On Wed, Apr 13, 2011 at 10:50:13AM +0200, johann wrote:
> > Je trouve que c'est un très bon tour d'horizon pour quiconque souhaite
> > déployer IPv6 sur un réseau. Une fois lues les 100 premières pages, on
> > doit pouvoir le faire sans trop foutre par terre une politique de
> > sécurité actuellement en application pour IPv4.
> >
> > À une prochaine,
>
> La sécurité sera effectivement la préoccupation principale lors de la
> bascule en IPv6 chez nous.
> Un grand merci pour le lien.
Dans les grandes lignes, ce que j'ai retenu et que je tente d'applique
jusqu'ici :
1. Sur tous les postes qui ne feront pas serveurs (ordinateurs
portables, par exemple) :
# echo net.ipv6.conf.all.use_tempaddr = 2 > /etc/sysctl.conf
# sysctl -p
Cela afin de ne pas laisser son adresse MAC traîner sur le réseau.
Note : ça vaut le coup de le faire dès maintenant.
2. Sur tous les postes qui ne feront pas serveurs, on peut mettre
en place un pare-feu à état, tout comme on le fait avec IPv4 :
# ip6tables -A INPUT -i lo -j ACCEPT
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED \
-j ACCEPT
# ip6tables -A INPUT -j DROP
3. Partout où des routeurs faisaient du NAT, laissons les faire
leur boulot de routeur et ajoutons un pare-feu à état :
# ip6tables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
# ip6tables -A FORWARD -i ppp0 -o eth0 \
-m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A FORWARD -i ppp0 -o eth0 -j DROP
Une fois qu'on a fait cela, j'ai pas l'impression que la situation soit
spécialement différente de celle avec IPv4. Pas vraiment mieux, pas
vraiment pire.
Il y a eu une conférence au dernier Chaos Computer Congress que je n'ai
pas encore vu et qui présente un certain nombres d'attaques :
http://media.ccc.de/browse/congress/2010/27c3-3957-en-ipv6_insecurities.html
HTH,
--
Jérémy Bobbio .''`.
lunar@??? : :Ⓐ : # apt-get install anarchism
`. `'`
`-
