Outils pour utilisateurs

Outils du site


De l'abondance des adresses IP

Peut nuire…

État des lieux en IPv4

En IPv4, Un abonnement chez un fournisseur d'accès procure une adresse IPv4 publique (routable) et encore, elle n'est pas forcément fixe. Chez Free, elle l'est par défaut. Chez d'autres, il faut payer un supplément. Pourtant, disposer d'une IP fixe lorsque l'on dispose d'un lien à très haut débit, ça permet par exemple d'installer son serveur public chez soi. Il faut ruser un peu avec du «port forwarding» ou bien se connecter avec un simple modem et obtenir son IP publique directement sur l'hôte serveur.

Si l'on utilise la Box dans sa configuration de routeur, alors nous savons que tous les nœuds placés dans le LAN auront des adresses IP privées et que la Box pratique le masquage d'adresses pour permettre aux nœuds du LAN d'accéder à l'internet. C'est un peu du bricolage, mais d'un autre côté, les attaques extérieures vont s'adresser à l'IP publique, celle de la Box côté internet. À priori, les nœuds du LAN sont relativement à l'abri, ils ne sont pas joignables directement depuis l'internet. Mais ceci bien sûr ne les protège pas des «backdoors» installés par mégarde (ou par la volonté libre ou forcée des éditeurs de logiciel).

Grands espaces IPv6

Ce qui suit s'appuie sur la connectivité Free, n'ayant plus la possibilité d'en tester d'autres (sans me ruiner).

Lorsque l'on ouvre la le mode avancé de la configuration de la Freebox «Révolution», une icône notée «Configuration IPv6» ouvre une fenêtre dont voici le contenu le plus intéressant.

Par défaut, il y a un préfixe /64, ce qui implique donc la possibilité de disposer avec ce préfixe de 264 adresses publiques.

Pour le cas où ce ne serait pas suffisant pour assouvir nos besoins, il y a 6 autres préfixes /64 secondaires, ce qui nous ferait au total 7 x 264 adresses publiques à notre disposition. Mais pour les mériter, il va falloir travailler un peu.

Lorsque nous aurons maîtrisé cette offre, nous pourrons nous amuser comme des fous 8-)

Mais dans un premier temps, contentons-nous de la connectivité IPv6 de base et soit un hôte (virtuel) connecté au préfixe par défaut. Une fois démarrée, voyons sa configuration IPv6:

ip -6 addr ls

1: lo:  mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: enp1s0:  mtu 1500 state UP qlen 1000
    inet6 2a01:e0a:875:b1d0:5054:ff:fe56:5292/64 scope global dynamic mngtmpaddr 
       valid_lft 86313sec preferred_lft 86313sec
    inet6 fe80::5054:ff:fe56:5292/64 scope link 
       valid_lft forever preferred_lft forever
Faisons depuis un nœud situé chez OVH un traceroute vers cette adresse:
traceroute -6 2a01:e0a:875:b1d0:5054:ff:fe56:5292

traceroute to 2a01:e0a:875:b1d0:5054:ff:fe56:5292 (2a01:e0a:875:b1d0:5054:ff:fe56:5292), 30 hops max, 80 byte packets
 1  2001:41d0:305:2100::1 (2001:41d0:305:2100::1)  0.247 ms  0.180 ms  0.148 ms
 2  fd00::ffe (fd00::ffe)  0.123 ms  0.553 ms  0.510 ms
 3  2001:41d0:0:1:3:0:1:4c3f (2001:41d0:0:1:3:0:1:4c3f)  0.470 ms  0.444 ms  0.418 ms
 4  2001:41d0:0:1:3:0:1:49e6 (2001:41d0:0:1:3:0:1:49e6)  0.392 ms 2001:41d0:0:1:3:0:1:49e4 (2001:41d0:0:1:3:0:1:49e4)  0.363 ms  0.364 ms
 5  2001:41d0:0:1:3:0:1:4716 (2001:41d0:0:1:3:0:1:4716)  0.716 ms 2001:41d0:0:1:3:0:1:4712 (2001:41d0:0:1:3:0:1:4712)  0.723 ms 2001:41d0:0:1:3:0:1:4716 (2001:41d0:0:1:3:0:1:4716)  0.752 ms
 6  2001:41d0:0:50::5:2b0 (2001:41d0:0:50::5:2b0)  0.312 ms 2001:41d0:0:50::5:2e0 (2001:41d0:0:50::5:2e0)  0.268 ms 2001:41d0:0:50::5:2ea (2001:41d0:0:50::5:2ea)  0.333 ms
 7  be100-100.gra-g2-nc5.fr.eu (2001:41d0::436)  1.861 ms  1.833 ms  0.726 ms
 8  * * *
 9  ae301.par-pa3-pb2-ptx.fr.eu (2001:41d0::26a9)  4.659 ms ae300.par-pa3-pb2-ptx.fr.eu (2001:41d0::26a7)  4.597 ms *
10  free.th2-1-a9.fr.eu (2001:41d0::542)  5.326 ms 2001:41d0::285d (2001:41d0::285d)  5.290 ms  5.242 ms
11  * * *
12  * 2a01:e00:6004::6 (2a01:e00:6004::6)  5.821 ms *
13  * * *
14  2a01:e02:1011::6 (2a01:e02:1011::6)  19.506 ms * *
15  2a01:e02:1011::6 (2a01:e02:1011::6)  19.933 ms 2a01:e02:100f::1 (2a01:e02:100f::1)  20.143 ms  19.783 ms
16  2a01:e02:100c::1 (2a01:e02:100c::1)  20.018 ms  19.956 ms  19.855 ms
17  2a01:e02:1009::1 (2a01:e02:1009::1)  17.832 ms 2a01:e02:100c::1 (2a01:e02:100c::1)  20.352 ms  20.292 ms
18  2a01:e02:1009::1 (2a01:e02:1009::1)  18.199 ms 2a01:e02:1006::1 (2a01:e02:1006::1)  17.895 ms  17.859 ms
19  2a01:e02:1004:1700:fe00::aac1 (2a01:e02:1004:1700:fe00::aac1)  18.557 ms 2a01:e02:1006::1 (2a01:e02:1006::1)  18.090 ms  18.016 ms
20  2a01:e0a:875:b1d0::1 (2a01:e0a:875:b1d0::1)  18.503 ms  18.449 ms 2a01:e02:1004:1700:fe00::aac1 (2a01:e02:1004:1700:fe00::aac1)  18.833 ms
21  2a01:e0a:875:b1d0::1 (2a01:e0a:875:b1d0::1)  18.639 ms  18.584 ms 2a01:e0a:875:b1d0:5054:ff:fe56:5292 (2a01:e0a:875:b1d0:5054:ff:fe56:5292)  18.813 ms
Notons au hop 2 une «ULA» ces fameuses adresses qui ne sont pas routables sur l'internet, mais qui le sont dans le réseau privé, ce qui est le cas ici, dans le réseau OVH.

Avec Whois:

route6:         2001:41d0::/32
descr:          OVH IPv6
origin:         AS16276

inet6num:       2a01:e00::/26
descr:          ProXad network / Free SAS
origin:         AS12322

Ceci montre que sans ajout d'un pare-feu, cette machine, bien que dans le LAN domestique, reste parfaitement accessible depuis l'extérieur avec son adresse IPv6. Il est alors facile pour un malveillant, une fois repérée une adresse IPv6 d'un client Freebox, de faire un scan sur tout le préfixe pour découvrir toutes les adresses des hôtes du LAN en question, de chercher avec plus ou moins de discrétion les ports ouverts sur ces nœuds, rechercher les failles de sécurité connues sur ces ports etc.

De l'abondance des adresses IP: Dernière modification le: 14/03/2025 à 10:58 par prof