IPv6 : problème de sécurité sous Windows Server 2016
18 juin 2018
A chaque redémarrage, Windows Server 2016 ajoute des règles autorisant le partage de fichiers et d’imprimantes, vous exposant à des attaques en force brute, lorsque IPv6 est autorisé par votre box sur votre réseau local. Ce problème de sécurité est de même nature pour Windows 10.
La solution consiste à ajouter plusieurs règles bloquant toute entrée de paquets sur les adresses routables Internet IPv6 du type 2000::/3 au niveau des applications :
- RPC (TCP/UDP 135) + Ports dynamiques RPC + Mappeur de point de terminaison RPC
- LLMNR (UDP/5355)
- SMB (TCP/UDP 445)+iWARP (TCP/5445)
L’accès au pare-feu sous Windows Server 2016 – et Windows 10 – se fait à l’aide de la console wf.msc.
Définir l’étendue
Au niveau de chacune des règles de trafic entrant du pare-feu, définissez votre étendue en spécifiant 2000::/3 au niveau de l’adresse IP distante :
Définir protocoles et ports
J’ai défini 4 règles de pare-feu bloquantes au niveau du trafic entrant :
 |
 |
 |
 |
Bloquer la connexion
N’oubliez pas de bloquer la connexion au niveau de l’onglet général de la règle du pare-feu :
