Bonjour, Un premier feedback concernant World IPv6 day, plus particulièrement ce qui semble être une mauvaise pratique : l'utilisation de SLAAC (StateLess Address Auto-Configuration) sur des serveurs publics.
J'y vois deux problèmes majeurs, sur lesquels j'aimerai avoir vos impressions : - Scenario de reprise après incident : panne matérielle Le serveur tombe en rade, le service doit migrer sur une nouvelle machine physique, quelle est la probabilité que le technicien en charge pense à (voir puisse) cloner l'adresse MAC de l'ancien serveur, et donc maintenir la même adresse publique ? Au mieux, ça fait perdre quelques minutes sur la remontée, au pire c'est impossible (hébergeur ne le permettant pas, driver ou OS bugué), dans quel cas le délai de reprise après incident est fonction du délai de propagation DNS. - Exposition de faille de sécurité L'adresse étant composée depuis la MAC de l'interface réseau, ça expose des caractéristiques matérielles de la machine, et donc des failles potentielles sur le hardware ou les drivers associés, cas typique permettant une attaque en déni de service ciblé (et non distribué) Dans les deux cas, ça me semble représenter un risque trop grand pour que l'usage de SLAAC soit considéré comme pertinent sur des serveurs publics. Ca expose aussi un défaut d'implémentation pour les hébergeurs de serveurs dédiés principalement : les mécanismes d'attribution d'adresses doivent prévoir une association manuelle de l'adresse aux machines, justement pour prévoir ce genre de cas de figure. Est ce le cas chez vous ? Enfin, à tout hasard, est ce que ce problème potentiel a déjà été analysé ? Auriez vous des pointeurs à proposer ? Bon IPv6 day ;) -- Jérôme Nicolle 06 19 31 27 14 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
