Peut-on coupler une IPv6 fixe sur le réseau local avec une IPv6 temporaire/dynamique pour les communications internet?
Tiens, je ne sais pas si l'auto-configuration IPv6 exclue la configuration statique de certaines adresses, mais je pense que les deux peuvent être utilisés sur une même machine (en tout cas, la configuration automatique et DHCPv6 sont clairement indiqués comme complémentaires dans l'introduction de la RFC 4862).
Par contre, il faut bien comprendre avec IPv6 qu'il n'y a plus de nécessité d'avoir un réseau local entre les machines d'un même réseau. Comme elles ont toutes leurs propres adresses publiques, autant utiliser celles-ci directement.
Il existe bien le réseau local avec le préfixe fe80:: pour pouvoir débuter les communications entre le routeur et les membres du réseau et il peut être utilisé pour communiquer entre membres du réseau, mais je ne pense pas qu'il apporte plus d'avantages que le réseau publique.
Pour protéger les machines du réseau, c'est un firewall qu'il faudra configurer correctement afin de ne pas exposer directement toutes les machines directement sur Internet.
Par exemple j'ai un service web accessible depuis internet à travers un reverse proxy apache2 (qui a besoin d'une ip fixe*1) et directement via Tor Hidden Service (pour qui une IPv6 dynamique serait un meilleur gage de sécu*2)
Dans ce cas, les RFCs de cette dépêche gardent le concept d'adresses IP stables pour les fonctionnalités de type serveur.
Typiquement, apache2 n'écoutera pas les adresses IP temporaires, mais uniquement les adresses stables.
La première RFC indique bein que c'est pour les communications sortantes qu'il faut utiliser de préférence les adresses temporaires
L'idée de la seconde RFC de la dépêche est de dissimuler un peu plus les adresses stables: au lieu de restreindre les suffixes à l'utilisation de la plage d'adresses MAC, la RFC propose d'utiliser toute la plage disponible (tout en gardant cette adresse stable sur le réseau). Ainsi, un attaquant qui voudrait trouver les fonctionnalités serveurs d'un réseau devra scanner une plus grande plage d'adresse IP (ou passer par un autre moyen).
Pour Tor, je ne connais ce réseau que de nom, mais il faudrait pouvoir avertir dynamiquement le service Tor quand les adresses IPs actuelles vont devenir obsolètes et transmettre les nouvelles adresses IPs lors de leur création.
PS: merci pour la dépêche intéressante :)
Merci aussi à la communauté LinuxFR de m'avoir relancé 2-3 fois pour la terminer :) Ça faisait 6 mois qu'elle traînait dans l'espace de rédaction ^^
[^] # Re: IPv6 fixe local avec IPv6 temporaire internet
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Protéger sa vie privée avec l’IPv6. Évalué à 3. Dernière modification le 22 juillet 2016 à 13:04.
Tiens, je ne sais pas si l'auto-configuration IPv6 exclue la configuration statique de certaines adresses, mais je pense que les deux peuvent être utilisés sur une même machine (en tout cas, la configuration automatique et DHCPv6 sont clairement indiqués comme complémentaires dans l'introduction de la RFC 4862).
Par contre, il faut bien comprendre avec IPv6 qu'il n'y a plus de nécessité d'avoir un réseau local entre les machines d'un même réseau. Comme elles ont toutes leurs propres adresses publiques, autant utiliser celles-ci directement.
Il existe bien le réseau local avec le préfixe
fe80::pour pouvoir débuter les communications entre le routeur et les membres du réseau et il peut être utilisé pour communiquer entre membres du réseau, mais je ne pense pas qu'il apporte plus d'avantages que le réseau publique.Pour protéger les machines du réseau, c'est un firewall qu'il faudra configurer correctement afin de ne pas exposer directement toutes les machines directement sur Internet.
Dans ce cas, les RFCs de cette dépêche gardent le concept d'adresses IP stables pour les fonctionnalités de type serveur.
Typiquement, apache2 n'écoutera pas les adresses IP temporaires, mais uniquement les adresses stables.
La première RFC indique bein que c'est pour les communications sortantes qu'il faut utiliser de préférence les adresses temporaires
L'idée de la seconde RFC de la dépêche est de dissimuler un peu plus les adresses stables: au lieu de restreindre les suffixes à l'utilisation de la plage d'adresses MAC, la RFC propose d'utiliser toute la plage disponible (tout en gardant cette adresse stable sur le réseau). Ainsi, un attaquant qui voudrait trouver les fonctionnalités serveurs d'un réseau devra scanner une plus grande plage d'adresse IP (ou passer par un autre moyen).
Pour Tor, je ne connais ce réseau que de nom, mais il faudrait pouvoir avertir dynamiquement le service Tor quand les adresses IPs actuelles vont devenir obsolètes et transmettre les nouvelles adresses IPs lors de leur création.
Merci aussi à la communauté LinuxFR de m'avoir relancé 2-3 fois pour la terminer :) Ça faisait 6 mois qu'elle traînait dans l'espace de rédaction ^^