On 12/27/11 12:48 PM, Jérôme Nicolle wrote: > Le 27 décembre 2011 12:41, Damien Fleuriot <[email protected]> a écrit : > >> Ca n'a rien à voir avec le sujet abordé, à savoir rendre un service >> public joignable via une ipv6 publique. > > Non, le sujet, c'est le RA-Guard sur les switchs. > >> Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde. > > Jusqu'à ce que ton admin-stagiaire oublie de desactiver terredo sur le > master avec lequel tu deploies tes WS, ou qu'un worm le réactive. >
Mais je sais pas d'où vous sortez tous la présomption que nos serveurs soient sous windows ? IMHO la probabilité qu'un worm vienne recompiler le kernel de freebsd pour activer INET6, l'installer, rebooter la machine puis lancer un exploit sur ip6 est assez faible. Après, si on considère (et ce n'est pas mon cas) un LAN de postes utilisateurs, sous windows, là effectivement le danger est bien réel et le besoin de se protéger tout à fait justifié. >> A partir du moment où seuls mes frontaux parlent ipv6 je suis >> relativement tranquille, ces machines proposent des fonctionnalités >> assez sympa, notamment celle de refuser les RA. > > Les RA ne peuvent être qu'à destination de fe80::/64 et ff02::1, il me > semble. Donc pas routables, donc tes FW frontaux ne sont même pas > sensés en voir passer. > >> Même discours chez juniper où ils annoncent la feature pour junos 12.x >> qui est pour "l'an prochain" > > Oui, mais j'ai pas encore eu de réponse "officielle" à ce sujet, > j'attends que quelqu'un de chez juniper se manifeste... > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
