syo_7 (Auteur du topic), Posté le: Mer 31 Mai 2017, 7:53 Sujet du message: Console Alice et IPv6 - Intêret ?
Console Alice et IPv6 - Intêret ?9648889779
Salut à tous,
Dans ma console de gestion Alice j'ai une option :
- Activer le support IPv6. Cette option ne fonctionne qu'en zone dégroupée.
A quoi cela sert-il ? Avantages et inconvénients ?
Bref, dois-je cocher cette option ? (je suis en V5 en zone dégroupée)
MSBOX, Posté le: Mer 31 Mai 2017, 10:30 Sujet du message:
136496125744
Bonjour,
Pour information en IPv4, tu as un NAT qui masque tes machines. Donc tes machines ne sont pas visibles depuis le net et les ports sont protégés et masqués. Ce mécanisme a été mis en place non pas par souci de sécurité, mais uniquement parce qu'il n'y avait pas assez d'IPv4
En IPv6 chaque machine possède sa propre IP et donc sera visible depuis le Net grâce à son IPv6. Donc si jamais tu actives l'IPv6, il faut s'assurer que tes PC sont suffisamment protégés (surtout un pare-feu activé et de bonne qualité).
MSBOX, Posté le: Mer 31 Mai 2017, 10:52 Sujet du message:
136496125744
Le pare-feu de Windows peut suffire, mais il est vraiment basique. Il faut en plus faire attention au profil du réseau paramétré.
Suivant si tu es en public, entreprise ou home, les ports ne sont pas géré de la même façon.
En plus de ça il ne bloque pas wscript.exe et Powershell, deux outils de lancement de script et qui sont utilisés par les pirates.
Il faudra penser à aller les bloquer manuellement.
Personnellement je préfère utiliser un vrai pare-feu qui possède une vraie interface complète dans la quelle je peux voir le profil du réseau, les alertes, .....
Busyspider, Posté le: Mer 31 Mai 2017, 11:28 Sujet du message:
1313311589
MSBOX a écrit:
En plus de ça il ne bloque pas wscript.exe et Powershell, deux outils de lancement de script et qui sont utilisés par les pirates.
Il faudra penser à aller les bloquer manuellement..
OK Merci, mais là on commence à s'adresser à des utilisateurs un peu spécialisés. Ce n'est pas à la porté du premier venu de savoir paramétrer un pare-feu
L’utilisateur basique (sans connotation péjorative) n'aura donc pas pour le moment intérêt à activer l'IPv6, d'autant que tous les sites Web actuels sont tous joignables en IPv4
MSBOX, Posté le: Mer 31 Mai 2017, 13:18 Sujet du message:
136496125744
Oui, si on ne maitrise pas le minimum pour sécuriser son PC, il faut rester en IPv4.
Le NAT dans ce cas la vous protège.
D'autant plus que dans Windows certains logiciels à l'installation changent le profil réseau, mais ne préviennent pas. Comme le pare-feu de Windows est peu bavard, tu n'auras aucune alerte.
syo_7 (Auteur du topic), Posté le: Mer 31 Mai 2017, 19:05 Sujet du message:
9648889779
Salut à tous et Merci pour vos retours,
L'information importante que je note c'est le NAT.
En effet, si l'on passe en IPv6 plus de NAT et donc chaque appareil sera visible.
Rien que pour ça, je vais pour le moment m'abstenir.
Par contre le jour ou cela ne sera plus une option il y aura une petite réflexion à faire !
Pour compenser la perte du "NAT" il faut avoir un pare-feu pour tout le réseau familial (PC, tablettes, phones, SMARTV ... etc).
Du coup, l'investissement (cout et temps) n'est plus le même.
Je verrai bien un Raspberry entre la box et le réseau pour gérer ça (+ softs à déterminer) ou un routeur Ethernet/Wifi avec pare-feu.
Bref, c'est quelque chose de difficile qui se profile.
MSBOX, Posté le: Mer 31 Mai 2017, 21:32 Sujet du message:
136496125744
De rien,
Oui la sécurité avec l'IPv6 pose encore pas mal de souci et c'est un casse tête. C'est quelque chose qui se met en place petit à petit et qui nécessite encore pas mal de normalisation.
Coté logiciel de sécurité (antivirus et pare-feu entre autres), certains ont du mal avec l'IPv6 car ils n'arrivent pas à destinguer les paquets de l'entête. En IPv4 l'entête est normalisée et les logiciels sont prêts à la reconnaitre pour ensuite identifier les paquets et les contrôler. En IPv6 c'est un peu plus compliqué et ça nécessite encore pas mal de réglages.
L'IPv6 est également un casse tête pour les attaques ddos car les pirates auront à leur disposition des milliards d'IP disponibles contrairement à des IPv4 qui eux sont limitées. Les sociétés de sécurité utilisent des bases de données qui listent les IPv4 à risque. Pour l'IPv6 ces base de données n'existent pas et il faut surtout changer de méthode face aux possibilités quasi infini de l'IPv6.
Bref, de nos jours l'IPv6 apporte peu à un utilisateur lambda. Demain elle facilitera l'interconnexion des machines, mais en contrepartie il faut imaginer la sécurité coté machines et application et non coté réseau.
Donc il faut déscendre d'un niveau même si aujourd'hui il existe quelque solutions coté réseau pour sécuriser le trafic en IPv6 comme par exemple la solution ipsec.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum