Re: NIST: Guidelines for the Secure Deployment of IPv6

Top Page

Reply to this message
Author: Jérémy Bobbio
Date:  
To: guilde
Subject: Re: NIST: Guidelines for the Secure Deployment of IPv6
On Wed, Apr 13, 2011 at 10:50:13AM +0200, johann wrote:
> > Je trouve que c'est un très bon tour d'horizon pour quiconque souhaite
> > déployer IPv6 sur un réseau. Une fois lues les 100 premières pages, on
> > doit pouvoir le faire sans trop foutre par terre une politique de
> > sécurité actuellement en application pour IPv4.
> >
> > À une prochaine,
>
> La sécurité sera effectivement la préoccupation principale lors de la
> bascule en IPv6 chez nous.
> Un grand merci pour le lien.


Dans les grandes lignes, ce que j'ai retenu et que je tente d'applique
jusqu'ici :

 1. Sur tous les postes qui ne feront pas serveurs (ordinateurs
    portables, par exemple) :


      # echo net.ipv6.conf.all.use_tempaddr = 2 > /etc/sysctl.conf
      # sysctl -p


    Cela afin de ne pas laisser son adresse MAC traîner sur le réseau.
    Note : ça vaut le coup de le faire dès maintenant.


 2. Sur tous les postes qui ne feront pas serveurs, on peut mettre
    en place un pare-feu à état, tout comme on le fait avec IPv4 :


      # ip6tables -A INPUT -i lo -j ACCEPT
      # ip6tables -A INPUT -m state --state ESTABLISHED,RELATED \
                  -j ACCEPT
      # ip6tables -A INPUT -j DROP


 3. Partout où des routeurs faisaient du NAT, laissons les faire
    leur boulot de routeur et ajoutons un pare-feu à état :


      # ip6tables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
      # ip6tables -A FORWARD -i ppp0 -o eth0 \
                  -m state --state ESTABLISHED,RELATED -j ACCEPT
      # ip6tables -A FORWARD -i ppp0 -o eth0 -j DROP


Une fois qu'on a fait cela, j'ai pas l'impression que la situation soit
spécialement différente de celle avec IPv4. Pas vraiment mieux, pas
vraiment pire.

Il y a eu une conférence au dernier Chaos Computer Congress que je n'ai
pas encore vu et qui présente un certain nombres d'attaques :

http://media.ccc.de/browse/congress/2010/27c3-3957-en-ipv6_insecurities.html

HTH,
-- 
Jérémy Bobbio                        .''`. 
lunar@???                    : :Ⓐ  :  # apt-get install anarchism
                                    `. `'` 
                                      `-