Je suis passé récemment à la fibre et dans les options de la box free il y a une option pour activer le firewall ipv6, et j’ai lu qu’il était conseillé d’activer celle-ci pour une question de sécurité. Est-ce une info pertinente?
Je viens de monter un second serveur Yunohost et je me suis aperçu que celui-ci était directement joignable grâce à l’ipv6 mais injoignable avec l’option firewall activée, ce qui est logique car cette option filtre tout le trafic entrant.
N’y connaissant rien en ipv6 et étant habitué au NAT de l’ipv4, je me pose la question de la sécurité pour tous ce qui se trouve sur mon réseau local et qui peut être connecté, à savoir différents PC sous Gnu/Linux principalement mais aussi des smartphones Android et occasionnellement des PC Windows.
Faut-il choisir entre désactiver l’ipv6 sur Yunohost ou réduire la sécurité du réseau local? Ou n’y-a-t-il pas plus de risques sachant que l’ipv6 était activé par défaut sans l’option firewall de la box activée?
Si je souhaite monter un Yunohost supplémentaire uniquement local, comment procéder en ipv6 si le serveur est directement joignable?
Salut,
il faut rappeler que le NAT n’est pas une option de sécurité
et que pour cacher sa localisation, un machine change d’adresse ipv6 régulièrement (wikipedia) .
J’ai aussi un Yunohost chez moi et je suis avec Free. Je n’ai jamais pu résoudre le problème de l’IPv6 (revolution box) et je n’ai pas pu configurer le rDNS pour l’IPv6. Avez-vous essayé le paramètre DMZ ?
Je suis d’accord que ce n’est pas une option de sécurité mais ça expose quand même moins les machines du réseau en filtrant les ports au niveau de la box. Ou ce n’est peut-être qu’illusion car j’ai de grosse lacune en réseau.
A quoi sert le rDNS en dehors des mails? Y-a-t-il une utilité?
Pour les mails je désactive l’ipv6 avec l’option adéquate de Yunohost.
L’ipv6 justement fonctionne bien, hormis le cas des mails ou je n’utilise que ipv4, cf ci-dessus. Le serveur est directement reconnu de l’extérieur sans faire quoi que ce soit, sauf si l’option “parefeu ipv6” dans la box est activée, d’où mon interrogation sur la sécurité pour le reste du réseau en laissant celle-ci désactivée.
Et un serveur que l’on souhaite que local, comment faire? En fermant tous les ports du parefeu Yunohost est-ce suffisant?
Pour la DMZ de free, ce n’est pas une vrai DMZ, ça redirige uniquement l’ensemble des ports vers la machine de son choix. De ce fait je pense, peut-être à tord une nouvelle fois, que cette option ne sert à rien avec l’ipv6. Elle ne sert pas plus si on fait du NAT avec l’ipv4.
Pour ma part, chez free aussi, je ne sais plus comment est configurée la box pour l’IPv6, mais j’ai dit en dur à mon serveur qu’il avait une IPv6 (en en prenant une jolie dans le range public qui est à moi), et depuis il est accessible sur Internet via cette IPv6.
Du coup, j’utilise le firewall YunoHost pour me protéger, je lui fais plus confiance que dans celui de la box.
Avec le NAT, les machines locales ne sont visibles sur Internet que si on redirige manuellement des ports, alors qu’en IPv6 toutes les machines sont accessibles sur Internet au niveau IP ; c’était l’objectif d’IPv6. Cela veut dire que sans pare-feu tous les ports TCP et UDP et même les ping sont exposés.
Comme le rappelle agentcobra, les concepteurs d’IPv6 ont finalement décidé qu’identifier ad-vitam et de manière unique chaque machine où qu’elle se connecte grâce à son adresse MAC (EUI-64) était peut-être dangereux et ont proposé des modifications successives.
Finalement on se retrouve avec 2 addresses globales (en plus d’une ou plusieurs adresses locales) dont une utilisée pour aller sur Internet qui change régulièrement : on n’est plus exposé que durant la durée de vie de cette adresse… Nous voilà rassurés .
IPv6 est vraiment très différent d’IPv4 tel que nous l’utilisons (avec NAT). Il vaut mieux être sûr de bien comprendre toutes les implications avant de l’activer.
Justement, c’était le sens de ce sujet ne comprenant pas toutes les implications . Free active par défaut l’ipv6, je ne le savais pas et j’ai découvert cette option “parefeu” de la box. Mais si je l’active, je perds l’accès ipv6 pour Yunohost, donc ça ne me parait pas la bonne option. En même temps s’il faut faire la protection sur chaque périphérique du réseau local, je ne suis pas maître de la configuration de tous ceux-ci.
J’utilise des distributions Gnu/Linux depuis une quinzaine d’année et je n’ai jamais activé de parefeu sur les PC ou smartphone, hormis sur le serveur Yunohost, car j’avais compris que ça ne servait à rien, que les ports étaient fermés par défaut et que seul les ports en écoute autorisaient le trafic entrant.
Et Windows? Sachant que j’en ai de passage que je ne m’occupe pas.
Je trouve dommage s’il faut choisir entre Yunohost en ipv6 ou réseau sécurisé. Et je me pose la question de pourquoi Free activerait par défaut l’ipv6 si c’était risqué alors que la majorité des personnes ne se soucie pas de ce que c’est ipv4 ou ipv6 .
Quel est l’intérêt d’avoir une ipv6 en dur?
Et comment protèges-tu les autres machines de ton réseau du coup? Faut-il prévoir un parefeu? Ça bouscule un peu mes habitudes moi qui n’en a jamais utilisé hormis pour le serveur.
Je ne connais pas le parefeu de Free, mais il doit y avoir des options permettant d’autoriser l’IPv6 vers le serveur (attention pas l’adresse temporary dynamic dont parlait @agentcobra) et pas le reste. Sinon il faut couper au niveau des machines.
Je te conseille de vérifier la présence et au besoin installer un parefeu simple comme ufw (c’est peut-être standard sous Ubuntu) pour tes machines Linux.
Yunohost lui est protégé grâce à l’excellent travail de l’équipe des volontaires Yunohost.
Normalement le parefeu est activé et bloque tout ce qui entre sauf si on choisi réseau d’entreprise à l’installation.
IPv6 a été imaginé dans le monde des bisounours des années 90 où la possiblité de connecter toutes les machines était un rêve. Aujourd’hui c’est un cauchemar.
Donc on NAT tout (voire CGNAT, plus reverse proxy et compagnie) et personne n’expose ses machines en IPv4. Et du coup la pénurie annoncée il y a 30 ans n’est plus d’actualité même dans des pays comme la Chine. Les seules IPv4 exposées sont des serveurs (ou plutôt des frontaux, les serveurs d’entreprises sont cachés).
L’adresse permanente est utilisée comme l’IPv4 : elle sert à se connecter à un serveur service (rappel les vrais serveurs sont planqués).
La première chose que je fais lorsque j’installe une machine c’est de modifier /etc/default.grub pour ajouter la ligne suivante après le timeout : GRUB_CMDLINE_LINUX="ipv6.disable=1
Inutile de tenter avec sysctl ; la box en digne routeur IPv6 envoie plein de RA et NetworkManager va s’empresser de réactiver IPv6 et tous les processus de découverte automatiques pour pouvoir dialoguer avec tout le monde
Lance un wireshark sur un réseau avec de l’IPv6 et tu verras ce que vaut l’argument IPv6 n’utilise pas de broadcast…
Ai-je déjà dit que qu’IPv6 était vraiment très différent d’IPv4 ?
Un truc que j’aime bien sur un petit réseau IPv6 c’est le ping ff02::1%iface qui permet de découvrir toutes les machines.
Mais sincèrement pourquoi 16 octets ? 6 auraient suffit (comme pour les MAC) et puis 6 octets en IPv6 c’était cool non ?
Et pourquoi en hexa ?? Qui peut mémoriser les 8 octets en hexa d’une adresse réseau plus les 8 de l’hôte ?
Et pourquoi des “:” comme séparateurs ??? Ont-ils déjà entendu parlé d’URL et de numéro de port.
192.168.1.1:8080 à comparer à [fe80::0123:4567:89ab:cdef]:8080
Et maintenant bon courage avec la doc, les VMs, wireshark et tous les tests pour essayer de comprendre comment IPv6 fonctionne.
Moi je te conseille plutôt de garder IPv6 et de protéger tes machines, cela servira aussi quand elles sortiront de chez toi. Héberger chez soi est une prise de risque dont il faut être conscient.
Et puis ton portable sera également protégé quand tu iras dans la famille où n’importe quel endroit où tu n’utilises pas de VPN pour accéder à Internet.
Il ne faut pas espérer protéger vos machines si elles sont accessibles directement sur Internet.
Vos ordinateurs peut-être, mais votre imprimante par contre, bon courage pour installer un firewall dessus.
Pareil pour votre brosse à dents (cf les brosses à dents électriques qui ont servies de botnet pour un DDOS la semaine dernière).
Et sur ce, j’ai vérifié chez moi et tout est ouvert sur Internet et je perd donc ma casquette de Geek jusqu’à ce que je m’achète un vrai routeur qui saura me permettre d’avoir un nombre limité d’appareils disposant d’une IPv6 publique…
Si on décide d’activer IPv6 il faut vraiment être conscient de son objectif qui est de rendre tous les composants de son réseau visibles au monde entier.
Activer IPv6 et refuser cet objectif c’est se prévoir un peu de travail pour comprendre tout ce qu’il met en place pour y parvenir, se construire un modèle de sécurité correspondant à ses attentes, le tester, puis le déployer (désactiver, segmenter, filtrer).
Bref @Mamie pas la peine de manger sa casquette de geek, mais une borne Wifi avec OpenWRT en coupure juste derrière la box me semble un bon point de départ, même en full IPv4, pour gérer les brosses à dent et tous les IoT qui envahissent notre maison.
On peut même conserver le Wifi de la box actif en n’y connectant que ce qui est durci ; utile car le Wifi des box est souvent plus rapide que celui de notre borne.
Et voilà, une casquette “d’architecte réseau” en cadeau
Si l’attaque des brosses à dent est fausse, les attaques des IoT sont bien réelles. Par exemple Mirai qui les utilise pour faire des DDoS comme décrit ici avec des caméras.
