IPV6 et reseaux de confiance

Forum dédié à l'accès à DomoticZ depuis l'extérieur de chez vous : routage de ports, VPN, VPS ...
La sécurité, c'est important !!
fcBourgogne
Messages : 172
Inscription : 31 mars 2020, 14:22

Re: IPV6 et reseaux de confiance

Message par fcBourgogne »

Bonjour,

Ajouter dans domoticz, réseaux de confiance "fe80::* " est suffisant pour les connexions IPV6 en local.
2a01:----:----:dee1::*; qui correspond aux préfix opérateur (Les tirets sont pour cacher, dans domoticz il y a les bons caractères)
Tu le mets où? aussi dans les réseaux de confiance ?
A+
Raspberry PI5+ 1WIRE + I2C +ESP8266 +esp32
damien_4465
Messages : 19
Inscription : 22 nov. 2020, 18:04

Re: IPV6 et reseaux de confiance

Message par damien_4465 »

Bonjour,
J'ai trouvé la solution !
Pour permettre à tous les ordinateurs du réseau dont le préfixe IPv6 est 1c34:1454:1235:1258, il faut préciser dans la liste des reseaux de confiance : 1c34:1454:1235:1258::/64
Merci au chat français https://chat.mistral.ai/chat qui m'a aidé ;)
fe80::/64 doit donc aussi fonctionner ;)
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: IPV6 et reseaux de confiance

Message par lost »

Ce qui te fais ouvrir tout ce prefixe IPv6 externe sans authentification.
Pour info, n'importe qui ayant les droits administrateur sur sa machineréseau peut en fixer une IP qui sera routée.

Naturelle ou artificielle, attention, car là ou il y a de l'intelligence il y a aussi potentiellement de la connerie...
damien_s
Messages : 45
Inscription : 08 févr. 2016, 18:42

Re: IPV6 et reseaux de confiance

Message par damien_s »

Merci pour cette mise en garde !
Dans mon cas, le préfixe que j'autorise est le préfixe que mon opérateur a affecté à ma box. Donc, si je ne me trompe pas, seuls les ordinateurs de mon réseau local qui se voit affecter une @IP v6 par ma box pourront se connecter sans authentification ! Me trompe-je ?
Merci de m'expliquer sinon quels sont les risques de sécurité et d'intrusion autre qu'une personne se connectant sur mon réseau wifi à mon insu !
Merci à vous
Damien S?
automatisation d'une serre à orchidées, raspberry pi3 (après migration depuis un serveur ubuntu) RFXCOM 433MHz, sondes Oregons, prises télécommandées BLYSS
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: IPV6 et reseaux de confiance

Message par lost »

Pour une adresse locale, le risque est avec qqun se connectant à votre réseau (sans se brancher sur une prise, on pense bien entendu au wifi mais les courants porteurs, trop souvent laissé sur la clef du standard et normalement juste destinée à l'appariement, sont une voie d'entrée commune: On branche une telle "prise" RAZ et bien souvent on voit les réseaux de voisins)...
Ici, c'est une adresse globale et le comportement vis à vis du préfixe peut juste dépendre du comportement du réseau (de sa box au core network de l'opérateur): Il pourrait filtrer en entrée les préfixes qu'il gère pour éviter le spoofing d'IPv6 par nature globales, ou pas. Et à quel niveau? Et sans restreindre un mode d'allocation valable qui ne soit pas celui du DHCPv6 fourni?
Pour appuyer mes dires, j'ai parfois vu des configuration de réseaux publics aux plages et durées de baux DHCP (v4 et/ou v6) mal configurés par rapport à leur utilisation, ce qui faisait qu'on y manque très souvent d'adresses IP disponibles. En IPv4, on est alors marron (c'est ainsi qu'on remarque le pb, avant même de regarder sa cause, car tout le web IPv4-only n'est alors pas accessible!)... mais en IPv6 tout fonctionne avec l'IPv6 automatique alors utilisée par défaut, on est juste limité à la face IPv6 du web et il faut pour les domaines (aucun pb en connaissant les IP) avoir un DNS configuré manuellement car on n'a alors pas celui renseigné par le DHCP.
Dans ce cadre, l'IPv6 automatique n'est absolument pas sur le préfixe de l'opérateur utilisé puisqu'elle peut (entre autres possibilités selon les configurations/OS, c'est ici la plus simple même si pas la plus privacy-friendly) dériver de l'adresse physique/MAC (qui, elle aussi, s'usurpe au besoin: Faut bien pouvoir pallier aux chinois qui font de la réutilisation de MAC, qui se paient, sur leurs cartes réseau et peuvent si on n'a pas de bol foutre la merde si installées sur le même sous-réseau!).
Et j'ai toujours vu tout fonctionner ainsi, en IPv6, car c'est un mode d'adressage valable, donc même sans être spécialiste je doute que l'on ait du filtrage en sortie comme en entrée sur les préfixes d'un opérateur!
Répondre