Envoyé par
gangsoleil
Heureusement, en France, seul free fournit du routage IPv6.
Oui et non, heureusement, ou pas.
Free est le seul opérateur en France (quoique OVH ???) à fournir une connectivité IPv6, native en plus (vu coté client), mais pour des contrats Grand Public (les autres opérateurs Grand Public ne devraient pas trop tarder à le faire aussi). C'est en natif, systématique, activé, par défaut sans option ou quoique ce soit à demander.
Concernant les contrats pro, d'autres fournisseurs l'offre aussi, souvent en payant, la plupart du temps en option, donc en le demandant explicitement, mais certains le font comme Free, systématiquement et activé par défaut.
Heureusement ? Pas sur, c'est sans compter nombres de SI qui prennent une connexion ADSL Free comme connexion de secours ou de délestage sans spécifiquement se poser la question de l'IPv6.
Envoyé par
fredoche
Bonjour
Pourrais tu développer ce que tu dis dans ta dernière phrase sevy ?
porter un adressage ipv6 par défaut, sans subnet routé correspondant, même si le FAI fournit une connectivité ip V6, je vois pas bien en quoi ça aboutit à ta conclusion ?
Je suis curieux de ces problèmes de sécurité que tu suggères ?
Je ne parle pas de gros réseaux de grosses entreprises, qui sont généralement très segmentés, très évolué très contrôlés, en temps réel, mais plutôt de la quantité des PMEs et autres petites entreprises qui n'ont, bien souvent, qu'un simple réseau derrière un routeur en mode NAT voire un simple modem/switch, parfois avec un firewall en tampon mais pas toujours.
Ce genre de réseau est bien souvent configuré en sécurité sur de l'IPv4 comme on fait depuis des décennies. Mais quelque fois on s’aperçoit que ces réseaux ont aussi une connectivité IPv6 qui n'est pas prise en compte.
De ce que j'ai pu entendre autour de moi, les cas les plus fréquents sont :
- soit le responsable réseau ne sait pas qu'il l'a (Le cas de Free en connexion de secours par exemple)
- soit le responsable réseau n'a pas pris conscience qu'il l'avait
- soit il pense que du fait que l'IPv6 n'est encore généralisé, cette connectivité n'est pas utilisée
- soit il pense (et c'est un cas très courant de ce que j'ai pu entendre autour de moi) que toute la sécurité mise en place avec IPv4 est aussi automatiquement active pour IPv6
Le problème est que
- depuis une bonne 10ène d'années, tous les OS ont la couche IPv6 automatiquement activé et configurée comme prioritaire
- nombre de matériels sur ces petits réseaux, routeurs, firewall, etc sont transparent au trafic IPv6
- certains de ces matériels, ne supportant pas forcément initialement l'IPv6, peuvent désormais le supporter suite à une mise à jour du firewall
- Les OS derrière ces matériels utilisent donc automatiquement et en premier l'IPv6, surtout si celui-ci est fourni en natif, et sont, bien souvent, directement connectés à internet au lieu de se trouver derrière la grosse barrière de sécurité comme en IPv4
- ....
Je peux citer le cas concret que j'ai pu voir d'une entreprise avec un réseau interne connecté et accessible sur internet ainsi que 2 serveurs web, un modem avec contrat pro pour 2 IP publiques, une pour le réseau interne, l'autre pour les serveurs web + un second contrat chez Free justement en secours pour le réseau interne. Le tout géré par un routeur central cloisonnant les différents réseaux et gérant la bascule sur la connexion de secours, le tout parfaitement configuré (en IPv4 !). Au moment ou le contrat Free avait été pris, le NRA n'était pas encore dégroupé, donc pas d'IPv6. Par contre le responsable du réseau ignorait que, avec le dégroupage du NRA par Free, ils avaient automatiquement obtenu une connectivité IPv6. Le tout, combiné à un routeur qui, par configuration d'usine, était transparent au trafic IPv6, la freebox, bien que normalement connexion de secours, se retrouvait à fournir la connexion IPv6 à l'ensemble des 3 réseaux (interne, serveurs web, et secours) qui, s'ils étaient bien séparé en IPv4, ne l'étaient plus en IPv6. L'ensemble des machines de la boite étaient très bien protégées en IPv4, mais totalement accessible en IPv6 depuis l'internet.
0 |
0 |