Quentin Demoulière

Mon blog personnel

Réseau

Netfilter, IPv6 et les Neighbor Solicitations

Rédigé par Quentin Demouliere - - Aucun commentaire

J'ai décidé lors de la migration de mon serveur dédié, d'activer IPv6 pour les différents services hébergés dessus. J'ai, par la même occasion, configuré mon pare-feu Netfilter dans la même logique que pour le trafic IPv4 (même si les risques de sécurité IPv6 semblent pour l'instant moindres puisque peu de monde fonctionne avec).

Hors après une configuration standard de mon firewall avec ip6tables, l'ensemble de mes flux IPv6 en Entrée et en Sortie étaient bloqués. Après quelques recherches, je me suis rendu compte qu'il est obligatoire d'autoriser les Neighbor Solicitations (successeur d'ARP avec IPv6). Ainsi, il faut vraiment porter une attention particulière sur le protocole ICMPv6 et ses différents types (NS, RA, Echo...). La mise en place d'un limit's rate ou d'un hop limit peut s'avérer intéressant en complément.

Lire la suite de Netfilter, IPv6 et les Neighbor Solicitations

Un petit mémo sur le protocole de routage RIP

Rédigé par Quentin Demouliere - - Aucun commentaire

Voilà, j'ai reçu une petite piqûre de rappel concernant les protocoles de routage RIP et OSPF, alors j'ai décidé, avec ma mémoire de poisson rouge d'en faire plusieurs petits mémos maintenant que c'est tout frais !

RIP (je parle içi de la version 2) est un protocole de routage à vecteur de distance assez peu utilisé dans le monde professionnel car il est limité à de petites infrastructures et topologies. Son avantage est qu'il est relativement simple et présente un réel intérêt pédagogique pour comprendre le fonctionnement des protocoles de routage en général. Il fonctionne sur des liaisons point à point mais aussi sur des réseaux à accès multiples.

Chaque routeur qui dispose de RIP ne connaît que les réseaux qui lui sont directement connectés. Il transmettra les informations le concernant aux routeurs voisins via des messages HELLO envoyés en multidiffusion (depuis la V2). Il gère la techologie VLSM, ainsi que l'authentification à l'aide de MD5.

Lire la suite de Un petit mémo sur le protocole de routage RIP

Empêcher l'attribution d'un nom NETBIOS à un MacBook par un serveur WINS

Rédigé par Quentin Demouliere - - Aucun commentaire

Lorsque je me connecte sur des réseaux sur lesquels tournent un serveur WINS avec mon MacBook, j'ai la désagréable surprise, quand j'ouvre un terminal, de me voir attribuer un nom NETBIOS aléatoire.

Voici la petite astuce qui permet de forcer l'utilisation du nom du Mac :

On édite le fichier /etc/hostconfig avec les droits d'administrateur.
#sudo nano /etc/hostconfig
On rajoute cette ligne à la fin du fichier concerné.
#HOSTNAME=monmacbook

Cette directive est donc bien pratique car j'en avais vraiment marre de me voir attribuer tout un tas de noms NETBIOS exotiques. L'autre possibilité est de bloquer les connexions NETBIOS avec ipfw ou un firewall logiciel mais cela peut certainement poser des problèmes dans un environnement Microsoft lorsque l'on souhaite notamment utiliser le service de partage.

Enjoy :)

Réflexions sur l'adressage IPv6

Rédigé par Quentin Demouliere - - Aucun commentaire

IPv6 prend de plus en plus d'importance sur Internet. Alors que je préparais une petite introduction sur cette technologie, je me suis posé plusieurs question auxquelles j'ai pu trouver des réponses :

  • Est-il possible d'avoir des masques supérieurs à /64 pour créer différents réseaux à partir d'un préfixe fourni par un opérateur ?
  • Quid du NAT ?

Alors que l'adresse IPv4 fonctionne sur 32 bits, l'adresse IPv6 est longue de 128 bits. Nous partons du principe que les 56 premiers bits correspondent à la partie réseau, les 16 suivants offrent la possibilité de créer des sous-réseaux. Enfin les 64 derniers servent d'identifiant pour un noeud sur le réseau.

Lire la suite de Réflexions sur l'adressage IPv6

Analyse de votre réseau local à l'aide du "port-mirroring"

Rédigé par Quentin Demouliere - - Aucun commentaire

Les commutateurs sont maintenant omniprésents dans les réseaux locaux d'entreprise. Lorsque les administrateurs réseaux souhaitent surveiller, et superviser ceux-ci, ils peuvent sonder ce qui sort et entre du routeur. Pour récupérer des flux suspects en interne, il peut être de bon ton d'utiliser le port-mirroring.

Le port-mirroring est une technique réplication du trafic d'un port ou d'un VLAN sur un autre port. Il est possible de l'implémenter sur la majorité des commutateurs. Ainsi avec une carte Ethernet et un WireShark en mode Promiscious, vous serez en mesure de récupérer les data susceptibles de vous intéresser.

Lire la suite de Analyse de votre réseau local à l'aide du "port-mirroring"