Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 2:38 PM, Rémi Bouhl wrote: Le 27/12/2011 13:20, Jérôme Nicolle a écrit : Le 27 décembre 2011 12:59, Damien Fleuriotm...@my.gd a écrit : Refer my réponse, à l'instant, à Jérôme, dans laquelle je me pose la question de pourquoi tout le monde assume que nos serveurs sont sous windows ;) En effet dans le cadre d'un LAN user, se protéger de manière proactive est tout à fait justifiée. Ben oui mais c'est précisément de ça qu'on parle, pourquoi assumais tu qu'on se limitait aux serveurs ? Quand on parle de réseau, client ou serveur, c'est bien la même chose... Tiens, ça me fait me poser une question: Damien Fleuriot, vos serveurs ont-ils besoin d'accéder à Internet, en tant que clients (par exemple, pour du rebond, des updates, du VPN, du backup..)? Si oui, le feront/font-ils en IPv4 ou en IPv6 (dans le cas où IPv6 serait disponible)? Rémi. Nos serveurs ont effectivement besoin d'accéder à internet pour les mises à jour. Nous avons un miroir debian en interne, aussi seule cette machine a réellement besoin de connectivité. Cette machine aura donc également besoin, à terme, de connectivité ip6. Pour le moment, comme les miroirs sur lesquels nous la synchronisons sont toujours disponibles en v4, elle reste en v4 :) En ce qui concerne les VPNs, ceux-ci sont terminés sur les firewalls, qui auront directement des IPv6. Pour les backups, c'est de la connectivité interne, ça peut donc rester en v4 historique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
Comme je le disais, c'est pas avec des gens comme toi qu'on aura un jour du IPv6 deploye globalement. On se fout pas mal si dans sa boite ils parlent Français, Anglais ou Chinois si leur service est accessible via une IPv6 dans la langue de leurs clients, c'est pareil pour leur Back-Office. Aujourd'hui Dec 2011, ca peut se faire avec des couts proches de zero, C'est faux mais que je n'ai pas envi de commencer le débat - on m'a déjà fait noter que je ne suis pas la liste assez assidument. Le cout de changement les systèmes internes pour ajouter IPv6 est proportionnel a la taille de ces systèmes. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
Le 27/12/2011 15:03, Damien Fleuriot a écrit : Dans mon esprit il s'agit de 2 problématiques tout à fait différentes. Ne serait-ce que parce que nos serveurs sont en datacenter dans des VLANs bien précis, alors que les utilisateurs sont ici dans nos locaux, dans des VLANs qui ne sont propagés nulle part ailleurs. Il s'agit, en essence, de 2 réseaux tout à fait distincts et gérés différemment. De fait, pour proposer aux clients de la société d'accéder à nos services en ip6, je n'ai pas besoin de faire de modifications dans le réseau utilisateur. Donner accès à mes utilisateurs à des ressources en ipv6, c'est un sujet que je traiterais à part ;) Si vos utilisateurs ont des raisons d'accéder aux serveurs et d'intervenir dessus, ça peut être utile de leur fournir IPv6. Dit autrement, je n'ose pas imaginer un service de support qui dispose d'un LAN IPv4 only et doit résoudre des tickets relatifs à IPv6.. Chez moi ça marche pas! - chezmoiçamarche... pasnonplus© Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
Damien, Le 27 décembre 2011 12:15, Damien Fleuriot m...@my.gd a écrit : Ca fait 10 messages qu'on tourne en rond. A qui la faute ? Petit rappel, histoire que ce soit bien clair et que tu arrêtes d'alimenter le hors sujet : - IPv6 existe, des gens vont le déployer, alors si tu veux passer pour un dinosaure dans quelques années et perdre toute employabilité, tu es sur la bonne voie. - Que tu déploies ou pas, tes équipements et OS vont se mettre à le parler. Donc sans t'en servir, tu devras quand même être capable de le contrôler pour sécuriser ton réseau. - Du coup, de l'intérêt de déployer partout ou sur des frontaux, peu importe, il faut que TOUS tes équipements soient compatibles, sans quoi tu ne verras pas le coup venir *QUAND* tu te feras trouer le cul par une attaque basée sur quelque anomalie d'implémentation d'IPv6. Pour en revenir au sujet donc, à l'exception d'un support pour dans pas longtemps sur les 3750-X, 3560-X et 2960-S chez Cisco, personne n'a d'information claire quand au support de la RFC-6105 sur les switchs d'accès. Du coup, la seule solution semble être de poser du L3 avec des ACL sur ICMPv6 et/ou un monitoring un peu travaillé avec ARPWatch et NDPmon. Mais si un équipementier passe par ici avec la moindre information à ce sujet, ne serait ce que des dates de livraison, ça pourra leur éviter de passer une fois de plus pour des boulets perpétuellement en retard. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 12:04 PM, Radu-Adrian Feurdean wrote: On Tue, 27 Dec 2011 11:38:26 +0100, Damien Fleuriot m...@my.gd said: Nous avons déjà *beaucoup* de VLANs, et donc de subnets, tous déployés et en prod en v4. Il te reste donc *beaucoup* de travail avant de crier en public Je suis passe sur IPv6 !!!. Tu en as pour quelques annees probablement, donc pense a commencer rapidement. Tu commences légèrement à m'ennuyer, pour rester correct. Je ne compte pas crier je suis passé sur ipv6 !!, je compte rendre le service disponible pour mes clients. Et pour la dernière fois, rendre ce service disponible à mes clients ne passe *pas* par la case faire parler toutes les machines du LAN entre elles en ip6. Occupe toi donc de tes propres infras au lieu de me donner des leçons, on a de toute évidence des approches différentes alors on ne s'entendra pas. Si nous devions les passer en v6 (ou en dual-stack) ça serait un travail titanesque pour un gain, je le répète, *nul* . Il y avait d'autres a pretendre le meme chose sur les reseaux Netware/IPX. C'etait il y a ~15 ans... Je t'ai demandé plusieurs fois d'argumenter et de présenter le gain apporté par un passage, dans le cadre du LAN intra-serveurs, de v4 vers v6. Tu n'as jamais pu/voulu apporter une réponse hormis ton sacro-saint l'ipv6 c'est bien, il faut en mettre partout. Ca fait 10 messages qu'on tourne en rond. Le gain est nul car on arriverait à la même situation qu'actuellement: les machines peuvent communiquer entre elles. Les éventuelles autres features, genre l'autoconfiguration, on n'en a pas besoin dans notre environnement. Comme je le disais, c'est pas avec des gens comme toi qu'on aura un jour du IPv6 deploye globalement. Avec des gens comme toi, l'IPv6 sera juste une etiquette marketing sans interet technique (exactement ce que tu fais aujourd'hui). Si c'est pour arriver a ca, merci, je prefere le CGN et autres improvisations... Est-ce que tu tannes aussi les gens pour upgrader leurs liens de 1 à 10gb alors qu'ils consomment 20mbps ? Si je demande c'est parce que la comparaison me semble particulièrement pertinente dans le cas présent. Le problème c'est le rapport coût/bénéfice d'une telle opération, il nous faudrait acheter du matos et passer beaucoup de temps homme sur un tel projet. Aujourd'hui Dec 2011, ca peut se faire avec des couts proches de zero, surtout pour les upgrades, nouveaux deploiements. Nous avons déjà abordé le sujet des remplacements de matériel, tes fournisseurs t'offrent peut être 100 switchs sachant traiter de l'ip6 en hardware vs software, pas les miens. Le plus grand investissement (pas forcement financier) c'est en *EDUCATION*. Y compris celle des admins... Tout investisseent comporte une composante financière, faire suivre une formation à un collaborateur, c'est coûteux également en temps homme. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/26/11 9:19 PM, Radu-Adrian Feurdean wrote: On Mon, 26 Dec 2011 16:35:04 +0100, Damien Fleuriot m...@my.gd said: De plus, on a, fort heureusement, les environnements de dev, préprod et recette pour ça ;) Après est-ce que ça sera testé correctement par le métier, c'est une autre histoire... Surtout quand l'IPv6 tu l'as que sur tes frontaux.. Que l'ip6 soit disponible seulement sur les frontaux, ou pour les comms LAN intra-machines, ça ne change absolument rien à la problématique de le client se présente avec une IP *publique* v6. Mais bon ça fait environ 10 messages que tu t'entêtes alors je vais arrêter de perdre mon temps. Continue ta croisade pour l'ipv6 100% full, y compris dans un LAN qui n'en a pas besoin, de ton côté. Pendant ce temps, dans la vraie vie, je vais répondre au besoin de mes clients au mieux, à la fois pour eux et pour mon employeur. Sans rancune. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
Le 27 décembre 2011 12:41, Damien Fleuriot m...@my.gd a écrit : Ca n'a rien à voir avec le sujet abordé, à savoir rendre un service public joignable via une ipv6 publique. Non, le sujet, c'est le RA-Guard sur les switchs. Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde. Jusqu'à ce que ton admin-stagiaire oublie de desactiver terredo sur le master avec lequel tu deploies tes WS, ou qu'un worm le réactive. A partir du moment où seuls mes frontaux parlent ipv6 je suis relativement tranquille, ces machines proposent des fonctionnalités assez sympa, notamment celle de refuser les RA. Les RA ne peuvent être qu'à destination de fe80::/64 et ff02::1, il me semble. Donc pas routables, donc tes FW frontaux ne sont même pas sensés en voir passer. Même discours chez juniper où ils annoncent la feature pour junos 12.x qui est pour l'an prochain Oui, mais j'ai pas encore eu de réponse officielle à ce sujet, j'attends que quelqu'un de chez juniper se manifeste... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 5:23 PM, Rémi Bouhl wrote: Le 27/12/2011 15:03, Damien Fleuriot a écrit : Dans mon esprit il s'agit de 2 problématiques tout à fait différentes. Ne serait-ce que parce que nos serveurs sont en datacenter dans des VLANs bien précis, alors que les utilisateurs sont ici dans nos locaux, dans des VLANs qui ne sont propagés nulle part ailleurs. Il s'agit, en essence, de 2 réseaux tout à fait distincts et gérés différemment. De fait, pour proposer aux clients de la société d'accéder à nos services en ip6, je n'ai pas besoin de faire de modifications dans le réseau utilisateur. Donner accès à mes utilisateurs à des ressources en ipv6, c'est un sujet que je traiterais à part ;) Si vos utilisateurs ont des raisons d'accéder aux serveurs et d'intervenir dessus, ça peut être utile de leur fournir IPv6. Dit autrement, je n'ose pas imaginer un service de support qui dispose d'un LAN IPv4 only et doit résoudre des tickets relatifs à IPv6.. Chez moi ça marche pas! - chezmoiçamarche... pasnonplus© Rémi. Hehe, non ils n'ont pas vocation à accéder aux serveurs ;) Par utilisateurs on entend les services commercial, compta, juridique... En ce qui concerne les serveurs eux-mêmes, c'est l'équipe exploitation qui intervient dessus en montant un VPN sur ip4. Le VPN est + là pour répondre à des considérations de sécurité et d'audit qu'à la pénurie d'ip4. Après, si un jour le besoin s'en fait sentir, on fera aussi écouter le VPN sur de l'ip6, et via ce VPN on continuera à joindre les machines sur leurs ip4 internes. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
Le 27 décembre 2011 12:59, Damien Fleuriot m...@my.gd a écrit : Refer my réponse, à l'instant, à Jérôme, dans laquelle je me pose la question de pourquoi tout le monde assume que nos serveurs sont sous windows ;) En effet dans le cadre d'un LAN user, se protéger de manière proactive est tout à fait justifiée. Ben oui mais c'est précisément de ça qu'on parle, pourquoi assumais tu qu'on se limitait aux serveurs ? Quand on parle de réseau, client ou serveur, c'est bien la même chose... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
Le problème c'est le rapport coût/bénéfice d'une telle opération, il nous faudrait acheter du matos et passer beaucoup de temps homme sur un tel projet. Ca ne passera jamais, et à juste titre :) Il n'y a encore pas tres longtemps, beaucoup des sites web fonctionnaient seulement avec IE. Les webmaster avait le même discours, jusqu'au jour ou leur management s'est rendu compte que sans support pour FF, Opera, puis Webkit et Chrome, ils excluaient trop de clients potentiels. La même chose arrivera avec IPv6, le jour ou un client se plaindra qu'il ne peut pas utiliser ton service, tu seras oblige de changer tes services. La question est de savoir si il vaut mieux commencer maintenant progressivement, ou un changer plus tard de manière plus radicale. La réponse est individuelle, et la tienne est claire :) Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On Tue, 27 Dec 2011 11:30:32 +0100, Raphaël Jacquot sxp...@sxpert.org said: l'idée est de ne plus utiliser ipv4 a terme Voila ! Tout comme aujourd'hui il n'y a quasiment plus des reseaux avec un frontal internet qui utilisent Netware + IPX/SPX pour les donees en reseau, ou qui utilisent DECNet en interne. Aujourd'hui nous sommes quasiment tous full IPv4, demain il va falloir etre full IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 12:26 PM, Jérôme Nicolle wrote: Damien, Le 27 décembre 2011 12:15, Damien Fleuriot m...@my.gd a écrit : Ca fait 10 messages qu'on tourne en rond. A qui la faute ? Petit rappel, histoire que ce soit bien clair et que tu arrêtes d'alimenter le hors sujet : Le message qui a relancé le débat a été posté sous forme de troll le 26/12/2011 à 21h19. Je te laisse le rechercher. - IPv6 existe, des gens vont le déployer, alors si tu veux passer pour un dinosaure dans quelques années et perdre toute employabilité, tu es sur la bonne voie. Ca n'a rien à voir avec le sujet abordé, à savoir rendre un service public joignable via une ipv6 publique. Les communications internes entre serveurs sont un tout autre débat. - Que tu déploies ou pas, tes équipements et OS vont se mettre à le parler. Donc sans t'en servir, tu devras quand même être capable de le contrôler pour sécuriser ton réseau. Ils ne le parleront que s'ils y sont autorisés. Les OS que nous utilisons en prod nous permettent d'activer ou pas l'ip6. Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde. - Du coup, de l'intérêt de déployer partout ou sur des frontaux, peu importe, il faut que TOUS tes équipements soient compatibles, sans quoi tu ne verras pas le coup venir *QUAND* tu te feras trouer le cul par une attaque basée sur quelque anomalie d'implémentation d'IPv6. A partir du moment où seuls mes frontaux parlent ipv6 je suis relativement tranquille, ces machines proposent des fonctionnalités assez sympa, notamment celle de refuser les RA. Pour en revenir au sujet donc, à l'exception d'un support pour dans pas longtemps sur les 3750-X, 3560-X et 2960-S chez Cisco, personne n'a d'information claire quand au support de la RFC-6105 sur les switchs d'accès. Du coup, la seule solution semble être de poser du L3 avec des ACL sur ICMPv6 et/ou un monitoring un peu travaillé avec ARPWatch et NDPmon. Même discours chez juniper où ils annoncent la feature pour junos 12.x qui est pour l'an prochain Il existe néanmoins une manip sur cisco pour obtenir un équivalent du RA guard: --- ipv6 access-list drop-ra deny icmp any any router-advertisement permit ipv6 any any int range g0/1 - 48 ipv6 traffic-filter drop-ra in --- Sur juniper c'est malheureusement plus délicat, certains ont essayé des access-list dans le même genre à base de filter (stateless fwing) mais ça ne s'applique qu'à l'ip4 apparemment. Mais si un équipementier passe par ici avec la moindre information à ce sujet, ne serait ce que des dates de livraison, ça pourra leur éviter de passer une fois de plus pour des boulets perpétuellement en retard. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On Tue, 27 Dec 2011 11:38:26 +0100, Damien Fleuriot m...@my.gd said: Nous avons déjà *beaucoup* de VLANs, et donc de subnets, tous déployés et en prod en v4. Il te reste donc *beaucoup* de travail avant de crier en public Je suis passe sur IPv6 !!!. Tu en as pour quelques annees probablement, donc pense a commencer rapidement. Si nous devions les passer en v6 (ou en dual-stack) ça serait un travail titanesque pour un gain, je le répète, *nul* . Il y avait d'autres a pretendre le meme chose sur les reseaux Netware/IPX. C'etait il y a ~15 ans... Le gain est nul car on arriverait à la même situation qu'actuellement: les machines peuvent communiquer entre elles. Les éventuelles autres features, genre l'autoconfiguration, on n'en a pas besoin dans notre environnement. Comme je le disais, c'est pas avec des gens comme toi qu'on aura un jour du IPv6 deploye globalement. Avec des gens comme toi, l'IPv6 sera juste une etiquette marketing sans interet technique (exactement ce que tu fais aujourd'hui). Si c'est pour arriver a ca, merci, je prefere le CGN et autres improvisations... Le problème c'est le rapport coût/bénéfice d'une telle opération, il nous faudrait acheter du matos et passer beaucoup de temps homme sur un tel projet. Aujourd'hui Dec 2011, ca peut se faire avec des couts proches de zero, surtout pour les upgrades, nouveaux deploiements. Le plus grand investissement (pas forcement financier) c'est en *EDUCATION*. Y compris celle des admins... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 11:30 AM, Raphaël Jacquot wrote: On 12/27/2011 11:22 AM, Damien Fleuriot wrote: Que l'ip6 soit disponible seulement sur les frontaux, ou pour les comms LAN intra-machines, ça ne change absolument rien à la problématique de le client se présente avec une IP*publique* v6. tu peux utiliser des adresses ipv6 unique local (a priori, RFC 4193 est la derniere en date à ce sujet) si ca te chantes hein... l'idée est de ne plus utiliser ipv4 a terme Justement, comme ça a été débattu plus haut, l'intérêt est très limité. Nous avons déjà *beaucoup* de VLANs, et donc de subnets, tous déployés et en prod en v4. Si nous devions les passer en v6 (ou en dual-stack) ça serait un travail titanesque pour un gain, je le répète, *nul* . Le gain est nul car on arriverait à la même situation qu'actuellement: les machines peuvent communiquer entre elles. Les éventuelles autres features, genre l'autoconfiguration, on n'en a pas besoin dans notre environnement. Le problème c'est le rapport coût/bénéfice d'une telle opération, il nous faudrait acheter du matos et passer beaucoup de temps homme sur un tel projet. Ca ne passera jamais, et à juste titre :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 1:20 PM, Jérôme Nicolle wrote: Le 27 décembre 2011 12:59, Damien Fleuriot m...@my.gd a écrit : Refer my réponse, à l'instant, à Jérôme, dans laquelle je me pose la question de pourquoi tout le monde assume que nos serveurs sont sous windows ;) En effet dans le cadre d'un LAN user, se protéger de manière proactive est tout à fait justifiée. Ben oui mais c'est précisément de ça qu'on parle, pourquoi assumais tu qu'on se limitait aux serveurs ? Quand on parle de réseau, client ou serveur, c'est bien la même chose... Dans mon esprit il s'agit de 2 problématiques tout à fait différentes. Ne serait-ce que parce que nos serveurs sont en datacenter dans des VLANs bien précis, alors que les utilisateurs sont ici dans nos locaux, dans des VLANs qui ne sont propagés nulle part ailleurs. Il s'agit, en essence, de 2 réseaux tout à fait distincts et gérés différemment. De fait, pour proposer aux clients de la société d'accéder à nos services en ip6, je n'ai pas besoin de faire de modifications dans le réseau utilisateur. Donner accès à mes utilisateurs à des ressources en ipv6, c'est un sujet que je traiterais à part ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
Si tu avais lu le thread depuis le début tu saurais que je compte passer mes frontaux, à savoir mes loadbalancers et mes firewalls en ip6, et seulement eux. J'ai fait pareil (pour le moment). Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 12:54 PM, Raphaël Jacquot wrote: On 12/27/2011 12:41 PM, Damien Fleuriot wrote: Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde. comme ca ? http://technet.microsoft.com/en-us/security/bulletin/ms11-083 This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker sends a continuous flow of specially crafted UDP packets to a *closed* port on a target system. Refer my réponse, à l'instant, à Jérôme, dans laquelle je me pose la question de pourquoi tout le monde assume que nos serveurs sont sous windows ;) En effet dans le cadre d'un LAN user, se protéger de manière proactive est tout à fait justifiée. Dans le cadre de serveurs joignables par le public, la donne change complètement. Si nous ne compilons pas l'INET6 dans le kernel, elles ne peuvent pas être vulnérables à des attaques contre l'ipv6. Prennons l'analogie suivante: une vulnérabilité dans mod_ldap sur apache, si tu ne le compiles/charges pas, on ne peut pas l'exploiter. Alors oui, on peut imaginer le cas d'une personne qui root ta machine, compile/charge mod_ldap, et ensuite te pwn via cette faille. Mais bon, il ne s'agit plus d'une attaque contre mod_ldap si ta machine a déjà été rootée avant ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/2011 12:41 PM, Damien Fleuriot wrote: Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde. comme ca ? http://technet.microsoft.com/en-us/security/bulletin/ms11-083 This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker sends a continuous flow of specially crafted UDP packets to a *closed* port on a target system. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/2011 11:22 AM, Damien Fleuriot wrote: Que l'ip6 soit disponible seulement sur les frontaux, ou pour les comms LAN intra-machines, ça ne change absolument rien à la problématique de le client se présente avec une IP*publique* v6. tu peux utiliser des adresses ipv6 unique local (a priori, RFC 4193 est la derniere en date à ce sujet) si ca te chantes hein... l'idée est de ne plus utiliser ipv4 a terme --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 12:48 PM, Jérôme Nicolle wrote: Le 27 décembre 2011 12:41, Damien Fleuriot m...@my.gd a écrit : Ca n'a rien à voir avec le sujet abordé, à savoir rendre un service public joignable via une ipv6 publique. Non, le sujet, c'est le RA-Guard sur les switchs. Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde. Jusqu'à ce que ton admin-stagiaire oublie de desactiver terredo sur le master avec lequel tu deploies tes WS, ou qu'un worm le réactive. Mais je sais pas d'où vous sortez tous la présomption que nos serveurs soient sous windows ? IMHO la probabilité qu'un worm vienne recompiler le kernel de freebsd pour activer INET6, l'installer, rebooter la machine puis lancer un exploit sur ip6 est assez faible. Après, si on considère (et ce n'est pas mon cas) un LAN de postes utilisateurs, sous windows, là effectivement le danger est bien réel et le besoin de se protéger tout à fait justifié. A partir du moment où seuls mes frontaux parlent ipv6 je suis relativement tranquille, ces machines proposent des fonctionnalités assez sympa, notamment celle de refuser les RA. Les RA ne peuvent être qu'à destination de fe80::/64 et ff02::1, il me semble. Donc pas routables, donc tes FW frontaux ne sont même pas sensés en voir passer. Même discours chez juniper où ils annoncent la feature pour junos 12.x qui est pour l'an prochain Oui, mais j'ai pas encore eu de réponse officielle à ce sujet, j'attends que quelqu'un de chez juniper se manifeste... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
Hello, Le 24 déc. 2011 à 01:03, Damien Fleuriot a écrit : Et c'est très bien. Tu as un besoin: te connecter en ssh sur une machine sans monter de VPN Tu as une réponse: rendre cette machine joignable en ip6. Très bien. Maintenant, *moi* j'ai un autre besoin, et une autre réponse, également adaptée: Mon besoin: que mes clients puissent joindre mes services en ip6 Ma réponse: des frontaux qui parlent ip6. Je n'ai absolument pas besoin de changer l'adressage interne pour ça, notre boîte à nous a encore plein de place avec les adresses privées ;) Exact, mais pour pas passer pour un idiot quand le client te dis hey ton truc sur le frontaux en ipv6 ça merdoie, avoir d'ipv6 en interne permet accessoirement de tester les emmerdes avant qu'elle arrivent sur ton interface de ticketing... My 0,02€... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/26/11 2:51 PM, Xavier Beaudouin wrote: Hello, Le 24 déc. 2011 à 01:03, Damien Fleuriot a écrit : Et c'est très bien. Tu as un besoin: te connecter en ssh sur une machine sans monter de VPN Tu as une réponse: rendre cette machine joignable en ip6. Très bien. Maintenant, *moi* j'ai un autre besoin, et une autre réponse, également adaptée: Mon besoin: que mes clients puissent joindre mes services en ip6 Ma réponse: des frontaux qui parlent ip6. Je n'ai absolument pas besoin de changer l'adressage interne pour ça, notre boîte à nous a encore plein de place avec les adresses privées ;) Exact, mais pour pas passer pour un idiot quand le client te dis hey ton truc sur le frontaux en ipv6 ça merdoie, avoir d'ipv6 en interne permet accessoirement de tester les emmerdes avant qu'elle arrivent sur ton interface de ticketing... My 0,02€... Xavier En effet, mais c'est un autre débat ;) De plus, on a, fort heureusement, les environnements de dev, préprod et recette pour ça ;) Après est-ce que ça sera testé correctement par le métier, c'est une autre histoire... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
Note, je suis preneur de contacts constructeurs, au moins pour savoir quelles gammes supportent : - à minima : les ACL pour bloquer tout le trafic IPv6 d'ici à ce que la sécu soit au point - De préférence RFC6105 testée et approuvée, ou une date de livraison de la feature. Les sites et datasheets sont tellement mal foutus que je vais probablement en disqualifier pas mal juste parce qu'ils ne savent pas mettre leurs produits en avant... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
Le 23.12.2011 14:31, Jérôme Nicolle a écrit : - à minima : les ACL pour bloquer tout le trafic IPv6 d'ici à ce que la sécu soit au point Une petite doc intéressante pour contourner provisoirement le problème sur Cisco: http://ipv6blog.cisco.fr/tag/ra-guard/ Sinon d'après le feature navigator de Cisco, le IPv6 RA Guard Host mode, est supporté actuellement sur 6500-SUP720-10G / MSFC2 et MSFC3 ou sur le 6524ME (en 12.2(33) ). C'est annoncé pour Q1 2012 pour les 3750X, 3560X et 2960S. Il semble aussi y avoir un support limité (appelé IPv6 Basic RA guard, qu'est-ce exactement) sur les 4500E avec SUP6 12.2(54) Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/
