Caddy is an alternative web server that is easy to configure and use. Caddy supports HTTP/2, IPv6, Markdown, WebSockets, FastCGI, templates and more, right out of the box.
Conclusion
Il était largement temps que les FAI français passent à l'IPv6, et c'est une excellente nouvelle de voir qu'Orange emboîte le pas lui aussi. Mais certains aspects de la mise en œuvre de ce protocole chez Orange me fait encore froncer un peu les sourcils, et pour les raisons que j'ai citées dans ce billet, je ne suis pas encore en mesure de passer tout mon réseau interne en IPv6. J'attends cependant avec impatience la résolution du problème de la délégation de préfixes.
Je suis conscient que j'aurais également pu utiliser ndppd comme je l'avais fait pour Free http://x0r.fr/blog/12 , mais je considère que je ne devrais pas avoir à faire ce genre de « hacks » quand on est censé disposer d'un /56.
Enfin, une autre possibilité aurait été de substituer un routeur différent à la box, mais c'est une option que je ne peux envisager car j'utilise beaucoup la ligne téléphonique. Mes efforts consistant à ne plus dépendre de l'interface FXS de la box m'avaient d'ailleurs apporté quelques ennuis.
As part of our IPv6 deployment we had to upgrade the firmware on our CPEs. We have a small variety of different models, but the majority of them are based on a Broadcom chipset. This firmware upgrade included all the features we needed for IPv6, the DHCPv6 client for the WAN, RA announcements on the LAN etc, but it also included other non-related IPv6 fixes and enhancements.
We spend a lot of time and effort regression testing these firmware pushes, and are generally pretty confident in it by the time we go to mass push it out via TR69. However, shortly after the firmware upgrade we started hearing complaints that this firmware had broken a very specific use case that we hadn’t obviously tested for.
IPv6 tunnels such as the 6in4 ones offered for free by Hurricane Electric. Odd, we hadn’t started the enablement of native IPv6 prefixes for these customers yet, but we did deploy it with ULA RAs enabled, could that be affecting things? We didn’t think so, but we had to investigate obviously.
Problem Statement:
6in4 tunnel client configured behind the router, inside the DMZ (not firewalled).
6in4 tunnel server on the internet, provided by Hurricane Electric.
Tunnel establishes correctly. Client gets an IPv6 prefix, can ping6 tunnel end-point as well as other v6 connected servers on the internet.
However, TCP sessions don’t establish over the tunnel.
The mapping of IPv6 reverse DNS zones must be made on nibble boundaries. That means, that if your official IPv6 address block does not have a prefix length divisible by 4, you have to split it in multiple reverse zones. GestióIP's free online subnet calculator includes a reverse zone generator which permits to easily map a given IPv6 address block in the corresponding reverse zones. The tool can be used for networks on nibble boundaries as well as networks on non-nibble boundaries.
Le développement de l’IPv6 semble au point mort en France. Vous vous en fichez royalement ? C’est un peu dommage. Votre ordi ou votre smartphone doivent se voir attribuer une adresse IP pour pouvoir se connecter à Internet. Sans elle, votre ordi n’est pas « joignable » ; pareil pour une tablette ou tout autre gadget communicant. Et l’IPv6, c’est le successeur du protocole internet version 4 (IPv4), le plus utilisé aujourd’hui pour permettre à deux ordinateurs de « se parler ». [...] Mais par le retard que prend la migration à l’IPv6, le marché des FAI et des hébergeurs fonctionne comme un oligopole, avec peu de vendeurs, mais un nombre d’acheteurs considérable et qui s’agrandit avec l’arrivée de l’Internet des objets. Or, le passage à l’IPv6 permettrait à davantage de vendeurs de se positionner sur le marché, donc d’aider à faire émerger des hébergeurs ou FAI régionaux, associatifs, avec potentiellement la perspective d’une baisse des prix pour le consommateur. [...] ‘On est dans une situation analogue à celle qu’on trouve fréquemment en écologie : l’intérêt individuel de chacun est de ne pas faire d’effort, alors que l’intérêt collectif serait d’agir.’
Vous avez certainement déjà tout lu sur la vulnérabilité « Ghost » de la GNU libc (alias CVE-2015-0235). Si ce n'est pas le cas, vous pouvez vous documenter sur le blog du découvreur ou bien en lisant cette analyse technique ultra-détaillée. Mais un aspect de cette faille a été peu remarqué : qui diable utilise encore l'API gethostbyname, complètement dépassée ?
La faille se trouvait en effet dans une fonction nommée __nss_hostname_digits_dots qui est appelée par les fonctions, bien plus connues, gethostbyname et gethostbyaddr. Ces fonctions servent à traduire un nom de domaine en adresse IP, en général en faisant appel au DNS. Elles sont dépassées depuis longtemps et ne devraient plus être utilisées, notamment parce qu'elles ne permettent pas de faire de l'IPv6.
Ce point a bien été noté par les découvreurs de la faille (et, indépendamment, par certains sur les rézosocios), auteurs qui notent, dans le rapport technique, « The gethostbyname*() functions are obsolete; with the advent of IPv6, recent applications use getaddrinfo() instead. ». En effet, en 2015, on n'imagine pas qu'il puisse exister des programmes qui se limitent volontairement à IPv4, en utilisant ces vieilles API.
Car ce n'est pas qu'une matière d'esthétique : les fonctions officiellement remplacées par des meilleures ne sont pas forcément aussi bien maintenues, et on peut penser que les failles n'y sont pas aussi vite repérées et corrigées. Les programmes utilisant les anciennes API ont donc plus de chance d'avoir des failles de sécurité comme Ghost.
Au fait, que faut-il utiliser depuis plus de quinze ans ? getaddrinfo, introduit à l'origine dans le RFC 2133 et actuellement normalisé dans le RFC 3493. (Vous trouverez mes exemples personnels dans mon article sur les structures de données réseau en C.) gethostbyname avait été marqué obsolescent dans POSIX en 2001 et supprimé complètement en 2008...
Aujourd'hui, si on cherche les « parts de marché » respectives de gethostbyname et getaddrinfo, on trouvera probablement qu'un grand nombre de programmes utilise toujours l'ancienne API. Ignorance, lecture de vieux HOWTO dépassés, cours jamais mis à jour...
Également à lire, sur Ghost :
Un très bon exposé de Bert Hubert parlant entre autres de la qualité du code DNS de la GNU libc et des nombreuses bogues qui s'y cachent, http://ds9a.nl/har-presentation-bert-hubert-3.pdf
Un article de Robert Graham qui dit la même chose que moi, http://blog.erratasec.com/2015/01/you-shouldnt-be-using-gethostbyname.html
Une excellente analyse technique de Ghost. http://lcamtuf.blogspot.fr/2015/01/technical-analysis-of-qualys-ghost.html
Sub-allocation of a legacy “class A” network (a /8, in modern parlance). Apparently, DuPont sold a part of its IPv4 to Amazon || https://www.arin.net/policy/nrpm.html#eight3 Section 8.4 even describes inter-RIR
Conférences et support de Geoff Huston
Stéphane Bortzmeyer vient faire une conférence sur IPv6 à l'Université de Technologie de Belfort-Montbéliard. Stéphane Bortzmeyer vient faire une conférence sur IPv6 à l'Université de Technologie de Belfort-Montbéliard. Stream : http://stream.fr33tux.org:8000/bortzmeyer.ogg // Enregistrement à venir
https://fr33tux.org/retour-conference-bortzmeyer.html
http://www.bortzmeyer.org/ipv6-intro.html
https://fr33tux.org/data/Bortzmeyer.mp4
https://fr33tux.org/data/Bortzmeyer.webm
https://fr33tux.org/data/Stephane_Bortzmeyer_Introduction_IPv6_11-12-14.torrent
The IPv6 Buddy is a USB keypad that is compatible with the following host operating systems. Of course, any terminal window or client OS running on the host will also accept the ingress character stream.
Rezopole vous présente la carte des LIR (Local Internet Registry) en France. Les LIR sont des structures membres du RIPE qui sont responsables de la distribution et de l'enregistrement des adresses IPv4, IPv6 et des numéros d'AS au niveau local. Il y a 642 LIR en France dont 59 dans la Région Rhône-Alpes.
Les numéros d'AS et les adresses IPv4, v6, sont indispensables pour se connecter à un IXP et peerer.
Vous pouvez, en cliquant sur les points de la cartes, voir les adresses des LIR français.
Tiny DNS server for IPv6 Reverse DNSAllKnowingDNS provides reverse DNS for IPv6 networks which use SLAAC (autoconf), e.g. for a /64 network.
J'ai remarqué un grand nombre de referer vers cet article. Malheuresement, j'ai perdu l'article d'origine, alors voila un résumé qui contient ma conf et ma manière de faire fonctionner l'IPv6 de Free. Avec un minimun d'explications.
Vidéo de la conférence « Intranet IPv4 ou Internet IPv6 : Qui sauvera Internet ? » de LDN (RMLL 2014)
IPv4 address exhaustion just got more real! In an announcement on Tuesday, the Internet Corporation for Assigned Names and Numbers (ICANN) indicated that they are starting the process of allocating the final available blocks of IPv4 addresses out to the Regional Internet Registries (RIRs) from the IANA recovered address pool. (ICANN is the operator of IANA.)
La sécurité, ce n'est pas facile et il faut faire attention à beaucoup de choses. Ce RFC est entièrement consacré à un oubli de pas mal de programmeurs lorsqu'ils mettent en œuvre une technique de sécurité pour IPv6, le RA guard : il est en effet courant d'oublier qu'un paquet IPv6 peut avoir plusieurs en-têtes, chaînés, et que chercher un motif dans le paquet, à un nombre d'octets fixes depuis le début du paquet, est une mauvaise stratégie. (Le RFC décrit également un second problème, lié à la fragmentation.)
Les adresses IPv6 sont souvent composées en utilisant un truc nommé « interface identifiers » (identifiant d'interface réseau). Ces identifiants peuvent être formés, par exemple, en utilisant les adresses MAC, en utilisant des bits ayant un sens particulier dans les normes IEEE. Résultat, dans le passé, certains ont attribué à des bits de l'identifiant d'interface une signification qu'ils n'avaient pas. Ce nouveau RFC clarifie la question : les identifiants d'interface doivent être considérés comme opaques et il ne faut pas tirer de conclusion du fait que tel ou tel bit est mis.
La sécurité d'IPv6 a déjà fait couler beaucoup d'encre. Ce RFC se focalise sur un aspect particulier : la sécurité des techniques de transition/coexistence entre IPv4 et IPv6. En effet, l'incroyable retard que mettent beaucoup de FAI à déployer IPv6 fait que, bien, souvent, pour accéder à IPv6, on doit utiliser des techniques plus ou moins propres, qui étaient appelées autrefois, avec optimisme, « techniques de transition » et qu'on nomme souvent aujourd'hui « techniques de coexistence ». Ces techniques, en général conçues pour être un bouche-trou temporaire, n'ont pas forcément une architecture bien propre, et apportent souvent leurs problèmes de sécurité spécifiques.