Table des matières
De l'abondance des adresses IP
Peut nuire…
État des lieux en IPv4
En IPv4, Un abonnement chez un fournisseur d'accès procure une adresse IPv4 publique (routable) et encore, elle n'est pas forcément fixe. Chez Free, elle l'est par défaut. Chez d'autres, il faut payer un supplément. Pourtant, disposer d'une IP fixe lorsque l'on dispose d'un lien à très haut débit, ça permet par exemple d'installer son serveur public chez soi. Il faut ruser un peu avec du «port forwarding» ou bien se connecter avec un simple modem et obtenir son IP publique directement sur l'hôte serveur.
Si l'on utilise la Box dans sa configuration de routeur, alors nous savons que tous les nœuds placés dans le LAN auront des adresses IP privées et que la Box pratique le masquage d'adresses pour permettre aux nœuds du LAN d'accéder à l'internet. C'est un peu du bricolage, mais d'un autre côté, les attaques extérieures vont s'adresser à l'IP publique, celle de la Box côté internet. À priori, les nœuds du LAN sont relativement à l'abri, ils ne sont pas joignables directement depuis l'internet. Mais ceci bien sûr ne les protège pas des «backdoors» installés par mégarde (ou par la volonté libre ou forcée des éditeurs de logiciel).
Grands espaces IPv6
Ce qui suit s'appuie sur la connectivité Free, n'ayant plus la possibilité d'en tester d'autres (sans me ruiner).
Lorsque l'on ouvre la le mode avancé de la configuration de la Freebox «Révolution», une icône notée «Configuration IPv6» ouvre une fenêtre dont voici le contenu le plus intéressant.
Par défaut, il y a un préfixe /64, ce qui implique donc la possibilité de disposer avec ce préfixe de 264 adresses publiques.
Pour le cas où ce ne serait pas suffisant pour assouvir nos besoins, il y a 6 autres préfixes /64 secondaires, ce qui nous ferait au total 7 x 264 adresses publiques à notre disposition. Mais pour les mériter, il va falloir travailler un peu.
Lorsque nous aurons maîtrisé cette offre, nous pourrons nous amuser comme des fous
Mais dans un premier temps, contentons-nous de la connectivité IPv6 de base et soit un hôte (virtuel) connecté au préfixe par défaut. Une fois démarrée, voyons sa configuration IPv6:
ip -6 addr ls 1: lo:Faisons depuis un nœud situé chez OVH un traceroute vers cette adresse:mtu 65536 state UNKNOWN qlen 1000 inet6 ::1/128 scope host noprefixroute valid_lft forever preferred_lft forever 2: enp1s0: mtu 1500 state UP qlen 1000 inet6 2a01:e0a:875:b1d0:5054:ff:fe56:5292/64 scope global dynamic mngtmpaddr valid_lft 86313sec preferred_lft 86313sec inet6 fe80::5054:ff:fe56:5292/64 scope link valid_lft forever preferred_lft forever
traceroute -6 2a01:e0a:875:b1d0:5054:ff:fe56:5292 traceroute to 2a01:e0a:875:b1d0:5054:ff:fe56:5292 (2a01:e0a:875:b1d0:5054:ff:fe56:5292), 30 hops max, 80 byte packets 1 2001:41d0:305:2100::1 (2001:41d0:305:2100::1) 0.247 ms 0.180 ms 0.148 ms 2 fd00::ffe (fd00::ffe) 0.123 ms 0.553 ms 0.510 ms 3 2001:41d0:0:1:3:0:1:4c3f (2001:41d0:0:1:3:0:1:4c3f) 0.470 ms 0.444 ms 0.418 ms 4 2001:41d0:0:1:3:0:1:49e6 (2001:41d0:0:1:3:0:1:49e6) 0.392 ms 2001:41d0:0:1:3:0:1:49e4 (2001:41d0:0:1:3:0:1:49e4) 0.363 ms 0.364 ms 5 2001:41d0:0:1:3:0:1:4716 (2001:41d0:0:1:3:0:1:4716) 0.716 ms 2001:41d0:0:1:3:0:1:4712 (2001:41d0:0:1:3:0:1:4712) 0.723 ms 2001:41d0:0:1:3:0:1:4716 (2001:41d0:0:1:3:0:1:4716) 0.752 ms 6 2001:41d0:0:50::5:2b0 (2001:41d0:0:50::5:2b0) 0.312 ms 2001:41d0:0:50::5:2e0 (2001:41d0:0:50::5:2e0) 0.268 ms 2001:41d0:0:50::5:2ea (2001:41d0:0:50::5:2ea) 0.333 ms 7 be100-100.gra-g2-nc5.fr.eu (2001:41d0::436) 1.861 ms 1.833 ms 0.726 ms 8 * * * 9 ae301.par-pa3-pb2-ptx.fr.eu (2001:41d0::26a9) 4.659 ms ae300.par-pa3-pb2-ptx.fr.eu (2001:41d0::26a7) 4.597 ms * 10 free.th2-1-a9.fr.eu (2001:41d0::542) 5.326 ms 2001:41d0::285d (2001:41d0::285d) 5.290 ms 5.242 ms 11 * * * 12 * 2a01:e00:6004::6 (2a01:e00:6004::6) 5.821 ms * 13 * * * 14 2a01:e02:1011::6 (2a01:e02:1011::6) 19.506 ms * * 15 2a01:e02:1011::6 (2a01:e02:1011::6) 19.933 ms 2a01:e02:100f::1 (2a01:e02:100f::1) 20.143 ms 19.783 ms 16 2a01:e02:100c::1 (2a01:e02:100c::1) 20.018 ms 19.956 ms 19.855 ms 17 2a01:e02:1009::1 (2a01:e02:1009::1) 17.832 ms 2a01:e02:100c::1 (2a01:e02:100c::1) 20.352 ms 20.292 ms 18 2a01:e02:1009::1 (2a01:e02:1009::1) 18.199 ms 2a01:e02:1006::1 (2a01:e02:1006::1) 17.895 ms 17.859 ms 19 2a01:e02:1004:1700:fe00::aac1 (2a01:e02:1004:1700:fe00::aac1) 18.557 ms 2a01:e02:1006::1 (2a01:e02:1006::1) 18.090 ms 18.016 ms 20 2a01:e0a:875:b1d0::1 (2a01:e0a:875:b1d0::1) 18.503 ms 18.449 ms 2a01:e02:1004:1700:fe00::aac1 (2a01:e02:1004:1700:fe00::aac1) 18.833 ms 21 2a01:e0a:875:b1d0::1 (2a01:e0a:875:b1d0::1) 18.639 ms 18.584 ms 2a01:e0a:875:b1d0:5054:ff:fe56:5292 (2a01:e0a:875:b1d0:5054:ff:fe56:5292) 18.813 msNotons au hop 2 une «ULA» ces fameuses adresses qui ne sont pas routables sur l'internet, mais qui le sont dans le réseau privé, ce qui est le cas ici, dans le réseau OVH.
Avec Whois:
route6: 2001:41d0::/32 descr: OVH IPv6 origin: AS16276 inet6num: 2a01:e00::/26 descr: ProXad network / Free SAS origin: AS12322
Ceci montre que sans ajout d'un pare-feu, cette machine, bien que dans le LAN domestique, reste parfaitement accessible depuis l'extérieur avec son adresse IPv6. Il est alors facile pour un malveillant, une fois repérée une adresse IPv6 d'un client Freebox, de faire un scan sur tout le préfixe pour découvrir toutes les adresses des hôtes du LAN en question, de chercher avec plus ou moins de discrétion les ports ouverts sur ces nœuds, rechercher les failles de sécurité connues sur ces ports etc.