IPV6 en local

[CoolRaoul]

Bonjour,

Je suis loin de maitriser IPV6 et c'est pourquoi je m'interroge sur ce mystère

Lorsque je référence mon NAS sur mon PC Windows dans une commande en utilisant son nom NetBIOS, c'est son adresse IPV6 globale (2a01:e0a:** chez moi) qui est utilisée au lieu de l'adresse locale (fe80::/10) 

 

J'aurais souhaité pouvoir configurer le firewall du NAS comme ça : 

• <LAN local IPV4> *  accept
• <Scope link local IPV6> * accept
• /../ quelques règles spécifiques
• ALL ALL deny

Par suite si je laisse activée la dernière règle plus possible de se connecter en local par le nom avec Putty

Bizarrement ça marche avec le client openssh natif de Windows 10 car ce dernier bascule automatiquement en IPV4 quand il ne parvient pas à se connecter en IPV4:

C:\WINDOWS\system32>ssh -vv  <username>@<nbname> pwd
OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2
debug1: Reading configuration data C:\\Users\\Gilles/.ssh/config
debug1: C:\\Users\\Gilles/.ssh/config line 6: Applying options for *
debug1: C:\\Users\\Gilles/.ssh/config line 11: Applying options for <nbname>
debug2: resolving "<nbname>" port 22
debug2: ssh_connect_direct
debug1: Connecting to <nbname> [2a01:e0a:........] port 22.
debug2: fd 3 setting O_NONBLOCK
debug1: connect to address 2a01:e0a:........ port 22: Connection timed out
debug1: Connecting to <nbname> [192.168..n.p] port 22.
debug2: fd 3 setting O_NONBLOCK
debug1: fd 3 clearing O_NONBLOCK
debug1: Connection established.

 

NB : bien entendu il est toujours possible de mettre une entrée statique avec juste l'IP V4 avec le hostname dans le fichier hosts de Windows mais j'aime bien comprendre

[PiwiLAbruti]

S'agissant d'un service local, je trouve inquiétant qu'il résolve les adresses IPv6 globales des différents hôtes du réseau (ça devrait effectivement se limiter au fe80::/10 et fc00::/7).

Ça ne va pas beaucoup t'aider mais NetBIOS c'est mal (exposition d'informations sensibles comme les ID des utilisateurs, informations sur les sessions, …), l'alternative étant une zone DNS locale.

Bon on peut considérer que le réseau local est peu sensibles aux détections, mais il suffit d'une fois (machine compromise,  intrusion, …) pour que ce soit un carnage.

Pour ceux qui souhaitent désactiver NetBIOS sous DSM 7 :

user@host:~$ sudo systemctl stop pkg-synosamba-nmbd.service
user@host:~$ sudo systemctl disable pkg-synosamba-nmbd.service

Attention, la mise à jour du paquet Samba réactivera systématiquement le service nmbd car il est actif par défaut. Une solution peut être de planifier l'exécution d'un script qui va désactiver ce service s'il est actif.

[CoolRaoul]

il y a 5 minutes, PiwiLAbruti a dit :

Ça ne va pas beaucoup t'aider mais NetBIOS c'est mal (exposition d'informations sensibles comme les ID des utilisateurs, informations sur les sessions, …),

Ici ce n'est que la fonction résolution de nom qui est utilisée

il y a 6 minutes, PiwiLAbruti a dit :

S'agissant d'un service local, je trouve inquiétant qu'il résolve les adresses IPv6 globales des différents hôtes du réseau (ça devrait effectivement se limiter au fe80::/10 et fc00::/7).

Précisément je ne comprends pas pourquoi Windows se comporte ainsi

il y a 7 minutes, PiwiLAbruti a dit :

l'alternative étant une zone DNS locale.

Ca implique d'activer le serveur DNS du NAS j'imagine ?
Autant editer le fichier hosts de mon PC alors.

[PiwiLAbruti]

il y a 13 minutes, CoolRaoul a dit :

Ca implique d'activer le serveur DNS du NAS j'imagine ?

Oui.

il y a 13 minutes, CoolRaoul a dit :

Autant editer le fichier hosts de mon PC alors.

Ça dépend si le nom doit être accessible à une ou plusieurs machines.

[CoolRaoul]

il y a 1 minute, PiwiLAbruti a dit :

Ça dépend si le nom doit être accessible à une ou plusieurs machines.

En SSH la seule machine Windows à partir de laquelle me connecte c'est mon PC. Autant faire simple.

[.Shad.]

A ma connaissance, en IPv6 on ne distingue pas les adresses dans des termes publiques ou privés, mais par des scopes (à voir la traduction française).
L'IP globale (2a0...) a un scope illimité, on peut aussi bien causer en local qu'à distance, tandis que  l'adresse link-local permet de joindre les proches voisins (hop) et que l'adresse unique locale s'apparente plus ou moins aux réseaux de la RFC1918.

Lorsque je contacte un périphérique local via son IPv6 c'est aussi l'adresse globale qui est utilisée dans mon cas, car le préfixe est distribué par le routeur.
Utiliser du link-local ou unique local permet de s'affranchir de problèmes en cas de changement du préfixe (fréquent chez Proximus en Belgique).

[CoolRaoul]

il y a 1 minute, .Shad. a dit :

que  l'adresse link-local permet de joindre les proches voisins (hop)

C'est en effet ce que je cherche à faire.

En fait j'imagine que c'est plutôt un problème de résolution nom => ipv6 : le client putty windows fait un "gethostbyname" (enfin l'équivalent compatible ipv4/ipv6, je suis loin de maitriser ça). Et il reçoit en réponse, pour IPV6, adresse en scope "global" et pas en scope "link" 

Mais il est moins smart que le client ssh qui lui, si ça échoue bascule en IPV4 et parvient à se connecter si le firewall ne laisse pas passer les addresses en scope global.

[PiwiLAbruti]

Renseigner l'adresse EUI-64 (fe80::0211:22ff:fe33:4455) dans le fichier hosts serait la solution la plus simple.

Attention cependant à ne pas utiliser le même nom en local qu'à distance (ce à quoi une zone DNS locale est une solution).

[CoolRaoul]

il y a 1 minute, PiwiLAbruti a dit :

Renseigner l'adresse EUI-64 (fe80::0211:22ff:fe33:4455) dans le fichier hosts serait la solution la plus simp

C'est en effet exactement ce que je viens de faire 🙂

[CMDC]

Un peu de recherche sur Internet suffit pour se convaincre que IPv6 et NetBios cohabitent difficilement , pour ne pas dire pas du tout

[PiwiLAbruti]

NetBIOS ne cohabite plus tout court. Ce protocole est tellement une verrue héritée des année '90 qu'il devrait être désactivé par défaut.

Certes il a un côté pratique, mais il dégrade tellement la sécurité d'un réseau qu'il vaut mieux s'en passer. Les auditeurs en sécurité réseau se frottent les mains lorsqu'ils le trouve activé sur une seule machine d'un domaine Microsoft.

[Jeff777]

Il y a 16 heures, .Shad. a dit :

A ma connaissance, en IPv6 on ne distingue pas les adresses dans des termes publiques ou privés, mais par des scopes (à voir la traduction française).

Oui c'est ce que je constate chez moi

[Jeff777]

Il y a 18 heures, PiwiLAbruti a dit :

Pour ceux qui souhaitent désactiver NetBIOS sous DSM 7 :

Je viens de le faire et ne constate pour l'instant aucune modification. Comment vérifier la désactivation ?

[PiwiLAbruti]

il y a 22 minutes, Jeff777 a dit :

Je viens de le faire et ne constate pour l'instant aucune modification.

C'est-à-dire ? Qu'as-tu testé ?

user@host:~$ sudo systemctl is-active pkg-synosamba-nmbd.service
disabled
user@host:~$ sudo systemctl is-active pkg-synosamba-nmbd.service
inactive

 

[Jeff777]

il y a 2 minutes, PiwiLAbruti a dit :

C'est-à-dire ? Qu'as-tu testé ?

root@xxxxxxxx:~# systemctl is-active pkg-synosamba-nmbd.service
inactive

J'ai cherché une modification de comportement au hasard et n'ai trouvé aucune modif. Peut-être tout simplement parce que je n'utilise pas Netbios ? Alors quel est le côté pratique dont tu parles ?

[CoolRaoul]

Après, j'ai parlé de NetBIOS, mais ce n'est pas forcément via ce protocole que la résolution nom => IP est effectuée sous Windows hein !

Comme je suis abonné Free, c'est la box qui diffuse le nom via différents protocoles : 

Et ne sais pas sur lequel Windows s'appuie pour trouver adresse IP

Modifié le 6 février par CoolRaoul

[PiwiLAbruti]

il y a 40 minutes, Jeff777 a dit :

Alors quel est le côté pratique dont tu parles ?

Le côté pratique est de pouvoir parcourir les partages d'hôtes du réseau depuis un simple \\host (il me semble que SAMBA est aujourd'hui capable de le faire sans NetBIOS).

De manière générale, je désactive la quasi totalité des protocoles de découverte locale (bonjour, mDNS, WS-Discovery, NetBIOS, …) car la plupart sont trop permissifs quand ils ne sont pas directement une faille de sécurité. Ceci dit, ce n'est pas quelque chose que je recommande aux novices (à défaut d'avoir une zone DNS locale).

il y a 36 minutes, CoolRaoul a dit :

Et ne sais pas sur lequel Windows s'appuie pour trouver adresse IP

Wireshark permet de révéler tous ces mystères.

 

[CoolRaoul]

à l’instant, PiwiLAbruti a dit :

Wireshark permet de révéler tous ces mystères

Je sais bien mais j'ai un peu la flemme 😔

[Jeff777]

Il y a 1 heure, PiwiLAbruti a dit :

De manière générale, je désactive la quasi totalité des protocoles de découverte locale (bonjour, mDNS, WS-Discovery, NetBIOS, …)

J'avais bonjour et WS-Discovery . Je les ai désactivés sur les deux nas. Mis à part la partie réseau du navigateur de fichiers de windows (où je ne vois plus les nas) je ne vois pas d'autres différences (les lecteurs réseaux sont toujours opérationnels).

[CoolRaoul]

il y a 17 minutes, Jeff777 a dit :

Je les ai désactivés sur les deux nas.

Ne pas oublier que, depuis le début, mon interrogation porte exclusivement sur ce qui se passe sur mon PC, sous Windows donc, et en particulier sur la façon dont ce dernier gère la résolution de noms dans le cas d'une machine supportant IPV6.
Ca aurait été pareil avec un autre système (tel qu'un Raspberry Pi par exemple=

Modifié le 6 février par CoolRaoul

[Jeff777]

@CoolRaoul

Désolé d'avoir pollué ton sujet par des considérations hors sujet.

 

[CoolRaoul]

il y a 3 minutes, Jeff777 a dit :

@CoolRaoul

Désolé d'avoir pollué ton sujet par des considérations hors sujet.

Aucun problème bien entendu. Juste que conserve toute ma perplexité sur le mécanisme qui est réellement utilisé par Windows pour faire la résolution de nom. 

Et je ne me vois pas partir à faire du reverse engineering via Wireshark 😌

Modifié le 6 février par CoolRaoul

[PiwiLAbruti]

C'est pas du reverse engineering, ça va bêtement afficher le protocole utilisé pour résoudre le nom juste avant l'exécution de la commande ping.

Tu peux aussi désactiver NetBIOS dans les services Windows (Assistance NetBIOS sur TCP/IP).

[CoolRaoul]

il y a une heure, PiwiLAbruti a dit :

C'est pas du reverse engineering,

Bien entendu, j'ai un peu joué sur les mots.
En posant la question je pensais que peut-être quelqu'un aurait déjà la réponse
Maintenant que j'ai un contournement je suis moins motivé pour partir dans des analyses pour comprendre le mécanisme

[Jeff777]

Il y a 5 heures, Jeff777 a dit :

les lecteurs réseaux sont toujours opérationnels

Ceci m'étonnait....et effectivement au redémarrage du PC ils ne se reconnectent pas. Je suis obligé de garder "bonjour"