On 26/06/2023 19:06, Laurent Barme wrote:
Le 26/06/2023 à 18:50, Léo El Amri via frnog a écrit :
On 26/06/2023 18:32, Laurent Barme wrote:
…
Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48
si on est vraiment pas content). Par contre je ne vois pas où est le
danger. Si c'est une question de taille de table de blocage, tu ne
peux de toute façon pas bloquer moins qu'un /64 dans un bloc IPv6,
entre autre en raison du point suivant (les extensions de "vie privée"
IPv6).
2^64 > 2^32 ; même en bloquant par /64, ça en fait potentiellement un
peu plus quand même question taille de table de blocage.
En effet, c'est possible. Mais je pense que ça dépend moins du nombre
d'adresses disponibles que du nombre d'attaquants actifs. Un /64 en IPv6
c'est souvent l'équivalent d'un /32 en IPv4. Le problème de taille de la
table de blocage se pose SI les attaquants ont accès à plus de /64 IPv6
qu'ils n'auraient accès à des /32 IPv4. Et dans ce cas, en effet, il
faudrait faire des règles de blocages intelligentes ou carrément faire
du DPI. Je n'ai jamais été exposé à ces problèmes donc je ne me rend pas
compte de la "chance" que ça arrive. Mais des solutions existent, donc
la (grande) taille de l’espace d'adressage me semble être un argument
peu recevable pour justifier de ne pas utiliser l'IPv6.
Pour ce qui concerne la menace que je perçois pour la vie privée
c'est lié à l'identification plus précise de l'utilisateur dont le
poste n'est pas (un peu) masqué par une IP publique partagée.
Il me semble que jusqu'à très très récemment, la plupart des
équipements dans une "maison" étaient tous derrière une unique IPv4
publique. Et je ne vois pas en quoi les extensions de vie privée de
l'IPv6 (pour le SLAAC), qui émulent plus ou moins le même niveau de
"""protection""" que le type de NAT IPv4 sus-mentionné, ne répondent
pas au besoin. On peut certes mieux identifier une machine sur une
session donnée, mais, pour Windows en tous cas, au prochain
redémarrage l'adresse IPv6 aura changé. Je ne pense pas qu'on puisse
faire mieux au niveau de la couche IP.
Tu as raison mais la ré-attribution d'une IPv6 par poste ça peut être
désactivé, le NAT non. De plus, si entre deux redémarrage sous Windows,
l'IPv6 reste constante alors, le port du NAT change à chaque nouvelle
requête.
Pour moi, si le comportement par défaut ne respecte pas la vie-privée,
c'est un problème logiciel. À l'époque de la RFC 4941 on aurait pu dire
que c'est un problème humain (de configuration), mais désormais la
recommandation de NE PAS faire de cette option un comportement pas
défaut a été retiré (RFC 8981). Linux est un assez mauvais élève par
défaut, mais les solutions user-land sont très bonnes. Windows est
curieusement un bon élève par défaut : activé et changement toutes les
24h ou à chaque redémarrage.
Si l'utilisateur veut désactiver les options de "vie privée", qu'on le
laisse faire !
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
