Aller au contenu

IPV6 en local


CoolRaoul

Messages recommandés

Bonjour,

Je suis loin de maitriser IPV6 et c'est pourquoi je m'interroge sur ce mystère

Lorsque je référence mon NAS sur mon PC Windows dans une commande en utilisant son nom NetBIOS, c'est son adresse IPV6 globale (2a01:e0a:** chez moi) qui est utilisée au lieu de l'adresse locale (fe80::/10) 

image.png.67dfcc8ca4cdf46683c4f24b743b27e2.png

 

J'aurais souhaité pouvoir configurer le firewall du NAS comme ça

  • <LAN local IPV4> *  accept
  • <Scope link local IPV6> * accept
  • /../ quelques règles spécifiques
  • ALL ALL deny

Par suite si je laisse activée la dernière règle plus possible de se connecter en local par le nom avec Putty

Bizarrement ça marche avec le client openssh natif de Windows 10 car ce dernier bascule automatiquement en IPV4 quand il ne parvient pas à se connecter en IPV4:

C:\WINDOWS\system32>ssh -vv  <username>@<nbname> pwd
OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2
debug1: Reading configuration data C:\\Users\\Gilles/.ssh/config
debug1: C:\\Users\\Gilles/.ssh/config line 6: Applying options for *
debug1: C:\\Users\\Gilles/.ssh/config line 11: Applying options for <nbname>
debug2: resolving "<nbname>" port 22
debug2: ssh_connect_direct
debug1: Connecting to <nbname> [2a01:e0a:........] port 22.
debug2: fd 3 setting O_NONBLOCK
debug1: connect to address 2a01:e0a:........ port 22: Connection timed out
debug1: Connecting to <nbname> [192.168..n.p] port 22.
debug2: fd 3 setting O_NONBLOCK
debug1: fd 3 clearing O_NONBLOCK
debug1: Connection established.

 

NB : bien entendu il est toujours possible de mettre une entrée statique avec juste l'IP V4 avec le hostname dans le fichier hosts de Windows mais j'aime bien comprendre

Lien vers le commentaire
Partager sur d’autres sites

S'agissant d'un service local, je trouve inquiétant qu'il résolve les adresses IPv6 globales des différents hôtes du réseau (ça devrait effectivement se limiter au fe80::/10 et fc00::/7).

Ça ne va pas beaucoup t'aider mais NetBIOS c'est mal (exposition d'informations sensibles comme les ID des utilisateurs, informations sur les sessions, …), l'alternative étant une zone DNS locale.

Bon on peut considérer que le réseau local est peu sensibles aux détections, mais il suffit d'une fois (machine compromise,  intrusion, …) pour que ce soit un carnage.

Pour ceux qui souhaitent désactiver NetBIOS sous DSM 7 :

user@host:~$ sudo systemctl stop pkg-synosamba-nmbd.service
user@host:~$ sudo systemctl disable pkg-synosamba-nmbd.service

Attention, la mise à jour du paquet Samba réactivera systématiquement le service nmbd car il est actif par défaut. Une solution peut être de planifier l'exécution d'un script qui va désactiver ce service s'il est actif.

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, PiwiLAbruti a dit :

Ça ne va pas beaucoup t'aider mais NetBIOS c'est mal (exposition d'informations sensibles comme les ID des utilisateurs, informations sur les sessions, …),

Ici ce n'est que la fonction résolution de nom qui est utilisée

il y a 6 minutes, PiwiLAbruti a dit :

S'agissant d'un service local, je trouve inquiétant qu'il résolve les adresses IPv6 globales des différents hôtes du réseau (ça devrait effectivement se limiter au fe80::/10 et fc00::/7).

Précisément je ne comprends pas pourquoi Windows se comporte ainsi

il y a 7 minutes, PiwiLAbruti a dit :

l'alternative étant une zone DNS locale.

Ca implique d'activer le serveur DNS du NAS j'imagine ?
Autant editer le fichier hosts de mon PC alors.

Lien vers le commentaire
Partager sur d’autres sites

A ma connaissance, en IPv6 on ne distingue pas les adresses dans des termes publiques ou privés, mais par des scopes (à voir la traduction française).
L'IP globale (2a0...) a un scope illimité, on peut aussi bien causer en local qu'à distance, tandis que  l'adresse link-local permet de joindre les proches voisins (hop) et que l'adresse unique locale s'apparente plus ou moins aux réseaux de la RFC1918.

Lorsque je contacte un périphérique local via son IPv6 c'est aussi l'adresse globale qui est utilisée dans mon cas, car le préfixe est distribué par le routeur.
Utiliser du link-local ou unique local permet de s'affranchir de problèmes en cas de changement du préfixe (fréquent chez Proximus en Belgique).

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, .Shad. a dit :

que  l'adresse link-local permet de joindre les proches voisins (hop)

C'est en effet ce que je cherche à faire.

En fait j'imagine que c'est plutôt un problème de résolution nom => ipv6 le client putty windows fait un "gethostbyname" (enfin l'équivalent compatible ipv4/ipv6, je suis loin de maitriser ça). Et il reçoit en réponse, pour IPV6, adresse en scope "global" et pas en scope "link" 

Mais il est moins smart que le client ssh qui lui, si ça échoue bascule en IPV4 et parvient à se connecter si le firewall ne laisse pas passer les addresses en scope global.

Lien vers le commentaire
Partager sur d’autres sites

NetBIOS ne cohabite plus tout court. Ce protocole est tellement une verrue héritée des année '90 qu'il devrait être désactivé par défaut.

Certes il a un côté pratique, mais il dégrade tellement la sécurité d'un réseau qu'il vaut mieux s'en passer. Les auditeurs en sécurité réseau se frottent les mains lorsqu'ils le trouve activé sur une seule machine d'un domaine Microsoft.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 16 heures, .Shad. a dit :

A ma connaissance, en IPv6 on ne distingue pas les adresses dans des termes publiques ou privés, mais par des scopes (à voir la traduction française).

Oui c'est ce que je constate chez moi

Lien vers le commentaire
Partager sur d’autres sites

Il y a 18 heures, PiwiLAbruti a dit :

Pour ceux qui souhaitent désactiver NetBIOS sous DSM 7 :

Je viens de le faire et ne constate pour l'instant aucune modification. Comment vérifier la désactivation ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, Jeff777 a dit :

Je viens de le faire et ne constate pour l'instant aucune modification.

C'est-à-dire ? Qu'as-tu testé ?

user@host:~$ sudo systemctl is-active pkg-synosamba-nmbd.service
disabled
user@host:~$ sudo systemctl is-active pkg-synosamba-nmbd.service
inactive

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, PiwiLAbruti a dit :

C'est-à-dire ? Qu'as-tu testé ?

root@xxxxxxxx:~# systemctl is-active pkg-synosamba-nmbd.service
inactive


J'ai cherché une modification de comportement au hasard et n'ai trouvé aucune modif. Peut-être tout simplement parce que je n'utilise pas Netbios ? Alors quel est le côté pratique dont tu parles ?

Lien vers le commentaire
Partager sur d’autres sites

Après, j'ai parlé de NetBIOS, mais ce n'est pas forcément via ce protocole que la résolution nom => IP est effectuée sous Windows hein !

Comme je suis abonné Free, c'est la box qui diffuse le nom via différents protocoles : 

image.png.fb4041be29e62cf85838516e9ac828f3.png

Et ne sais pas sur lequel Windows s'appuie pour trouver adresse IP

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

il y a 40 minutes, Jeff777 a dit :

Alors quel est le côté pratique dont tu parles ?

Le côté pratique est de pouvoir parcourir les partages d'hôtes du réseau depuis un simple \\host (il me semble que SAMBA est aujourd'hui capable de le faire sans NetBIOS).

De manière générale, je désactive la quasi totalité des protocoles de découverte locale (bonjour, mDNS, WS-Discovery, NetBIOS, …) car la plupart sont trop permissifs quand ils ne sont pas directement une faille de sécurité. Ceci dit, ce n'est pas quelque chose que je recommande aux novices (à défaut d'avoir une zone DNS locale).

il y a 36 minutes, CoolRaoul a dit :

Et ne sais pas sur lequel Windows s'appuie pour trouver adresse IP

Wireshark permet de révéler tous ces mystères.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, PiwiLAbruti a dit :

De manière générale, je désactive la quasi totalité des protocoles de découverte locale (bonjour, mDNS, WS-Discovery, NetBIOS, …)

J'avais bonjour et WS-Discovery . Je les ai désactivés sur les deux nas. Mis à part la partie réseau du navigateur de fichiers de windows (où je ne vois plus les nas) je ne vois pas d'autres différences (les lecteurs réseaux sont toujours opérationnels).

Lien vers le commentaire
Partager sur d’autres sites

il y a 17 minutes, Jeff777 a dit :

Je les ai désactivés sur les deux nas.

Ne pas oublier que, depuis le début, mon interrogation porte exclusivement sur ce qui se passe sur mon PC, sous Windows donc, et en particulier sur la façon dont ce dernier gère la résolution de noms dans le cas d'une machine supportant IPV6.
Ca aurait été pareil avec un autre système (tel qu'un Raspberry Pi par exemple=

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, Jeff777 a dit :

@CoolRaoul

Désolé d'avoir pollué ton sujet par des considérations hors sujet.

Aucun problème bien entendu. Juste que conserve toute ma perplexité sur le mécanisme qui est réellement utilisé par Windows pour faire la résolution de nom. 

Et je ne me vois pas partir à faire du reverse engineering via Wireshark 😌

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, PiwiLAbruti a dit :

C'est pas du reverse engineering,

Bien entendu, j'ai un peu joué sur les mots.
En posant la question je pensais que peut-être quelqu'un aurait déjà la réponse
Maintenant que j'ai un contournement je suis moins motivé pour partir dans des analyses pour comprendre le mécanisme

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, Jeff777 a dit :

les lecteurs réseaux sont toujours opérationnels

Ceci m'étonnait....et effectivement au redémarrage du PC ils ne se reconnectent pas. Je suis obligé de garder "bonjour"

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.