Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> Zscaler est un gros pare feu déporté dans le cloud, et facturé en SaaS à Merci Damien pour cette explication détaillée. J'avais été voir sur leur site sans tout comprendre... En particulier du point de vue de l'inspection. Effectivement, il faut avoir envie de confier son trafic tout nu à

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

On 28/01/2021 00:54, Damien DUJARDIN wrote: > Concernant l'inspection SSL/TLS, cela est possible car le client injecte > volontairement une AC racine privée sur ses postes de travail. Et ce n'est > pas Zscaler qui l'auto-injecte par magie, cela est heureusement impossible. Ici l'injection est bel

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Zscaler est un gros pare feu déporté dans le cloud, et facturé en SaaS à ses clients entreprises qui n'ont pas envie de maintenir Proxy+ips+nextGen en interne. C'est particulièrement utilisé par des boîtes avec de nombreux petits sites géographiquement éloignés, qui veulent profiter du cloud pour

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

On 27/01/2021 21:23, Radu-Adrian Feurdean wrote: > On Wed, Jan 27, 2021, at 18:57, Benoit FrNOG Plessis via frnog wrote: >> J'ai récement découvert "Zscaler" qui intercepte n'importe quel site >> SSL/TLS qu'il soit avec HSTS, DANE ou DNS CAA. Le truc serait pas payant >> qu'on le prendrait pour un

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

On Wed, Jan 27, 2021, at 18:57, Benoit FrNOG Plessis via frnog wrote: > J'ai récement découvert "Zscaler" qui intercepte n'importe quel site > SSL/TLS qu'il soit avec HSTS, DANE ou DNS CAA. Le truc serait pas payant > qu'on le prendrait pour un rootkit je pense ... Ce n'est pas interception,

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

On 10/01/2021 16:02, Xavier Beaudouin wrote: > >> Et en 2021, le nombre de sites en HTTPS augmente chaque jour (je retrouve >> plus la stat), le HSTS se renforce, tu peux plus péter le chiffrement au >> niveau UTM sans que ça altère l'expérience utilisateur, alors pour savoir >> ce que fait le

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> Xavier Beaudouin a écrit : > Pour les ASA- (-X) de notre coté, on vas les dégager. Entre l'UI en java > merdique qui > bouffe tous les cores et leur idée géniale de faire 2 objets, un en IPv4 et > un IPv6... Ca va être pas cher sur eBay et en broke à la fin de l'année; on n'est surement

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Hello >> > Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me > convient >> >> C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence > planifiée à la con. J'ai 2 gammes, les ASA et les FP2420, qui arrivent > en fin de maintenance logiciel en Aout ou Septembre

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> > Toussaint OTTAVI a écrit : > > L'expérience prouve que, si on met une porte blindée trop compliquée à ouvrir, les > > utilisateurs laissent la fenêtre ouverte. C'est un équilibre pas facile à trouver... > > +1. Et, risquer que l'utilisateur ouvre la fenêtre pour regarder le match de foot,

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> OBConseil a écrit : > kernel.org était bloqué, ainsi que plein de sites d'info : "Reason : > Hacking". La bas, > ta stratégie ne marche pas : Tu va pas attendre 24h pour chaque lien vers un > blog > lambda dans lequel 99% du temps t'a pas ta réponse et où t'ira jamais plus > après. +1 > Par

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> - C'était un peu le sens de ma contribution initiale : être contraint de > filtrer les connexions vers des IP malveillantes depuis les postes de > travail, n'est-ce pas un aveu d'impuissance sur la façon dont nous concevons > et gérons nos réseaux ? > Non c’est l’aveu qu'on est en 2021,

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le Fri, Jan 08, 2021 at 08:34:44PM +, Michel Py a écrit: > Au niveau contrôle de la pub : adblockplus.org (indispensable). ublock origin + privacy badger... adblock, ils laissent passer les pubs des marketeux qui acceptent de les payer... https://adblockplus.org/fr/about#acceptableads +

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le 08/01/2021 à 21:34, Michel Py a écrit : Les ASA/Firepower ils vont possiblement dégager à la fin de l'année pour une autre crèmerie. Fortinet, Checkpoint, Barracuda et Sophos on a déjà donné donc c'est même pas dans la course. Tu as de la chance de pouvoir changer aussi facilement de

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le 08/01/2021 à 20:54, Adrien Rivas a écrit : Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW favori pour ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield, Untangle, Meraki, Pfsense - , Effectivement. Mais je n'ai juste pas confiance en un seul fournisseur :-) Et

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

>> Michel Py a écrit : >> C'est devenu trop dynamique de whitelister. On en est rendu à blacklister ce >> qui est connu comme étant nocif, et ce qui n'est pas strictement nécessaire. > Adrien Rivas a écrit : > Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW > soit tu peux

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW favori pour ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield, Untangle, Meraki, Pfsense - , soit tu peux le faire au niveau poste de travail et là tu as le choix entre la solution embarquée dans ton "Internet Services" -

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le 08/01/2021 à 18:49, Michel Py a écrit : C'est devenu trop dynamique de whitelister. On en est rendu à blacklister ce qui est connu comme étant nocif, et ce qui n'est pas strictement nécessaire. J'en arrive à peu près à cette conclusion également. Mais encore faut-il avoir une source

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> Philippe Bourcier a écrit : > Alors en fait, ne laisser passer que quelques sites (whitelist), c'est ce que > font un grand nombre > de banques, d'organismes et services publiques et de boîtes du CAC40... c'est > loin d'être rare. Je travaille dans une banque, et c'est devenu impossible de

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Tu te rappelles son nom ? Il est où maintenant ? En même temps, y a pas un mec chez nous qui a déclaré qu’Internet n’était qu’une passade ? Et un autre qui a voulu relancer le Minitel en 1994. > Le 8 janv. 2021 à 16:39, Stephane Bortzmeyer a écrit : > > On Fri, Jan 08, 2021 at 11:29:49AM

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

moi, netadmin, ne suis pas omniscient et donc apte à juger de ce qui est bon ou pas, en me basant sur du L3/L4" M'enfin De : frnog-requ...@frnog.org de la part de Toussaint OTTAVI Envoyé : vendredi 8 janvier 2021 11:12:50 À : frnog@frnog

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le 08/01/2021 à 11:36, Philippe Bourcier a écrit : Alors en fait, ne laisser passer que quelques sites (whitelist), c'est ce que font un grand nombre de banques, d'organismes et services publiques et de boîtes du CAC40... c'est loin d'être rare. Pour un service IT d'une grande entreprise,

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Re, > Cà nous ramène à la définition fondamentale de l'informatique : "Une > science conçue pour régler des problèmes qui n'existaient pas avant son > invention" :-D Alors en fait, ne laisser passer que quelques sites (whitelist), c'est ce que font un grand nombre de banques, d'organismes et

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le 08/01/2021 à 10:57, David Ponzone a écrit : Et si tu généralises ça, tu crois qu’il va se passer combien de temps avant que les m*rdes soient IPv6-Ready ? Ma remarque s'applique d'autant plus à IPv6 : pour au max quelques dizaine d'adresses réellement "utiles" par personne et par jour,

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Et si tu généralises ça, tu crois qu’il va se passer combien de temps avant que les m*rdes soient IPv6-Ready ? > Le 8 janv. 2021 à 10:38, Toussaint OTTAVI a écrit : > C'est pas plus simple de désactiver carrément tout Internet ? :-) > > ... > Donc, pour un besoin de 10, on laisse une porte

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le 06/01/2021 à 05:57, Michel Py a écrit : Disable IPv6 on internal Windows hosts if not in use. C'est pas plus simple de désactiver carrément tout Internet ? :-) Je précise que je ne suis pas loin d'être sérieux : - 4 milliards d'adresses en v4 (à peine un peu plus pour ceux qui sont en

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

*sort les ciseaux Wi-Fi* Autant tirer le câble réseau, c’est plus secure. --- Liste de diffusion du FRnOG http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> Est-ce vraiment intellectuellement honnête ? Bien sûr. Plus t'as de doze, plus t'as de problèmes, plus ça rapporte au prestataire en papouilleries et autres couches de scotch. > Si ce genre de boite était vraiment "ton ami qui te veut du bien", le rapport > dirai "go delete windows" > Virer

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le 06/01/2021 à 12:23, Sébastien Lesimple a écrit : > Je suis bien d'accord mais va faire accepter a un DSI dont la seule > obsession est le "Quick Win", et le "Azure c'est génial", qu'avant > d'aller se palucher devant son CEO et le CoDir, il faut mettre son achi > à l'état de l'art... Bon...

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> On 6 Jan 2021, at 05:57, Michel Py wrote: [TL;DR] > IPv6 Je vous invite à lire l’excellent https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2018/pdf/BRKSEC-3200.pdf sur le sujet. ++ ic

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

e : frnog-requ...@frnog.org de la part de Michel Py Envoyé : mercredi 6 janvier 2021 09:28:50 À : 'David Ponzone' Cc : frnog@frnog.org Objet : RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6 Mail externe : n'ouvrez pas de lien ou de pièce jointe si vous ne connaissez pas l'expéditeur > D

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Je suis bien d'accord mais va faire accepter a un DSI dont la seule obsession est le "Quick Win", et le "Azure c'est génial", qu'avant d'aller se palucher devant son CEO et le CoDir, il faut mettre son achi à l'état de l'art... Et donc SMSI/802.1x/segmentation fonctionnelle/chiffrement disque

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Pour bien sécuriser, faut pas oublier de virer l’humain! > Le 6 janv. 2021 à 11:13, Philippe ASTIER a > écrit : > >>> Erwan David a écrit : >>> Moi j'aurais dit "disable windows", non ? >> >> Cà fait 30 ans que tout le monde essaie. Même problème : c'est de la merde, >> mais écrire qu'il

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

>> Erwan David a écrit : >> Moi j'aurais dit "disable windows", non ? > > Cà fait 30 ans que tout le monde essaie. Même problème : c'est de la merde, > mais écrire qu'il faut s'en débarrasser c'est perdre son temps. > Tu veux te débarrasser de Micro$hiotte Windoze ? 3 milliards d'humains (ou >

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> Moi j'aurais dit "disable windows", non ? Mais en fait, en plus, c'est vrai. ipv6 n'y est pour rien. Même si j'y passerai que le jour où... Il faudra y passer :> -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Non, HashCat. Le mer. 6 janv. 2021 à 09:50, Christophe Lohr a écrit : > Le 06/01/2021 à 05:57, Michel Py a écrit : > > Le programme "###" est pas vraiment difficile à trouver; en 3 > > secondes gougleu m'a donné les sources. > > John the Ripper... on avait tous compris ;-) > > > Et qui

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le 06/01/2021 à 05:57, Michel Py a écrit : > Le programme "###" est pas vraiment difficile à trouver; en 3 > secondes gougleu m'a donné les sources. John the Ripper... on avait tous compris ;-) > Et qui c'est qui va se palucher les scripts Powershell pour désactiver IPv6 ? > ben devinez,

RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> David Ponzone a écrit : > Tu peux pas filtrer IPv6 en ingress sur tes switch ? Quand c'est dans le même VLAN çà devient chiant. C'est un peu comme port-security basé sur l'adresse MAC et autres ruses level 2 : çà marche, sauf quand çà ne marche pas. Exemple Catalyst : port-security çà marche

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le 06/01/2021 à 08:26, Pierre Emeriaud a écrit : Le mer. 6 janv. 2021 à 06:00, Michel Py a écrit : En bas du rapport de plus de 100 pages de Toto, qui va finir dans l'email de quelqu'un qui gagne en dollars ce que je gagne en cents, et qui va direct aux conclusions : Key Recommendations :

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le mer. 6 janv. 2021 à 06:00, Michel Py a écrit : > > En bas du rapport de plus de 100 pages de Toto, qui va finir dans l'email de > quelqu'un qui gagne en dollars ce que je gagne en cents, et qui va direct aux > conclusions : > > > Key Recommendations : > > - Susceptible to Rogue IPv6 DHCP

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Je plusoie. OK, IPv6 a facilité l’accès à une merde de Windows, sur une infra boiteuse où IPv6 n’est pas maitrisé, les serveurs mais configurés. On peut aussi faire du rogue DHCPv4 et intercepter le traffic des clients si l’infra est merdique. A ce tarif là, IPv4 transporte des virus tous les

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

> Le 6 janv. 2021 à 05:57, Michel Py a > écrit : > > Récemment, des gens que je connais bien on fait appel aux services d'un > pénétrateur : une société (connue, cotée en bourse chez NASDAQ) qui, > moyennant des $, effectue ce qu'on appelle ici un "pentest". Le mot > "penetration",

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

Le 06/01/2021 à 05:57, Michel Py a écrit : Key Recommendations : - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal Windows hosts if not in use. C.Q.F.D. Comme je le dis depuis des années : IPv6 : 2 fois le travail, et 3 fois les emmerdes. ipv6 route ::/0 null0