Bonjour,
Le 08/03/2019 à 00:22, "Florent H. CARRÉ (COLUNDRUM)" a écrit : > Bonsoir la liste, >[...] > À l'heure actuelle, le passage en full IPv6 est actuellement bloqué de mon > côté parce qu'on perdrait l'avantage d'avoir un firewall d'étage, un firewall > global de site … Avec une bonne compréhension des adresses et un bonne répartition des plages d'adresses, ça sera encore plus facile en v6 pour ton ou tes firewall. Exemple si tu disposes d'un /48 , ton firewall global appliquerait les politiques les plus 'souples' et au fur et à mesure que tu sois obligé d'avoir un réseau particulier (dans un /52, /56, ...) , tu aurais des règles plus strictes. > On filtre à fond et surtout on est des anti-upnp. > (On a même prévu de basculer sur freeDiameter à la place de freeRadius, on > est à fond sur le TLS & co (U2F…) en ce moment même en interne). > > Les serveurs sont tous en automatisation extrême : on a un Ansible AWX qui > tourne avec des jobs qui sont exécutés toutes les 5/10/30 minutes suivant ce > que les jobs font afin d'avoir constamment un parc conforme aux attentes > notamment pour les règles firewall (inclus dans un job tournant toutes les 5 > minutes). > > C'est extrême mais au moins, on arrive à dormir sur nos 2 oreilles sur ce > point. > > Mais que faire pour les postes clients/utilisateurs ? On a de tout et c'est > bien le problème sans oublier le BYOD. Je ne connais pas ton contexte mais en segmentant le réseau en vlan et en confinant chaque catégorie d'utilisateurs dans un vlan dédié contribue à améliorer la gestion. > On doit mettre du firewall de partout et c'est le problème de ne plus avoir > de firewall global … > > On fait un SSID spécial BYOD mais comment éviter de supprimer l'IPv6 dans ce > cas ? Il y a de grandes entreprises qui ont des réseaux wifi pour invité sur IPv6 [1] si ça peut te rassurer. Elles les utilisent notamment pour tous leurs personnels qui souhaitent avoir du wifi pour leurs smartphones. 1. Exemple... https://youtu.be/nd0vgU6WbPo?t=1538 > [...] > On a dans les cartons le fait d'attribuer des IPv6 dédiés par site web > (pourquoi la landing et le serveur d'API devrait utiliser la même IP publique > ?), par service (une pour le ssh admin, une pour le backup) et bien d'autres > … avec notamment du local only et de l'ouvert vers internet suivant les cas. Il y en a qui attribue un /64 par conteneur [2] . Le plus important est de bien structurer son déploiement. 2. (page 62) https://www.ipv6.org.uk/wp-content/uploads/2018/10/FB_IPv6-UK-Council_Dec2017.pdf > Seulement les bastions ssh, les serveurs web et autres nécessaires seraient > disponible sur internet tandis que les restants seraient exclusivement en > local only. Tu pourrais attribuer plusieurs adresses unicast aux serveurs sur différentes plages. Une pour plage pour les accès publiques et une pour les accès internes. > [...] > Peut-être que je suis l'un de ceux qui ne veut pas rester dans l'ombre, ose > le dire, cherche des solutions (ne plus trop penser NAT notamment) et espère > qu'un jour, on soit en IPv6 only (LAN et WAN). Courage. De manière incrémentale , c'est possible :) > Je ne lance pas une bouteille à la mer mais je dois admettre que > personnellement, je suis preneur de retours d'expériences et même d'échange > pour mettre en place (migration) une dual-stack la plus efficiente et surtout > open source (pas de black box sinon j'aurais déjà toqué à la porte de > C....P....). Ca serait intéressant de participer par exemple à au moins une réunion du RIPE [3] et/ou de consulter les supports de présentation déposés en ligne [4]. La prochaine réunion , RIPE78, aura lieu en islande en Mai. Ca te permettra de discuter avec un grand nombre de personnes et aussi de comprendre plusieurs enjeux :) 3. https://www.ripe.net/participate/meetings/ripe-meetings 4. https://ripeXXXX.ripe.net/archives/ où XXXX est le numéro de la réunion > N'y aurait-il pas un moyen de faire une sorte de référentiel (BCP book) signé > FRnOG sur le sujet ? Je t'aurai conseillé un MOOC «Objectif IPv6» [5] mais il n y a pas d'inscription en ce moment. A défaut de connaitre des initiatives sur le sol français, il faut consulter les différentes possibilités de formation [6] avec le RIPE NCC. 5. https://www.fun-mooc.fr/courses/course-v1:MinesTelecom+04012+session04/about 6. https://www.ripe.net/support/training -- Willy Manga @ongolaboy https://ongola.blogspot.com/
signature.asc
Description: OpenPGP digital signature
