Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

Mon, 26 Jun 2023 09:51:40 -0700 

On 26/06/2023 18:32, Laurent Barme wrote:


Le 26/06/2023 à 18:07, Léo El Amri via frnog a écrit :

On 26/06/2023 17:23, Laurent Barme wrote:

l'IPv6 est [...] un danger potentiel pour la sécurité et une menace 
pour la vie privée.


Comment ? Pourquoi ?

(On est pas vendredi, je demande vraiment)

Il n'y a pas de "vendredi" pour moi (je bosse tous les jours).


Merci :)


Si tu as des archives, tu peux retrouver la discussion suite à mon 
message sur le sujet le 26/04/21 08:45. <humour>Tiens, cela fait moins 
de 10 ans, Denis n'est pas encore complétement sorti de son hibernation 
:-)</humour>.



Elles sont parties en cold-storage, et les archives en ligne ne semblent 
pas remonter si loin :/



Sinon, pour le danger potentiel c'est lié pour moi au nombre d'IP qu'il 
faudrait bloquer. En ce sens, l'échange cité ci-dessus m'a permis de 
prendre sereinement la décision de bloquer les IPv6 par /64.



Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48 si 
on est vraiment pas content). Par contre je ne vois pas où est le 
danger. Si c'est une question de taille de table de blocage, tu ne peux 
de toute façon pas bloquer moins qu'un /64 dans un bloc IPv6, entre 
autre en raison du point suivant (les extensions de "vie privée" IPv6).



Pour ce qui concerne la menace que je perçois pour la vie privée c'est 
lié à l'identification plus précise de l'utilisateur dont le poste n'est 
pas (un peu) masqué par une IP publique partagée.



Il me semble que jusqu'à très très récemment, la plupart des équipements 
dans une "maison" étaient tous derrière une unique IPv4 publique. Et je 
ne vois pas en quoi les extensions de vie privée de l'IPv6 (pour le 
SLAAC), qui émulent plus ou moins le même niveau de """protection""" que 
le type de NAT IPv4 sus-mentionné, ne répondent pas au besoin. On peut 
certes mieux identifier une machine sur une session donnée, mais, pour 
Windows en tous cas, au prochain redémarrage l'adresse IPv6 aura changé. 
Je ne pense pas qu'on puisse faire mieux au niveau de la couche IP.



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/





























					Répondre à