IPv6 et Windows 2003

Voila, sauf qu’il ne parle que du réseau local, là :stuck_out_tongue:

tiens, puisqu’on parle reseau et windows, ya un truc que je me suis toujours demandé : comment windows gere t il les pools d’adresse ip.
Example con : un machine en lan avec plusieurs autre (via un hub et carte reseau) + une connexion au net via USB par exemple.
Du coup, un petit ip config donne un truc du genre :

IP1 (celle du net, filer par le provider, public) XXX.XXX.XXX.XXX
plein d’info sur la connexion
puis
IP2 (celle du lanà 192.168.1.1)
et plein d’info sur la carte reseau

Ma question est: comment windows choisi t il l’une ou l’autre pour l’adressage ?
il tente les deux et prends ce qui reponds? j’ai jamais trop su comment il gere les priorité l’une par rapport a l’autrE.
Mes cours de reseau sont assez loin, et je veux bien profiter de l’occasion pour une petite remise a niveau.
Qui s’y colle ? :stuck_out_tongue:

Ben il y a une table de routage avec par reseau qui va ou et une route par defaut. Tapes “route print” dans une fenetre command prompt pour l’afficher.

[quote name=‘GloP’ date=’ 21 Jan 2005, 10:37’]Ben il y a une table de routage avec par reseau qui va ou et une route par defaut. Tapes “route print” dans une fenetre command prompt pour l’afficher.
[right][post=“324391”]<{POST_SNAPBACK}>[/post][/right][/quote]

ok, c’est ce qui me manquais ^^

C’est vrai qu’IPv6, c’est la mort du NAT, et ca, c’est d’la balle :stuck_out_tongue:

Bah oui puisque les 64 premiers octets sont fournis par le FAI (equivalent IPv4 sur 32 octets), et les 64 autres sont (en général) ton adresse MAC.

Résultat, toutes les bécanes de ton LAN pourront causer sur le net avec comme adresse @FAI:@MAC… Quid ensuite des FAI qui pourront tracer que tu as plus de 3 PCs chez toi et qui dirons « toi, tu va prendre un abonnement entreprise hein ! », mais bon, faut pas être pessimiste ou suspicieux :stuck_out_tongue:

QUIZ:

Un paquet IPv4 possède une en-tête d’une extrème simplicité et pourtant il existe des miliers d’attaques et de contournements possible basés sur ces quelques bits.

IPv6 se targue d’être bien plus sécurisé que son ainé, hors son encapsulation est bien plus complexe et donc le nombre d’attaques potentielles est exponentiellement plus importante.

Ne rigolez pas c’est une vrai question que tous les fabriquants de matériel réseau sécurisé (dont je fais partie) se posent.

Bon le déploiement d’IPv6 est prévu sur 20 ans et ce n’est pas demain que le campin moyen verra arriver une adresse IPv6 sur son WAN à la maison. J’imagine d’ici la complexité du code des routeurs firewall (avec controle des sessions évidement) qui devront connaitre les millions d’attaques basées uniquement sur l’entête dudit paquet…

Les étude montre que plus un code est complexe et plus il contient de bugs, c’est pour ça (en plus des méthodes de développement utilisés) que Windows contient plus de bugs que linux.
Et oui contrairement à ce que vous pensez sans doute windows est bien plus complexe.

Donc vive les reboot de matos réseau dans 20 ans :wink:

La mort du NAT!!! Rien n’est moins sur, IPv6 va être employé dans un premier temps par les ISP pour résoudre le problème du nombre d’adresse. A ma connaissance rien n’est prévu pour envoyer de l’IPv6 chez les clients pour l’instant.

PS: Glop je t’interdit de sortir ton UZI, les faits son là…

Tiens, je vais essayer d’empêcher ça en te rappelant que Linux n’est qu’un noyau alors que le Windows moyen regroupe en plus du noyau un serveur graphique, un window manager, plus quelques API de programmation genre DirectX, le moteur d’IE ou du WMP. Donc il vaudrait mieux comparer une distribution Linux à un Windows et je ne suis pas sûr que le contenu d’une distribution Linux soit de conception plus simple que celui de Windows. Donc, à mon avis, c’est juste pas comparable, mais le fait que plus un code soit simple et moins il a de failles me parait par contre assez juste.

Plus compliqué IPv6 ?? Tu te fous de nous, non ?
En tête IPv4 > 14 Champs, en comptant les addresses
En tête IPv6 > 8 champs, toujours en comptant les addresses.
Donc je vois pas vraiment ou est la complexité la dedans…

Pour ce qui est du routage, la nature topologique de l’adressage IPv6 simplifie grandement les tables de routage en en diminuant le nombre d’entrées.
Pour ce qui est du déploiement, Wait & See, mais je ne dirais pas 20 ans…
Entre l’augmentation croissante de machines connectés, et la forte émergeance de machines mobiles connectées, cela risque de venir beaucoup plus tot.

[quote name=‹ urdle › date=’ 21 Jan 2005, 10:55’]Résultat, toutes les bécanes de ton LAN pourront causer sur le net avec comme adresse @FAI:@MAC… Quid ensuite des FAI qui pourront tracer que tu as plus de 3 PCs chez toi et qui dirons « toi, tu va prendre un abonnement entreprise hein ! », mais bon, faut pas être pessimiste ou suspicieux :stuck_out_tongue:
[right][post=« 324398 »]<{POST_SNAPBACK}>[/post][/right][/quote]

Sauf qu’il existe en IPv6 un mécanisme d’addresse temporaire, qui fait que l’addresse IP est générée aléatoirement (du moins la partie qui ne correspond pas à l’identifiant du bloc) et change à chaque allocation d’adresse IP. Ce mécanisme est utilisé par défaut sous Windows (et optionnel avec les BSD et Linux).

[quote name=‘skuld’ date=’ 21 Jan 2005, 14:25’]Sauf qu’il existe en IPv6 un mécanisme d’addresse temporaire, qui fait que l’addresse IP est générée aléatoirement (du moins la partie qui ne correspond pas à l’identifiant du bloc) et change à chaque allocation d’adresse IP. Ce mécanisme est utilisé par défaut sous Windows (et optionnel avec les BSD et Linux).
[right][post=“324475”]<{POST_SNAPBACK}>[/post][/right][/quote]
Il sera même possible de générer une adresse temporaire pour UNE application, et de la libérer ensuite…
A ne pas oublier dans tout ca : une seule addresse par interface, c’est dépassé !!

[quote name=‘Tzim’ date=’ 21 Jan 2005, 13:48’]Plus compliqué IPv6 ?? Tu te fous de nous, non ?
En tête IPv4 > 14 Champs, en comptant les addresses
En tête IPv6 > 8 champs, toujours en comptant les addresses.
Donc je vois pas vraiment ou est la complexité la dedans…

Pour ce qui est du routage, la nature topologique de l’adressage IPv6 simplifie grandement les tables de routage en en diminuant le nombre d’entrées.
Pour ce qui est du déploiement, Wait & See, mais je ne dirais pas 20 ans…
Entre l’augmentation croissante de machines connectés, et la forte émergeance de machines mobiles connectées, cela risque de venir beaucoup plus tot.
[right][post=“324463”]<{POST_SNAPBACK}>[/post][/right][/quote]

Remarque tout a fait justifiée Tzim, mais par le biais de son entête variable, IPv6 offre un support étendu à toutes extensions ou options pouvant être nécessaires. En effet, pour ne pas avoir un entête trop long et trop lourd à traiter, une série de champs des messages IPv4 ont été mis en option dans des entêtes d’extension. C’est l’émetteur qui choisit quelles extensions à inclure dans le message.

Les avantage sont:

  • Des messages plus courts, ce qui permet un gain appréciable en bande passante,
  • Une flexibilité supérieure:
  • L’émetteur n’utilise que les extensions qu’il estime utiles,
    il est possible de définir un grand nombre de nouvelles entêtes d’extension,
    un coût de traitement aux routeurs réduit ; les entêtes d’extension ne sont pas examiné par les noeuds intermédiaires le long du chemin vers la destination.

Tu as donc raison en disant qu’IPv6 a moins de champs dans son entête mais il y a, du fait des entêtes d’extension, infiniment plus de possibilité de manipulation de celle-ci. D’ou le problème des futures firewalls statefull pour contrôler l’intégrité de tout ce petit monde.

Vous dites que avec l’IPV6, chaque machine aura son IP “internet”, mais qu’est ce que ca va nous apporter de plus qu’aujourd’hui car mes 3PC plus mon PocketPC se connecte très bien sans IPV6. D’ailleur comment seront-ils protégé si ils ont chacun leur accés à internet, et ca voudrait dire qu’il faudra réinvestir dans de nouveaux matos ? Je devrais changer mon modem routeur et mon point d’accés Wifi ?

[quote name=‹ Raoul › date=’ 21 Jan 2005, 13:00’]Un paquet IPv4 possède une en-tête d’une extrème simplicité et pourtant il existe des miliers d’attaques et de contournements possible basés sur ces quelques bits.
[right][post=« 324445 »]<{POST_SNAPBACK}>[/post][/right][/quote]

Ah bon, c’est nouveau ca. Ca vient tout juste de sortir ? Jusqu’a preuve du contraire un script comme celui-ci permet de bloquer les attaques des paquets mal formes en IPv4.

Des milliers, ca en fait beaucoup dis donc. :stuck_out_tongue:

[quote name=‘ZGoblin’ date=’ 21 Jan 2005, 16:05’]Vous dites que avec l’IPV6, chaque machine aura son IP “internet”, mais qu’est ce que ca va nous apporter de plus qu’aujourd’hui car mes 3PC plus mon PocketPC se connecte très bien sans IPV6.
[right][post=“324505”]<{POST_SNAPBACK}>[/post][/right][/quote]

Pour l’utilisateur lambda, ça ne va rien apporter de plus (à part peu être la facilité pour héberger son serveur de jeu sans avoir à natter à tout va, ou bien quelques applis H323 qui sont bien chiantes à parametrer derrière une passerelle). En revanche, pour des serveurs perso, c’est le bonheur : chaque serveur aura une vraie IP publique. Plus besoin de faire de NAT sur la passerelle, ce qui peut être intéressant si tu veux heberger deux serveurs web sur deux machines distinctes : si tu dois natter, vers qui dois tu rediriger la connexion sur le port 80 qui arrive à la passerelle.
De plus, le NAT rend aussi problématique certains protocoles comme IPSec et autres.

[quote name=‘ZGoblin’ date=’ 21 Jan 2005, 16:05’]D’ailleur comment seront-ils protégé si ils ont chacun leur accés à internet, et ca voudrait dire qu’il faudra réinvestir dans de nouveaux matos ? Je devrais changer mon modem routeur et mon point d’accés Wifi ?
[right][post=“324505”]<{POST_SNAPBACK}>[/post][/right][/quote]

Pour être protéger, il te suffit soit de régler un firewall sur chaque machine (solution sale), soit régler un unique firewall sur le routeur (solution propre).
Au niveau de la compatibilité, il faut que ton routeur supporte bien entendu IPv6. Pour le point d’accès, si ce n’est qu’un simple point d’accès (aka un hub wifi), pas de compatibilité particulière, vu que la partie hub est au niveau de la couche physique, pas transport. En revanche si ton point d’accès comporte une fonction routeur, cette fonction devra bien entendu être elle aussi compatible IPv6

[quote name=‘skuld’ date=’ 21 Jan 2005, 16:53’]Pour l’utilisateur lambda, ça ne va rien apporter de plus (à part peu être la facilité pour héberger son serveur de jeu sans avoir à natter à tout va, ou bien quelques applis H323 qui sont bien chiantes à parametrer derrière une passerelle). En revanche, pour des serveurs perso, c’est le bonheur : chaque serveur aura une vraie IP publique. Plus besoin de faire de NAT sur la passerelle, ce qui peut être intéressant si tu veux heberger deux serveurs web sur deux machines distinctes : si tu dois natter, vers qui dois tu rediriger la connexion sur le port 80 qui arrive à la passerelle.
De plus, le NAT rend aussi problématique certains protocoles comme IPSec et autres.
Pour être protéger, il te suffit soit de régler un firewall sur chaque machine (solution sale), soit régler un unique firewall sur le routeur (solution propre).
[right][post=“324525”]<{POST_SNAPBACK}>[/post][/right][/quote]
Pour résumer : plus de problème de NAT. Qui n’a jamais eu de problèmes de partage de connexion ? Les questions “je n’arrive pas a utiliser tel soft derriere mon partage / routeur / livebox …” ne manquent pas sur cafzone suffisent a démontrer l’interet de la chose.
Les developpeurs de jeux n’auront plus a se casser la tête sur des problèmes de ce genre…

Et l’on a pas encore parlé des fonctions multicast de l’IPv6…

[quote name=‹ unreal › date=’ 21 Jan 2005, 16:14’]Ah bon, c’est nouveau ca. Ca vient tout juste de sortir ? Jusqu’a preuve du contraire un script comme celui-ci permet de bloquer les attaques des paquets mal formes en IPv4.

Des milliers, ca en fait beaucoup dis donc. :stuck_out_tongue:
[right][post=« 324512 »]<{POST_SNAPBACK}>[/post][/right][/quote]

Je ne suis pas un grand artiste de l’IPtable mais ça reste un controle de niveau 2, moi je parle de vérification de correspondance paquet émis/paquet reçus et des mécanisme de ‹ stateful packet inspection › soit un controle de niveau 4 au moins.

Il n’est donc pas question uniquement de paquets ‹ mal formés › mais de contournement du contenu potentiel des champs de l’entête. Ton script semble protéger surtout des attaques de type DOS ou DDOS.

Entendons nous bien, je n’écris pas pour me mettre toute la cafzone à dos mais pour détricoté ce thread comme il se doit. Merci donc de resté agréable dans le ton.

Non, tu parlais de (je cite) :

Les attaques au niveau de l’entete c’est des attaques de paquets mal formes. Ce qui compte pour le NAT quand il recoit un paquet c’est l’IP source et le port destination (pour qu’il puisse faire son petit lookup dans sa table NAT). Si un paquet arrive qui n’est pas dans cette table, pouff, il est rejete. A ce niveau la, je ne vois pas ce qui change entre IPv4 et IPv6. Plus tu montes dans les couches et plus cela devient independant de ta techno.

[quote name=‹ unreal › date=’ 21 Jan 2005, 17:47’]Non, tu parlais de (je cite) :
Les attaques au niveau de l’entete c’est des attaques de paquets mal formes. Ce qui compte pour le NAT quand il recoit un paquet c’est l’IP source et le port destination (pour qu’il puisse faire son petit lookup dans sa table NAT). Si un paquet arrive qui n’est pas dans cette table, pouff, il est rejete. A ce niveau la, je ne vois pas ce qui change entre IPv4 et IPv6. Plus tu montes dans les couches et plus cela devient independant de ta techno.
[right][post=« 324550 »]<{POST_SNAPBACK}>[/post][/right][/quote]

Ok c’est vrai mais ma signature s’applique à moi aussi :wink:

Ta réponse n’est pas tout à fait exacte car tout dépend de l’implémentation NAT utilisée par les routeurs ou autre. Ta réponse est exacte pour ‹ restricted port cone NAT › et ‹ symetric NAT ›.

On peut rajouté dans le cas de TCP l’identifiant du paquet qui peut également être contourné.

Je crois qu’il y a un bon tutoriel sur lea-linux.org pour configurer l’IPv6 sous Linux.