Bonjour,
Je viens de m'inscrire à la liste, ma première question est très simple
(pour vous), je m'aventure à la poser un vendredi 13, soyez indulgent SVP.
On ne peut pas ouvrir un réseau en production auquel on ajoute IPv6 vers
l'internet (même pas un ping6 ni dns), de peur que la sécurité soit
supprimée, 300 personnes dans la panade et hystérie.
Donc il faut un firewall IPv6, un minimal, mais une rolls-royce de
confiance (donc en provenance de bonne source qui a validé), juste pour
commencer, en vrai.
Existe-t-il un exemple d'un tel filtre IPv6 bâti avec ip6tables ?
Partie de la page IPv6 du projet plume CNRS
https://www.projet-plume.org/fr/ressource/information-pour-installer-ipv6-dans-un-laboratoire-ou-une-universite
j'ai potassé plein de documents (aussi du G6!), y compris les documents
assez fantastiques du NIST, qui disent point par point quoi faire (sans
exemples, mais en concepts):
http://csrc.nist.gov/publications/nistpubs/800-119/sp800-119.pdf
http://www.antd.nist.gov/usgv6/usgv6-v1.pdf
J'ai aussi potassé http://www.sixxs.net/wiki/IPv6_Firewalling
Ce que j'aurais aimé de voir est un exemple de filtre ip6tables adapté à
nos contextes:
1. préfixe obtenu PREFIX:/48
2. créer un ilot de test IPv6 dans un :/52 (ou :/60)
3. les basiques: tout fermer, ouvrir ping6 pour peu de machines, le DNS
serveur pour 2 autres, les DNS client pour 1 ou 2
4. caser le tout dans un vlan-IPv6 ?
5. mettre cela dans un Linux-devil (ou autre), pour lancer ceci, pour
arrêter cela
6. tester ping6 en local et le DNS IPv6 en local
7. ne pas faire ci ou cela (grosses erreurs que l'on peut faire par
mimétisme d'IPv4)
8. à ce stade ouvrit IPv6 / router vers votre point de collecte régional
ou universitaire; vous ne craignez rien, car le filtre ip6tables protège
bien
9. passez zonecheck seulement en IPv6, se corriger pour que cela fonctionne
10. tester intrusion de l'extérieur avec ci ou cela
11. arrêter ou non IPv6 (cf. point 5)
Cela parait très simpliste ?
Merci d'avance,
Elisabeth Porteneuve
_______________________________________________
G6 -- Association Francophone pour la promotion d'IPv6 (http://www.g6.asso.fr)
Liste IPv6tech [email protected]
Info : http://mail.g6.asso.fr/mailman/listinfo/ipv6tech
