> David Ponzone a écrit : > Tu peux pas filtrer IPv6 en ingress sur tes switch ?
Quand c'est dans le même VLAN çà devient chiant. C'est un peu comme port-security basé sur l'adresse MAC et autres ruses level 2 : çà marche, sauf quand çà ne marche pas. Exemple Catalyst : port-security çà marche quand tu as "switchport access vlan toto", et le jour ou "par miracle" tu dois implémenter en plus "switchport voice vlan tata" tout ton machin se met à merder. Et je commence pas avec les stacks et les switchs virtuels (VSS), ce genre de truc c'est pas prévu dans le chipset, au bout du compte tu te fais tellement chier à comprendre quelle est la combinaison plateforme/version qui marche ou pas que tu aurais mieux fait de pas essayer. Ne pas router les paquets (L3) IPv6, c'est facile; ne pas switcher (L2) les trames qui contiennent IPv6 au niveau supérieur, j'y crois pas. > Erwan David a écrit : > Moi j'aurais dit "disable windows", non ? Cà fait 30 ans que tout le monde essaie. Même problème : c'est de la merde, mais écrire qu'il faut s'en débarrasser c'est perdre son temps. Tu veux te débarrasser de Micro$hiotte Windoze ? 3 milliards d'humains (ou plus) te soutiennent. Pourquoi depuis 30 ans toi et les milliers de vieux cons qui étaient jeunes cons en leur temps ont échoué : parce que vous n'avez toujours pas compris comment marche le business. J'ai été un jeune con ;-) >> Michel Py a écrit : >> En bas du rapport de plus de 100 pages de Toto, qui va finir dans l'email de >> quelqu'un >> qui gagne en dollars ce que je gagne en cents, et qui va direct aux >> conclusions : >> Key Recommendations : >> - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal >> Windows hosts if not in use. > Pierre Emeriaud a écrit : > C'est complètement con comme suggestion. C'est comme s'il y a 30 ans on avait > dit "disable ipv4" parce qu'ip > et ethernet ne sont pas fiables par rapport à osi. Au final c'est pas ce qui > a été fait. On se retrouve > aujourd'hui avec les mêmes attaques qu'à l'époque, et c'est justement parce > que les entreprises n'ont pas > implémenté ipv6 qu'elles se retrouvent dans la merde dès qu'un pentester a le > droit de s'amuser un peu. Je suis à moitié d'accord et à moitié pas. Le coup du serveur DHCP rogue en IPv4, çà ne passe plus; ça nous a tellement cassé les pieds dans le temps que maintenant on y fait attention. Et tu oublies le problème de base : impossible d'enlever IPv4, donc IPv6 continue à rester un emmerdement, aggravé par le fait qu'IPv6 est codé prioritaire. Je suis intellectuellement honnête : le coup du "security circus" et du pentester qui s'amuse, çà fait marcher le business de la cyber-peur depuis des lustres; et les décideurs qui se mettent à genoux et fuitent un litre d'huile dès que bozo approche leur doigt de leur trou du cul, c'est lamentable. Rien de nouveau. Ceci étant dit, IPv6 n'a rien changé à cette situation sauf la doubler, et je te retourne la faveur : vu que la connerie est inchangée, explique moi pourquoi, en plus de la connerie IPv4, maintenant je devrais doubler la connerie en double-stackant IPv6 ? Le problème d'IPv6, c'est que justement c'est basé sur FUD. L'idée d'IPv6, c'est que çà allait remplacer IPv4 "dans 2 ou 3 ans". Cà fait 20 ans qu'on me ressasse la même connerie. Malgré que les raisons que les vendeurs de cyber-peur qui retournent leur veste tous les ans soient parfois questionnables, çà n'enlève rien au fait qu'IPv6 est 2 fois le travail et 3 fois les emmerdes. Recommandation d'une grosse boite de sécurité réputée et cotée en bourse à une autre grosse boite : désactivez IPv6. Moi je dis amen; çà fait trop longtemps que ça double ma charge de travail en promettant des merveilles et en ne délivrant que des emmerdements. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
