IPv6 question (vs IPV4)
Fermé
Bonjour4545
-
29 sept. 2020 à 16:29
brupala Messages postés 111274 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 1 avril 2025 - 29 sept. 2020 à 17:59
brupala Messages postés 111274 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 1 avril 2025 - 29 sept. 2020 à 17:59
Bonjour,
Je suis en train d'apprendre les concepts de l'IPv6 et je me posais une petite question :
Comme en IPv4, il y avait le mécanisme du NAT, l'adresse privée de ma machine n'était pas visible par les serveurs que je visitais.
Mais si je comprends bien, en IPv6, mon adresse est directement visible par les serveurs que je visite n'est-ce pas ? Cela n'est-il pas donc moins sécurisé ?
Merci d'avance pour vos réponses et bonne journée !
Je suis en train d'apprendre les concepts de l'IPv6 et je me posais une petite question :
Comme en IPv4, il y avait le mécanisme du NAT, l'adresse privée de ma machine n'était pas visible par les serveurs que je visitais.
Mais si je comprends bien, en IPv6, mon adresse est directement visible par les serveurs que je visite n'est-ce pas ? Cela n'est-il pas donc moins sécurisé ?
Merci d'avance pour vos réponses et bonne journée !
A voir également:
- IPv6 question (vs IPV4)
- Udp vs tcp - Guide
- Dns google ipv6 - Guide
- Start pxe over ipv4 - Forum Windows 10
- Ddr3 vs ddr3l ✓ - Forum Matériel & Système
- Efi pxe 0 for ipv4 boot failed ✓ - Forum Windows 10
1 réponse
brupala
Messages postés
111274
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
1 avril 2025
13 972
Modifié le 29 sept. 2020 à 19:47
Modifié le 29 sept. 2020 à 19:47
Salut,
d'un côté nat 66 existe aussi, on peut donc l'utiliser pour mapper un préfixe ULA (fd::/8) non routable sur une adresse globale.
C'est plus simple quand on change de FAI, pas besoin de renuméroter son réseau qui est en adresses en dur.
Par contre c'est utilisé en 1:1 donc sans mappage des ports, donc sans filtrage des connexions entrantes, pas question de réinventer le 1000 ports utilisables par adresse ip, on garde les 65000 ports.
d'un autre,
Le nat dynamique ipv4, (masquerade), car le statique 44 ne filtre rien non plus, n'est pas une bonne méthode de filtrage, il vaut mieux un vrai bon parefeu, nat n'est pas un parefeu.
enfin,
ipv6 dans sa version standard permet le changement aléatoire de la partie host de l'adresse (ip privacy) qui fait que pratiquement chaque jour la même machine présente une adresse différente à un serveur, ce qui n'est pas le cas en ipv4.
Seuls les serveurs et les routeurs doivent avoir toujours la même adresse, et encore ils peuvent en avoir plusieurs.
Ajoutons à cela quand client ipv6 dispose de plus de 16 milliards de milliards d'adresses ip publiques (sur un /64, et souvent il a plusieurs /64, jusqu'à 16384, un /48, typiquement 16, un /60) donc les canner pour trouver une machine connectée est une autre affaire qu'une seule ipv4 publique, la dilution est donc un bon moyen de protection à ce niveau, si on prend la peine de ne pas prendre toujours les mêmes en ip fixe.
D'ailleurs, si tu avais un serveur internet en ipv6 et ipv4, tu verrais que toutes les attaques viennent du monde ipv4, jamais ipv6, pour l'instant.
Donc avec la privacy, ton adresse un visible d'un serveur que tu visites aujourd'hui, mais il ne saura plus te joindre dans 2 jours.
d'un côté nat 66 existe aussi, on peut donc l'utiliser pour mapper un préfixe ULA (fd::/8) non routable sur une adresse globale.
C'est plus simple quand on change de FAI, pas besoin de renuméroter son réseau qui est en adresses en dur.
Par contre c'est utilisé en 1:1 donc sans mappage des ports, donc sans filtrage des connexions entrantes, pas question de réinventer le 1000 ports utilisables par adresse ip, on garde les 65000 ports.
d'un autre,
Le nat dynamique ipv4, (masquerade), car le statique 44 ne filtre rien non plus, n'est pas une bonne méthode de filtrage, il vaut mieux un vrai bon parefeu, nat n'est pas un parefeu.
enfin,
ipv6 dans sa version standard permet le changement aléatoire de la partie host de l'adresse (ip privacy) qui fait que pratiquement chaque jour la même machine présente une adresse différente à un serveur, ce qui n'est pas le cas en ipv4.
Seuls les serveurs et les routeurs doivent avoir toujours la même adresse, et encore ils peuvent en avoir plusieurs.
Ajoutons à cela quand client ipv6 dispose de plus de 16 milliards de milliards d'adresses ip publiques (sur un /64, et souvent il a plusieurs /64, jusqu'à 16384, un /48, typiquement 16, un /60) donc les canner pour trouver une machine connectée est une autre affaire qu'une seule ipv4 publique, la dilution est donc un bon moyen de protection à ce niveau, si on prend la peine de ne pas prendre toujours les mêmes en ip fixe.
D'ailleurs, si tu avais un serveur internet en ipv6 et ipv4, tu verrais que toutes les attaques viennent du monde ipv4, jamais ipv6, pour l'instant.
Donc avec la privacy, ton adresse un visible d'un serveur que tu visites aujourd'hui, mais il ne saura plus te joindre dans 2 jours.