Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Le Tue, Apr 27, 2021 at 07:22:40PM +0200, David Ponzone [david.ponz...@gmail.com] a écrit: (...) > > Je serais curieux de savoir quels sont les systèmes domo et autres > (sono, media server, etc???) qui marchent encore en segmentant comme > ça avec des ACL entres les LAN :) Déjà que la plupart des mécanismes > automagiques ne marchent plus si tu sépares ton LAN en 2 subnet IP??? Sur ipv6 en plus ? ;-) -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Le 26/04/21 à 19:12, Vincent Habchi a écrit : > un gros forum de discussion francophone. J’avais barré un tas de pays qui > n’avaient rien à faire là-dessus (genre, Russie, Chine, Inde et quelques > autres). J'ai aussi ça mais des users francophones tout à fait légitimes dans ces pays-là… -- Daniel L'ennemi se déguise parfois en géranium, mais on ne peut s'y tromper, car tandis que le géranium est à nos fenêtres, l'ennemi est à nos portes. Pierre Desproges --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
On 27/04/2021 22:49, David Ponzone wrote: >> >> A aucun moment on ne subdivise un /64 dans ce que je propose :) . Je >> n'ai pas un cas pratique sous la main mais si pour les besoins d'usage >> un certain nombre d'équipements doivent absolument être dans le >> même LAN >> (le même /64) alors ils resteront dans le même réseau. >> >> Un usage = 1 LAN = 1x/64 >> > > Oui tu as bien plusieurs /64 non ? oui > Tu dis "- ton routeur auras bien sur une interface dans chacun des LAN (donc > chacun des /64), ». > Donc ton app iPhone Hue par exemple ne verra pas le pont Philips Hue > automagiquement. Oui il faudra router sinon ils restent dans le même réseau. -- Willy Manga @ongolaboy https://ongola.blogspot.com/ OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> > A aucun moment on ne subdivise un /64 dans ce que je propose :) . Je > n'ai pas un cas pratique sous la main mais si pour les besoins d'usage > un certain nombre d'équipements doivent absolument être dans le > même LAN > (le même /64) alors ils resteront dans le même réseau. > > Un usage = 1 LAN = 1x/64 > Oui tu as bien plusieurs /64 non ? Tu dis "- ton routeur auras bien sur une interface dans chacun des LAN (donc chacun des /64), ». Donc ton app iPhone Hue par exemple ne verra pas le pont Philips Hue automagiquement. Un exemple parmi d’autres. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
On 27/04/2021 21:22, David Ponzone wrote: >> >> J'espère que les uns et les autres comprendront pourquoi c'est vachement >> plus intéressant d'allouer au moins un /56 pour un client résidentiel ;) >> >> Madame Michu ne fera pas tout ça bien sur mais c'est possible de >> proposer des services aux clients résidentiels et les placer chacun dans >> son propre LAN. Chaque usage étant "cloisonné" avec les ACL qui >> vont >> bien avec. > > Je serais curieux de savoir quels sont les systèmes domo et autres (sono, media server, etc…) qui marchent encore en segmentant comme ça avec des ACL entres les LAN :) > Déjà que la plupart des mécanismes automagiques ne marchent plus si tu > sépares ton LAN en 2 subnet IP… A aucun moment on ne subdivise un /64 dans ce que je propose :) . Je n'ai pas un cas pratique sous la main mais si pour les besoins d'usage un certain nombre d'équipements doivent absolument être dans le même LAN (le même /64) alors ils resteront dans le même réseau. Un usage = 1 LAN = 1x/64 Le cas le plus simple sera 2 LANs: 1 pour tout ce qui est connu à la maison et 1 autre pour les invités. Ce que j'indique est plus un appel aux constructeurs/intégrateurs à prendre en compte la manière dont des services peuvent exploiter de manière efficiente IPv6 (multicast inclu). -- Willy Manga @ongolaboy https://ongola.blogspot.com/ OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> On 27 Apr 2021, at 19:57, Michel Py via frnog wrote: >> Vincent Habchi a écrit : >> Mais je te rassure, c’était avant FreeBSD 11 et l’arrivée de blacklistd. >> Depuis, je me suis tourné >> vers ce démon, et, en bon philanthrope, j’ai ouvert l’accès à l’ensemble de >> l’humanité ! :) > > Dans le temps j'avais bloqué la Corée du Nord et quelques autres, mais > honnêtement je pense que ça ne sert à rien : > Si on essaie de se protéger d'un truc issu d'une armée de zombies, il y en a > suffisamment dans d'autres pays qu'on autorise. > Si on essaie de se protéger d'une attaque ciblée, ils ont un VPN. Ah, mais tu prêches un convaincu :) J’ai séparé le 172.31/16 que j’utilise en interne au bureau. 0/24 ce sont les machines, 1/24 les routeurs, 2/24 les clients VPN et 3/24 mes macs et 4/24 les imprimantes. J’ai bien conscience que ça ne sert à rien, mais ça fait plus propre. Mon serveur DHCP opère sur le second /25 du 0/24. Le premier /25 est une série d’IP fixes (serveurs). V. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
>> Willy Manga a écrit : >> J'espère que les uns et les autres comprendront pourquoi c'est vachement >> plus intéressant d'allouer au moins un /56 pour un client résidentiel ;) >> Madame Michu ne fera pas tout ça bien sur mais c'est possible de proposer >> des services aux clients résidentiels et les placer chacun dans son propre >> LAN. Chaque usage étant "cloisonné" avec les ACL qui vont bien avec. >> David Ponzone a écrit : > Je serais curieux de savoir quels sont les systèmes domo et autres (sono, > media server, etc…) qui marchent encore en segmentant comme ça avec des ACL > entres les LAN :) Déjà que la plupart des mécanismes automagiques ne marchent > plus si tu sépares ton LAN en 2 subnet IP… En effet, il y a encore plein de trucs qui sont basés sur un broadcast qui ne sort pas du VLAN. Presque personne ne fait ça de toute façon, la preuve étant que c'est disponible depuis la nuit des temps. Partant du même principe, on peut déjà faire 192.168.1.0/24 pour quelque chose, 192.168.2.0/24 pour autre chose, etc. Combien il y en a, même ici, qui font ça ? A un moment j'avais un VLAN visiteur, mais depuis que tout est WiFi et que mon système a une fonction visiteur intégré, je l'ai enlevé. A job[-1] j'avais un VRF et un VLAN séparé pour le boulot, mais c'était pas un truc qu'on donnait aux utilisateurs. Même en entreprise, dans les petites succursales on n'a souvent qu'un seul VLAN, alors le coup de donner par défaut un /56 au résidentiel ça me fait carrément rigoler. > Vincent Habchi a écrit : > Mais je te rassure, c’était avant FreeBSD 11 et l’arrivée de blacklistd. > Depuis, je me suis tourné > vers ce démon, et, en bon philanthrope, j’ai ouvert l’accès à l’ensemble de > l’humanité ! :) Dans le temps j'avais bloqué la Corée du Nord et quelques autres, mais honnêtement je pense que ça ne sert à rien : Si on essaie de se protéger d'un truc issu d'une armée de zombies, il y en a suffisamment dans d'autres pays qu'on autorise. Si on essaie de se protéger d'une attaque ciblée, ils ont un VPN. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> > J'espère que les uns et les autres comprendront pourquoi c'est vachement > plus intéressant d'allouer au moins un /56 pour un client résidentiel ;) > > Madame Michu ne fera pas tout ça bien sur mais c'est possible de > proposer des services aux clients résidentiels et les placer chacun dans > son propre LAN. Chaque usage étant "cloisonné" avec les ACL qui > vont > bien avec. Je serais curieux de savoir quels sont les systèmes domo et autres (sono, media server, etc…) qui marchent encore en segmentant comme ça avec des ACL entres les LAN :) Déjà que la plupart des mécanismes automagiques ne marchent plus si tu sépares ton LAN en 2 subnet IP… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
. On 27/04/2021 20:06, Michel Py wrote: >> [...] > >> Même si je doute que tous les systèmes d'exploitation implémentent >> absolument la >> RFC 8981 à l'heure actuelle; la plupart, sinon tous, n'emploieront jamais >> l'adresse >> IPv6 générée à partir de l'adresse MAC (EUI-64) pour le traffic de *sortie*. > > Aucune importance, le merdiciel va générer sa propre adresse et la choisir > pour envoyer son trafic. > Disons que ton réseau local soit 2001:DB8:CAFE:BABE::/64. Rien ne t'empêche > de prendre : > 2001:DB8:CAFE:BABE::1 pour ton routeur > 2001:DB8:CAFE:BABE::2 pour ton serveur > 2001:DB8:CAFE:BABE::3 pour ton iPBX > Etc. En partant du même principe, le merdiciel peut prendre n'importe > laquelle des 2^64 adresses disponibles. Sauf qu'ici si tu comptes plus d'un type d'usage, alors tu mettras chaque type d'usage dans son propre LAN. Pour suivre ton exemple, - ton routeur auras bien sur une interface dans chacun des LAN (donc chacun des /64), - tu auras à minima un autre /64 pour tes serveurs - et un autre /64 pour tous les PC, smartphone,... de la maison .. Un usage = 1 LAN Moi typiquement pour aller plus loin j'aurais eu : - un /60 pour mes serveurs où certains auront des VM avec chacune un /64 derrière (oui, même pour la mini VM dans un virtualbox, lxc de ma machine xyz,...) - un /60 pour les besoins de la maison contenant - un /64 pour mon réseau de caméra - un /64 pour les PC de la maison - un /64 pour toute la domotique - un /64 pour le wifi des interfaces connus - un /64 pour le wifi "guest" - et ainsi de suite, pour tous les types d'usage possible et inimaginable. J'espère que les uns et les autres comprendront pourquoi c'est vachement plus intéressant d'allouer au moins un /56 pour un client résidentiel ;) Madame Michu ne fera pas tout ça bien sur mais c'est possible de proposer des services aux clients résidentiels et les placer chacun dans son propre LAN. Chaque usage étant "cloisonné" avec les ACL qui vont bien avec. > En ayant un réseau d'une taille aussi importante, dont l'adresse n'est pas > réécrite par NAT, on a créé deux nouveaux profils d'attaque : > > - Changer d'adresse souvent pour éviter de se faire bloquer par les systèmes > de blacklist. > - Attaquer directement les systèmes de blacklist en générant tellement > d'entrées qu'ils s'effondrent. > > Dans les deux cas, la solution évidente est de blacklister le /64 dont lequel > l'adresse fait partie, au lieu de blacklister l'adresse elle-même. Oui, bien sur que tu bloqueras le /64 en question "temporairement". Mais je pense que la résolution du problème de fond sera, de manière ultime, qu'il y ait une remontée d'informations quelque part et des échanges entre gestionnaires réseaux (responsables) quand le problème est important et localisé. Etant donné que les blocs de chaque client sont "uniques", le FAI peut plus facilement localiser la source du problème. Pour tout cela (et bien d'autres) ... chaque type d'utilisateur trouvera un intérêt à utiliser IPv6 :) -- Willy Manga @ongolaboy https://ongola.blogspot.com/ OpenPGP_signature Description: OpenPGP digital signature
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> Willy Manga a écrit : > Je pense que ces opérateurs ont des mécanismes qui ne se basent pas seulement > sur l'IP pour "caractériser" une personne. Certes, et plus il y a de mécanismes mieux c'est, et une adresse unique au par machine c'est du pain béni : pas moyen de l'enlever, pas de mode privé, etc. C'est dans l'entête du paquet. > Je serais plus fin en disant "chaque interface réseau" et non juste PC peut > avoir au moins > une adresse globalement routable (mais dans la pratique c'est souvent au > moins 2). Tout à fait, et aussi une FE80:, et plus. > Même si je doute que tous les systèmes d'exploitation implémentent absolument > la > RFC 8981 à l'heure actuelle; la plupart, sinon tous, n'emploieront jamais > l'adresse > IPv6 générée à partir de l'adresse MAC (EUI-64) pour le traffic de *sortie*. Aucune importance, le merdiciel va générer sa propre adresse et la choisir pour envoyer son trafic. Disons que ton réseau local soit 2001:DB8:CAFE:BABE::/64. Rien ne t'empêche de prendre : 2001:DB8:CAFE:BABE::1 pour ton routeur 2001:DB8:CAFE:BABE::2 pour ton serveur 2001:DB8:CAFE:BABE::3 pour ton iPBX Etc. En partant du même principe, le merdiciel peut prendre n'importe laquelle des 2^64 adresses disponibles. En ayant un réseau d'une taille aussi importante, dont l'adresse n'est pas réécrite par NAT, on a créé deux nouveaux profils d'attaque : - Changer d'adresse souvent pour éviter de se faire bloquer par les systèmes de blacklist. - Attaquer directement les systèmes de blacklist en générant tellement d'entrées qu'ils s'effondrent. Dans les deux cas, la solution évidente est de blacklister le /64 dont lequel l'adresse fait partie, au lieu de blacklister l'adresse elle-même. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
>> J’ai mis en place des restrictions un peu moins sévères sur un serveur dont >> je m’occupe et qui héberge un gros forum de discussion francophone. J’avais >> barré un tas de pays qui n’avaient rien à faire là-dessus (genre, Russie, >> Chine, Inde et quelques autres). > > Par ce qu'il n'existe aucune personne parlant Francais en Russie, Chine > et Inde ? Évidemment, c’est un peu le défaut de la cuirasse. Avec de telles méthodes, on sacrifie une (toute petite) partie du public potentiel sur l’autel de la tranquillité. Mais je te rassure, c’était avant FreeBSD 11 et l’arrivée de blacklistd. Depuis, je me suis tourné vers ce démon, et, en bon philanthrope, j’ai ouvert l’accès à l’ensemble de l’humanité ! :) Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
On Mon, 26 Apr 2021, Vincent Habchi wrote: > > > On 26 Apr 2021, at 18:59, Richard Klein wrote: > > > > Sur le traffic entrant sur un pfsense et geoip je bloque toutes les ip qui > > ne sont pas Française. > > Cela m'a fait tomber le volume d'attaque et traffic parasite. > > Pour le traffic sortant je bloque aussi . > > J’ai mis en place des restrictions un peu moins sévères sur un serveur dont > je m’occupe et qui héberge un gros forum de discussion francophone. J’avais > barré un tas de pays qui n’avaient rien à faire là-dessus (genre, Russie, > Chine, Inde et quelques autres). Par ce qu'il n'existe aucune personne parlant Francais en Russie, Chine et Inde ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Bonjour, On 26/04/2021 22:02, Michel Py via frnog wrote: >> Michel Py a écrit : >> [...] > Hélas non, ça fait toujours 2^(128 - 29), les 64 bits de droite étant > disponibles :-( (à moins de bloquer dès le départ à /64). > Et puis, même si ça n'était "que" 2^(128 - 29 - 64), ça ferait quand même > 2^35 soit 34.359.738.368, suffisamment pour exploser ta blacklist. > Un PC peut se reconfigurer lui-même, peut-être pas avec complètement 2^64, > mais suffisamment pour être trop énorme pour suivre. > Je n'y connais pas vraiment grand-chose, faudrait regarder dans les environs > de ça : > https://tools.ietf.org/html/rfc4941 C'est désormais la RFC8981 qui la remplace totalement https://tools.ietf.org/html/rfc8981 "Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6" >> (Par contre je ne comprends par comment cela pourrait préserver la vie >> privée de changer d'adresse dans une plage /64). > > C'est une histoire de suivi (tracking) et de corrélation. Tout comme les > cookies, big data suis ton adresse IP. Exemple typique : je suis en train de > surfer dur mon PC, et le peu de pub qui passe à travers sont à propos de > switch, d'optiques, ou autres. Ma femme achète un sous-tif en ligne (de son > PC, pas du mien), et bam tout d'un coup les pubs que je reçois sont de la > lingerie féminine. Comment tu crois que ça arrive ? On est tous les deux > derrière NAT sur la même IP publique. Big data. Je pense que ces opérateurs ont des mécanismes qui ne se basent pas seulement sur l'IP pour "caractériser" une personne. > Vu que avec IPv6 soi-disant il n'y a pas de NAT, chaque PC serait (en plus de > l'IP de la famille) identifiable individuellement, l'adresse IPv6 étant une > fonction de l'adresse MAC (les 64 bits de droite). Ce qui permettrait un > suivi encore plus pointu et les GAFA de mettre leur nez encore plus profond. > L'idée c'était donc que, dans la plage du subnet local /64, l'adresse du PC > change régulièrement, ce qui en théorie empêcherait le tracking. Sauf que il y a tellement de méthodes pour tracker que l'utilité est douteuse. Je serais plus fin en disant "chaque interface réseau" et non juste PC peut avoir au moins une adresse globalement routable (mais dans la pratique c'est souvent au moins 2). Même si je doute que tous les systèmes d'exploitation implémentent absolument la RFC 8981 à l'heure actuelle; la plupart, sinon tous, n'emploieront jamais l'adresse IPv6 générée à partir de l'adresse MAC (EUI-64) pour le traffic de *sortie*. Il y a plusieurs autres mécanismes pour générer des adresses. En terme de privacy, ici ce qui compte c'est que si mon interface réseau (ou plus grossièrement mon PC) se retrouve dans un autre LAN, chez moi ou ailleurs, les adresses générées de manière temporaire n'auront pas les mêmes "caractéristiques" d'un réseau à l'autre. La RFC https://tools.ietf.org/html/rfc7721 résume toutes les considérations à prendre en compte en terme de sécurité et privacy pour IPv6. Le tableau 1 fait un résumé de l'analyse. -- Willy Manga @ongolaboy https://ongola.blogspot.com/ OpenPGP_signature Description: OpenPGP digital signature
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> Laurent Barme a script : > Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de milliers > d'IPv4 qui > leurs ont adressé des requêtes malvenues, plus de 24000 pour celui le plus > harassé. > Pour les pirates, cela ferait un budget de $70 rien que pour les adresses > IP. Sauf que les pirates ne payent pratiquement jamais les adresses. Sur les 24000, il y en a 23000 qui sont des victimes : le PC de Claude Michu s'est fait contaminé par un merdiciel, c'est lui qui t'attaque, et si il trouve quelque chose il va en rendre compte au pirate. Pour Claude Michu, non seulement il faut décontaminer le PC, mais il faut aussi parfois whitelister l'adresse. Et pour les 1000 qui restent, oui c'était le pirate, sauf qu'il était chez un hébergeur pas regardant et éphémère. > Je sais qu'il est possible de bloquer une plage d'adresse mais au risque de > bloquer les accès légitimes dans la plage. C'est déjà le cas avec IPv4, il y a 3 cas courants : - L'hébergement mutualisé : sur 1 IP on met 100 sites WordPress ou autre, ou 100 VM de daube derrière NAT, qu'on vend 2€ par mois. Quand un des sites se fait pirater, c'est l'IP entière qui se fait blacklister et tous les autres avec. Solution : Si t'as un business un peu sérieux, dépense un peu plus que 2€ par mois pour ton site. - Les subnets d'hébergeurs sans scrupules : le pirate change d'hébergeur, et le nouveau client récupère l'adresse précédemment utilisée par le pirate, et qui est tellement blacklistée et parfois à la main que le nouveau client galère pendant des semaines à se faire délister. -Variation sur le précédent : quand un /24 arrive à un certain niveau de contamination, il y en a certains qui bloquent le /24 entier, il y a un moment où ça devient nécessaire. Cette partie va devenir éminemment plus nécessaire avec IPv6, pour les raisons expliquées plus tôt. Comme le faisait remarquer plus tôt Vincent avec blacklistd, le besoin de bloquer directement un préfixe en se basant sur une adresse a déjà été anticipé pas les gens qui sont plutôt du côté système (je suis plutôt du côté réseau). C'est un de ces exemples ou, pour adopter IPv6, il faut refaire ou adapter les outils. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
On Mon, Apr 26, 2021, at 09:34, Vincent Habchi wrote: > > On 26 Apr 2021, at 09:15, Laurent Barme <5...@barme.fr> wrote: > > Peut-être est-ce que ce passage à l'IPv6 est encore trop marginal pour > > susciter un investissement des pirates sur ce créneaux ? > > Ici, en France, Free alloue un /64 en v6, si je me souviens bien, à > chaque propriétaire d’une Freebox, mais est-ce que les autres font de > même ? Deja Free alloue un /60 pas un /64. Ce n'est pas typique, les autres allouent un /56 (grand public) ou un /48 ("pro" ou entreprise). Il n'y a pas de vraie regle (ok, blabla "site" blabla /48), mais /64 c'est pur un seul LAN, donc "minimum syndical", sauf peut-etre sur certains deploiements mobiles ou "VPS defectueux". En tout cas, faut pas compter sur grand chose entre /64 et /128. Finalement le plus grand problème avec l'IPv6 c'est la manque de connaissance de la part du public. Parce-que, oui, il y a des differences, quelques unes que je qualifierais d'assez "violentes". --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> Michel Py a écrit : > Si je devine correctement, c'est une des craintes que Laurent devait avoir > dans son billet original. > Laurent Barme a écrit : > C'est tout à fait ça ! > Mais j'ignorais que le /64 était officiellement prévu par machine ; merci > pour l'information ! C'est comme ça depuis 25 ans. Faudrait chercher profond pour en retrouver l'origine, mais le subnet de base en IPv6 est un /64, et il y a des FAI qui donnent des /56 à leur machinbox, tout ce qui est à droite c'est à toi. IPv4 : ta machine est dans un subnet /24, tu as donc 2^8 (32 - 24) (moins celles déjà utilisées) adresses dispo si tu veux changer d'adresse. IPv6 : ta machine est dans un subnet /64, tu as donc 2^64 (128 - 64) (moins celles déjà utilisées) adresses dispo si tu veux changer d'adresse. > Du coup, cela ne fait plus que 2^(128 - 29 - 64) soit 1225 tickets d'attaque > par /29 gratuits ; ouf ! Hélas non, ça fait toujours 2^(128 - 29), les 64 bits de droite étant disponibles :-( (à moins de bloquer dès le départ à /64). Et puis, même si ça n'était "que" 2^(128 - 29 - 64), ça ferait quand même 2^35 soit 34.359.738.368, suffisamment pour exploser ta blacklist. Un PC peut se reconfigurer lui-même, peut-être pas avec complètement 2^64, mais suffisamment pour être trop énorme pour suivre. Je n'y connais pas vraiment grand-chose, faudrait regarder dans les environs de ça : https://tools.ietf.org/html/rfc4941 > (Par contre je ne comprends par comment cela pourrait préserver la vie privée > de changer d'adresse dans une plage /64). C'est une histoire de suivi (tracking) et de corrélation. Tout comme les cookies, big data suis ton adresse IP. Exemple typique : je suis en train de surfer dur mon PC, et le peu de pub qui passe à travers sont à propos de switch, d'optiques, ou autres. Ma femme achète un sous-tif en ligne (de son PC, pas du mien), et bam tout d'un coup les pubs que je reçois sont de la lingerie féminine. Comment tu crois que ça arrive ? On est tous les deux derrière NAT sur la même IP publique. Big data. Vu que avec IPv6 soi-disant il n'y a pas de NAT, chaque PC serait (en plus de l'IP de la famille) identifiable individuellement, l'adresse IPv6 étant une fonction de l'adresse MAC (les 64 bits de droite). Ce qui permettrait un suivi encore plus pointu et les GAFA de mettre leur nez encore plus profond. L'idée c'était donc que, dans la plage du subnet local /64, l'adresse du PC change régulièrement, ce qui en théorie empêcherait le tracking. Sauf que il y a tellement de méthodes pour tracker que l'utilité est douteuse. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> On 26 Apr 2021, at 18:59, Richard Klein wrote: > > Sur le traffic entrant sur un pfsense et geoip je bloque toutes les ip qui > ne sont pas Française. > Cela m'a fait tomber le volume d'attaque et traffic parasite. > Pour le traffic sortant je bloque aussi . J’ai mis en place des restrictions un peu moins sévères sur un serveur dont je m’occupe et qui héberge un gros forum de discussion francophone. J’avais barré un tas de pays qui n’avaient rien à faire là-dessus (genre, Russie, Chine, Inde et quelques autres). Ça marche dans une certaine mesure. Mais ça n’empêchera personne d’utiliser un VPN pour masquer son IP réelle… Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Bonsoir a tous, Par avance désolé pour tous les raccourcis et idées de ce mail pour un monde meilleur! Sur le traffic entrant sur un pfsense et geoip je bloque toutes les ip qui ne sont pas Française. Cela m'a fait tomber le volume d'attaque et traffic parasite. Pour le traffic sortant je bloque aussi . Évidement ce n'est pas propre car seul les sites 100% hébergés en France sont joignable . Ok c'est déployé sur une activité particulière qui se contente de ce type de restriction. Mais après tous notre société nous encourage à consommer français pourquoi ne pas appliquer cela pour un web français uniquement ? En cas d'attaques grave , avérés et répétés nos enquêteurs pourraient prendre des mesures. En plus cela encourage à relocaliser nos services en France . Je sais, je vais me prendre une série de critiques et d'exceptions mais l'idée et a développer et si l'on ne tente pas nous pourrons dire que nous récoltons ce que nous avons semé Les Russes ont bien effectué un test pour se déconnecter de l'internet (US) afin d'évaluer leur dépendance au reste du réseaux . Nous devrions tous avoir une vue a long terme sur ce type de sujet ... Richard Le lun. 26 avr. 2021 à 08:48, Laurent Barme <5...@barme.fr> a écrit : > > Le 25/04/2021 à 14:59, thomas brenac via frnog a écrit : > … > > un /29 IPV6 c'est gratuit. > > > > > > On 24/04/2021 22:37, Michel Py via frnog wrote: > >>> Stephane Bortzmeyer a écrit : > … > >> Even as other nations began purchasing IPv4 as a strategic investment, > … > >> on en est aux environs de $29 par IP ces jours-ci > > Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de milliers > d'IPv4 > qui leurs ont adressé des requêtes malvenues, plus de 24000 pour celui le > plus > harassé. Pour les pirates, cela ferait un budget de $70 rien que pour > les > adresses IP. > > En IPv6 on aurait un potentiel de 2^(128 - 29) soit 630E27 de tickets > d'attaque > gratuits. > > Je ne vois pas comment bloquer plus efficacement les attaques que > subissent mes > serveurs autrement qu'en bloquant les adresses IP des pirates et j'ai un > doute > sur la capacités de mes serveurs à faire le tri parmi des milliers de > yotta > d'adresses IPv6. Je sais qu'il est possible de bloquer une plage d'adresse > mais > au risque de bloquer les accès légitimes dans la plage. > > Pourra-t-on passer sereinement à l'IPv6 tant que les scans et attaques de > serveurs seront des activités incontrôlées ? > > Laurent Barme > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Michel Py a écrit : Ca serait intéressant de comparer ces chiffres avec le volume de trafic IPv4/IPv6 pour le même réseau. Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ? >>> Uniquement l'adresse. >> C'est là où est le danger. Potentiellement, chaque hôte IPv6 peut avoir 2^64 >> adresses; si je me rappelle >> bien l'origine de ça c'était la vie privée, en changeant d'adresse tout le >> temps sur le papier il y >> avait une possibilité d'améliorer les choses. J'y crois pas vraiment, mais >> c'est possible : les 64 bits >> de droite sont disponibles pour chaque machine. Il faut donc s'attendre à ce >> que ça arrive; >> contrairement à ce que certains disent, les malfaisants ne sont pas >> forcément cons et historiquement >> très doués à trouver les failles d'un système. C'est donc relativement >> facile de faire planter ton >> système, en le saturant avant un nombre d'adresses qu'il ne peut pas >> digérer. Quand tu détectes une >> attaque en provenance d'une IPv6, il faut dès le départ bloquer au minimum >> le /64 correspondant. >> Si je devine correctement, c'est une des craintes que Laurent devait avoir >> dans son billet original. > C'est effectivement une possibilité. > En IPv4, on remarque souvent des multiples IP du même /24 qui "attaque" en > même temps plusieurs cibles. Il y a plusieurs des confrères qui font de l'agrégation avec des seuils : s'il y a plus de x /32 adresses blacklistées dans un /y, on enlève les x adresses individuelles et au lieu on annonce /y. Ca réduit la taille du feed, et quand un subnet devient pourri au-delà d'un certain point, c'est probablement la chose à faire. Avec IPv6, vu que maintenant on donne un /56 à Claude Michu, ce n'est qu'une question de temps pour que les merdiciels comprennent la taille de l'espace adressable qu'ils ont et commencent à sourcer sur la plage entière dans le but de saturer fail2ban et autres. J'ai bien peur qu'il soit rapidement nécessaire de passer à /56 comme blocage. > Vincent Habchi a écrit : > Au passage, ceci est déjà prévu et disponible dans blacklistd: > man blacklistd.conf > [...] > The name field, is the name of the packet filter rule to be used. If the > name starts with a “-”, > then the default rulename is prepended to the given name. If the name > contains a “/”, the remaining > portion of the name is interpreted as the mask to be applied to the address > specified in the rule, > causing a single rule violation to block the entire subnet for the configured > prefix. C'est un peu brutal (pas de seuil configurable), mais c'est en effet l'idée. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> On 26 Apr 2021, at 17:26, Michel Py via frnog wrote: > Rémy Duchet a écrit : Stats d'IP pirate détecté sur 1 an: IPv4 : augmentation de 49% (actuel 12100 environ) IPv6 : augmentation de 43% (actuel 950 environ) > >>> Michel Py a écrit : >>> Ca serait intéressant de comparer ces chiffres avec le volume de trafic >>> IPv4/IPv6 pour le même réseau. >>> Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ? > >> Uniquement l'adresse. > > Quand tu détectes une attaque en provenance d'une IPv6, il faut dès le départ > bloquer au minimum le /64 correspondant. Au passage, ceci est déjà prévu et disponible dans blacklistd: man blacklistd.conf […] The name field, is the name of the packet filter rule to be used. If the name starts with a “-”, then the default rulename is prepended to the given name. If the name contains a “/”, the remaining portion of the name is interpreted as the mask to be applied to the address specified in the rule, causing a single rule violation to block the entire subnet for the configured prefix. Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
C'est effectivement une possibilité. En IPv4, on remarque souvent des multiples IP du même /24 qui "attaque" en même temps plusieurs cibles. Rémy -Original Message- From: Michel Py Sent: Monday, 26 April 2021 17:26 To: Rémy Duchet ; 'Laurent Barme' <5...@barme.fr>; frnog-m...@frnog.org Subject: RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ? >>> Rémy Duchet a écrit : >>> Stats d'IP pirate détecté sur 1 an: >>> IPv4 : augmentation de 49% (actuel 12100 environ) >>> IPv6 : augmentation de 43% (actuel 950 environ) >> Michel Py a écrit : >> Ca serait intéressant de comparer ces chiffres avec le volume de trafic >> IPv4/IPv6 pour le même réseau. >> Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ? > Uniquement l'adresse. C'est là où est le danger. Potentiellement, chaque hôte IPv6 peut avoir 2^64 adresses; si je me rappelle bien l'origine de ça c'était la vie privée, en changeant d'adresse tout le temps sur le papier il y avait une possibilité d'améliorer les choses. J'y crois pas vraiment, mais c'est possible : les 64 bits de droite sont disponibles pour chaque machine. Il faut donc s'attendre à ce que ça arrive; contrairement à ce que certains disent, les malfaisants ne sont pas forcément cons et historiquement très doués à trouver les failles d'un système. C'est donc relativement facile de faire planter ton système, en le saturant avant un nombre d'adresses qu'il ne peut pas digérer. Quand tu détectes une attaque en provenance d'une IPv6, il faut dès le départ bloquer au minimum le /64 correspondant. Si je devine correctement, c'est une des craintes que Laurent devait avoir dans son billet original. Michel. smime.p7s Description: S/MIME cryptographic signature
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
>>> Rémy Duchet a écrit : >>> Stats d'IP pirate détecté sur 1 an: >>> IPv4 : augmentation de 49% (actuel 12100 environ) >>> IPv6 : augmentation de 43% (actuel 950 environ) >> Michel Py a écrit : >> Ca serait intéressant de comparer ces chiffres avec le volume de trafic >> IPv4/IPv6 pour le même réseau. >> Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ? > Uniquement l'adresse. C'est là où est le danger. Potentiellement, chaque hôte IPv6 peut avoir 2^64 adresses; si je me rappelle bien l'origine de ça c'était la vie privée, en changeant d'adresse tout le temps sur le papier il y avait une possibilité d'améliorer les choses. J'y crois pas vraiment, mais c'est possible : les 64 bits de droite sont disponibles pour chaque machine. Il faut donc s'attendre à ce que ça arrive; contrairement à ce que certains disent, les malfaisants ne sont pas forcément cons et historiquement très doués à trouver les failles d'un système. C'est donc relativement facile de faire planter ton système, en le saturant avant un nombre d'adresses qu'il ne peut pas digérer. Quand tu détectes une attaque en provenance d'une IPv6, il faut dès le départ bloquer au minimum le /64 correspondant. Si je devine correctement, c'est une des craintes que Laurent devait avoir dans son billet original. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Uniquement l'adresse. Rémy -Original Message- From: Michel Py Sent: Monday, 26 April 2021 16:24 To: Rémy Duchet ; 'Laurent Barme' <5...@barme.fr>; frnog-m...@frnog.org Subject: RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ? > Rémy Duchet a écrit : > Stats d'IP pirate détecté sur 1 an: > IPv4 : augmentation de 49% (actuel 12100 environ) > IPv6 : augmentation de 43% (actuel 950 environ) Ca serait intéressant de comparer ces chiffres avec le volume de trafic IPv4/IPv6 pour le même réseau. Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ? Michel. smime.p7s Description: S/MIME cryptographic signature
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> Rémy Duchet a écrit : > Stats d'IP pirate détecté sur 1 an: > IPv4 : augmentation de 49% (actuel 12100 environ) > IPv6 : augmentation de 43% (actuel 950 environ) Ca serait intéressant de comparer ces chiffres avec le volume de trafic IPv4/IPv6 pour le même réseau. Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Le Mon, Apr 26, 2021 at 02:36:47PM +0200, Vincent Habchi [vinc...@geomag.fr] a écrit: (...) > > Le protcole utilise est documente quelque part ? > > ( la flemme de chercher vraiment, la, tout de suite :-p ) > > Oui, mais c???est facile, blacklistd écoute bêtement sur une socket. > > Après, je ne suis pas rentré dans les détails d???implémentation, mais > j???avais cru apercevoir le patch qui avait été créé spécifiquement > pour Postfix, c???était genre 3 ou 4 lignes de C. > Un tout petit peu plus :) https://github.com/NetBSD/src/commit/3ae4028 Mais surtout, la "magie" est dans la lib blacklist -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Le Mon, Apr 26, 2021 at 02:52:54PM +0200, Thierry Thomas [thie...@freebsd.org] a écrit: (...) > > Mais il faut aussi pouvoir communiquer avec le pare-feu (par ex. pf a > un mécanisme /anchor/ pour ce genre de choses). Ca c'est deja prevu : -C controlprog Use controlprog to communicate with the packet filter, usually /usr/libexec/blacklistd-helper. The following arguments are passed to the control program: ( action, name, protocol, etc. ) -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> On 26 Apr 2021, at 14:52, Thierry Thomas wrote: > Le lun. 26 avr. 21 à 14:36:47 +0200, Vincent Habchi > écrivait : >> Après, je ne suis pas rentré dans les détails d’implémentation, mais >> j’avais cru apercevoir le patch qui avait été créé spécifiquement pour >> Postfix, c’était genre 3 ou 4 lignes de C. > > Mais il faut aussi pouvoir communiquer avec le pare-feu (par ex. pf a > un mécanisme /anchor/ pour ce genre de choses). Oui, certes, mais ce mécanisme est implémenté dans blacklistd, en l’occurence. Les ancres sous PF ça fonctionne très bien, même si c’est un peu, comment dire, abscons au premier abord. Vincent P.S. : En tout cas, merci à Cristos. :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Le lun. 26 avr. 21 à 14:36:47 +0200, Vincent Habchi écrivait : > Hello, Salut, > > Bah, le portage de blacklistd lui meme doit pas etre bien mechant. > > Mais faut ajouter le support pour exporter des infos dans les autres > > softs. > > Le protcole utilise est documente quelque part ? > > ( la flemme de chercher vraiment, la, tout de suite :-p ) > > Oui, mais c’est facile, blacklistd écoute bêtement sur une socket. > > Après, je ne suis pas rentré dans les détails d’implémentation, mais > j’avais cru apercevoir le patch qui avait été créé spécifiquement pour > Postfix, c’était genre 3 ou 4 lignes de C. Mais il faut aussi pouvoir communiquer avec le pare-feu (par ex. pf a un mécanisme /anchor/ pour ce genre de choses). -- Th. Thomas. signature.asc Description: PGP signature
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Hello, > > Bah, le portage de blacklistd lui meme doit pas etre bien mechant. > Mais faut ajouter le support pour exporter des infos dans les autres > softs. > Le protcole utilise est documente quelque part ? > ( la flemme de chercher vraiment, la, tout de suite :-p ) Oui, mais c’est facile, blacklistd écoute bêtement sur une socket. Après, je ne suis pas rentré dans les détails d’implémentation, mais j’avais cru apercevoir le patch qui avait été créé spécifiquement pour Postfix, c’était genre 3 ou 4 lignes de C. Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Le Mon, Apr 26, 2021 at 09:58:46AM +0200, Vincent Habchi [vinc...@geomag.fr] a écrit: > > On 26 Apr 2021, at 09:45, David Ponzone wrote: > > > > Méthode plus propre de faire du fail2ban mais peut-être moins universelle. > > J???espère que ce démon sera rapidement porté sur les autres OS. Bah, le portage de blacklistd lui meme doit pas etre bien mechant. Mais faut ajouter le support pour exporter des infos dans les autres softs. C'est plus facilement faisable pour ceux qui font partie du "coeur" d'un *BSD que les multiples variations des distro Linux :) Le protcole utilise est documente quelque part ? ( la flemme de chercher vraiment, la, tout de suite :-p ) -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Stats d'IP pirate détecté sur 1 an: IPv4 : augmentation de 49% (actuel 12100 environ) IPv6 : augmentation de 43% (actuel 950 environ) -Original Message- From: frnog-requ...@frnog.org On Behalf Of Michel Py via frnog Sent: Monday, 26 April 2021 09:55 To: 'Laurent Barme' <5...@barme.fr>; frnog-m...@frnog.org Subject: RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ? > Laurent Barme a écrit : > Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de > milliers d'IPv4 qui leurs ont adressé des requêtes malvenues, plus de 24000 > pour celui le plus harassé. J'ai un feed BGP qui fait ça aussi, c'est presque tout le temps au-dessus de 5. Tu n'es pas le seul. > Je ne vois pas comment bloquer plus efficacement les attaques que > subissent mes serveurs autrement qu'en bloquant les adresses IP des > pirates et j'ai un doute sur la capacités de mes serveurs à faire le > tri parmi des milliers de yotta d'adresses IPv6. Je sais qu'il est possible > de bloquer une plage d'adresse mais au risque de bloquer les accès légitimes > dans la plage. Le problème n'est pas fondamentalement différent IMHO, à part qu'il faut faire le travail une 2ème fois comme toujours. Je ne fais pas d'IPv6, mais je pense que pour bloquer, l'équivalent d'un /32 serait un /64, le problème d'échelle est directement lié au nombre de machines contaminées. Il faut raisonner en termes de préfixes bloqués, pas en termes de nombre d'adresses bloquées. Je pense que d'inclure IPv6 dans le système, en bloquant au minimum un /64, ça ne ferait "que" doubler le nombre de préfixes à bloquer, plus le malus que les préfixes IPv6 demandent plus de ressources que les IPv4. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> On 26 Apr 2021, at 09:45, David Ponzone wrote: > > Méthode plus propre de faire du fail2ban mais peut-être moins universelle. J’espère que ce démon sera rapidement porté sur les autres OS. > Le problème qui se pose va être au niveau du firewall non ? Au bout de > combien de /32 ou surtout /128 va-t-il commencer à souffrir ? > Ca a déjà été benchmarké ça, aussi bien sur BSD que Linux ? PF fonctionne très bien, avec un minimum d’overhead. Les tables de blocage sont stockées sous forme d’arbres, et quatre niveaux de recherche sont suffisants pour une IPv4. Après, bien sûr, tu peux trafiquer tes règles pour augmenter l’efficacité. Par exemple, placer l’ancre blacklistd au tout début avec une clause quick, ce qui provoque le rejet immédiat du paquet sans avoir à évaluer les règles suivantes. Personnellement, je ne suis pas sous le feu des pirates en permanence, j’ai donc privilégié la lisibilité de mes règles à l’efficacité, mais ymmv, comme disent les anglo-saxons. PF existe depuis des lustres sous OpenBSD en single-thread, mais la version FreeBSD est multithread, ce qui augmente d’autant les performances. V. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> Laurent Barme a écrit : > Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de milliers > d'IPv4 qui > leurs ont adressé des requêtes malvenues, plus de 24000 pour celui le plus > harassé. J'ai un feed BGP qui fait ça aussi, c'est presque tout le temps au-dessus de 5. Tu n'es pas le seul. > Je ne vois pas comment bloquer plus efficacement les attaques que subissent > mes serveurs > autrement qu'en bloquant les adresses IP des pirates et j'ai un doute sur la > capacités de mes > serveurs à faire le tri parmi des milliers de yotta d'adresses IPv6. Je sais > qu'il est possible > de bloquer une plage d'adresse mais au risque de bloquer les accès légitimes > dans la plage. Le problème n'est pas fondamentalement différent IMHO, à part qu'il faut faire le travail une 2ème fois comme toujours. Je ne fais pas d'IPv6, mais je pense que pour bloquer, l'équivalent d'un /32 serait un /64, le problème d'échelle est directement lié au nombre de machines contaminées. Il faut raisonner en termes de préfixes bloqués, pas en termes de nombre d'adresses bloquées. Je pense que d'inclure IPv6 dans le système, en bloquant au minimum un /64, ça ne ferait "que" doubler le nombre de préfixes à bloquer, plus le malus que les préfixes IPv6 demandent plus de ressources que les IPv4. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> Le 26 avr. 2021 à 09:34, Vincent Habchi a écrit : > >> On 26 Apr 2021, at 09:15, Laurent Barme <5...@barme.fr> wrote: >> Peut-être est-ce que ce passage à l'IPv6 est encore trop marginal pour >> susciter un investissement des pirates sur ce créneaux ? > > Je pense que c’est une des raisons, l’autre raison étant que les botnets ne > sont probablement pas programmés pour opérer en v6, et ce d’autant que nombre > de machines Windows infectées à l’insu de leurs utilisateurs ne sont pas > raccordées à des réseaux routés en v6. > > Ici, en France, Free alloue un /64 en v6, si je me souviens bien, à chaque > propriétaire d’une Freebox, mais est-ce que les autres font de même ? > > Pour ce qui concerne le filtrage, j’ai blacklistd en service sur toutes mes > machines. Je ne sais pas si le démon a déjà été porté sur Nunux, mais sur > BSD, ça marche très bien. L’avantage est que tu bloques des /32, et non pas > des plages, tu peux whitelister des plages, en revanche, ou des interfaces, > tu peux déterminer les ports que tu surveilles, le seuil d’authentifications > ratées qui déclenche la mise en quarantaine, et le temps qu’elle dure. Pour > l’instant, ça fonctionne avec SSH, SMTP (Postfix), IMAP (Cyrus/PAM), etc. > mais j’espère que ça sera étendu à d’autres services dans FreeBSD 13, que je > n’ai pas encore installé, d’ailleurs. > Méthode plus propre de faire du fail2ban mais peut-être moins universelle. Le problème qui se pose va être au niveau du firewall non ? Au bout de combien de /32 ou surtout /128 va-t-il commencer à souffrir ? Ca a déjà été benchmarké ça, aussi bien sur BSD que Linux ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
> On 26 Apr 2021, at 09:15, Laurent Barme <5...@barme.fr> wrote: > Peut-être est-ce que ce passage à l'IPv6 est encore trop marginal pour > susciter un investissement des pirates sur ce créneaux ? Je pense que c’est une des raisons, l’autre raison étant que les botnets ne sont probablement pas programmés pour opérer en v6, et ce d’autant que nombre de machines Windows infectées à l’insu de leurs utilisateurs ne sont pas raccordées à des réseaux routés en v6. Ici, en France, Free alloue un /64 en v6, si je me souviens bien, à chaque propriétaire d’une Freebox, mais est-ce que les autres font de même ? Pour ce qui concerne le filtrage, j’ai blacklistd en service sur toutes mes machines. Je ne sais pas si le démon a déjà été porté sur Nunux, mais sur BSD, ça marche très bien. L’avantage est que tu bloques des /32, et non pas des plages, tu peux whitelister des plages, en revanche, ou des interfaces, tu peux déterminer les ports que tu surveilles, le seuil d’authentifications ratées qui déclenche la mise en quarantaine, et le temps qu’elle dure. Pour l’instant, ça fonctionne avec SSH, SMTP (Postfix), IMAP (Cyrus/PAM), etc. mais j’espère que ça sera étendu à d’autres services dans FreeBSD 13, que je n’ai pas encore installé, d’ailleurs. Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Le 26/04/2021 à 09:10, Denis Fondras a écrit : Le Mon, Apr 26, 2021 at 08:45:44AM +0200, Laurent Barme a écrit : au risque de bloquer les accès légitimes dans la plage. Ouf, heureusement que le partage d'adresse IPv4 n'existe pas ! Effectivement, c'est un aussi un problème mais pour ceux qui partagent la même adresse IP ; du point de vue adverse cela ne fait qu'une seule IP à bloquer. (C'est possible d'attendre vendredi pour ce genre de message ?) Ben les attaques de mes serveurs, c'est tous les jours mais pas de souci pour attendre les vendredis pour une réponse à interrogations. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Le Mon, Apr 26, 2021 at 08:45:44AM +0200, Laurent Barme a écrit : > au risque de bloquer les accès légitimes dans la plage. > Ouf, heureusement que le partage d'adresse IPv4 n'existe pas ! (C'est possible d'attendre vendredi pour ce genre de message ?) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?
Le 25/04/2021 à 14:59, thomas brenac via frnog a écrit : … un /29 IPV6 c'est gratuit. On 24/04/2021 22:37, Michel Py via frnog wrote: Stephane Bortzmeyer a écrit : … Even as other nations began purchasing IPv4 as a strategic investment, … on en est aux environs de $29 par IP ces jours-ci Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de milliers d'IPv4 qui leurs ont adressé des requêtes malvenues, plus de 24000 pour celui le plus harassé. Pour les pirates, cela ferait un budget de $70 rien que pour les adresses IP. En IPv6 on aurait un potentiel de 2^(128 - 29) soit 630E27 de tickets d'attaque gratuits. Je ne vois pas comment bloquer plus efficacement les attaques que subissent mes serveurs autrement qu'en bloquant les adresses IP des pirates et j'ai un doute sur la capacités de mes serveurs à faire le tri parmi des milliers de yotta d'adresses IPv6. Je sais qu'il est possible de bloquer une plage d'adresse mais au risque de bloquer les accès légitimes dans la plage. Pourra-t-on passer sereinement à l'IPv6 tant que les scans et attaques de serveurs seront des activités incontrôlées ? Laurent Barme --- Liste de diffusion du FRnOG http://www.frnog.org/