. On 27/04/2021 20:06, Michel Py wrote: >> [...] > >> Même si je doute que tous les systèmes d'exploitation implémentent >> absolument la >> RFC 8981 à l'heure actuelle; la plupart, sinon tous, n'emploieront jamais >> l'adresse >> IPv6 générée à partir de l'adresse MAC (EUI-64) pour le traffic de *sortie*. > > Aucune importance, le merdiciel va générer sa propre adresse et la choisir > pour envoyer son trafic. > Disons que ton réseau local soit 2001:DB8:CAFE:BABE::/64. Rien ne t'empêche > de prendre : > 2001:DB8:CAFE:BABE::1 pour ton routeur > 2001:DB8:CAFE:BABE::2 pour ton serveur > 2001:DB8:CAFE:BABE::3 pour ton iPBX > Etc. En partant du même principe, le merdiciel peut prendre n'importe > laquelle des 2^64 adresses disponibles.
Sauf qu'ici si tu comptes plus d'un type d'usage, alors tu mettras chaque type d'usage dans son propre LAN. Pour suivre ton exemple, - ton routeur auras bien sur une interface dans chacun des LAN (donc chacun des /64), - tu auras à minima un autre /64 pour tes serveurs - et un autre /64 pour tous les PC, smartphone,... de la maison .. Un usage = 1 LAN Moi typiquement pour aller plus loin j'aurais eu : - un /60 pour mes serveurs où certains auront des VM avec chacune un /64 derrière (oui, même pour la mini VM dans un virtualbox, lxc de ma machine xyz,...) - un /60 pour les besoins de la maison contenant - un /64 pour mon réseau de caméra - un /64 pour les PC de la maison - un /64 pour toute la domotique - un /64 pour le wifi des interfaces connus - un /64 pour le wifi "guest" - et ainsi de suite, pour tous les types d'usage possible et inimaginable. J'espère que les uns et les autres comprendront pourquoi c'est vachement plus intéressant d'allouer au moins un /56 pour un client résidentiel ;) Madame Michu ne fera pas tout ça bien sur mais c'est possible de proposer des services aux clients résidentiels et les placer chacun dans son propre LAN. Chaque usage étant "cloisonné" avec les ACL qui vont bien avec. > En ayant un réseau d'une taille aussi importante, dont l'adresse n'est pas > réécrite par NAT, on a créé deux nouveaux profils d'attaque : > > - Changer d'adresse souvent pour éviter de se faire bloquer par les systèmes > de blacklist. > - Attaquer directement les systèmes de blacklist en générant tellement > d'entrées qu'ils s'effondrent. > > Dans les deux cas, la solution évidente est de blacklister le /64 dont lequel > l'adresse fait partie, au lieu de blacklister l'adresse elle-même. Oui, bien sur que tu bloqueras le /64 en question "temporairement". Mais je pense que la résolution du problème de fond sera, de manière ultime, qu'il y ait une remontée d'informations quelque part et des échanges entre gestionnaires réseaux (responsables) quand le problème est important et localisé. Etant donné que les blocs de chaque client sont "uniques", le FAI peut plus facilement localiser la source du problème. Pour tout cela (et bien d'autres) ... chaque type d'utilisateur trouvera un intérêt à utiliser IPv6 :) -- Willy Manga @ongolaboy https://ongola.blogspot.com/
OpenPGP_signature
Description: OpenPGP digital signature
