Bonjour, Le 23 oct. 2012 à 14:48, Xavier Beaudouin a écrit :
>> >> Je plussoie sur ce point. Le minimum à bloquer est le /64. C'est le >> plus grand préfixe pour lequel on puisse supposer qu'il est géré par >> une entité administrative unique. Si un administrateur réseau ne sait >> pas contrôler ce qu'il se passe sur son réseau, c'est son problème. >> On peut même dire que l'on met généralement un /64 IPv6 là où en IPv4 >> on met une adresse IPv4 unique (connexion résidentielle NATée par >> exemple). Certains opérateurs attribuent des plus petits préfixes >> (/127 pour l'interco ou des liaisons point-à-point), dans ce cas ce >> sont des préfixes qui n'auraient jamais dû se retrouver dans les >> internets. Bloquer au /128 reviendrait à flooder son propre parefeu >> et on va pouvoir transformer un simple bruteforce SSH en une >> magnifique attaque DoS à moindre coût. > > Je vais me faire l'avocat du diable en tant que LIR. > > Pour avoir du SLAAC un /64 est obligatoire. Mais dans le cas d'une IP fixe > traditionnelle tu peux te mettre un /128 (type routage anycast) voire du /127 > cas de liaison PtP :) > > Et c'est pas parce que on utilise des /128 ou /127 (en ipv6) qu'ils vont se > trouver dans les internets (sic). Regarde ce qu'il se fait > avec l'ipv4... > > Donc un /64 n'est pas le plus grand prefixe que peux avoir dans un > réseau. Je suis d'accord, ce n'est pas le plus grand préfixe possible. Moi même pour fournir de la connectivité IPv6 à des VMs sur un serveur j'ai redécoupé un /64 en plusieurs réseaux. Par contre on peut considérer raisonnablement que j'étais l'administrateur de ce /64 et que j'étais responsable de ce qui se passait sur mon /64. Concernant les /127 utilisés pour les interco ou les liens PtP, ce sont des IPs dédiées à l'opération de ton service d'opérateur et ne sont pas sensées sortir de ton AS, ou pour des cas très spécifiques liées à l'opération du réseau, est-ce que je me trompe ? Je ne vois justement pas de cas concret dans lequel un client pourrait utiliser de toute bonne foi son /128 attribué par son opérateur pour envoyer un mail. C'est pour cela que si je reçois un spam venant d'une IPv6 j'ai bien envie de bannir le /64 parce que: - si le client final a reçu un /64 de son opérateur il est responsable de ce qui se passe dessus - si le client final a reçu un /128 de son opérateur il n'était pas sensé l'utiliser pour ce genre de choses (?) Est-ce que j'ai raté un bout de ton explication sur l'utilisation des /128 dans la vraie vie ? > > Et on parlais de RBL donc de protection "logicielle".... Pas de protection > firewall.... (en passant il y a des firewalls qui se demerdent bien avec /128 > en ACL...). Cela dépend de ce que tu entends par "se démerder avec des /128". Je veux bien admettre que les firewall acceptent des règles définies sur des adresses /128, mais que ce soit une protection logicielle ou un firewall je ne pense pas qu'ils supportent que l'on ajoute successivement à leur banlist tous les /128 d'un /64 (parce que l'attaquant aura changé d'interface ID entre chaque scan). C'est pour cela que ça me paraissait assez inenvisageable de bannir sur la base du /128, rien que la quantité de mémoire nécessaire pour stocker cette information est faramineuse. C'est en cela que filtrer sur la base du /128 donnerait à mon sens une capacité de nuisance faramineuse à un attaquant. Cordialement Emmanuel Thierry _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/