Ah la côte ouest est réveillée ! J’espère qu’il fait plus beau qu’ici.
> Le 15 mars 2019 à 17:59, Michel Py <mic...@arneill-py.sacramento.ca.us> a > écrit : > > Oui, concevoir le protocole simplement. K.I.S.S. > Exemple : FTP. Mal conçu, il utilise 2 ports et il y a à l'intérieur du > paquet des informations à propos de l'adresse source qui rend nécessaire un > ALG NAT qui re-écrit ces infos. > Exemple : Telnet. Bien conçu, le serveur se base sur l'IP source qu'il voit, > donc qui a déjà été modifiée par NAT, çà marche avec double NAT sans probléme. D’un point de vue sécu, FTP et Telnet sont bannis au profit d’SSH/SFTP, mais on s’est inspiré des deux, et il y a un port unique, et ça supporte bien le NAT. >> Toussaint OTTAVI a écrit : >> Pour moi qui ne suis pas téléphoniste, mais juste firewalliste, >> un port unique et fixe, c'est déjà plus que parfait :-) > > +1 +100 Bon, le souci est qu’aujourd’hui plein d’applications se masquent derrière le 443.. . >> Philippe ASTIER a écrit : >> Pour autant que je sache, à part IPv6, on n’a rien dans les tuyaux comme >> alternative, > > Pas aujourd'hui. > >> donc il n’y a juste pas le choix. > > Pas encore. Quelqu’un travaille sur quelque chose ? Donc rien de neuf avant … 20 ans. Qu’on le veuille ou non, IPv6 sera déployé largement. Les GAFAM ont tous implanté IPv6 pour tous leurs services, c’est une masse considérable de traffic et de clients. Après, comme disait quelqu’un, il suffirait que le porno bascule, c’est le facteur déterminant. > C'est bien là le problème : l'acharnement thérapeutique à déployer IPv6 > conduit à faire quelque chose qui est 3 fois plus compliqué que l'usine à gaz > qu'on a déjà en IPv4. > Les gens qui disent que l'acharnement thérapeutique c'est IPv4, ils devraient > regarder autour d'eux. IPv4 est de très loin LE protocole de l'Internet, et > il n'est pas en train de mourir. C’est 75% du traffic, c’est vrai. >> En fait, on n’a plus le choix. Et on devrait profiter de l’expérience >> ceux qui ont participé à bâtir les protocoles précédents. > > Le choix, c'est d'admettre que le déploiement d'IPv6 est un échec et de > repenser quelque chose de déployable. Et çà veut dire qu'on va continuer à > faire des bidouillages immondes pendant encore 20 ans. Il y trop d’acteurs impliqués qui se font concurrence. Je suis pessimiste en la matière, les gens s’en foutent du moment qu’ils peuvent Twitter et liker…. C’est triste. Qui travaille sur les protocoles aujourd’hui ? Je fais partie d’une commission 5G de l’IEEE… en 5 mois, on a réussi à se mettre d’accord sur l’agenda des réunions, qui aurait le droit de voter et les principes directeurs de la commission. Ca va prendre des années avant qu’on accouche d’un truc qui sera dépassé avant même qu’on ait fini et que personne ne voudra appliquer. En fait, il faut qu’on réagisse et devienne plus réactif, sinon c’est les entreprises privées qui feront à leur sauce. > >> Samuel Thibault a écrit : >> J'avais vu une étude qui estimait qu'on a déjà dépensé du genre 2x plus de >> fric à bricoler >> NAT etc. que ce qu'on aurait eu à dépenser pour juste mettre en œuvre IPv6. > > Il y a de la vérité dans ceci, mais çà n'enlève rien au fait que IPv6 n'est > pas déployé. 25% du traffic internet, c’est pas négligeable. N’exagérons rien. Le 15 mars 2019 à 17:42, thierry.ch...@ac-clermont.fr a écrit : > C’est un exemple. Il y a aussi des applications très anciennes qu’on n’a pas > les moyens de refaire à neuf, des applications plus modernes mais qui ont > souffert d’une absence d’intégration de la question sécuritaire. Il y a aussi > les simples erreurs de conception. > > Et au final, pour nombre d’entre elles, le firewall suffit à limiter le > risque. Alors acceptons que Renault ferme ses usines pendant 3 jours consécutifs, que la SNCF ait des soucis une semaine, ou que la sécu anglaise soit paralysée une semaine sous prétexte qu’on n’a pas les moyens. On les fera évoluer quand il y aura des morts comme d’habitude. Pour moi, le « firewall suffit « , c’est ça qui m’inquiète. Et il y a des univers où on ne peut pas se contenter de si peu. Allez voir tout ce qui est ouvert sur Shodan, vous aurez froid dans le dos. (PS: j’ai été en charges d’applications lourdes à faire évoluer, et je sais ce qu’une contrainte budgétaire veut dire.) > Ça fait aussi 10 ans que j’entends dire que la sécurité perimetrique c’est > dépassé et ça fait 10 ans que quand j’investigue un peu sur les moyens de > gérer une sécurité au plus proche, je tombe sur des solutions au mieux mal > dimensionnées, au pire bouffones. > > Moi aussi j’ai 75% dehors, mais il se trouve que les 75% dehors sont d’une > part moins vulnérables et d’autre part moins critiques. Le périmétrique est nécessaire mais très très insuffisant. Wannacry a passé les firewall, et les PC ont infecté les infra de l’intérieur, comme un cheval de Troie. La messagerie est un vecteur monstrueux de menaces, et ça passe aussi les firewall. Qu’entends-tu par « sécurité au plus proche » ? Pour moi, il faut justement commencer par retirer tout ce qui est vérolé et plus maintenu… Novell, IPX, AppleTalk, DECnet, AFP, Exchange (et zut mal parti ça !!) où je ne sais quoi encore (bon, je provoque un peu là). A l’extérieur de l’entreprise, sur les ordis, tablettes et téléphones portables, il y a les mails de l’entreprise, les certificats, les logins, probablement un paquet de mots de passe, et tous les moyens d’infecter l’infra interne au retour. Il y a de quoi faire du social engineering aussi, de quoi attaquer l‘entreprise sans même parler une seule microsonde à aucun firewall. Alors ce n’est pas être pas une menace directe à l’infra interne, mais c’est un risque énorme pour l’entreprise. Je me répète, je me battrai longtemps, les menaces ont profondément changé...
signature.asc
Description: Message signed with OpenPGP
