Digression : DHCP et sécurité

Tags: #<Tag:0x00007f63f8292fd0> #<Tag:0x00007f63f8292e90>

Ajout par @anon96191775 :

Ce message était à l’origine posté en réponse dans ce fil : Le paquet isc-dhcp a besoin d'attention


Message original de @Zargos :

personnellement je n’accepte pas que mes adresses IP internes soient connues de l’externe. Question de sécurité.
Donc DHCPv6 en interne, avec DHCPv4.

1 J'aime

Pour moi c’est le contraire, je souhaite pouvoir facilement joindre mes machines depuis l’extérieur. C’est d’ailleurs pour ça que j’avais mis en place une connexion à un VPN quand je n’avais encore que de l’IPv4 à disposition.

mais ça rend tes machines visibles de l’extérieur (sans compter que dans l’adresse il y a l’adresse MAC imbriquée), c’est en soit un faiblesse de sécurité.
En sécu, la facilité est l’ennemie de l’efficacité.

1 J'aime

Quel rapport entre sécurité et machines visibles de l’extérieur ?

De toutes façons j’ai bien besoin qu’elles soient accessibles depuis l’extérieur, sinon ça va être compliqué d’accéder aux services qu’elles fournissent.

un attaquant a connaissance de la cible plus facilement.

NAT/DMZ avec le parefeu etc…servent à faire le job (avec éventuellement un reverse proxy)

1 J'aime

Je suis bien content d’éviter toute cette lourdeur, et la machine dédiée supplémentaire qui serait nécessaire :wink:

D’autant plus que je ne vois pas bien quel souci de sécurité c’est censé régler. D’ailleurs voici les IP de la machine que j’utilise pour poster ce message :

  • 127.0.0.1
  • 192.168.1.14
  • 10.0.0.254
  • 89.234.186.75
  • ::1
  • fe80::6caf:41ff:fef9:b22d
  • fe80::c0ef:b9ff:fe70:94eb
  • fe80::ea0b:e70a:3cff:70e9
  • 2a00:5884:8300::1
  • 2a00:5884:8300:1::1

Je doute que cette machine soit moins en sécurité après le partage de cette information…

(@Zargos, on dérive pas mal du sujet initial, ça te va que je passe notre discussion dans un nouveau fil ?)

4 J'aime

Certes :slight_smile:

1 J'aime

Curieuse configuration, tu as une adresse IPv4 publique sur ton PC ?

1 J'aime

Bien sûr, c’est quand même plus pratique pour qu’il soit joignable par ceux qui n’ont pas encore d’accès correct à IPv6 :wink:

IPv6 c’est pas sécurisé du tout.
J’ai réussi à obtenir un shell root sur cette adresse ::1

5 J'aime

je confirme coité sécurité IPV6.
C’est principalement du au fait que les configurations de sécurité mise en place pour l’IPV4 ne sont pas forcement mise en place, ou même à jour pour IPV6. sans compter que parfois les outils en question gèrent mal l’IPV6.

1 J'aime

Juste au cas où l’intention ne soit pas bien passée : le message de @anon70622873 est ironique :wink:

1 J'aime

oui et j’ai précisé pourquoi, upv6 a été conçu pour etre plus sécurisé que ipv4. mais si on utilise pas ces fonctionnalité, elles ne servent à rien

Merci, la précision était utile…