On Sat, Mar 17, 2018, at 11:57, Denis Fondras wrote:
donc effectivement zéro filtrage icmpv6 !
S'il ne faut pas bloquer aveuglement et globalement ICMPv6, il y'a tellement de types de messages qu'il convient de faire le tour des OS utilisés et de filtrer ce qui potentiellement peut être nuisible.
Si en v4 la logique etait "comme je n'ai pas envie de m'embeter, je bloque l'ICMP a 100%", il faut quand-meme revoir le discours. En v6, il faut le presenter: "comme je n'ai pas envie de m'embeter a apprendre par coeur *ET* *COMPRENDRE* chaque type de message ICMP qui est obligatoire pour le bon fonctionnement, j'autorise l'ensemble de l'ICMPv6".
En effet, le risque de bloquer ce qu'il ne faut pas est ordres de magnitudes superieur aux benefices esperes en bloquant. C'est un bon endroit pour arreter de jouer a l'apprenti sorcier en securite (pour laisser ce boulot aux quelques vrais sorciers de la securite, qui existent mais sont beaucoup plus rares).