On 12/27/11 12:26 PM, Jérôme Nicolle wrote: > Damien, > > Le 27 décembre 2011 12:15, Damien Fleuriot <m...@my.gd> a écrit : >> Ca fait 10 messages qu'on tourne en rond. > > A qui la faute ? > > Petit rappel, histoire que ce soit bien clair et que tu arrêtes > d'alimenter le hors sujet :
Le message qui a relancé le débat a été posté sous forme de troll le 26/12/2011 à 21h19. Je te laisse le rechercher. > - IPv6 existe, des gens vont le déployer, alors si tu veux passer pour > un dinosaure dans quelques années et perdre toute employabilité, tu es > sur la bonne voie. Ca n'a rien à voir avec le sujet abordé, à savoir rendre un service public joignable via une ipv6 publique. Les communications internes entre serveurs sont un tout autre débat. > - Que tu déploies ou pas, tes équipements et OS vont se mettre à le > parler. Donc sans t'en servir, tu devras quand même être capable de le > contrôler pour sécuriser ton réseau. Ils ne le parleront que s'ils y sont autorisés. Les OS que nous utilisons en prod nous permettent d'activer ou pas l'ip6. Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde. > - Du coup, de l'intérêt de déployer partout ou sur des frontaux, peu > importe, il faut que TOUS tes équipements soient compatibles, sans > quoi tu ne verras pas le coup venir *QUAND* tu te feras trouer le cul > par une attaque basée sur quelque anomalie d'implémentation d'IPv6. > A partir du moment où seuls mes frontaux parlent ipv6 je suis relativement tranquille, ces machines proposent des fonctionnalités assez sympa, notamment celle de refuser les RA. > Pour en revenir au sujet donc, à l'exception d'un support "pour dans > pas longtemps" sur les 3750-X, 3560-X et 2960-S chez Cisco, personne > n'a d'information claire quand au support de la RFC-6105 sur les > switchs d'accès. Du coup, la seule solution semble être de poser du L3 > avec des ACL sur ICMPv6 et/ou un monitoring un peu travaillé avec > ARPWatch et NDPmon. > Même discours chez juniper où ils annoncent la feature pour junos 12.x qui est pour "l'an prochain" Il existe néanmoins une manip sur cisco pour obtenir un équivalent du RA guard: --- ipv6 access-list drop-ra deny icmp any any router-advertisement permit ipv6 any any int range g0/1 - 48 ipv6 traffic-filter drop-ra in --- Sur juniper c'est malheureusement plus délicat, certains ont essayé des access-list dans le même genre à base de filter (stateless fwing) mais ça ne s'applique qu'à l'ip4 apparemment. > Mais si un équipementier passe par ici avec la moindre information à > ce sujet, ne serait ce que des dates de livraison, ça pourra leur > éviter de passer une fois de plus pour des boulets perpétuellement en > retard. > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
