Je suis bien d'accord mais va faire accepter a un DSI dont la seule obsession est le "Quick Win", et le "Azure c'est génial", qu'avant d'aller se palucher devant son CEO et le CoDir, il faut mettre son achi à l'état de l'art... Et donc SMSI/802.1x/segmentation fonctionnelle/chiffrement disque dur/conformité du poste/IAM-Audit des droits etc... c'est juste la base Mais çà, c'est impossible dans ce monde de mecs qui se disent DSI mais qui ne font que gérer un budget sans même comprendre de quoi ils parlent!
Le 06/01/2021 à 08:23, Philippe ASTIER via frnog a écrit : > Je plusoie. > > OK, IPv6 a facilité l’accès à une merde de Windows, sur une infra boiteuse où > IPv6 n’est pas maitrisé, les serveurs mais configurés. > On peut aussi faire du rogue DHCPv4 et intercepter le traffic des clients si > l’infra est merdique. > > A ce tarif là, IPv4 transporte des virus tous les jours, let’s ban IPv4. > > Sérieusement, le problème n*1, maintenant que Flash est décédé, ça reste > Windows. > Faire transiter des mots de passe hashés, ça devrait même pas exister. > > C’est pas pour rien que les entreprises modernes font du réseau « zéro-trust > » même en interne. > Donc oui, 802.1x, certificats, etc… et du coup, les faiblesses d’IPv4 ou v6, > on s’en fout. > > Faut considérer que son LAN est aussi insecure que du WAN dans un lieu public > et adapter son infrastructure en conséquence. > >> Le 6 janv. 2021 à 08:05, Erwan David <er...@rail.eu.org >> <mailto:er...@rail.eu.org>> a écrit : >> >> Le 06/01/2021 à 05:57, Michel Py a écrit : >> >>>> Key Recommendations : >>>> - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal >>>> Windows hosts if not in use. >>> C.Q.F.D. >>> Comme je le dis depuis des années : IPv6 : 2 fois le travail, et 3 fois les >>> emmerdes. >>> ipv6 route ::/0 null0 c'était déjà là, je vais réfléchir à quelques >>> préfixes plus longs. >>> Et qui c'est qui va se palucher les scripts Powershell pour désactiver IPv6 >>> ? ben devinez, c'est bibi, ou l'autre barbu. >>> Est-ce que je suis payé pour le faire ? Oui, et pas trop mal. Est-ce que >>> j'ai quelque chose de mieux à foutre : oui, aussi. >>> Le troll "yàkà faire du IPv6 only", il meurt de faim depuis 15 ans. C'est >>> pour dreudi, en [MISC]. >>> Michel. >>> (1) Guy Lux, sur RMC si je me rappelle bien. >> Moi j'aurais dit "disable windows", non ? >> >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ <http://www.frnog.org/> > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
