o/ > L'idée d'IPv6, c'est que çà allait remplacer IPv4 "dans 2 ou 3 ans". Cà fait > 20 ans qu'on me ressasse la même connerie. Malgré que les raisons que les > vendeurs de cyber-peur qui retournent leur veste tous les ans soient parfois > questionnables, çà n'enlève rien au fait qu'IPv6 est 2 fois le travail et 3 > fois les emmerdes.
L'implicite de la théorie, c'est que les gens comme toi bossent Ça remplace IPv4 dans 2 ou 3 ans, et en effet, je connais des gens qui ont remplacés IPv4 en 2 ou 3 ans Mais en travaillant sur le sujet, pas en attendant que ça se fasse par miracle Du coup oui, ça fait 20 ans que tu te touches, et le sujet n'avance pas tout seul > Recommandation d'une grosse boite de sécurité réputée et cotée en bourse à > une autre grosse boite : désactivez IPv6. Argument d'autorité, qui suppute que les intérêts de la boite de sécurité concordent avec les intérêts de la boite "cliente" Est-ce vraiment intellectuellement honnête ? Si ce genre de boite était vraiment "ton ami qui te veut du bien", le rapport dirai "go delete windows" Virer windows, comme virer v4, n'est qu'une question de moyens et de travail, en quantité raisonnable vis-à-vis du bénéfices à moyen terme Et kudo à Philippe pour dire que LAN == insecure La sécurité, comme la connectivité, se fait sur les endpoints Le reste n'est que porcherie plus ou moins problématique ________________________________________ De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de Michel Py <mic...@arneill-py.sacramento.ca.us> Envoyé : mercredi 6 janvier 2021 09:28:50 À : 'David Ponzone' Cc : frnog@frnog.org Objet : RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6 Mail externe : n'ouvrez pas de lien ou de pièce jointe si vous ne connaissez pas l'expéditeur > David Ponzone a écrit : > Tu peux pas filtrer IPv6 en ingress sur tes switch ? Quand c'est dans le même VLAN çà devient chiant. C'est un peu comme port-security basé sur l'adresse MAC et autres ruses level 2 : çà marche, sauf quand çà ne marche pas. Exemple Catalyst : port-security çà marche quand tu as "switchport access vlan toto", et le jour ou "par miracle" tu dois implémenter en plus "switchport voice vlan tata" tout ton machin se met à merder. Et je commence pas avec les stacks et les switchs virtuels (VSS), ce genre de truc c'est pas prévu dans le chipset, au bout du compte tu te fais tellement chier à comprendre quelle est la combinaison plateforme/version qui marche ou pas que tu aurais mieux fait de pas essayer. Ne pas router les paquets (L3) IPv6, c'est facile; ne pas switcher (L2) les trames qui contiennent IPv6 au niveau supérieur, j'y crois pas. > Erwan David a écrit : > Moi j'aurais dit "disable windows", non ? Cà fait 30 ans que tout le monde essaie. Même problème : c'est de la merde, mais écrire qu'il faut s'en débarrasser c'est perdre son temps. Tu veux te débarrasser de Micro$hiotte Windoze ? 3 milliards d'humains (ou plus) te soutiennent. Pourquoi depuis 30 ans toi et les milliers de vieux cons qui étaient jeunes cons en leur temps ont échoué : parce que vous n'avez toujours pas compris comment marche le business. J'ai été un jeune con ;-) >> Michel Py a écrit : >> En bas du rapport de plus de 100 pages de Toto, qui va finir dans l'email de >> quelqu'un >> qui gagne en dollars ce que je gagne en cents, et qui va direct aux >> conclusions : >> Key Recommendations : >> - Susceptible to Rogue IPv6 DHCP Server Attack: Disable IPv6 on internal >> Windows hosts if not in use. > Pierre Emeriaud a écrit : > C'est complètement con comme suggestion. C'est comme s'il y a 30 ans on avait > dit "disable ipv4" parce qu'ip > et ethernet ne sont pas fiables par rapport à osi. Au final c'est pas ce qui > a été fait. On se retrouve > aujourd'hui avec les mêmes attaques qu'à l'époque, et c'est justement parce > que les entreprises n'ont pas > implémenté ipv6 qu'elles se retrouvent dans la merde dès qu'un pentester a le > droit de s'amuser un peu. Je suis à moitié d'accord et à moitié pas. Le coup du serveur DHCP rogue en IPv4, çà ne passe plus; ça nous a tellement cassé les pieds dans le temps que maintenant on y fait attention. Et tu oublies le problème de base : impossible d'enlever IPv4, donc IPv6 continue à rester un emmerdement, aggravé par le fait qu'IPv6 est codé prioritaire. Je suis intellectuellement honnête : le coup du "security circus" et du pentester qui s'amuse, çà fait marcher le business de la cyber-peur depuis des lustres; et les décideurs qui se mettent à genoux et fuitent un litre d'huile dès que bozo approche leur doigt de leur trou du cul, c'est lamentable. Rien de nouveau. Ceci étant dit, IPv6 n'a rien changé à cette situation sauf la doubler, et je te retourne la faveur : vu que la connerie est inchangée, explique moi pourquoi, en plus de la connerie IPv4, maintenant je devrais doubler la connerie en double-stackant IPv6 ? Le problème d'IPv6, c'est que justement c'est basé sur FUD. L'idée d'IPv6, c'est que çà allait remplacer IPv4 "dans 2 ou 3 ans". Cà fait 20 ans qu'on me ressasse la même connerie. Malgré que les raisons que les vendeurs de cyber-peur qui retournent leur veste tous les ans soient parfois questionnables, çà n'enlève rien au fait qu'IPv6 est 2 fois le travail et 3 fois les emmerdes. Recommandation d'une grosse boite de sécurité réputée et cotée en bourse à une autre grosse boite : désactivez IPv6. Moi je dis amen; çà fait trop longtemps que ça double ma charge de travail en promettant des merveilles et en ne délivrant que des emmerdements. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
