Email Signature
Le 26/06/2023 à 19:43, Maxime DERCHE a écrit :
Configurer le serveur web pour de l'IPv6 aurait considérablement
agrandi la surface d'attaques possibles.
C'est exactement à cause de ce genre d'ânerie que je persiste à prôner
les outils normatifs et notamment le pire d'entre eux, l'analyse de
risque, même si je considère ces outils dangereux et largement sur-côtés.
J'aimerais bien voir l'analyse de risque qui conclurait à un plus
grand risque en coupant IPv6.
=> Dans la mesure où IPv6 est activé par défaut partout côté serveur
dans le noyau et pour tout ce qui existe au niveau 7 depuis des
années, l'activer dans un vhost HTTP/HTTPS n'agrandit absolument pas
la surface d'attaque : elle est /déjà/ là, cette surface d'attaque...
Une analyse de risque sérieuse qui désactive IPv6 devrait également
désactiver IPv4. Le Air Gaped est la seule solution pour retirer le
risque d'être connecté, pas la version du protocole.
On fait du v6 par défaut depuis 2008, le v4 public est optionnel et le
v4 privé très fortement limité avec NAT multiple interdits et c'est un
bonheur à administrer.
Par contre on a un blocage particulier c'est le réseau utilisateur, les
clients ont du multi wan de nos jours et on n'a rien trouvé dans les
possibilités d'IPv6 à part le NAT sortant pour faire du failover entre
interface WAN. Sans NAT faut attribuer à chaque terminal, deux adresses
IPv6 de deux subnets différents (des deux FAI) et donc deux routes v6 et
là ça bloque. Et puis il y a encore pas mal d'équipements qui pour faire
fonctionner de l'ipv6 obligent à avoir de l'ipv4 (coucou les imprimantes
Canon et HP). Bref pour les réseaux d'entreprise pour le moment on n'a
pas trouvé la solution mais côté hébergement / serveurs / réseaux WAN
tout fonctionne bien. Fini le temps où on mettait un reverse proxy tcp /
udp devant les Tomcat non compatibles par exemple :D
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
