Bonjour, Le 25 sept. 2014 à 10:22, Alexis Lameire a écrit :
> > Neamoins, il faut bien avouer qu'a l'échelle du réseau back-office > d'une entreprise la façon de résonner en IPv6 est différente d'IPv4. > J'ai personellement l'impression que de laisser "visible" les IP des > machines du réseau d'entreprise peut être considérer comme une faille, > et que le nat est une "protection". 1/ Ça ne me dérange pas de laisser "visible" mon IPv6 temporaire générée toutes les n minutes. Qui est au passage la seule adresse que j'utilise pour me connecter en IPv6 de mes ordinateurs à mes comptes mails, services web, etc (au passage, je n'ai rien configuré, c'est par défaut sous Mac OS X, Ubuntu et d'autres distributions Linux, Windows) 2/ Ça ne me dérange pas non plus de laisser un attaquant itérer sur l'espace de 2^64 adresses IPv6 de mon subnet IPv6 (pour l'instant il y a des heuristiques pour faciliter le parcours en se basant sur le fait que la génération utilise les adresses MAC mais c'est bientôt fini du fait des travaux à l'IETF). A titre de comparaison, l'ordre de grandeur pour le parcours de l'Internet IPv4 (~2^32 adresses) sur une connexion fibre 10G est de 45 minutes : [http://events.ccc.de/congress/2013/Fahrplan/events/5533.html] . Je vous laisse inférer le temps nécessaire pour un parcours de 2^64 adresses. 3/ Enfin ma box est accessible via une adresse <PREFIX>::1 mais rien n'oblige à utiliser une adresse aussi simple pour adresser un routeur, et même rien n'oblige à adresser un routeur, lequel peut très bien s'accommoder de n'avoir que des adresses link-local sur ses interfaces (bon, ça pose problème si on veut l'administrer) Dans tout ça, où est le besoin de "masquer" le réseau interne ? Cordialement Emmanuel Thierry --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
