Re: [FRnOG] black list d'IP en IPv6
Le 23/11/10 07:16, Laurent GUERBY a écrit : > Quels sont les fournisseurs les plus radins actuellement ? En pratique > ça descends en dessous du /64 pour l'utilisateur final ? Dedibox : /128. Peut être certains subnets d'OVH aussi (les vieux ks) -- Jérôme Nicolle signature.asc Description: OpenPGP digital signature
Re: [FRnOG] black list d'IP en IPv6
On 11/23/2010 07:53 PM, Antoine MUSSO wrote: > Mon objectif est justement de ne pas bloquer tout le subnet (ex: /48) > mais d'essayer de cibler l'utilisateur au plus juste. Ça dépend contre quoi tu te bats et avec quoi. Si je comprend bien, tu a un outil pour blacklister automatiquement des IP, en les détectant comme étant des botnets ? Déjà à priori le botnet est sur un seul réseau, donc besoin de bloquer uniquement un /64. Ensuite, au lieu de bloquer directement les subnets infectées, tu peux bloquer les IP une par une au début, et avoir un compteur : disons à partir de X IP bloquées, ça fait sauter le subnet. > Le problème c'est surtout qu'on va se prendre une avalanche de requête > nous demandant pourquoi on ne peut pas accéder au site. Et çà c'est > réellement contre-productif. Tu as toujours la solution à la Google qui consiste à balancer un test de Turing à la gueule de l'utilisateur blacklisté pour qu'il prouve son humanité (enfin bien sûr, mettre 15 secondes à afficher la page et n'accepter qu'une connexion simultanée, pour éviter le flood et autre). Et puis un petit mail au cas où le problème persiste... -- Rémy Sanchez signature.asc Description: OpenPGP digital signature
Re: [FRnOG] black list d'IP en IPv6
On 23/11/10 10:24, Rémy Sanchez wrote: Je serais d'avis de juste blacklister un subnet complet, ça forcera les administrateurs et madame Michu à assainir leur réseau (et puis madame Michu est déjà obligée de toute façon). Mon objectif est justement de ne pas bloquer tout le subnet (ex: /48) mais d'essayer de cibler l'utilisateur au plus juste. Le problème c'est surtout qu'on va se prendre une avalanche de requête nous demandant pourquoi on ne peut pas accéder au site. Et çà c'est réellement contre-productif. -- Antoine Musso --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] black list d'IP en IPv6
On 23/11/10 09:56, Jacot Antoine wrote: Il ne faut pas non plus perdre de vue le mécanisme "Temporary address interface identifiers" (RFC 3041) mis en place par Microsoft dans Vista et Seven qui fait en sorte que l'adresse change volontairement souvent pour garantir un certain anonymat aux utilisateurs. (contrairement à l'EUI-64 qui donne toujours la même host portion de l'adresse). C'est ce que j'ai sur ma machine à pomme. Mais l'objectif est plutôt de bloquer le subnet d'un abonné lambda (ex: /60 de free.fr). Le problème reste pour les utilisateurs au sein d'une grosse société qui pourraient effectivement être tous dans le même /64. -- Antoine Musso --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] black list d'IP en IPv6
On 22/11/10 23:43, Mathieu Paonessa wrote: Ca tombe bien: il y a une proposition au RIPE qui veut rajouter un champ supplémentaire dans les objets inet6num pour définir la taille des sous alloc faites aux end user. Plus d'infos en lisant l'archive de la liste ipv6-ops du RIPE. Je pensais un peu çà en fait :-b Je vais aller voir chez ipv6-ops. Merci Mathieu! -- Antoine Musso --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] black list d'IP en IPv6
On 11/22/2010 11:32 PM, Rémi Bouhl wrote: Même si on peut imaginer qu'à terme les botnets seraient peut-être capables de demander un renouvellement de l'IPv6 au système s'ils voient qu'ils sont bloqués. Ça ne marche plus le mode promiscuous en IPv6 ? À la place des concepteurs de botnets, au lieu de juste changer d'IP une fois blacklisté, j'aurais plutôt tendance à utiliser une IP par connexion : ça rempli les tables des bases de réputation mal conçues en les rendant inutiles. François --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] black list d'IP en IPv6
Le 23/11/10, frede...@placenet.org a écrit : > > Certains y verront la mort-naissance d'IPV6 dans ce genre de problème > très difficilement solvable ou la mort pur et simple de SMTP en Ipv6. > Plus généralement on peut y voir un conflit entre "protection de la vie privée" et "traçabilité des échanges". Si les IP6 étaient automatiquement attribuées en fonction de l'adresse MAC, et uniquement de celle-ci (sauf dans le cas d'une config manuelle sur un serveur), on pourrait blacklister un spammeur même s'il change fréquemment de connexion. Le rêve, non? Je sais plus quel document sur IPv6 explique que, effectivement, ne pas utiliser l'adresse MAC protège la vie privée.. à condition évidemment de ne pas accepter de cookies, de ne pas utiliser Flash et tout ce genre de choses :] Rémi. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] black list d'IP en IPv6
Certains y verront la mort-naissance d'IPV6 dans ce genre de problème très difficilement solvable ou la mort pur et simple de SMTP en Ipv6. DJB a eu raison... ;) a+ On Tue, 23 Nov 2010 10:24:42 +0100, Rémy Sanchez wrote: On Tue, 23 Nov 2010 09:56:48 +0100, "Jacot Antoine" wrote: Bonjour, Il ne faut pas non plus perdre de vue le mécanisme "Temporary address interface identifiers" (RFC 3041) mis en place par Microsoft dans Vista et Seven qui fait en sorte que l'adresse change volontairement souvent pour garantir un certain anonymat aux utilisateurs. (contrairement à l'EUI-64 qui donne toujours la même host portion de l'adresse). Donc pas terrible pour gérer des black-lists non plus. Salutations, Antoine Je serais d'avis de juste blacklister un subnet complet, ça forcera les administrateurs et madame Michu à assainir leur réseau (et puis madame Michu est déjà obligée de toute façon). Avec 18 trillions d'adresses à la disposition du (in)volontairement méchant utilisateur, ça va être dur de faire autrement :/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] black list d'IP en IPv6
On Tue, 23 Nov 2010 09:56:48 +0100, "Jacot Antoine" wrote: Bonjour, Il ne faut pas non plus perdre de vue le mécanisme "Temporary address interface identifiers" (RFC 3041) mis en place par Microsoft dans Vista et Seven qui fait en sorte que l'adresse change volontairement souvent pour garantir un certain anonymat aux utilisateurs. (contrairement à l'EUI-64 qui donne toujours la même host portion de l'adresse). Donc pas terrible pour gérer des black-lists non plus. Salutations, Antoine Je serais d'avis de juste blacklister un subnet complet, ça forcera les administrateurs et madame Michu à assainir leur réseau (et puis madame Michu est déjà obligée de toute façon). Avec 18 trillions d'adresses à la disposition du (in)volontairement méchant utilisateur, ça va être dur de faire autrement :/ -- Rémy Sanchez --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] black list d'IP en IPv6
Bonjour, Il ne faut pas non plus perdre de vue le mécanisme "Temporary address interface identifiers" (RFC 3041) mis en place par Microsoft dans Vista et Seven qui fait en sorte que l'adresse change volontairement souvent pour garantir un certain anonymat aux utilisateurs. (contrairement à l'EUI-64 qui donne toujours la même host portion de l'adresse). Donc pas terrible pour gérer des black-lists non plus. Salutations, Antoine (nouveau sur la liste) -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Rémi Bouhl Envoyé : lundi, 22. novembre 2010 23:33 À : Antoine MUSSO Cc : frnog@frnog.org Objet : Re: [FRnOG] black list d'IP en IPv6 Le 22/11/10, Antoine MUSSO a écrit : > > En IPv6, le problème est encore plus apparent : > - si je bloque un /128, l'utilisateur indélicat peut à coup sûr > utiliser l'adresse contigüe. Ça c'est le problème de l'utilisateur volontairement méchant: il voit qu'on le bloque, il change tout de suite d'IP. S'il est assez malin pour changer d'IP, il risque même de revenir un coup via son VPN anti-Hadopi, un coup via le WiFi du voisin.. lui il va être délicat à bloquer. > Je me demandais donc, si il y avait possibilité de retrouver la taille > de réseau allouée au end-user. Je suppose que ce type de problématique > va vite apparaître pour bloquer des utilisateurs infectés par un botnet. Ça c'est le problème de l'utilisateur involontairement méchant: il ne va pas changer _tout de suite_ d'IPv6 une fois bloqué. Éventuellement son IPv6 va se renouveler, mais au bout d'un délai suffisant pour prévenir son ISP qui, étant parfait (un ISP qui déploie IPv6 ne peut qu'être parfait) va prendre les mesures en temps et en heure. Même si on peut imaginer qu'à terme les botnets seraient peut-être capables de demander un renouvellement de l'IPv6 au système s'ils voient qu'ils sont bloqués. AMHA il est de bien séparer les deux cas, les réponses ne sont pas les mêmes. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] black list d'IP en IPv6
Hello, On Tue, 23 Nov 2010 08:48:56 +0100 Rémy Sanchez wrote: > On 11/23/2010 07:16 AM, Laurent GUERBY wrote: > > Quels sont les fournisseurs les plus radins actuellement ? En pratique > > ça descends en dessous du /64 pour l'utilisateur final ? > > Si tu regarde à l'étranger, il me semble que XS4ALL donne un /56 voire > un /48 à ses clients finaux. De même pour les tunnels de HE, on a un /64 > de base et un /48 à la demande. Idem chez SiXXs une fois : tu demarres par le /64 pour l'interco, et une fois que tu as prouve que tu pouvais maintenir le tunnel Up de maniere stable, tu as le droit de demander un /48. Du coup, avec ce genre de truc, tu peux avoir un /64 par un premier operateur, un /48 par un second, et un autre /48 par un troisieme (je ne compte pas les intercos). Il va bientot falloir des outils de gestions des adresses chez tout le monde pour s'occuper de tout ca ;) Paul signature.asc Description: PGP signature
Re: [FRnOG] black list d'IP en IPv6
On 11/23/2010 07:16 AM, Laurent GUERBY wrote: > Quels sont les fournisseurs les plus radins actuellement ? En pratique > ça descends en dessous du /64 pour l'utilisateur final ? Tu parles des fournisseurs grand public ? OVH donne un /64 et Free donne un /60 dont on n'utilise que le premier /64 (mais avec son propre modem on peut utiliser le reste). Si tu regarde à l'étranger, il me semble que XS4ALL donne un /56 voire un /48 à ses clients finaux. De même pour les tunnels de HE, on a un /64 de base et un /48 à la demande. -- Rémy Sanchez signature.asc Description: OpenPGP digital signature
Re: [FRnOG] black list d'IP en IPv6
On Mon, 2010-11-22 at 23:43 +0100, Mathieu Paonessa wrote: > Bonjour, > > [...] > > Je me demandais donc, si il y avait possibilité de retrouver la taille > > de réseau allouée au end-user. Je suppose que ce type de problématique > > va vite apparaître pour bloquer des utilisateurs infectés par un botnet. > > > > Des idées ? > > Ca tombe bien: il y a une proposition au RIPE qui veut rajouter un champ > supplémentaire dans les objets inet6num pour définir la taille des sous > alloc faites aux end user. Plus d'infos en lisant l'archive de la liste > ipv6-ops du RIPE. Quels sont les fournisseurs les plus radins actuellement ? En pratique ça descends en dessous du /64 pour l'utilisateur final ? Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] black list d'IP en IPv6
Plop, >> En IPv6, le problème est encore plus apparent : >> - si je bloque un /128, l'utilisateur indélicat peut à coup sûr >> utiliser l'adresse contigüe. > > Ça c'est le problème de l'utilisateur volontairement méchant: il voit > qu'on le bloque, il change tout de suite d'IP. S'il est assez malin > pour changer d'IP, il risque même de revenir un coup via son VPN > anti-Hadopi, un coup via le WiFi du voisin.. lui il va être délicat à > bloquer. +1 (enfin en IPv4 c'est pareil)... Moins gros... mais... >> Je me demandais donc, si il y avait possibilité de retrouver la taille >> de réseau allouée au end-user. Je suppose que ce type de problématique >> va vite apparaître pour bloquer des utilisateurs infectés par un botnet. > > Ça c'est le problème de l'utilisateur involontairement méchant: il ne > va pas changer _tout de suite_ d'IPv6 une fois bloqué. Éventuellement > son IPv6 va se renouveler, mais au bout d'un délai suffisant pour > prévenir son ISP qui, étant parfait (un ISP qui déploie IPv6 ne peut > qu'être parfait) va prendre les mesures en temps et en heure. M'enfin s'il est pas volontairement méchant et qu'il utilise ND pour avoir son IP... on peux presque dire qu'elle est volontairement fixe... ou presque -> coté positif de la chose... Ton PC est pourris par des botnet -> blacklist... :) > Même si on peut imaginer qu'à terme les botnets seraient peut-être > capables de demander un renouvellement de l'IPv6 au système s'ils > voient qu'ils sont bloqués. Possible :p > AMHA il est de bien séparer les deux cas, les réponses ne sont pas les mêmes. /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] black list d'IP en IPv6
ce qui risque d'être marrant aussi en V6 c'est l'attribution des tokens sur les sites de DDL...enfin moi je dis ça, je dis rien...:) C. Le 22 nov. 2010 à 22:16, Antoine MUSSO a écrit : > Bonjour, > > J'ai une appli qui devrait s'ouvrir à IPv6 l'année prochaine. Une de ses > fonctions est de permettre de bloquer un utilisateur par son adresse IP (/32) > avec en option la possibiliter de bloquer plus largement (/28, /24 ...). > Ce système a ses limites puisqu'un grand nombre d'utilisateurs peut se > retrouver derrière la même adresse (proxy web). > > En IPv6, le problème est encore plus apparent : > - si je bloque un /128, l'utilisateur indélicat peut à coup sûr utiliser > l'adresse contigüe. > - Je pourrais bloquer par un /64 mais çà pourrait très bien bloquer tout un > tas d'utilisateur de téléphones mobiles, à considérer que c'est un seul > segment réseau. > - mon ISP m'attribue un /60, d'autres recoivent un /56 par connexion. > > Déterminer la taille du masque à bloquer est donc problématique mais nous ne > voulons pas restreindre l'accès de l'application à des utilisateurs > identifiés. > > Je me demandais donc, si il y avait possibilité de retrouver la taille de > réseau allouée au end-user. Je suppose que ce type de problématique va vite > apparaître pour bloquer des utilisateurs infectés par un botnet. > > Des idées ? > > > -- > Antoine Musso > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] black list d'IP en IPv6
Bonjour, [...] > Je me demandais donc, si il y avait possibilité de retrouver la taille > de réseau allouée au end-user. Je suppose que ce type de problématique > va vite apparaître pour bloquer des utilisateurs infectés par un botnet. > > Des idées ? Ca tombe bien: il y a une proposition au RIPE qui veut rajouter un champ supplémentaire dans les objets inet6num pour définir la taille des sous alloc faites aux end user. Plus d'infos en lisant l'archive de la liste ipv6-ops du RIPE. @+ Mathieu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] black list d'IP en IPv6
Le 22/11/10, Antoine MUSSO a écrit : > > En IPv6, le problème est encore plus apparent : > - si je bloque un /128, l'utilisateur indélicat peut à coup sûr > utiliser l'adresse contigüe. Ça c'est le problème de l'utilisateur volontairement méchant: il voit qu'on le bloque, il change tout de suite d'IP. S'il est assez malin pour changer d'IP, il risque même de revenir un coup via son VPN anti-Hadopi, un coup via le WiFi du voisin.. lui il va être délicat à bloquer. > Je me demandais donc, si il y avait possibilité de retrouver la taille > de réseau allouée au end-user. Je suppose que ce type de problématique > va vite apparaître pour bloquer des utilisateurs infectés par un botnet. Ça c'est le problème de l'utilisateur involontairement méchant: il ne va pas changer _tout de suite_ d'IPv6 une fois bloqué. Éventuellement son IPv6 va se renouveler, mais au bout d'un délai suffisant pour prévenir son ISP qui, étant parfait (un ISP qui déploie IPv6 ne peut qu'être parfait) va prendre les mesures en temps et en heure. Même si on peut imaginer qu'à terme les botnets seraient peut-être capables de demander un renouvellement de l'IPv6 au système s'ils voient qu'ils sont bloqués. AMHA il est de bien séparer les deux cas, les réponses ne sont pas les mêmes. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] black list d'IP en IPv6
Une des raisons pour lesquelles on ne voit pas fleurir de serveurs SMTP en IPv6 est que le filtrage anti-spam, encore largement basé sur l'information propre à l'adresse IP(v4) émettrice que ce soit pour la réputation ou la liste noire pure est simple, devient un vrai casse-tête en IPv6, notamment pour les raisons que tu as indiquées. Mais en plus, il faudra voir la longueur de la blacklist IPv6 ! Si potentiellement toute IP est blacklistable, il va falloir apprendre à stocker (et parser) autrement qu'en base ou en fichiers. Tu n'es pas le premier à te pencher sur la question, mais si tu trouves une formule magique tu devrais pouvoir faire fortune ... Le 22/11/2010 22:16, Antoine MUSSO a écrit : Bonjour, J'ai une appli qui devrait s'ouvrir à IPv6 l'année prochaine. Une de ses fonctions est de permettre de bloquer un utilisateur par son adresse IP (/32) avec en option la possibiliter de bloquer plus largement (/28, /24 ...). Ce système a ses limites puisqu'un grand nombre d'utilisateurs peut se retrouver derrière la même adresse (proxy web). En IPv6, le problème est encore plus apparent : - si je bloque un /128, l'utilisateur indélicat peut à coup sûr utiliser l'adresse contigüe. - Je pourrais bloquer par un /64 mais çà pourrait très bien bloquer tout un tas d'utilisateur de téléphones mobiles, à considérer que c'est un seul segment réseau. - mon ISP m'attribue un /60, d'autres recoivent un /56 par connexion. Déterminer la taille du masque à bloquer est donc problématique mais nous ne voulons pas restreindre l'accès de l'application à des utilisateurs identifiés. Je me demandais donc, si il y avait possibilité de retrouver la taille de réseau allouée au end-user. Je suppose que ce type de problématique va vite apparaître pour bloquer des utilisateurs infectés par un botnet. Des idées ? --- Liste de diffusion du FRnOG http://www.frnog.org/