IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Architecture Discussion :

Fonctionnement IPv6 réseau local


Sujet :

Architecture

  1. #1
    Nouveau Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Avril 2014
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Avril 2014
    Messages : 2
    Points : 1
    Points
    1
    Par défaut Fonctionnement IPv6 réseau local
    Bonjour tout le monde,

    Je réalise une étude sur l'IPv6 et le NAT et au cours de mes recherches quelques questions me sont venues et auxquelles je n'arrive pas à trouver de réponses...

    - Dans le cas ou je déploie un réseau IPv6 privé (donc avec des adresses ULA non routables sur internet ex: fc00:34f0....) comment va se faire la connexion sur internet ? Le passage par le NAT est donc obligatoire dans ce cas là ?

    En fait je n'arrive pas à comprendre les RFC qui décrivent le NAT comme obsolète en IPv6 sachant que dans ce cas présent, le NAT sera pratiquement obligatoire, à moins que je me trompe ?

    Je me pose aussi une autre question :

    - Compte tenu du nombre presque illimité d'adresses IPv6 comment vont faire les entreprises pour réaliser une mise en réseau (En considérant que la sécurité est au top bien sur) ? Vont-elles laisser leur réseau ouvert en routant chacune de leurs machines sur internet sans passer par le NAT ?

    J'imagine bien que ces questions sont peut-être large mais je voudrais vraiment comprendre comment les entreprises vont s'y prendre pour la réalisation d'une mise en réseau... Je trouve beaucoup de choses sur internet mais j'ai l'impression que souvent les sources se contredisent et disent un coup-ci un coup-ça... Je suis un peu bloqué dans ma recherche c'est pour cette raison que je pose ces questions.

    Merci d'avance pour vos réponses .

    Crai.

  2. #2
    Expert éminent sénior
    Avatar de JML19
    Homme Profil pro
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    Décembre 2010
    Messages
    14 915
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : Décembre 2010
    Messages : 14 915
    Points : 23 210
    Points
    23 210
    Billets dans le blog
    10
    Par défaut
    Bonjour

    IPV6 sur un LAN aucun problème.

    Pour un FAI IPV6 n'est pas utilisé en adresse routable les FAI donnent pour le moment des IPV4 routable donc il faudra faire du NAT.

    Pour aller sur internet avec une IPV6 chaque adresse est unique il n'y a pas de problème à condition que ton FAI ou plutôt la Box du FAI le permette.
    Vous pouvez utiliser les FAQ (ICI) ou les Tutoriels (ICI) et aussi accéder au blog (ICI)

  3. #3
    Membre actif
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Avril 2014
    Messages
    139
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Avril 2014
    Messages : 139
    Points : 273
    Points
    273
    Par défaut
    En réalité c'est un peu une phase de transition actuellement.
    Les entreprises souhaitant s'équiper d'IPV6 fonctionne avec des mécanismes comme dual stack/teredo/6to4 etc etc..
    Bref il n'y pas vraiment de problème avec les NAT qui se pause, différents mécanismes qui existent pour pallier ça.

    Dans le cas d'un réseau full IPv6 de bout en bout mêlant du wan/lan, la c'est différent.
    La NAT en IPv6 pur n'a pas vraiment de sens. Car c'est avant tout un mécanisme pour augmenter virtuellement le nombre d’adresse IPv4.
    Oui la NAT apporte une certaine sécurité en plus(très relative). Mais ce n'est pas la NAT qui est le fondement d'un système sécurisé.
    En plus il faut faire attention à pas confondre NAPT et NAT. Sachant qu'une vrais NAT n'apporte rien de plus en terme de sécurité.
    Aujourd'hui beaucoup de "NAT" sont des "NAPT"(exemple chez les particuliers).

    Le NAPT ne protège pas contre les attaques effectuées par le contenu (« charge utile ») comme les chevaux de troie, le virus contenu dans un courrier, le malware dans une page HTML.

    Et il ne protège pas contre les attaques venues de l'intérieur du réseau, pourtant les plus fréquentes.

    En clair ça ne protège en rien contre les attaques les plus couramment utilisées.

    En IPv6 comme en IPv4, les outils de sécurité sont du code correct, des pare-feux, des utilisateurs prudents.

    article intéressant dessus :
    http://blog.ipspace.net/2011/12/is-n...y-feature.html

  4. #4
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 351
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 351
    Points : 42 822
    Points
    42 822
    Par défaut
    J'ai pas encore exploité Ipv6, mais dans le cas d'une liaison full ip , les adresses de toutes les stations sont visibles sur Internet ? et si on utilise une plage locale , je ne pense pas. C'est toujours le NAT qui est utilisé pour cela ? , pas pour la limitation des adresses mais pour que seul le routeur soit visible sur Internet. Je parles pour les cas plutôt grand public comme une IPv6 avec free par exemple, dans le cas d'entreprise, un firewall règle le prob.

    Merci de vos lumières.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  5. #5
    Invité
    Invité(e)
    Par défaut
    Salut,

    Citation Envoyé par Craizayor Voir le message
    - Dans le cas ou je déploie un réseau IPv6 privé (donc avec des adresses ULA non routables sur internet ex: fc00:34f0....) comment va se faire la connexion sur internet ? Le passage par le NAT est donc obligatoire dans ce cas là ?
    Effectivement, si tu utilises des IPv6 ULA et que tu veux sortir sur l'Internet, tu devras NATter (translation 6to6 ou 6to4).
    Les IPv6 ULA peuvent être vues commes les adresses RFC1918 de l'IPv4.

    Citation Envoyé par Craizayor Voir le message
    En fait je n'arrive pas à comprendre les RFC qui décrivent le NAT comme obsolète en IPv6 sachant que dans ce cas présent, le NAT sera pratiquement obligatoire, à moins que je me trompe ?
    Citation Envoyé par Craizayor Voir le message
    - Compte tenu du nombre presque illimité d'adresses IPv6 comment vont faire les entreprises pour réaliser une mise en réseau (En considérant que la sécurité est au top bien sur) ? Vont-elles laisser leur réseau ouvert en routant chacune de leurs machines sur internet sans passer par le NAT ?
    Quand on dit que NAT est obsolète en IPv6, c'est dans le monde parfait IPv6 "end-to-end" (stacks TCP/IP des clients, OS, applications, routeurs tous conformes à l'IPv6).
    Ce qui est loin d'être le cas...

    Donc pour l'instant, oui, c'est beaucoup de 4to6 et 6to4...
    Sur les gros réseaux locaux multi-vrf, je conseille à mes clients de dédier une vrf pour l'IPv6. Ca tire tous les chantiers qui vont avec (DNS, 6to6, QoS et firewalling notamment) donc ça permet aux admins de se familiariser avec les concepts.
    Ce que les DSI doivent comprendre le plus vite possible, c'est que l'IPv6 se déploiera avec ou sans leur accord !
    Pour faire une comparaison, les paquets IPv6, c'est un peu comme les neutrinos : vous ne les voyez pas mais ils traversent vos réseaux
    Donc autant commencer à les canaliser pour les domestiquer le plus tôt possible...
    Parce que dans un futur proche, IPv6 sera standard sur tout et n'importe quoi...
    Et je promets de très beaux jours au hacking basé sur IPv6 dans l'Internet des Objets

    Citation Envoyé par chrtophe
    J'ai pas encore exploité Ipv6, mais dans le cas d'une liaison full ip , les adresses de toutes les stations sont visibles sur Internet ? et si on utilise une plage locale , je ne pense pas. C'est toujours le NAT qui est utilisé pour cela ? , pas pour la limitation des adresses mais pour que seul le routeur soit visible sur Internet. Je parles pour les cas plutôt grand public comme une IPv6 avec free par exemple, dans le cas d'entreprise, un firewall règle le prob.
    Comme expliqué plus haut, pour aller sur l'Internet en full IPv6 à partir d'une IPv6 ULA, il faut faire du 6to6 quelque part. Ton point de translation a une patte dans le "nuage Internet IPv6" de ton ISP. Tu ne verrais donc que ton "global scope" dans la Full Internet Routing Table IPv6. Encore une fois, c'est le même mécanisme que les RFC1918 de l'IPv4.

    Concernant l'IPv6 sur Freebox et les solutions analogues dédiées grand public, ça ne peut être que du 6to4.

    Steph

  6. #6
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par elssar Voir le message
    En clair ça ne protège en rien contre les attaques les plus couramment utilisées.

    En IPv6 comme en IPv4, les outils de sécurité sont du code correct, des pare-feux, des utilisateurs prudents.

    article intéressant dessus :
    http://blog.ipspace.net/2011/12/is-n...y-feature.html
    Heureux que tu cites le blog de mon ami Ivan Pepeljnak de NIL

    Avec la banalisation des solutions intégrées NAT/firewalling, il y a une légende urbaine qui circule depuis quelques années qui voudrait nous faire croire que pour mettre de la sécurité dans un réseau, il suffit de faire du NAT

    Encore une fois, NAT et la Sécu, ça n'a rien à voir !

    Steph

  7. #7
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 191
    Points : 28 070
    Points
    28 070
    Par défaut
    Citation Envoyé par IP_Steph Voir le message
    Effectivement, si tu utilises des IPv6 ULA et que tu veux sortir sur l'Internet, tu devras NATter (translation 6to6 ou 6to4).
    Les IPv6 ULA peuvent être vues commes les adresses RFC1918 de l'IPv4.
    Si les machines n'ont qu'une adresse ULA, oui. Mais bien souvent elles ont aussi une adresse IPv6 publique en plus, si le routeur donnant l'accès à internet gère l'IPV6 (cas de la freebox par exemple, joli piège à c** pour les admins qui ignorent l'ipv6), donc là elles sont directement visible sur le net

    Citation Envoyé par IP_Steph Voir le message
    Ce que les DSI doivent comprendre le plus vite possible, c'est que l'IPv6 se déploiera avec ou sans leur accord !
    Pour faire une comparaison, les paquets IPv6, c'est un peu comme les neutrinos : vous ne les voyez pas mais ils traversent vos réseaux
    Et ça, ils ont du mal à le comprendre. Sous prétexte qu'ils n'ont jamais rien configuré en IPV6, qu'ils n'ont jamais demandé d'accès IPV6 à leur FAI, ils s'en contre-fiche de l'IPv6 pensant qu'il n'existe pas sur leur réseau.
    Hors, tous les OS sortis depuis au moins 10 ans sont, en natif, compatible IPV6, sur lesquels il est activé par défaut et prioritaire sur l'IPv4 (Pour la branche Windows, ça a commencé normalement avec XPSP2. Sur les XP, et XPSP1, il fallait activer manuellement une première fois l'ipv6 pour l'avoir). Toutes ces machines sur un même réseau sont capable de dialoguer, et dialogue normalement en IPv6. Il suffit ensuite qu'il y ait un routeur donnant accès à l'extérieur, compatible IPV6, avec un accès IPV6 fournis par le FAI et quelques routeurs/firewall et autres switchs sur le réseau interne ne sachant pas gérer l'ipv6 et se révèlent totalement transparente à ce trafic et toutes les machines du réseau se retrouvent directement exposé sur internet sans aucune règles de sécurité.




    Citation Envoyé par IP_Steph Voir le message
    Et je promets de très beaux jours au hacking basé sur IPv6 dans l'Internet des Objets
    Il est même étonnant que ça n'est pas déjà commencé vu le nombre, faible, mais tout même non négligeable, de machines exposées dans l'ignorance la plus totale.

    Citation Envoyé par IP_Steph Voir le message
    Concernant l'IPv6 sur Freebox et les solutions analogues dédiées grand public, ça ne peut être que du 6to4.
    Dans le cas de Free, c'est une technologie particulière qui s'appelle 6rd, développée en grande partie par (tout au moins avec le principal concours de) Free et normalisée depuis par une RFC. C'est (ou plutôt exactement, ça peut être) du 6to4, mais au sein même du réseau interne de Free.
    Cela permet à Free, de proposer depuis maintenant presque 10 ans, inclus d'office dans le contrat de base, un accès en (quasi)full ipv6 à tousses abonnés dégroupés. Coté client c'est du full IPv6 qui est proposé. Ensuite, Free dans son infrastructure, encapsule ça dans de l'ipv4, mais l'encapsulage est pratiquement invisible et indétectable sauf à la rencontre de quelques routeurs sur le chemin qui gèrent mal les trames et les corrompent (je ne rentre pas dans les détails, car je ne les maitrisent pas). Ça permet surtout à Free aussi de faire cohabiter de l'infrastructure full IPV6 avec de l'infrastructure IPv4, et migrer progressivement et de façon totalement transparente pour l'utilisateur.
    Aux dernières infos que j'avais eu, mais qui datent maintenant de quelques années, une partie du réseau interne de Free était déjà en full ipv6, une partie était encore en ipv4 incompatible ipv6, d'où la nécessité d'encapsuler, ainsi que pour sortir ensuite sur le réseau mondial dont une bonne partie est encore incompatible ipv6.

    Citation Envoyé par IP_Steph Voir le message
    Avec la banalisation des solutions intégrées NAT/firewalling, il y a une légende urbaine qui circule depuis quelques années qui voudrait nous faire croire que pour mettre de la sécurité dans un réseau, il suffit de faire du NAT
    Parce que le NAT est, de part son fonctionnement, un petit caillou à la muraille de la sécurité en masquant de fait les machines qui sont derrière lui. Une machine que l'on voit pas, dot on ignore l’existence est, de fait, moins vulnérable à une attaque directe. Mais il y a bien d'autres moyens d'attaquer
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  8. #8
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Dans le cas de Free, c'est une technologie particulière qui s'appelle 6rd, développée en grande partie par (tout au moins avec le principal concours de) Free et normalisée depuis par une RFC. C'est (ou plutôt exactement, ça peut être) du 6to4, mais au sein même du réseau interne de Free.
    Cela permet à Free, de proposer depuis maintenant presque 10 ans, inclus d'office dans le contrat de base, un accès en (quasi)full ipv6 à tousses abonnés dégroupés. Coté client c'est du full IPv6 qui est proposé. Ensuite, Free dans son infrastructure, encapsule ça dans de l'ipv4, mais l'encapsulage est pratiquement invisible et indétectable sauf à la rencontre de quelques routeurs sur le chemin qui gèrent mal les trames et les corrompent (je ne rentre pas dans les détails, car je ne les maitrisent pas). Ça permet surtout à Free aussi de faire cohabiter de l'infrastructure full IPV6 avec de l'infrastructure IPv4, et migrer progressivement et de façon totalement transparente pour l'utilisateur.
    Oui, j'ai été médisant sur Free, c'est bien de l'IPV6 globale
    Mais la dernière fois que j'avais fait des tests derrière ma box, je pense que j'avais des problèmes avec la wlan0 de ma machine Linux.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    steph@steph-ThinkPad-T400:~$ ifconfig wlan0
    wlan0     Link encap:Ethernet  HWaddr 00:1e:65:41:fc:94  
              inet addr:192.168.0.16  Bcast:192.168.0.255  Mask:255.255.255.0
              inet6 addr: 2a01:exx:xxxx:xxxx:xxx:xxxx:xxxx:xxxx/64 Scope:Global
              inet6 addr: fe80::21e:65ff:fe41:fc94/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:263205 errors:0 dropped:0 overruns:0 frame:0
              TX packets:247161 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000 
              RX bytes:207469487 (207.4 MB)  TX bytes:111984958 (111.9 MB)
    
    steph@steph-ThinkPad-T400:~$ ip -6 route
    2a01:exx:xxxx:xxxx::/64 dev wlan0  proto kernel  metric 256  expires 86139sec mtu 1480
    fe80::/64 dev vmnet1  proto kernel  metric 256 
    fe80::/64 dev vmnet8  proto kernel  metric 256 
    fe80::/64 dev wlan0  proto kernel  metric 256  mtu 1480
    default via fe80::207:cbff:fe3c:2912 dev wlan0  proto kernel  metric 1024  expires 1534sec mtu 1480
    et effectivement, depuis un routeur du backbone de l'Internet, celui de Swisscom par exemple, je peux pinguer et tracerouter ma wlan0 :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    steph@steph-ThinkPad-T400:~$ telnet route-server.ip-plus.net
    Trying 164.128.251.50...
    Connected to route-server.ip-plus.net.
    Escape character is '^]'.
    
    *** Swisscom IP+ route server (AS3303) ***
    
    RS_AS3303>sh ipv6 route 2a01:e00::/26
    Routing entry for 2A01:E00::/26
      Known via "bgp 65098", distance 200, metric 500000, type internal
      Route count is 1/1, share count 0
      Routing paths:
        2001:918:0:5::1
          Last updated 7w0d ago
    
    RS_AS3303>traceroute ipv6 2a01:xxx:xxxx:xxxx:xxx:xxxx:xxxx:xxxx
    Type escape sequence to abort.
    Tracing the route to 2A01:xxx:xxxx:xxxx:xxx:xxxx:xxxx:xxxx
    
      1 beb-iv6-gig0-1.ip6.ip-plus.net (2001:918:0:1::1) [AS 65024] 0 msec 0 msec 0 msec
      2 2001:918:10D:1::22 [AS 65000] 4 msec 4 msec 0 msec
      3 beb-010-loo6.ip6.ip-plus.net (2001:918:100:101::1) [AS 65000] 0 msec 0 msec 4 msec
      4 2001:4D98:A000::8 [AS 65000] 4 msec 4 msec 4 msec
      5 par-005-loo6.ip6.ip-plus.net (2001:918:100:17::1) [AS 65000] 8 msec 8 msec 12 msec
      6 2001:4D98:A000::83 [AS 65000] 456 msec 440 msec 448 msec
      7 2A01:E00:18::1 [AS 12322] 464 msec 456 msec 464 msec
      8 2A01:E00:18::6 [AS 12322] 464 msec 452 msec 460 msec
      9  *  *  * 
     10  *  *  * 
     11  *  *  * 
     12 2A01:xxx:xxxx:xxxx:xxx:xxxx:xxxx:xxxx [AS 12322] 584 msec 460 msec 468 msec
    
    RS_AS3303>sh ipv6 int brief
    Em0/0                  [administratively down/down]
        unassigned
    GigabitEthernet0/0     [up/up]
        FE80::C28C:60FF:FEFB:9190
        2001:918:0:1::50
    GigabitEthernet0/1     [administratively down/down]
        unassigned
    et j'arrive bien à pinguer/tracerouter le routeur de Swisscom depuis ma wlan0 :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    steph@steph-ThinkPad-T400:~$ traceroute6 2001:918:0:1::50
    traceroute to 2001:918:0:1::50 (2001:918:0:1::50) from 2a01:xxx:xxxx:xxxx:xxx:xxxx:xxxx:xxxx, 30 hops max, 16 byte packets
     1  2a01:exx:xxxx:xxxx::x (2a01:exx:xxxx:xxxx::x)  2.482 ms  2.452 ms  2.434 ms
     2  2a01:e00:1c::5 (2a01:e00:1c::5)  18.79 ms  11.901 ms  10.463 ms
     3  2a01:e00:18::5 (2a01:e00:18::5)  12.307 ms  23.178 ms  12.272 ms
     4  2a01:e00:18::2 (2a01:e00:18::2)  10.975 ms  12.14 ms  10.939 ms
     5  2001:4d98:a000::82 (2001:4d98:a000::82)  453.921 ms  459.93 ms  466.324 ms
     6  2001:4d98:a000::8 (2001:4d98:a000::8)  467.144 ms  481.283 ms  479.45 ms
     7  beb-010-loo6.ip6.ip-plus.net (2001:918:100:101::1)  461.52 ms  477.845 ms  471.723 ms
     8  2001:918:10d:1::22 (2001:918:10d:1::22)  476.157 ms  471.011 ms  478.715 ms
     9  2001:918:10d:1::23 (2001:918:10d:1::23)  471.821 ms  474.135 ms  475.923 ms
    10  2001:918:0:1::50 (2001:918:0:1::50)  472.39 ms  488.721 ms  487.117 ms
    Citation Envoyé par sevyc64 Voir le message
    sur le réseau mondial dont une bonne partie est encore incompatible ipv6.
    Effectivement, ça c'était il y a quelques années.
    La table de routage IPv6 de l'Internet est de l'ordre de 16/17k préfixes :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    RS_AS3303>sh ipv6 route summary 
    IPv6 routing table name is default(0) global scope - 16452 entries
    IPv6 routing table default maximum-paths is 16
    Route Source    Networks    Overhead    Memory (bytes)
    connected       1           112         132         
    local           2           224         264         
    ND              0           0           0           
      Default: 0  Prefix: 0  Destination: 0  Redirect: 0
    bgp 65098       16448       1842176     2171136     
      Internal: 16448  External: 0  Local: 0
    static          1           112         132         
      Static: 1  Per-user static: 0
    Total           16452       1842624     2171664
    mais le problème n'est pas dans le transport et le routage de l'IPv6, on sait faire ça depuis plus de 10 ans.
    La vraie question est : est-ce que les infrastructures connectées sur l'Internet sont compatibles IPv6 ? Les concepteurs de l'IPv6 n'avaient pas pressenti la formidable explosion de la translation pour contourner la "déplétion" IPv4.
    J'ai connu au moins 4 ou 5 startups autour d'IPv6 qui sont mortes parce que NAT avait freiné la techno. Il n'y a pas eu la traction violente et subite dans le marché des réseaux locaux et télécoms pour les levées de fonds...

    Citation Envoyé par sevyc64 Voir le message
    Parce que le NAT est, de part son fonctionnement, un petit caillou à la muraille de la sécurité en masquant de fait les machines qui sont derrière lui. Une machine que l'on voit pas, dot on ignore l’existence est, de fait, moins vulnérable à une attaque directe. Mais il y a bien d'autres moyens d'attaquer
    Mouais.
    J'ai lu récemment un rapport autour de la sécurité en environnement IPv6 qui commençait par un sondage auprès de 100000 "professionnels des réseaux"...
    La question concernait les "top risks" d'IPv6 en terme de sécurité.
    De mémoire, je crois que l'absence de NAT était considérée comme le 6ème grand risque de l'IPv6
    Comme si l'absence de NAT devait entrainer absence de filtrage...
    Ce sont 2 choses différentes. Et là, ça risque de faire mal, parce qu'avec IPv6, on route les flux Internet jusqu'au poste client ! En somme le PC utilisateur se trouvera nativement dans une zone untrusted

    Steph

  9. #9
    Nouveau Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Avril 2014
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Avril 2014
    Messages : 2
    Points : 1
    Points
    1
    Par défaut
    Salut,

    Merci pour vos réponses nombreuses et précises. Je comprends mieux maintenant le fonctionnement global.

    Et en effet je ne pense pas que NAT apporte une sécurité supplémentaire au réseau.

    Merci en tout cas du coup de main à ce sujet

  10. #10
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 191
    Points : 28 070
    Points
    28 070
    Par défaut
    Citation Envoyé par IP_Steph Voir le message
    Oui, j'ai été médisant sur Free, c'est bien de l'IPV6 globale
    Pas forcément tant que ça, puisqu'il peut y avoir encore de la translation 6 vers 4 et 4 vers 6, mais il est vrai que pour le client ça apparat comme du full IPV6.

    Citation Envoyé par IP_Steph Voir le message
    Et là, ça risque de faire mal, parce qu'avec IPv6, on route les flux Internet jusqu'au poste client ! En somme le PC utilisateur se trouvera nativement dans une zone untrusted
    Oui, et il faut les protections, parefeu notamment, sur chaque machine, ou avoir en tête de réseau un parefeu compatible et explicitement et correctement configuré pour aussi IPV6.
    Parce que ce que néglige bon nombre d'admin réseau sur le terrain c'est que les règles bâties à l'origine pour IPV4 ne s'applique pas comme par magie pour IPV6, il faut, dans la plupart du temps refaire un paramétrage complet pour IPV6, et donc avoir 2 paramétrages en parallèle.

    Et personnellement, pas expert de réglage de parefeu, lorsque j'ai configuré mon parefeu pour ipv6 (look&stop), j'ai trouvé que la configuration était quand même plus pointue à faire qu'en ipv4
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

Discussions similaires

  1. Réseau local ne fonctionne pas
    Par BZH75 dans le forum Windows 7
    Réponses: 19
    Dernier message: 25/04/2014, 12h19
  2. Réseau local seven / xp, ne fonctionne plus
    Par Invité dans le forum Windows 7
    Réponses: 8
    Dernier message: 18/12/2012, 17h09
  3. Réponses: 5
    Dernier message: 16/02/2012, 12h46
  4. Redimensionnement des Paquets IP sur un Réseau Local
    Par Bonoboo dans le forum Développement
    Réponses: 2
    Dernier message: 12/07/2002, 16h40

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo