IPv6 et filtrage par adresse MAC - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 05-01-2010 à 11:12:20
1/ oui
2/ bah le principe de l'ipv6 est d'avoir une connectivité de bout en bout donc la freebox fait routeur et juste routeur et vu que la freebox n'est pas un firewall tout est open en ipv6.
Marsh Posté le 05-01-2010 à 23:15:21
1/ ok, ça c'est super.
2/ ok, ça s'est pas top, il va falloir que je blinde mes machines contre les intrusions (firewall + blocage des services inutiles etc...), j'ai cru comprendre qu'il faut faire le travail en double :
Je précise mes machines sont sous Ubuntu mais expliquez moi juste le principe sous Windows, la communauté Ubuntu m'expliquera comment le transposer.
3/ Nouvelle question :
J'ai des personnes de passage dans ma maison et je ne veux pas qu'il puissent se connecter via un câble Ethernet qui traine (ou débranché à un autre appareil) ou en wifi après avoir cassé la clé (difficile voir impossible à l'heure actuelle mais on sait jamais). Actuellement avec mon système, la Freebox n'attribue pas d'adresse automatiquement à n'importe qui car il ne donne une adresse qu'au MAC connue. Et si un petit futée met une adresse fixe en dehors de la plage, ça ne marche pas, et s'il met une adresse dans la plage, la MAC étant différente ça ne marche pas non plus. Du moins, c'est ce que je crois avec mes essais. Qu'on me dise si je me trompe...
Du coup avec IPv6 sur ma Freebox puis-je toujours filtrer par MAC (ou autre chose) les PC qui peuvent obtenir une adresse IPv6 et lister celle-ci ?
Marsh Posté le 06-01-2010 à 00:06:58
Il y a des ports en IPv6, c'est la couche au dessus : TCP et UDP.
Le firewall il faut qu'il soit sur les postes si tu peux avoir de firewall ailleurs.
3/ bah si il met une ip de la plage (mais non utilisée) ça marchera et si il met une ip qui n'est pas dans la plage mais sur le même sous réseau ça marchera aussi. et en IPv6 c'est pas du dhcp mais presque et les annonces de ton réseau se font et les pc savent s'autoconfigurer tu peux pas filtrer.
Marsh Posté le 05-01-2010 à 01:40:58
Bonjour,
Je voudrai passer à IPv6 par principe (donner l'exemple puisqu'il faudra bien qu'on y passe tous) mais sans perdre en sécurité surtout avec la loi HADOPI qui vient de nous tomber dessus et qui nous rend responsable de la sécurisation de nos box.
Actuellement j'ai sécurisé ma Freebox en IPv4 de la manière suivante :
Wifi :
WPA2 (TKIP + AES) avec une clé généré aléatoirement avec 63 caractères.
Masqué le réseau (bien que ça soit plus chiant que efficace)
Cela ne change pas entre l'IPv4 et l'IPv6 donc pas de problème.
Routeur :
Désactivé l'uPNP, la réponse au ping
et surtout j'ai donné une plage limité d'adresse IP au serveur DHCP que j'ai toute pré-attribuée par filtrage MAC.
Le NAT étant actif, il sert de firewall matériel se qui empêche de voir mes machines depuis le net. Seule l'adresse IP de ma freebox est visible.
Cela empêche donc un PC inconnu d'obtenir une adresse IP local pour se connecter à mon réseau que se soit en wifi ou en ethernet.
Enfin celà est très pratique car j'ai attribué la même adresse IP à toutes les cartes réseaux d'un PC (wifi, ethernet) ainsi quelque soit le mode de connexion actuel du portable, je peux le joindre à la même adresse ce qui facilite le partage et les redirections de port (connexion ssh, VPN, FTP...)
Si j'active l'IPv6 sur ma Freebox :
1) Garderai-je mes paramètres de sécurité pour l'IPv4 puisqu'il sera utilisé en grande partie sur le web ?
2) Garderai-je sur l'IPv6 le même niveau de sécurité qu'en IPv4 ou cela créera-t-il une faille ?
Merci beaucoup pour vos renseignements.