Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Willy Manga 

Bonjour,

On 26/04/2021 22:02, Michel Py via frnog wrote:
>> Michel Py a écrit :
>> [...]
> Hélas non, ça fait toujours 2^(128 - 29), les 64 bits de droite étant 
> disponibles :-( (à moins de bloquer dès le départ à /64).
> Et puis, même si ça n'était "que" 2^(128 - 29 - 64), ça ferait quand même 
> 2^35 soit 34.359.738.368, suffisamment pour exploser ta blacklist.
> Un PC peut se reconfigurer lui-même, peut-être pas avec complètement 2^64, 
> mais suffisamment pour être trop énorme pour 
suivre.
> Je n'y connais pas vraiment grand-chose, faudrait regarder dans les environs 
> de ça :
> https://tools.ietf.org/html/rfc4941

C'est désormais la RFC8981  qui la remplace totalement
https://tools.ietf.org/html/rfc8981
"Temporary Address Extensions for Stateless Address Autoconfiguration in
IPv6"

>> (Par contre je ne comprends par comment cela pourrait préserver la vie 
>> privée de changer d'adresse dans une plage /64).
> 
> C'est une histoire de suivi (tracking) et de corrélation. Tout comme les 
> cookies, big data suis ton adresse IP. Exemple typique : je suis en train de 
> surfer dur mon PC, et le peu de pub qui passe à travers sont à propos de 
> switch, d'optiques, ou autres. Ma femme achète un sous-tif en ligne (de son 
> PC, pas du mien), et bam tout d'un coup les pubs que je reçois sont de la 
> lingerie féminine. Comment tu crois que ça arrive ? On est tous les deux 
> derrière NAT sur la même IP publique. Big data.


Je pense que ces opérateurs ont des mécanismes qui ne se basent 
pas
seulement sur l'IP pour "caractériser" une personne.

> Vu que avec IPv6 soi-disant il n'y a pas de NAT, chaque PC serait (en plus de 
> l'IP de la famille) identifiable individuellement, l'adresse IPv6 étant une 
> fonction de l'adresse MAC (les 64 bits de droite). Ce qui permettrait un 
> suivi encore plus pointu et les GAFA de mettre leur nez encore plus profond. 
> L'idée c'était donc que, dans la plage du subnet local /64, l'adresse du PC 
> change régulièrement, ce qui en 
théorie empêcherait le tracking. Sauf que il y a tellement de méthodes pour 
tracker que l'utilité est douteuse.

Je serais plus fin en disant "chaque interface réseau" et non juste PC
peut avoir au moins une  adresse globalement routable (mais dans la
pratique c'est souvent au moins 2).


Même si je doute que tous les systèmes d'exploitation implémentent
absolument la RFC 8981 à l'heure actuelle; la plupart, sinon tous,
n'emploieront jamais l'adresse IPv6 générée à partir de l'adresse MAC
(EUI-64) pour le traffic de *sortie*.

Il y a plusieurs autres mécanismes pour générer des adresses. En terme
de privacy, ici ce qui compte c'est que si mon interface réseau (ou plus
grossièrement mon PC) se retrouve dans un autre LAN, chez moi ou
ailleurs, les adresses générées de manière temporaire 
n'auront pas les
mêmes "caractéristiques" d'un réseau à l'autre.

La RFC https://tools.ietf.org/html/rfc7721 résume toutes les
considérations à prendre en compte en terme de sécurité 
et privacy pour
IPv6. Le tableau 1 fait un résumé de l'analyse.



-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



OpenPGP_signature
Description: OpenPGP digital signature

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog 
> Laurent Barme a script :
> Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de milliers 
> d'IPv4 qui
> leurs ont adressé des requêtes malvenues, plus de 24000 pour celui le plus 
> harassé.
> Pour les pirates, cela ferait un budget de $70 rien que pour les adresses 
> IP.

Sauf que les pirates ne payent pratiquement jamais les adresses. Sur les 24000, 
il y en a 23000 qui sont des victimes : le PC de Claude Michu s'est fait 
contaminé par un merdiciel, c'est lui qui t'attaque, et si il trouve quelque 
chose il va en rendre compte au pirate. Pour Claude Michu, non seulement il 
faut décontaminer le PC, mais il faut aussi parfois whitelister l'adresse. Et 
pour les 1000 qui restent, oui c'était le pirate, sauf qu'il était chez un 
hébergeur pas regardant et éphémère.

> Je sais qu'il est possible de bloquer une plage d'adresse mais au risque de 
> bloquer les accès légitimes dans la plage.

C'est déjà le cas avec IPv4, il y a 3 cas courants :

- L'hébergement mutualisé : sur 1 IP on met 100 sites WordPress ou autre, ou 
100 VM de daube derrière NAT, qu'on vend 2€ par mois. Quand un des sites se 
fait pirater, c'est l'IP entière qui se fait blacklister et tous les autres 
avec. Solution : Si t'as un business un peu sérieux, dépense un peu plus que 2€ 
par mois pour ton site.

- Les subnets d'hébergeurs sans scrupules : le pirate change d'hébergeur, et le 
nouveau client récupère l'adresse précédemment utilisée par le pirate, et qui 
est tellement blacklistée et parfois à la main que le nouveau client galère 
pendant des semaines à se faire délister.

-Variation sur le précédent : quand un /24 arrive à un certain niveau de 
contamination, il y en a certains qui bloquent le /24 entier, il y a un moment 
où ça devient nécessaire. Cette partie va devenir éminemment plus nécessaire 
avec IPv6, pour les raisons expliquées plus tôt.

Comme le faisait remarquer plus tôt Vincent avec blacklistd, le besoin de 
bloquer directement un préfixe en se basant sur une adresse a déjà été anticipé 
pas les gens qui sont plutôt du côté système (je suis plutôt du côté réseau). 
C'est un de ces exemples ou, pour adopter IPv6, il faut refaire ou adapter les 
outils.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Une announce BGP inhabituelle (armée étatsunienne)

2021-04-26 Par sujet Michel Py via frnog 
> Thomas Brenac a écrit :
> Ce qui était gratuit et synonyme de liberté d'internet devient mercantile, et 
> je suis bien
> place pour le savoir. Mais au fonds de moi, je pense fermement que ce /8 
> devrait revenir
> et être redistribue aux RIRs, comme dans le bon vieux temps, gratuitement. Je 
> rêve.

Carrément. En plus, maintenant que nous sommes dans la phase "mercantile", je 
ne crois pas que ça serait une bonne idée de donner les adresses pour rien. Ca 
a été débattu, il y avait plein de margoulins connus dans la liste d'attente 
dont le but était de les obtenir gratos pour les revendre plus tard, que 
finalement je préfère le système du marché libre. Au moins ça n'enrichit pas 
les profiteurs.

Ce qu'il faudrait en faire des adresses du DoD si jamais elle se libèrent 
vraiment, c'est de les incorporer dans RFC1918. Mais ça ne peut pas arriver, 
car ça donnerait raisons au squatteurs.

> En plus des contraintes techniques, personne n’achètera un /8 (hors un 
> Google/Amazon/Microsoft),
> car les plus gros autres acheteurs sont souvent dans le collimateur des US
> (Iran, golf Persique au sens large, Chine) n'y auront pas acces.

C'est vrai que l'Iran qui achèterait un /8 du DoD du Grand Satan, ça fait 
carrément sourire comme idée !

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Radu-Adrian Feurdean 



On Mon, Apr 26, 2021, at 09:34, Vincent Habchi wrote:
> > On 26 Apr 2021, at 09:15, Laurent Barme <5...@barme.fr> wrote:
> > Peut-être est-ce que ce passage à l'IPv6 est encore trop marginal pour 
> > susciter un investissement des pirates sur ce créneaux ?
> 
> Ici, en France, Free alloue un /64 en v6, si je me souviens bien, à 
> chaque propriétaire d’une Freebox, mais est-ce que les autres font de 
> même ?

Deja Free alloue un /60 pas un /64. Ce n'est pas typique, les autres allouent 
un /56 (grand public) ou un /48 ("pro" ou entreprise). Il n'y a pas de vraie 
regle (ok, blabla "site" blabla /48), mais /64 c'est pur un seul LAN, donc 
"minimum syndical", sauf peut-etre sur certains deploiements mobiles ou "VPS 
defectueux". En tout cas, faut pas compter sur grand chose entre /64 et /128.

Finalement le plus grand problème avec l'IPv6 c'est la manque de connaissance 
de la part du public. Parce-que, oui, il y a des differences, quelques unes que 
je qualifierais d'assez "violentes".


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog 
> Michel Py a écrit :
> Si je devine correctement, c'est une des craintes que Laurent devait avoir 
> dans son billet original.

> Laurent Barme a écrit :
> C'est tout à fait ça !
> Mais j'ignorais que le /64 était officiellement prévu par machine ; merci 
> pour l'information !

C'est comme ça depuis 25 ans. Faudrait chercher profond pour en retrouver 
l'origine, mais le subnet de base en IPv6 est un /64, et il y a des FAI qui 
donnent des /56 à leur machinbox, tout ce qui est à droite c'est à toi.
IPv4 : ta machine est dans un subnet /24, tu as donc 2^8 (32 - 24) (moins 
celles déjà utilisées) adresses dispo si tu veux changer d'adresse.
IPv6 : ta machine est dans un subnet /64, tu as donc 2^64 (128 - 64) (moins 
celles déjà utilisées) adresses dispo si tu veux changer d'adresse.

> Du coup, cela ne fait plus que 2^(128 - 29 - 64) soit 1225 tickets d'attaque 
> par /29 gratuits ; ouf !

Hélas non, ça fait toujours 2^(128 - 29), les 64 bits de droite étant 
disponibles :-( (à moins de bloquer dès le départ à /64).
Et puis, même si ça n'était "que" 2^(128 - 29 - 64), ça ferait quand même 2^35 
soit 34.359.738.368, suffisamment pour exploser ta blacklist.
Un PC peut se reconfigurer lui-même, peut-être pas avec complètement 2^64, mais 
suffisamment pour être trop énorme pour suivre.
Je n'y connais pas vraiment grand-chose, faudrait regarder dans les environs de 
ça :
https://tools.ietf.org/html/rfc4941


> (Par contre je ne comprends par comment cela pourrait préserver la vie privée 
> de changer d'adresse dans une plage /64).

C'est une histoire de suivi (tracking) et de corrélation. Tout comme les 
cookies, big data suis ton adresse IP. Exemple typique : je suis en train de 
surfer dur mon PC, et le peu de pub qui passe à travers sont à propos de 
switch, d'optiques, ou autres. Ma femme achète un sous-tif en ligne (de son PC, 
pas du mien), et bam tout d'un coup les pubs que je reçois sont de la lingerie 
féminine. Comment tu crois que ça arrive ? On est tous les deux derrière NAT 
sur la même IP publique. Big data.

Vu que avec IPv6 soi-disant il n'y a pas de NAT, chaque PC serait (en plus de 
l'IP de la famille) identifiable individuellement, l'adresse IPv6 étant une 
fonction de l'adresse MAC (les 64 bits de droite). Ce qui permettrait un suivi 
encore plus pointu et les GAFA de mettre leur nez encore plus profond. L'idée 
c'était donc que, dans la plage du subnet local /64, l'adresse du PC change 
régulièrement, ce qui en théorie empêcherait le tracking. Sauf que il y a 
tellement de méthodes pour tracker que l'utilité est douteuse.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Vincent Habchi 


> On 26 Apr 2021, at 18:59, Richard Klein  wrote:
> 
> Sur le traffic entrant sur un pfsense et geoip je bloque toutes les ip qui
> ne sont pas Française.
> Cela m'a fait tomber le volume d'attaque et traffic parasite.
> Pour le traffic sortant je bloque aussi .

J’ai mis en place des restrictions un peu moins sévères sur un serveur dont je 
m’occupe et qui héberge un gros forum de discussion francophone. J’avais barré 
un tas de pays qui n’avaient rien à faire là-dessus (genre, Russie, Chine, Inde 
et quelques autres).

Ça marche dans une certaine mesure. Mais ça n’empêchera personne d’utiliser un 
VPN pour masquer son IP réelle…

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Richard Klein 
Bonsoir a tous,

Par avance désolé pour tous les raccourcis et idées de ce mail pour un
monde meilleur!

 Sur le traffic entrant sur un pfsense et geoip je bloque toutes les ip qui
ne sont pas Française.
Cela m'a fait tomber le volume d'attaque et traffic parasite.
Pour le traffic sortant je bloque aussi .

Évidement ce n'est pas propre car seul les sites 100% hébergés en France
sont joignable .
Ok c'est déployé sur une activité particulière qui se contente de ce type
de restriction.

Mais après tous notre société nous encourage à consommer français pourquoi
ne pas appliquer cela pour un web français uniquement ?


En cas d'attaques grave , avérés et répétés nos enquêteurs pourraient
prendre des mesures.
En plus cela encourage à relocaliser nos services en France .

Je sais, je vais me prendre une série de critiques et d'exceptions mais
l'idée et a développer et si l'on ne tente pas nous pourrons dire que nous
récoltons ce que nous avons semé 😁

Les Russes ont bien effectué un test pour se déconnecter de l'internet (US)
afin d'évaluer leur dépendance au reste du réseaux . Nous devrions tous
avoir une vue a long terme sur ce type de sujet ...

Richard

Le lun. 26 avr. 2021 à 08:48, Laurent Barme <5...@barme.fr> a écrit :

>
> Le 25/04/2021 à 14:59, thomas brenac via frnog a écrit :
> …
> >  un /29 IPV6 c'est gratuit.
> >
> >
> > On 24/04/2021 22:37, Michel Py via frnog wrote:
> >>> Stephane Bortzmeyer a écrit :
> …
> >> Even as other nations began purchasing IPv4 as a strategic investment,
> …
> >> on en est aux environs de $29 par IP ces jours-ci
>
> Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de milliers
> d'IPv4
> qui leurs ont adressé des requêtes malvenues, plus de 24000 pour celui le
> plus
> harassé. Pour les pirates, cela ferait un budget de $70 rien que pour
> les
> adresses IP.
>
> En IPv6 on aurait un potentiel de 2^(128 - 29) soit 630E27 de tickets
> d'attaque
> gratuits.
>
> Je ne vois pas comment bloquer plus efficacement les attaques que
> subissent mes
> serveurs autrement qu'en bloquant les adresses IP des pirates et j'ai un
> doute
> sur la capacités de mes serveurs à faire le tri parmi des milliers de
> yotta
> d'adresses IPv6. Je sais qu'il est possible de bloquer une plage d'adresse
> mais
> au risque de bloquer les accès légitimes dans la plage.
>
> Pourra-t-on passer sereinement à l'IPv6 tant que les scans et attaques de
> serveurs seront des activités incontrôlées ?
>
> Laurent Barme
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog 
 Michel Py a écrit :
 Ca serait intéressant de comparer ces chiffres avec le volume de trafic 
 IPv4/IPv6 pour le même réseau.
 Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ?

>>> Uniquement l'adresse.

>> C'est là où est le danger. Potentiellement, chaque hôte IPv6 peut avoir 2^64 
>> adresses; si je me rappelle
>> bien l'origine de ça c'était la vie privée, en changeant d'adresse tout le 
>> temps sur le papier il y
>> avait une possibilité d'améliorer les choses. J'y crois pas vraiment, mais 
>> c'est possible : les 64 bits
>> de droite sont disponibles pour chaque machine. Il faut donc s'attendre à ce 
>> que ça arrive;
>> contrairement à ce que certains disent, les malfaisants ne sont pas 
>> forcément cons et historiquement
>> très doués à trouver les failles d'un système. C'est donc relativement 
>> facile de faire planter ton
>> système, en le saturant avant un nombre d'adresses qu'il ne peut pas 
>> digérer. Quand tu détectes une
>> attaque en provenance d'une IPv6, il faut dès le départ bloquer au minimum 
>> le /64 correspondant.
>> Si je devine correctement, c'est une des craintes que Laurent devait avoir 
>> dans son billet original.

> C'est effectivement une possibilité.
> En IPv4, on remarque souvent des multiples IP du même /24 qui "attaque" en 
> même temps plusieurs cibles.

Il y a plusieurs des confrères qui font de l'agrégation avec des seuils : s'il 
y a plus de x /32 adresses blacklistées dans un /y, on enlève les x adresses 
individuelles et au lieu on annonce /y. Ca réduit la taille du feed, et quand 
un subnet devient pourri au-delà d'un certain point, c'est probablement la 
chose à faire.

Avec IPv6, vu que maintenant on donne un /56 à Claude Michu, ce n'est qu'une 
question de temps pour que les merdiciels comprennent la taille de l'espace 
adressable qu'ils ont et commencent à sourcer sur la plage entière dans le but 
de saturer fail2ban et autres. J'ai bien peur qu'il soit rapidement nécessaire 
de passer à /56 comme blocage.


> Vincent Habchi a écrit :
> Au passage, ceci est déjà prévu et disponible dans blacklistd:
> man blacklistd.conf
> [...]
> The name field, is the name of the packet filter rule to be used.  If the 
> name starts with a “-”,
> then the default rulename is prepended to the given name.  If the name 
> contains a “/”, the remaining
> portion of the name is interpreted as the mask to be applied to the address 
> specified in the rule,
> causing a single rule violation to block the entire subnet for the configured 
> prefix.

C'est un peu brutal (pas de seuil configurable), mais c'est en effet l'idée.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Vincent Habchi 
> On 26 Apr 2021, at 17:26, Michel Py via frnog  wrote:
> 
 Rémy Duchet a écrit :
 Stats d'IP pirate détecté sur 1 an:
 IPv4 : augmentation de 49% (actuel 12100 environ)
 IPv6 : augmentation de 43% (actuel 950 environ)
> 
>>> Michel Py a écrit :
>>> Ca serait intéressant de comparer ces chiffres avec le volume de trafic 
>>> IPv4/IPv6 pour le même réseau.
>>> Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ?
> 
>> Uniquement l'adresse.
> 
> Quand tu détectes une attaque en provenance d'une IPv6, il faut dès le départ 
> bloquer au minimum le /64 correspondant.

Au passage, ceci est déjà prévu et disponible dans blacklistd:

man blacklistd.conf
[…]
The name field, is the name of the packet filter rule to be used.  If the
name starts with a “-”, then the default rulename is prepended to the
given name.  If the name contains a “/”, the remaining portion of the
name is interpreted as the mask to be applied to the address specified in
the rule, causing a single rule violation to block the entire subnet for
the configured prefix.


Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Rémy Duchet 
C'est effectivement une possibilité.
En IPv4, on remarque souvent des multiples IP du même /24 qui "attaque" en même 
temps plusieurs cibles. 

Rémy

-Original Message-
From: Michel Py  
Sent: Monday, 26 April 2021 17:26
To: Rémy Duchet ; 'Laurent Barme' <5...@barme.fr>; 
frnog-m...@frnog.org
Subject: RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

>>> Rémy Duchet a écrit :
>>> Stats d'IP pirate détecté sur 1 an:
>>> IPv4 : augmentation de 49% (actuel 12100 environ)
>>> IPv6 : augmentation de 43% (actuel 950 environ)

>> Michel Py a écrit :
>> Ca serait intéressant de comparer ces chiffres avec le volume de trafic 
>> IPv4/IPv6 pour le même réseau.
>> Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ?

> Uniquement l'adresse.

C'est là où est le danger. Potentiellement, chaque hôte IPv6 peut avoir 2^64 
adresses; si je me rappelle bien l'origine de ça c'était la vie privée, en 
changeant d'adresse tout le temps sur le papier il y avait une possibilité 
d'améliorer les choses. J'y crois pas vraiment, mais c'est possible : les 64 
bits de droite sont disponibles pour chaque machine. Il faut donc s'attendre à 
ce que ça arrive; contrairement à ce que certains disent, les malfaisants ne 
sont pas forcément cons et historiquement très doués à trouver les failles d'un 
système. C'est donc relativement facile de faire planter ton système, en le 
saturant avant un nombre d'adresses qu'il ne peut pas digérer. Quand tu 
détectes une attaque en provenance d'une IPv6, il faut dès le départ bloquer au 
minimum le /64 correspondant.

Si je devine correctement, c'est une des craintes que Laurent devait avoir dans 
son billet original.

Michel.



smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog 
>>> Rémy Duchet a écrit :
>>> Stats d'IP pirate détecté sur 1 an:
>>> IPv4 : augmentation de 49% (actuel 12100 environ)
>>> IPv6 : augmentation de 43% (actuel 950 environ)

>> Michel Py a écrit :
>> Ca serait intéressant de comparer ces chiffres avec le volume de trafic 
>> IPv4/IPv6 pour le même réseau.
>> Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ?

> Uniquement l'adresse.

C'est là où est le danger. Potentiellement, chaque hôte IPv6 peut avoir 2^64 
adresses; si je me rappelle bien l'origine de ça c'était la vie privée, en 
changeant d'adresse tout le temps sur le papier il y avait une possibilité 
d'améliorer les choses. J'y crois pas vraiment, mais c'est possible : les 64 
bits de droite sont disponibles pour chaque machine. Il faut donc s'attendre à 
ce que ça arrive; contrairement à ce que certains disent, les malfaisants ne 
sont pas forcément cons et historiquement très doués à trouver les failles d'un 
système. C'est donc relativement facile de faire planter ton système, en le 
saturant avant un nombre d'adresses qu'il ne peut pas digérer. Quand tu 
détectes une attaque en provenance d'une IPv6, il faut dès le départ bloquer au 
minimum le /64 correspondant.

Si je devine correctement, c'est une des craintes que Laurent devait avoir dans 
son billet original.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Rémy Duchet 
Uniquement l'adresse.

Rémy
-Original Message-
From: Michel Py  
Sent: Monday, 26 April 2021 16:24
To: Rémy Duchet ; 'Laurent Barme' <5...@barme.fr>; 
frnog-m...@frnog.org
Subject: RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

> Rémy Duchet a écrit :
> Stats d'IP pirate détecté sur 1 an:
> IPv4 : augmentation de 49% (actuel 12100 environ)
> IPv6 : augmentation de 43% (actuel 950 environ)

Ca serait intéressant de comparer ces chiffres avec le volume de trafic 
IPv4/IPv6 pour le même réseau.
Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ?

Michel.



smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog 
> Rémy Duchet a écrit :
> Stats d'IP pirate détecté sur 1 an:
> IPv4 : augmentation de 49% (actuel 12100 environ)
> IPv6 : augmentation de 43% (actuel 950 environ)

Ca serait intéressant de comparer ces chiffres avec le volume de trafic 
IPv4/IPv6 pour le même réseau.
Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Dominique Rousseau 
Le Mon, Apr 26, 2021 at 02:36:47PM +0200, Vincent Habchi [vinc...@geomag.fr] a 
écrit:
(...)
> > Le protcole utilise est documente quelque part ?
> > ( la flemme de chercher vraiment, la, tout de suite :-p )
> 
> Oui, mais c???est facile, blacklistd écoute bêtement sur une socket.
> 
> Après, je ne suis pas rentré dans les détails d???implémentation, mais
> j???avais cru apercevoir le patch qui avait été créé spécifiquement
> pour Postfix, c???était genre 3 ou 4 lignes de C.
> 

Un tout petit peu plus :)

https://github.com/NetBSD/src/commit/3ae4028

Mais surtout, la "magie" est dans la lib blacklist


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Dominique Rousseau 
Le Mon, Apr 26, 2021 at 02:52:54PM +0200, Thierry Thomas [thie...@freebsd.org] 
a écrit:
(...)
>
> Mais il faut aussi pouvoir communiquer avec le pare-feu (par ex. pf a
> un mécanisme /anchor/ pour ce genre de choses).

Ca c'est deja prevu :

 -C controlprog
 Use controlprog to communicate with the packet filter, usually
 /usr/libexec/blacklistd-helper.  The following arguments are
 passed to the control program:

( action, name, protocol, etc. )


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Vincent Habchi 
> On 26 Apr 2021, at 14:52, Thierry Thomas  wrote:
> Le lun. 26 avr. 21 à 14:36:47 +0200, Vincent Habchi 
> écrivait :

>> Après, je ne suis pas rentré dans les détails d’implémentation, mais
>> j’avais cru apercevoir le patch qui avait été créé spécifiquement pour
>> Postfix, c’était genre 3 ou 4 lignes de C.
> 
> Mais il faut aussi pouvoir communiquer avec le pare-feu (par ex. pf a
> un mécanisme /anchor/ pour ce genre de choses).

Oui, certes, mais ce mécanisme est implémenté dans blacklistd, en l’occurence.

Les ancres sous PF ça fonctionne très bien, même si c’est un peu, comment dire, 
abscons au premier abord.

Vincent

P.S. : En tout cas, merci à Cristos. :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Thierry Thomas 
Le lun. 26 avr. 21 à 14:36:47 +0200, Vincent Habchi 
 écrivait :

> Hello,

Salut,

> > Bah, le portage de blacklistd lui meme doit pas etre bien mechant.
> > Mais faut ajouter le support pour exporter des infos dans les autres
> > softs.
> > Le protcole utilise est documente quelque part ?
> > ( la flemme de chercher vraiment, la, tout de suite :-p )
> 
> Oui, mais c’est facile, blacklistd écoute bêtement sur une socket.
> 
> Après, je ne suis pas rentré dans les détails d’implémentation, mais
> j’avais cru apercevoir le patch qui avait été créé spécifiquement pour
> Postfix, c’était genre 3 ou 4 lignes de C.

Mais il faut aussi pouvoir communiquer avec le pare-feu (par ex. pf a
un mécanisme /anchor/ pour ce genre de choses).
-- 
Th. Thomas.


signature.asc
Description: PGP signature

[FRnOG] [JOBS]Offres d’emploi Ingénieur réseau & système - Aix en Provence - Perpignan - Paris

2021-04-26 Par sujet Julien Delaporte 
Bonjour à tous,

Pour faire court et synthétique :

Connectics, filiale d'Interactiv Group, propose aux éditeurs logiciels de
les aider dans la construction de leur offre cloud en leur proposant une
infrastructure d'hébergement, sécurisée,  sur étagère et toute une palette
de services intégrables dans leurs applications : webRTC,  trunk SIP, SMS,
Whatsapp et autres réseaux sociaux, data lake Elasticsearch

Nous opérons une infrastructure hybride, s’appuyant à la fois sur les
grands Cloud du marché mais aussi sur nos propres infrastructures
directement déployées en datacenter, afin d’être en mesure de proposer le
meilleur de ces mondes de manière transparente à nos clients.

*Un poste senior et un poste junior* d’ingénieur réseau et systèmes sont
actuellement ouverts au recrutement.
Les postes sont localisés de préférence sur Aix en Provence ; les autres
sites du groupe et une option remote sont aussi envisageables.

Cadre aéré et agréable avec vue directe du bureau sur la Sainte Victoire,
running et VTT au pied des bureaux, spot de kite surf / windsurf à 20mn en
voiture.
On travaille fort, mais la vie est plutôt douce et le confinement n’est pas
trop pesant dans la région :) pour ceux qui souhaiteraient déménager.

Merci de me contacter en MP je vous donnerai les détails des postes.

Julien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Vincent Habchi 
Hello,

> 
> Bah, le portage de blacklistd lui meme doit pas etre bien mechant.
> Mais faut ajouter le support pour exporter des infos dans les autres
> softs.
> Le protcole utilise est documente quelque part ?
> ( la flemme de chercher vraiment, la, tout de suite :-p )

Oui, mais c’est facile, blacklistd écoute bêtement sur une socket.

Après, je ne suis pas rentré dans les détails d’implémentation, mais j’avais 
cru apercevoir le patch qui avait été créé spécifiquement pour Postfix, c’était 
genre 3 ou 4 lignes de C.

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Dominique Rousseau 
Le Mon, Apr 26, 2021 at 09:58:46AM +0200, Vincent Habchi [vinc...@geomag.fr] a 
écrit:
> > On 26 Apr 2021, at 09:45, David Ponzone  wrote:
> > 
> > Méthode plus propre de faire du fail2ban mais peut-être moins universelle.
> 
> J???espère que ce démon sera rapidement porté sur les autres OS.

Bah, le portage de blacklistd lui meme doit pas etre bien mechant.
Mais faut ajouter le support pour exporter des infos dans les autres
softs.
C'est plus facilement faisable pour ceux qui font partie du "coeur" d'un
*BSD que les multiples variations des distro Linux :)

Le protcole utilise est documente quelque part ?
( la flemme de chercher vraiment, la, tout de suite :-p )


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Une announce BGP inhabituelle (armée étatsunienne)

2021-04-26 Par sujet Pierre Colombier via frnog 

D'après

https://fr.wikipedia.org/wiki/%C3%89chelles_longue_et_courte#Usage_britannique_ou_canadien

Le terme « /milliard/ » est maintenant obsolète en anglais britannique, 
et « /billion/ » ne veut rien dire d'autre que 10^9 dans tout ce qui a 
été publié depuis beaucoup d'années maintenant. Le gouvernement 
britannique et la BBC 
 
utilisent l'échelle courte exclusivement. Toute personne qui 
/délibérément/ utilise « /billion/ » pour vouloir dire 10^12 en anglais 
britannique est sûre d'être incomprise.



On 25/04/2021 07:35, 'Stephane Bortzmeyer' wrote:

On Sat, Apr 24, 2021 at 08:37:18PM +,
  Michel Py  wrote
  a message of 147 lines which said:


Attention aux faux-amis ici, en anglais un "billion" c'est 10^9,
alors qu'en français un "billion" c'est 10^12.

Non, en anglais, un "billion", c'est 10^12, c'est en états-unien que
ça vaut 10^9 :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Question con

2021-04-26 Par sujet Vincent Habchi 
>> Sur un lien PTP wifi (par exemple), il est plus « efficace » de transporter 
>> la même energie sur une largeur de 10Mhz que 80Mhz ou 160, vrai ?
> 
> Ce n'est pas une question d'énergie mais de rapport s/b vs débit à
> écouler. Après, pour une même puissance d'émission, réduire la bande
> passante augmente évidemment le bilan de la liaison :)
> 
>> Donc sur un lien PTP wifi (toujours par exemple), si la connexion est un peu 
>> limite, réduire la bande passante permet de « concentrer l'Energie » (je ne 
>> sais pas si ça peut être vu comme ça) et donc d'augmenter le SNR ? ou j'ai 
>> rien compris
> 
> Tu as bien compris.

Ce n’est malheureusement pas tout à fait aussi simple, parce que le résultat 
dépend de la modulation que tu utilises et du spectre du signal interférant. 
Aussi bizarre que cela puisse paraître, tu peux parfois réduire la bande 
passante et dégrader le rapport S/N final, tout simplement parce que tu 
concentres ton signal autour du signal interférant, et tu ne bénéficies plus de 
l’ « effet de dilution » que t’offre l’étalement de spectre à l'émission suivi 
de la concentration à la réception. L’idée (très grossièrement) est la suivante 
: si tu dilues ton énergie sur une très large plage, la contribution de chaque 
fréquence élémentaire diminue. Si tu as un signal interférant à faible 
encombrement spectral, son poids dans l’ensemble du signal devient négligeable, 
et donc à la démodulation sa contribution au rapport S/N global n’est plus 
significative.

V.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Rémy Duchet 
Stats d'IP pirate détecté sur 1 an:
IPv4 : augmentation de 49% (actuel 12100 environ)
IPv6 : augmentation de 43% (actuel 950 environ)

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Michel Py 
via frnog
Sent: Monday, 26 April 2021 09:55
To: 'Laurent Barme' <5...@barme.fr>; frnog-m...@frnog.org
Subject: RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

> Laurent Barme a écrit :
> Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de 
> milliers d'IPv4 qui leurs ont adressé des requêtes malvenues, plus de 24000 
> pour celui le plus harassé.

J'ai un feed BGP qui fait ça aussi, c'est presque tout le temps au-dessus de 
5. Tu n'es pas le seul.

> Je ne vois pas comment bloquer plus efficacement les attaques que 
> subissent mes serveurs autrement qu'en bloquant les adresses IP des 
> pirates et j'ai un doute sur la capacités de mes serveurs à faire le 
> tri parmi des milliers de yotta d'adresses IPv6. Je sais qu'il est possible 
> de bloquer une plage d'adresse mais au risque de bloquer les accès légitimes 
> dans la plage.

Le problème n'est pas fondamentalement différent IMHO, à part qu'il faut faire 
le travail une 2ème fois comme toujours.
Je ne fais pas d'IPv6, mais je pense que pour bloquer, l'équivalent d'un /32 
serait un /64, le problème d'échelle est directement lié au nombre de machines 
contaminées. Il faut raisonner en termes de préfixes bloqués, pas en termes de 
nombre d'adresses bloquées. Je pense que d'inclure IPv6 dans le système, en 
bloquant au minimum un /64, ça ne ferait "que" doubler le nombre de préfixes à 
bloquer, plus le malus que les préfixes IPv6 demandent plus de ressources que 
les IPv4.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Vincent Habchi 
> On 26 Apr 2021, at 09:45, David Ponzone  wrote:
> 
> Méthode plus propre de faire du fail2ban mais peut-être moins universelle.

J’espère que ce démon sera rapidement porté sur les autres OS.

> Le problème qui se pose va être au niveau du firewall non ? Au bout de 
> combien de /32 ou surtout /128 va-t-il commencer à souffrir ?
> Ca a déjà été benchmarké ça, aussi bien sur BSD que Linux ?

PF fonctionne très bien, avec un minimum d’overhead. Les tables de blocage sont 
stockées sous forme d’arbres, et quatre niveaux de recherche sont suffisants 
pour une IPv4. Après, bien sûr, tu peux trafiquer tes règles pour augmenter 
l’efficacité. Par exemple, placer l’ancre blacklistd au tout début avec une 
clause quick, ce qui provoque le rejet immédiat du paquet sans avoir à évaluer 
les règles suivantes. Personnellement, je ne suis pas sous le feu des pirates 
en permanence, j’ai donc privilégié la lisibilité de mes règles à l’efficacité, 
mais ymmv, comme disent les anglo-saxons.

PF existe depuis des lustres sous OpenBSD en single-thread, mais la version 
FreeBSD est multithread, ce qui augmente d’autant les performances.

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Michel Py via frnog 
> Laurent Barme a écrit :
> Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de milliers 
> d'IPv4 qui
> leurs ont adressé des requêtes malvenues, plus de 24000 pour celui le plus 
> harassé.

J'ai un feed BGP qui fait ça aussi, c'est presque tout le temps au-dessus de 
5. Tu n'es pas le seul.

> Je ne vois pas comment bloquer plus efficacement les attaques que subissent 
> mes serveurs
> autrement qu'en bloquant les adresses IP des pirates et j'ai un doute sur la 
> capacités de mes
> serveurs à faire le tri parmi des milliers de yotta d'adresses IPv6. Je sais 
> qu'il est possible
> de bloquer une plage d'adresse mais au risque de bloquer les accès légitimes 
> dans la plage.

Le problème n'est pas fondamentalement différent IMHO, à part qu'il faut faire 
le travail une 2ème fois comme toujours.
Je ne fais pas d'IPv6, mais je pense que pour bloquer, l'équivalent d'un /32 
serait un /64, le problème d'échelle est directement lié au nombre de machines 
contaminées. Il faut raisonner en termes de préfixes bloqués, pas en termes de 
nombre d'adresses bloquées. Je pense que d'inclure IPv6 dans le système, en 
bloquant au minimum un /64, ça ne ferait "que" doubler le nombre de préfixes à 
bloquer, plus le malus que les préfixes IPv6 demandent plus de ressources que 
les IPv4.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet David Ponzone 


> Le 26 avr. 2021 à 09:34, Vincent Habchi  a écrit :
> 
>> On 26 Apr 2021, at 09:15, Laurent Barme <5...@barme.fr> wrote:
>> Peut-être est-ce que ce passage à l'IPv6 est encore trop marginal pour 
>> susciter un investissement des pirates sur ce créneaux ?
> 
> Je pense que c’est une des raisons, l’autre raison étant que les botnets ne 
> sont probablement pas programmés pour opérer en v6, et ce d’autant que nombre 
> de machines Windows infectées à l’insu de leurs utilisateurs ne sont pas 
> raccordées à des réseaux routés en v6.
> 
> Ici, en France, Free alloue un /64 en v6, si je me souviens bien, à chaque 
> propriétaire d’une Freebox, mais est-ce que les autres font de même ?
> 
> Pour ce qui concerne le filtrage, j’ai blacklistd en service sur toutes mes 
> machines. Je ne sais pas si le démon a déjà été porté sur Nunux, mais sur 
> BSD, ça marche très bien. L’avantage est que tu bloques des /32, et non pas 
> des plages, tu peux whitelister des plages, en revanche, ou des interfaces, 
> tu peux déterminer les ports que tu surveilles, le seuil d’authentifications 
> ratées qui déclenche la mise en quarantaine, et le temps qu’elle dure. Pour 
> l’instant, ça fonctionne avec SSH, SMTP (Postfix), IMAP (Cyrus/PAM), etc. 
> mais j’espère que ça sera étendu à d’autres services dans FreeBSD 13, que je 
> n’ai pas encore installé, d’ailleurs.
> 

Méthode plus propre de faire du fail2ban mais peut-être moins universelle.

Le problème qui se pose va être au niveau du firewall non ? Au bout de combien 
de /32 ou surtout /128 va-t-il commencer à souffrir ?
Ca a déjà été benchmarké ça, aussi bien sur BSD que Linux ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Vincent Habchi 
> On 26 Apr 2021, at 09:15, Laurent Barme <5...@barme.fr> wrote:
> Peut-être est-ce que ce passage à l'IPv6 est encore trop marginal pour 
> susciter un investissement des pirates sur ce créneaux ?

Je pense que c’est une des raisons, l’autre raison étant que les botnets ne 
sont probablement pas programmés pour opérer en v6, et ce d’autant que nombre 
de machines Windows infectées à l’insu de leurs utilisateurs ne sont pas 
raccordées à des réseaux routés en v6.

Ici, en France, Free alloue un /64 en v6, si je me souviens bien, à chaque 
propriétaire d’une Freebox, mais est-ce que les autres font de même ?

Pour ce qui concerne le filtrage, j’ai blacklistd en service sur toutes mes 
machines. Je ne sais pas si le démon a déjà été porté sur Nunux, mais sur BSD, 
ça marche très bien. L’avantage est que tu bloques des /32, et non pas des 
plages, tu peux whitelister des plages, en revanche, ou des interfaces, tu peux 
déterminer les ports que tu surveilles, le seuil d’authentifications ratées qui 
déclenche la mise en quarantaine, et le temps qu’elle dure. Pour l’instant, ça 
fonctionne avec SSH, SMTP (Postfix), IMAP (Cyrus/PAM), etc. mais j’espère que 
ça sera étendu à d’autres services dans FreeBSD 13, que je n’ai pas encore 
installé, d’ailleurs.

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Stephane Bortzmeyer 
On Mon, Apr 26, 2021 at 09:15:18AM +0200,
 Laurent Barme <5...@barme.fr> wrote 
 a message of 30 lines which said:

> > Des organisations très visibles et certainement très attaquées
> > sont passées à IPv6 depuis de nombreuses années.

> Peut-être est-ce que ce passage à l'IPv6 est encore trop marginal
> pour susciter un investissement des pirates sur ce créneaux ?

Google, Facebook et Cloudflare, c'est marginal, oui :-)

Autrement, oui, c'est ce que je dis toujours : passez à IPv6, les
pirates sont comme tout le monde, paresseux et incompétents, ils ne
connaissent pas encore IPv6 et vous aurez moins d'ennuis.

(Je jette un coup d'œil sur mon pot de miel SSH, accessible en IPv4 et
IPv6 : je confirme que je pourrais mettre root/root comme login/mot de
passe sans problème sur la version IPv6, personne ne l'essaie.)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Laurent Barme 



Le 26/04/2021 à 09:10, Denis Fondras a écrit :

Le Mon, Apr 26, 2021 at 08:45:44AM +0200, Laurent Barme a écrit :

au risque de bloquer les accès légitimes dans la plage.


Ouf, heureusement que le partage d'adresse IPv4 n'existe pas !


Effectivement, c'est un aussi un problème mais pour ceux qui partagent la même 
adresse IP ; du point de vue adverse cela ne fait qu'une seule IP à bloquer.




(C'est possible d'attendre vendredi pour ce genre de message ?)

Ben les attaques de mes serveurs, c'est tous les jours mais pas de souci pour 
attendre les vendredis pour une réponse à interrogations.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Laurent Barme 



Le 26/04/2021 à 08:53, Stephane Bortzmeyer a écrit :

On Mon, Apr 26, 2021 at 08:45:44AM +0200,
  Laurent Barme <5...@barme.fr> wrote
  a message of 36 lines which said:


Pourra-t-on passer sereinement à l'IPv6 tant que les scans et
attaques de serveurs seront des activités incontrôlées ?

Des organisations très visibles et certainement très attaquées sont
passées à IPv6 depuis de nombreuses années.
Peut-être est-ce que ce passage à l'IPv6 est encore trop marginal pour susciter 
un investissement des pirates sur ce créneaux ?
Les organisations très visibles sont vraisemblablement les mieux armées pour se 
défendre. Je me dis que les pirates sont plus intéressés par un foultitude de 
petits serveurs mal défendus que par quelques bastions bien protégés.




La vraie question, c'est « peut-on vraiment déployer ce truc, cet
Internet, alors qu'il y a manifestement des problèmes de sécurité non
résolus ? » :-)



Est-il judicieux de dégrader considérablement la situation par une nouvelle 
évolution ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Kitetoa @ Kitetoa.com 



Stephane Bortzmeyer a écrit le 26/04/2021 à 08:53 :
> On Mon, Apr 26, 2021 at 08:45:44AM +0200,
>  Laurent Barme <5...@barme.fr> wrote 
>  a message of 36 lines which said:
>
>> Pourra-t-on passer sereinement à l'IPv6 tant que les scans et
>> attaques de serveurs seront des activités incontrôlées ?
> Des organisations très visibles et certainement très attaquées sont
> passées à IPv6 depuis de nombreuses années.
>
> La vraie question, c'est « peut-on vraiment déployer ce truc, cet
> Internet, alors qu'il y a manifestement des problèmes de sécurité non
> résolus ? » :-)

Visiblement oui.  Date de cette interview : 11/02/1999. Et entre 99 et
2021, ils en ont développé des trucs :)

https://www.kitetoa.com/Pages/Textes/Interviews/L0pht/Dr_Mudge_English.shtml

>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

2021-04-26 Par sujet Denis Fondras 
Le Mon, Apr 26, 2021 at 08:45:44AM +0200, Laurent Barme a écrit :
> au risque de bloquer les accès légitimes dans la plage.
> 

Ouf, heureusement que le partage d'adresse IPv4 n'existe pas !

(C'est possible d'attendre vendredi pour ce genre de message ?)


---
Liste de diffusion du FRnOG
http://www.frnog.org/