Bonjour,
Le 23 oct. 2012 à 14:48, Xavier Beaudouin a écrit :
Je plussoie sur ce point. Le minimum à bloquer est le /64. C'est le plus grand préfixe pour lequel on puisse supposer qu'il est géré par une entité administrative unique. Si un administrateur réseau ne sait pas contrôler ce qu'il se passe sur son réseau, c'est son problème. On peut même dire que l'on met généralement un /64 IPv6 là où en IPv4 on met une adresse IPv4 unique (connexion résidentielle NATée par exemple). Certains opérateurs attribuent des plus petits préfixes (/127 pour l'interco ou des liaisons point-à-point), dans ce cas ce sont des préfixes qui n'auraient jamais dû se retrouver dans les internets. Bloquer au /128 reviendrait à flooder son propre parefeu et on va pouvoir transformer un simple bruteforce SSH en une magnifique attaque DoS à moindre coût.
Je vais me faire l'avocat du diable en tant que LIR.
Pour avoir du SLAAC un /64 est obligatoire. Mais dans le cas d'une IP fixe traditionnelle tu peux te mettre un /128 (type routage anycast) voire du /127 cas de liaison PtP :)
Et c'est pas parce que on utilise des /128 ou /127 (en ipv6) qu'ils vont se trouver dans les internets (sic). Regarde ce qu'il se fait avec l'ipv4...
Donc un /64 n'est pas le plus grand prefixe que peux avoir dans un réseau.
Je suis d'accord, ce n'est pas le plus grand préfixe possible. Moi même pour fournir de la connectivité IPv6 à des VMs sur un serveur j'ai redécoupé un /64 en plusieurs réseaux. Par contre on peut considérer raisonnablement que j'étais l'administrateur de ce /64 et que j'étais responsable de ce qui se passait sur mon /64.
Concernant les /127 utilisés pour les interco ou les liens PtP, ce sont des IPs dédiées à l'opération de ton service d'opérateur et ne sont pas sensées sortir de ton AS, ou pour des cas très spécifiques liées à l'opération du réseau, est-ce que je me trompe ? Je ne vois justement pas de cas concret dans lequel un client pourrait utiliser de toute bonne foi son /128 attribué par son opérateur pour envoyer un mail. C'est pour cela que si je reçois un spam venant d'une IPv6 j'ai bien envie de bannir le /64 parce que: - si le client final a reçu un /64 de son opérateur il est responsable de ce qui se passe dessus - si le client final a reçu un /128 de son opérateur il n'était pas sensé l'utiliser pour ce genre de choses (?) Est-ce que j'ai raté un bout de ton explication sur l'utilisation des /128 dans la vraie vie ?
Et on parlais de RBL donc de protection "logicielle".... Pas de protection firewall.... (en passant il y a des firewalls qui se demerdent bien avec /128 en ACL...).
Cela dépend de ce que tu entends par "se démerder avec des /128". Je veux bien admettre que les firewall acceptent des règles définies sur des adresses /128, mais que ce soit une protection logicielle ou un firewall je ne pense pas qu'ils supportent que l'on ajoute successivement à leur banlist tous les /128 d'un /64 (parce que l'attaquant aura changé d'interface ID entre chaque scan). C'est pour cela que ça me paraissait assez inenvisageable de bannir sur la base du /128, rien que la quantité de mémoire nécessaire pour stocker cette information est faramineuse. C'est en cela que filtrer sur la base du /128 donnerait à mon sens une capacité de nuisance faramineuse à un attaquant.
Cordialement Emmanuel Thierry