https://chiliproject.tetaneutral.net/https://chiliproject.tetaneutral.net/favicon.ico?13975489302011-07-22T12:49:34Ztetaneutral.nettetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=1012011-07-22T12:49:34ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p>En pratique il s'agirait d'etudier les RFC sur le sujet<br />et d'en traduire une partie en regles ip6tables / ebtables<br />pour une mise en production sur nos serveurs.</p>
<p><a class="external" href="http://tools.ietf.org/html/rfc4890">http://tools.ietf.org/html/rfc4890</a><br />Recommendations for Filtering ICMPv6 Messages in Firewalls</p>
<p><a class="external" href="http://tools.ietf.org/html/rfc6092">http://tools.ietf.org/html/rfc6092</a><br />Recommended Simple Security Capabilities in Customer Premises Equipment<br />for Providing Residential IPv6 Internet Service</p>
<p>Il faudrait aussi tester le fonctionnement des clients "classiques" <br />Microsoft Windows, MacOS, Linux & autres dans un environnement ou l'IPv6<br />est activé, et mettre en place des outils de surveillance et d'alerte<br />liés a l'IPv6 en plus des regles de securisation.</p> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=1152011-07-24T15:27:41ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p><a class="external" href="http://lists.tetaneutral.net/listinfo/ipv6">http://lists.tetaneutral.net/listinfo/ipv6</a><br /><a class="external" href="http://lists.tetaneutral.net/pipermail/ipv6/">http://lists.tetaneutral.net/pipermail/ipv6/</a></p> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=1402011-08-06T11:27:59ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p>From: clément Game <<a class="email" href="mailto:clement@digi-nation.com">clement@digi-nation.com</a>><br /><<<br />Je me permet de forwarder un lien qui est apparu hier soir sur la ML bugtraq, et qui pourrait intéresser nombre d'entre vous. il s'agit d'un document de 160 slides traitant de la sécurité du protocol IPv6, issu d'une conference donnée a HIP 2011..pour tout vous dire je n'ai pas fini de le lire, mais de ce que j'ai parcouru c'est très instructif</p>
<p>le lien: <a class="external" href="http://www.hackingipv6networks.com/past-trainings">http://www.hackingipv6networks.com/past-trainings</a></p>
<blockquote><blockquote>
</blockquote></blockquote>
<p>From: Stephane Bortzmeyer <<a class="email" href="mailto:bortzmeyer@nic.fr">bortzmeyer@nic.fr</a>><br /><<<br />Déjà donné à LACNOG l'année dernière<br /><<a class="external" href="http://www.gont.com.ar/talks/lacnog2010/fgont-lacnog2010-ipv6-security.pdf&gt;">http://www.gont.com.ar/talks/lacnog2010/fgont-lacnog2010-ipv6-security.pdf&gt;</a>.<br />On trouve d'ailleurs quelques hispanismes dans les transparents<br />(optional écrit opcional).</p>
<p>Du point de vue pratique, c'est un bon document (l'auteur connait son<br />sujet, et, au fait, il s'est aussi attaqué à IPv4, cf. RFC 6274). Mais<br />attention à ne PAS s'en servir pour une ÉVALUATION d'IPv6, car il<br />mélange des problèmes fondamentaux d'IPv6 (SLAAC), d'autres qui ne<br />sont que conjoncturels (manque de maturité de certaines<br />implémentations) et d'autres qui sont communs à v4 et v6 (GTSM, mais<br />aussi le fait que ND est exactement aussi sûr - ou, plus justement,<br />aussi peu sûr - qu'ARP).</p>
<p>La phrase sur le DNS en bas du transparent 129 est du pur FUD. On voit<br />qu'il ne connait pas ce sujet (qui n'est pas développé) et qu'il n'a<br />même pas fait d'arithmétique élémentaire.</p>
<p>Il a l'approche de pas mal de spécialistes en sécurité, qui est de<br />considérer la sécurité comme un but en soi. C'est bien résumé dans sa<br />phrase (transparent 165) « The security implications of IPv6 should be<br />considered before it is deployed (not after!). ». Si on avait suivi un<br />tel conseil pour IPv4, on n'aurait pas d'Internet...</p>
<p>---------------------------<br />Liste de diffusion du FRnOG<br /><a class="external" href="http://www.frnog.org/">http://www.frnog.org/</a></p>
<blockquote><blockquote>
</blockquote></blockquote> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=5902011-11-13T11:23:24ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p><a class="external" href="http://www.ietf.org/rfc/rfc4890.txt">http://www.ietf.org/rfc/rfc4890.txt</a></p> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=5942011-11-13T15:35:49ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p><a class="external" href="http://madduck.net/docs/ipv6/">http://madduck.net/docs/ipv6/</a></p> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=5952011-11-13T15:37:54ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p><a class="external" href="http://marc.info/?l=linux-kernel&m=123617372002934&w=2">http://marc.info/?l=linux-kernel&m=123617372002934&w=2</a></p>
<p>I took another look at<br /><a class="external" href="http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=blob;f=include/linu">http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=blob;f=include/linu</a> \<br />x/inetdevice.h;hb=HEAD#l102</p>
<p>102 #define IN_DEV_RX_REDIRECTS(in_dev) \<br />103 ((IN_DEV_FORWARD(in_dev) && \<br />104 IN_DEV_ANDCONF((in_dev), ACCEPT_REDIRECTS)) \<br />105 || (!IN_DEV_FORWARD(in_dev) && \<br />106 IN_DEV_ORCONF((in_dev), ACCEPT_REDIRECTS)))</p>
<p>"accept_redirect" depends on "forwarding": If forwarding is enabled,<br />it's ANDed, if it's disabled, it's ORed.</p> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=5962011-11-13T15:38:22ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p><a class="external" href="http://tldp.org/HOWTO/Linux+IPv6-HOWTO/proc-sys-net-ipv6..html">http://tldp.org/HOWTO/Linux+IPv6-HOWTO/proc-sys-net-ipv6..html</a></p> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=5972011-11-13T15:43:09ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p><a class="external" href="http://www.mjmwired.net/kernel/Documentation/networking/ip-sysctl.txt">http://www.mjmwired.net/kernel/Documentation/networking/ip-sysctl.txt</a></p> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=5982011-11-13T15:49:53ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p><a class="external" href="http://ndpmon.sourceforge.net/docs/html/index.html">http://ndpmon.sourceforge.net/docs/html/index.html</a></p>
<p>Pour corriger un RA incorrect : Sent prefix zero lifetime advertisement for wrong prefix.</p> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=5992011-11-13T16:18:59ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p><a class="external" href="http://getipv6.info/index.php/Customer_problems_that_could_occur">http://getipv6.info/index.php/Customer_problems_that_could_occur</a></p> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=6002011-11-13T16:43:19ZLaurent GUERBYlaurent@guerby.net
<ul></ul><p><a class="external" href="http://packetlife.net/blog/2009/feb/2/ipv6-neighbor-spoofing/">http://packetlife.net/blog/2009/feb/2/ipv6-neighbor-spoofing/</a></p>
<p>scapy RA generation</p>
<p><a class="external" href="http://www.packetlevel.ch/html/scapy/scapyipv6.html">http://www.packetlevel.ch/html/scapy/scapyipv6.html</a></p>
<p><a class="external" href="https://github.com/strattg/rafixd">https://github.com/strattg/rafixd</a></p>
<p>scapy rogue RA killer<br /><pre>
#!/usr/bin/env python
from scapy.all import *
def ra_monitor_callback(pkt):
if ICMPv6ND_RA in pkt and pkt[ICMPv6ND_RA].routerlifetime > 9000:
send(IPv6(src=pkt[IPv6].src)/ICMPv6ND_RA(routerlifetime=0) )
u = pkt.sprintf("rogue %Ether.src% %IPv6.src% > %IPv6.dst% %ICMPv6ND_RA.routerlifetime%")
s = time.asctime()
t = "\t"
return s + t + u
sniff(prn=ra_monitor_callback, filter="dst host ff02::1", store=0, iface="wlan0")
</pre></p> tetaneutral.net - Evolution #35: IPv6https://chiliproject.tetaneutral.net/issues/35?journal_id=70352018-08-10T07:08:38ZMatthieu Herrbmatthieu@herrb.eu
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Fermé</i></li></ul><p>fermeture de tous les vieux tickets non suivis depuis plusieurs années</p>