> » même en interne. 
> Donc oui, 802.1x, certificats, etc… et du coup, les faiblesses d’IPv4 ou v6, 
> on s’en fout.
>
> Faut considérer que son LAN est aussi insecure que du WAN dans un lieu public 
> et adapter son infrastructure en conséquence.
>
>> Le 6 janv. 2021 à 08:05, Erwan David > > a écrit :
>>
>> Le 06/01/2021 à 05:57, Michel Py a écrit :
>>
 Key Recommendations :
 - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal 
 Windows hosts if not in use.
>>> C.Q.F.D.
>>> Comme je le dis depuis des années : IPv6 : 2 fois le travail, et 3 fois les 
>>> emmerdes.
>>> ipv6 route ::/0 null0 c'était déjà là, je vais réfléchir à quelques 
>>> préfixes plus longs.
>>> Et qui c'est qui va se palucher les scripts Powershell pour désactiver IPv6 
>>> ? ben devinez, c'est bibi, ou l'autre barbu.
>>> Est-ce que je suis payé pour le faire ? Oui, et pas trop mal. Est-ce que 
>>> j'ai quelque chose de mieux à foutre : oui, aussi.
>>> Le troll "yàkà faire du IPv6 only", il meurt de faim depuis 15 ans. C'est 
>>> pour dreudi, en [MISC].
>>> Michel.
>>> (1) Guy Lux, sur RMC si je me rappelle bien.
>> Moi j'aurais dit "disable windows", non ?
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/ 
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[David Ponzone]

Pour bien sécuriser, faut pas oublier de virer l’humain!

> Le 6 janv. 2021 à 11:13, Philippe ASTIER  a 
> écrit :
> 
>>> Erwan David a écrit :
>>> Moi j'aurais dit "disable windows", non ?
>> 
>> Cà fait 30 ans que tout le monde essaie. Même problème : c'est de la merde, 
>> mais écrire qu'il faut s'en débarrasser c'est perdre son temps.
>> Tu veux te débarrasser de Micro$hiotte Windoze ? 3 milliards d'humains (ou 
>> plus) te soutiennent. Pourquoi depuis 30 ans toi et les milliers de vieux 
>> cons qui étaient jeunes cons en leur temps ont échoué : parce que vous 
>> n'avez toujours pas compris comment marche le business. J'ai été un jeune 
>> con ;-)
> 
> 
> Je suis pas d’accord du tout. Je croise tous les jours des boites qui ont 
> juste totalement viré Windows (ou au moins on-prem), voire MS totalement. Et 
> puis même, c’est pas parce qu’on a du Windows qu’on les configure n’importe 
> comment, qu’on accepte de vieilles authentifications, ou qu’on ne gère pas le 
> reste de l’infra.
> 
> Maintenant, ya toujours des gens qui préfèrent payer des auditeurs pour faire 
> des recommandations qui ont 20 ans d’âge plutôt que de se retrousser les 
> manches et de s’attaquer aux vrais problèmes.
> 
> On est au temps des IdP en SAML et de protocoles pour lesquels les bugs 
> d’IPv4 ou v6 ne vont rien changer, parce qu’on se repose sur des certificats 
> (et ça pose d’autres soucis).
> 
> Bref, j’insiste, mais en 2021, faut juste considérer que son LAN est aussi 
> dangereux que le WAN, même si on prends plus de précautions. C’est les postes 
> qu’il faut protéger individuellement et la communication vers les services de 
> l’entreprise. On fait d’une pierre deux coups, parce qu’on règle en même 
> temps la sécurité à l’extérieur de l’entreprise, y compris en télétravail.
> 
> Mais pas de souci. On peut faire de l’IPv4 seulement, du binding sur des 
> contrôleurs de domaine on-prem. On peut même encore utiliser une machine à 
> écrire en fait.
> 
> Le souci remonté ici, c’est pas IPv6; c’est purement Windows, qu’on corrige 
> en coupant IPv6.
> Autant tirer le câble réseau, c’est plus secure.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Philippe ASTIER via frnog]

>> Erwan David a écrit :
>> Moi j'aurais dit "disable windows", non ?
> 
> Cà fait 30 ans que tout le monde essaie. Même problème : c'est de la merde, 
> mais écrire qu'il faut s'en débarrasser c'est perdre son temps.
> Tu veux te débarrasser de Micro$hiotte Windoze ? 3 milliards d'humains (ou 
> plus) te soutiennent. Pourquoi depuis 30 ans toi et les milliers de vieux 
> cons qui étaient jeunes cons en leur temps ont échoué : parce que vous n'avez 
> toujours pas compris comment marche le business. J'ai été un jeune con ;-)


Je suis pas d’accord du tout. Je croise tous les jours des boites qui ont juste 
totalement viré Windows (ou au moins on-prem), voire MS totalement. Et puis 
même, c’est pas parce qu’on a du Windows qu’on les configure n’importe comment, 
qu’on accepte de vieilles authentifications, ou qu’on ne gère pas le reste de 
l’infra.

Maintenant, ya toujours des gens qui préfèrent payer des auditeurs pour faire 
des recommandations qui ont 20 ans d’âge plutôt que de se retrousser les 
manches et de s’attaquer aux vrais problèmes.

On est au temps des IdP en SAML et de protocoles pour lesquels les bugs d’IPv4 
ou v6 ne vont rien changer, parce qu’on se repose sur des certificats (et ça 
pose d’autres soucis).

Bref, j’insiste, mais en 2021, faut juste considérer que son LAN est aussi 
dangereux que le WAN, même si on prends plus de précautions. C’est les postes 
qu’il faut protéger individuellement et la communication vers les services de 
l’entreprise. On fait d’une pierre deux coups, parce qu’on règle en même temps 
la sécurité à l’extérieur de l’entreprise, y compris en télétravail.

Mais pas de souci. On peut faire de l’IPv4 seulement, du binding sur des 
contrôleurs de domaine on-prem. On peut même encore utiliser une machine à 
écrire en fait.

Le souci remonté ici, c’est pas IPv6; c’est purement Windows, qu’on corrige en 
coupant IPv6.
Autant tirer le câble réseau, c’est plus secure.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Stéphane Rivière]

> Moi j'aurais dit "disable windows", non ?



Mais en fait, en plus, c'est vrai.
ipv6 n'y est pour rien.

Même si j'y passerai que le jour où...
Il faudra y passer :>

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[F. S.]

Non, HashCat.

Le mer. 6 janv. 2021 à 09:50, Christophe Lohr 
a écrit :

> Le 06/01/2021 à 05:57, Michel Py a écrit :
> > Le programme "###" est pas vraiment difficile à trouver; en 3
> > secondes gougleu m'a donné les sources.
>
> John the Ripper... on avait tous compris ;-)
>
> > Et qui c'est qui va se palucher les scripts Powershell pour désactiver
> IPv6 ? ben devinez, c'est bibi, ou l'autre barbu.
>
> mais par contre, l'authentification NTLM ça va rester ?
>
> > (1) Guy Lux, sur RMC si je me rappelle bien.
>
> presque
> https://www.youtube.com/watch?v=bUdhyn2HofE
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
-- 
--
Florian STOSSE | Ingénieur en sécurité informatique

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Christophe Lohr]

Le 06/01/2021 à 05:57, Michel Py a écrit :
> Le programme "###" est pas vraiment difficile à trouver; en 3
> secondes gougleu m'a donné les sources. 

John the Ripper... on avait tous compris ;-)

> Et qui c'est qui va se palucher les scripts Powershell pour désactiver IPv6 ? 
> ben devinez, c'est bibi, ou l'autre barbu.

mais par contre, l'authentification NTLM ça va rester ?

> (1) Guy Lux, sur RMC si je me rappelle bien.

presque
https://www.youtube.com/watch?v=bUdhyn2HofE


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Michel Py]

> David Ponzone a écrit :
> Tu peux pas filtrer IPv6 en ingress sur tes switch ?

Quand c'est dans le même VLAN çà devient chiant. C'est un peu comme 
port-security basé sur l'adresse MAC et autres ruses level 2 : çà marche, sauf 
quand çà ne marche pas.
Exemple Catalyst : port-security çà marche quand tu as "switchport access vlan 
toto", et le jour ou "par miracle" tu dois implémenter en plus "switchport 
voice vlan tata" tout ton machin se met à merder.
Et je commence pas avec les stacks et les switchs virtuels (VSS), ce genre de 
truc c'est pas prévu dans le chipset, au bout du compte tu te fais tellement 
chier à comprendre quelle est la combinaison plateforme/version qui marche ou 
pas que tu aurais mieux fait de pas essayer. Ne pas router les paquets (L3) 
IPv6, c'est facile; ne pas switcher (L2) les trames qui contiennent IPv6 au 
niveau supérieur, j'y crois pas.


> Erwan David a écrit :
> Moi j'aurais dit "disable windows", non ?

Cà fait 30 ans que tout le monde essaie. Même problème : c'est de la merde, 
mais écrire qu'il faut s'en débarrasser c'est perdre son temps.
Tu veux te débarrasser de Micro$hiotte Windoze ? 3 milliards d'humains (ou 
plus) te soutiennent. Pourquoi depuis 30 ans toi et les milliers de vieux cons 
qui étaient jeunes cons en leur temps ont échoué : parce que vous n'avez 
toujours pas compris comment marche le business. J'ai été un jeune con ;-)


>> Michel Py a écrit :
>> En bas du rapport de plus de 100 pages de Toto, qui va finir dans l'email de 
>> quelqu'un
>> qui gagne en dollars ce que je gagne en cents, et qui va direct aux 
>> conclusions :
>> Key Recommendations :
>> - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal 
>> Windows hosts if not in use.

> Pierre Emeriaud a écrit :
> C'est complètement con comme suggestion. C'est comme s'il y a 30 ans on avait 
> dit "disable ipv4" parce qu'ip
> et ethernet ne sont pas fiables par rapport à osi. Au final c'est pas ce qui 
> a été fait. On se retrouve
> aujourd'hui avec les mêmes attaques qu'à l'époque, et c'est justement parce 
> que les entreprises n'ont pas
> implémenté ipv6 qu'elles se retrouvent dans la merde dès qu'un pentester a le 
> droit de s'amuser un peu.

Je suis à moitié d'accord et à moitié pas. Le coup du serveur DHCP rogue en 
IPv4, çà ne passe plus; ça nous a tellement cassé les pieds dans le temps que 
maintenant on y fait attention.
Et tu oublies le problème de base : impossible d'enlever IPv4, donc IPv6 
continue à rester un emmerdement, aggravé par le fait qu'IPv6 est codé 
prioritaire.

Je suis intellectuellement honnête : le coup du "security circus" et du 
pentester qui s'amuse, çà fait marcher le business de la cyber-peur depuis des 
lustres; et les décideurs qui se mettent à genoux et fuitent un litre d'huile 
dès que bozo approche leur doigt de leur trou du cul, c'est lamentable. Rien de 
nouveau. Ceci étant dit, IPv6 n'a rien changé à cette situation sauf la 
doubler, et je te retourne la faveur : vu que la connerie est inchangée, 
explique moi pourquoi, en plus de la connerie IPv4, maintenant je devrais 
doubler la connerie en double-stackant IPv6 ? Le problème d'IPv6, c'est que 
justement c'est basé sur FUD.

L'idée d'IPv6, c'est que çà allait remplacer IPv4 "dans 2 ou 3 ans". Cà fait 20 
ans qu'on me ressasse la même connerie. Malgré que les raisons que les vendeurs 
de cyber-peur qui retournent leur veste tous les ans soient parfois 
questionnables, çà n'enlève rien au fait qu'IPv6 est 2 fois le travail et 3 
fois les emmerdes.

Recommandation d'une grosse boite de sécurité réputée et cotée en bourse à une 
autre grosse boite : désactivez IPv6.
Moi je dis amen; çà fait trop longtemps que ça double ma charge de travail en 
promettant des merveilles et en ne délivrant que des emmerdements.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Erwan David]

Le 06/01/2021 à 08:26, Pierre Emeriaud a écrit :

Le mer. 6 janv. 2021 à 06:00, Michel Py
 a écrit :


En bas du rapport de plus de 100 pages de Toto, qui va finir dans l'email de 
quelqu'un qui gagne en dollars ce que je gagne en cents, et qui va direct aux 
conclusions :


Key Recommendations :
- Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal 
Windows hosts if not in use.


C'est complètement con comme suggestion. C'est comme s'il y a 30 ans
on avait dit "disable ipv4" parce qu'ip et ethernet ne sont pas
fiables par rapport à osi. Au final c'est pas ce qui a été fait. On se
retrouve aujourd'hui avec les mêmes attaques qu'à l'époque, et c'est
justement parce que les entreprises n'ont pas implémenté ipv6 qu'elles
se retrouvent dans la merde dès qu'un pentester a le droit de s'amuser
un peu.



Et se plaindre que ça nous donne du boulot en plus, ben on est quand 
même là pour ça...




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Pierre Emeriaud]

Le mer. 6 janv. 2021 à 06:00, Michel Py
 a écrit :
>
> En bas du rapport de plus de 100 pages de Toto, qui va finir dans l'email de 
> quelqu'un qui gagne en dollars ce que je gagne en cents, et qui va direct aux 
> conclusions :
>
> > Key Recommendations :
> > - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal 
> > Windows hosts if not in use.

C'est complètement con comme suggestion. C'est comme s'il y a 30 ans
on avait dit "disable ipv4" parce qu'ip et ethernet ne sont pas
fiables par rapport à osi. Au final c'est pas ce qui a été fait. On se
retrouve aujourd'hui avec les mêmes attaques qu'à l'époque, et c'est
justement parce que les entreprises n'ont pas implémenté ipv6 qu'elles
se retrouvent dans la merde dès qu'un pentester a le droit de s'amuser
un peu.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Philippe ASTIER via frnog]

Je plusoie.

OK, IPv6 a facilité l’accès à une merde de Windows, sur une infra boiteuse où 
IPv6 n’est pas maitrisé, les serveurs mais configurés. 
On peut aussi faire du rogue DHCPv4 et intercepter le traffic des clients si 
l’infra est merdique.

A ce tarif là, IPv4 transporte des virus tous les jours, let’s ban IPv4.

Sérieusement, le problème n*1, maintenant que Flash est décédé, ça reste 
Windows. 
Faire transiter des mots de passe hashés, ça devrait même pas exister.

C’est pas pour rien que les entreprises modernes font du réseau « zéro-trust » 
même en interne. 
Donc oui, 802.1x, certificats, etc… et du coup, les faiblesses d’IPv4 ou v6, on 
s’en fout.

Faut considérer que son LAN est aussi insecure que du WAN dans un lieu public 
et adapter son infrastructure en conséquence.

> Le 6 janv. 2021 à 08:05, Erwan David  > a écrit :
> 
> Le 06/01/2021 à 05:57, Michel Py a écrit :
> 
>>> Key Recommendations :
>>> - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal 
>>> Windows hosts if not in use.
>> C.Q.F.D.
>> Comme je le dis depuis des années : IPv6 : 2 fois le travail, et 3 fois les 
>> emmerdes.
>> ipv6 route ::/0 null0 c'était déjà là, je vais réfléchir à quelques préfixes 
>> plus longs.
>> Et qui c'est qui va se palucher les scripts Powershell pour désactiver IPv6 
>> ? ben devinez, c'est bibi, ou l'autre barbu.
>> Est-ce que je suis payé pour le faire ? Oui, et pas trop mal. Est-ce que 
>> j'ai quelque chose de mieux à foutre : oui, aussi.
>> Le troll "yàkà faire du IPv6 only", il meurt de faim depuis 15 ans. C'est 
>> pour dreudi, en [MISC].
>> Michel.
>> (1) Guy Lux, sur RMC si je me rappelle bien.
> Moi j'aurais dit "disable windows", non ?
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[David Ponzone]

> Le 6 janv. 2021 à 05:57, Michel Py  a 
> écrit :
> 
> Récemment, des gens que je connais bien on fait appel aux services d'un 
> pénétrateur : une société (connue, cotée en bourse chez NASDAQ) qui, 
> moyennant des $, effectue ce qu'on appelle ici un "pentest". Le mot 
> "penetration", pour rester politically correct, a été raccourci en "pen". Ici 
> aux iouèssé, on ne dit pas qu'on paye quelqu'un pour démontrer comment se 
> faire empapaouter; c'est plus subtil : on dit "Pentest".

[ Longue litanie anti-IPv6 habituelle mais clairement revigorée par ce début 
d’année et l’élection de Biden] :)

> Le troll "yàkà faire du IPv6 only", il meurt de faim depuis 15 ans. C'est 
> pour dreudi, en [MISC].
> 
> Michel.

Tu peux pas filtrer IPv6 en ingress sur tes switch ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Erwan David]

Le 06/01/2021 à 05:57, Michel Py a écrit :


Key Recommendations :
- Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal 
Windows hosts if not in use.


C.Q.F.D.

Comme je le dis depuis des années : IPv6 : 2 fois le travail, et 3 fois les 
emmerdes.
ipv6 route ::/0 null0 c'était déjà là, je vais réfléchir à quelques préfixes 
plus longs.

Et qui c'est qui va se palucher les scripts Powershell pour désactiver IPv6 ? 
ben devinez, c'est bibi, ou l'autre barbu.
Est-ce que je suis payé pour le faire ? Oui, et pas trop mal. Est-ce que j'ai 
quelque chose de mieux à foutre : oui, aussi.

Le troll "yàkà faire du IPv6 only", il meurt de faim depuis 15 ans. C'est pour 
dreudi, en [MISC].

Michel.

(1) Guy Lux, sur RMC si je me rappelle bien.

Moi j'aurais dit "disable windows", non ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Michel Py]

Récemment, des gens que je connais bien on fait appel aux services d'un 
pénétrateur : une société (connue, cotée en bourse chez NASDAQ) qui, moyennant 
des $, effectue ce qu'on appelle ici un "pentest". Le mot "penetration", 
pour rester politically correct, a été raccourci en "pen". Ici aux iouèssé, on 
ne dit pas qu'on paye quelqu'un pour démontrer comment se faire empapaouter; 
c'est plus subtil : on dit "Pentest".

Appelons-donc ce pénétrateur "Toto". Ils l'ont un peu aidé, en lui fournissant 
une VM sur un VLAN local pour le test.
Pardon pour le mélange de l'anglais, mais j'ai voulu garder une version proche 
du rapport que Toto a envoyé.

En haut, tout en haut, des truc pas-glop que Toto a trouvé :

> Critical : Susceptible to Rogue IPv6 DHCP Server Attack: Toto found that 
> Windows hosts had IPv6 enabled, which allowed
> Toto to poison requests, redirect traffic to a Toto-controlled host, and 
> intercept xx NetNTLMv2 password hashes.
> Finding Summary : 
> Some IPv6 implementations, such as the default configuration for Microsoft 
> Windows Operating Systems starting with
> Windows Vista, attempt to configure IPv6 settings using DHCP. When attempting 
> to configure through DHCP, clients
> send a 'Solicit' message to the multicast 'All_DHCP_Relay_Agents_and_Servers' 
> address (FF02::1:2). A malicious actor
> could host a rogue DHCPv6 service, which could listen for these requests and 
> provide responses that allow the
> malicious actor to control IPv6 settings for the client. If the malicious 
> actor can set the DNS server address used
> by the client, they could send poisoned DNS query responses for hostnames 
> that the client attempts to resolve,
> soliciting client connections for a destination set by the malicious actor. 

Toto aime bien écrire, mais il enfonce un peu des portes ouvertes; absolument 
rien de nouveau.
Toto a utilisé deux scripts python :

> Toto detected IPv6 traffic on the internal network and was able to perform 
> poisoning attacks against internal hosts using toto01.py

En gros : ce script donne une adresse IPv6 fe80:: aux machines qui demandent, 
avec, bien sur, des serveurs DNS pointant sur lui-même.

> While poisoning IPv6 traffic, Toto then used toto02.py to attempt NTLM 
> relaying and to respond to requests for wpad.dat.
> Figure xx shows an example authentication event from this attack, which 
> allowed Toto to capture xx NetNTLMv2 password hashes:

Et c'est là ou la merde commence à toucher le ventilo, car, avec le NTLMv2 
hash, on peut commencer à s'amuser :

> After capturing xx NetNTLMv2 password hashes through IPv6 poisoning, Toto was 
> able to
> crack the ‘claude.michu’ account password using program "###", as shown 
> in Figure xx:

Le programme "###" est pas vraiment difficile à trouver; en 3 secondes 
gougleu m'a donné les sources.
Tout le monde sait que le schmilblick est un oeuf (1), mais on ne peut pas le 
dire en public.
Très intéressant comme programme, d'ailleurs. Cà utilise (entre autres) les 
cartes graphiques AMD et/ou Nvidia, Cuda, tout çà.
[Va falloir que je commande le dernier cri de la carte graphique pour tester 
FS2020^H^H^H^H^H^H ###. Et miner du 3!7c0!n]

Le reste je ne peux pas commenter, mais disons simplement que Toto le 
pénétrateur rigole dans sa barbe et revient l'année prochaine.
En utilisant IPv6 comme tête de pont, il a pénétré. A quelle profondeur et 
est-ce que c'était à sec, ces informations sont réservés aux intimes.
Je précise, je ne suis pas Toto, mais j'ai fait, dans un passé relativement 
récent ;-)

En analysant un peu, ce n'est pas un problème nouveau; RFC7610 et DHCPv6-guard, 
çà n'existe pas pour rien; mais c'est loin d'être parfait.
Cà va resserrer les boulons pour 802.1x pour limiter les velléités de Toto à 
déployer son propre matos si on ne lui fournit pas la VM sur le réseau interne, 
mais ce n'est pas suffisant non plus. Les portables qui ont le bon certificat 
802.1x et les "cached credentials", çà s'égare, se perd, et se vole. Les 
employés ou sous-traitants qui peuvent installer python sur une bécane et la 
brancher sur le réseau, çà existe aussi. Restreindre l'accès, çà limite le 
risque mais ne l'élimine pas.


En bas du rapport de plus de 100 pages de Toto, qui va finir dans l'email de 
quelqu'un qui gagne en dollars ce que je gagne en cents, et qui va direct aux 
conclusions :

> Key Recommendations :
> - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal 
> Windows hosts if not in use.

C.Q.F.D.

Comme je le dis depuis des années : IPv6 : 2 fois le travail, et 3 fois les 
emmerdes.
ipv6 route ::/0 null0 c'était déjà là, je vais réfléchir à quelques préfixes 
plus longs.

Et qui c'est qui va se palucher les scripts Powershell pour désactiver IPv6 ? 
ben devinez, c'est bibi, ou l'autre barbu.
Est-ce que je suis payé pour le faire ? Oui, et pas trop mal. Est-ce que j'ai 
quelque chose de mieux à foutre : oui, aussi.

Le troll "yàkà faire du IPv6 only", il meurt de