Bonjour à tous,
Il est illusoire de croire que la couche Ipv4 sera réécrite ou ajustée
compte tenu du parc installé et du cycle de vie (de mort) des couches
logicielles et matérielles.
Même en cas de découverte d'une faille de sécurité il faudra se contenter
dans le cas où le soft n'est plus maintenu de migrer sa plateforme ou alors
de maintenir l'existant en l'isolant pour mitiger le risque
La seule possibilité pour continuer à pouvoir répondre à la demande en IpV4
reste de rationaliser l'usage des IPs qui est actuellement inférieur à 40%
à ce qu'il pourrait être tant le gâchis est énorme (on peut rêver de la
libération d'une partie des LEGACY/DARPA qui représentent plus d'une
dizaine de /8).
Et peut-être l'usage des (16x /8 en enlevant broadcast et celles qu'on
retrouvent dans certains usages/expérimentations) de la classe E pourraient
être acceptées (difficiles d'évaluer cette possibilité car qui voudrait
prendre le risque d'avoir une IP avec une partie de l'Internet
potentiellement non joignable).
Le 11/05/2020 10:51, « frnog-requ...@frnog.org au nom de Xavier Beaudouin
» <frnog-requ...@frnog.org au nom de k...@oav.net> a écrit :
Hello Michel et la liste..
> Cà fait longtemps qu'on a perdu l'adressage de bout-en-bout, de toute
façon. Il
> y a 20 ans, quand je croyais encore à IPv6, il y avait un vague
consensus que
> faire IPv6 avec NAT çà ne marcherait jamais. Regardons ou nous en
sommes
> aujourd'hui, écrit par Monsieur IPv6 lui-même :
>
https://www.slideshare.net/RNIDS/ipv6-transition-and-coexistance-jordi-palet
> Allez à la page 57. J'ai loupé quelque chose, ou IPv6 n'a que 9 types
de NAT
> différents, dont aucun ne marche ?
Parce que reproduire le NAT c'est essayer de se rassurer des techniques
largement
déployées partout et que les nouveau "ops" n'ont vu que ça.
Certains font partie des dinos, qui avaient en réseau interne et sans
firewall dans
les années 90 leur réseau interne et a poil sur le net.
Ca fait science fiction ? bah oui les firewall n'existaient a peine,
ssh était a
ses début et les seules protections étaient ... les ACL sur un cisco
2500 (quand
on les mettais).
[...]
>> Pierre Emeriaud a écrit :
>> Mon point concernait la sécurité. IPv6 la boite de pandore, oulala
y'a plus de
>> nat, on va tous se faire pirater.
>
> Ah j'avais loupé çà. NAT == Sécurité, tout le monde le sait :P
>
> Ceci étant dit, et même si çà fait des lustres que çà ne fait plus
grand-chose,
> NAT continue à emmerder la vie de tout le monde, bien ou mal.
Impossible de
> faire sans, et en fait le pare-feu "diode" que NAT procure à toutes
ces
> merdasses IoT qui ont du code écrit avec les pieds, c'est pas si
pire. La
> caméra ou le thermomètre achetés pour 20€ sur banggood ou wish
connecté IPv6
> directement accessible de l'extérieur, çà me fait carrément peur.
Ah ce putain de firewall diode... Heureusement qu'on ne charge pas le
accu lithium
qu'avec une diode, sinon on en aurais des VE qui exploseraient a 250KVA
de charge...
(Juste pour donner une idée de la betise du NAT).
> Je préfère la merdasse IoT IPv4 derrière NAT avec uPNP désactivé que
la même
> merdasse IoT avec IPv6 pas sec et qui ne sera jamais fixé.
Idem, mon IOT est dans un vlan ipv4 only, avec pas de sortie autorisée
sauf quelques
devices prévu avec des bonne ACL (par exemple j'ai un peu relouté
netatmo pour avoir
la liste des ips de leur cloud).
Xavier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
