IPv6 : problème de sécurité sous Windows Server 2016

A chaque redémarrage, Windows Server 2016 ajoute des règles autorisant le partage de fichiers et d’imprimantes, vous exposant à des attaques en force brute, lorsque IPv6 est autorisé par votre box sur votre réseau local. Ce problème de sécurité est de même nature pour Windows 10.

La solution consiste à ajouter plusieurs règles bloquant toute entrée de paquets sur les adresses routables Internet IPv6 du type 2000::/3 au niveau des applications :

L’accès au pare-feu sous Windows Server 2016 – et Windows 10 – se fait à l’aide de la console wf.msc.

Définir l’étendue

Au niveau de chacune des règles de trafic entrant du pare-feu, définissez votre étendue en spécifiant 2000::/3 au niveau de l’adresse IP distante :

Règle de pare-feu > Etendue > Adresse IP distante

Définir protocoles et ports

J’ai défini 4 règles de pare-feu bloquantes au niveau du trafic entrant :

Règle de pare-feu > Bloquer RPC, SMB, iWARP Règle de pare-feu > Bloquer RPC, SMB, LLMNR
Règle de pare-feu > Ports dynamiques RPC Règle de pare-feu > Mappeur de point de terminaison

Bloquer la connexion

N’oubliez pas de bloquer la connexion au niveau de l’onglet général de la règle du pare-feu :

Règle de pare-feu > Général > Bloquer la connexion

Sécurité  / Formateur IPv6 Formateur Sécurité informatique ipv6 Sécurité informatique Windows Server 2016 

Commentaires

Faudrait quand même que les FAIs comprennent que le support de l’IPV6 devrait avoir pour corollaire la mise en oeuvre d’un firewall digne de ce nom sur leurs Boxes.
Devoir s’appuyer sur les firewalls individuels de chacun des équipements de son LAN (quand ils en disposent!) pour être protégé ne me semble pas une solution idéale.

@Gilles

Je ne suis pas d’accord avec ce que vous dites. Les FAI n’ont pas vocation à sécuriser nos infrastructures. Ce n’est pas le service que nous leur payons ! La sécurité de nos machines est de notre seule responsabilité. Ils ont la responsabilité de la sécurité de nos box. A l’origine, le problème vient de Windows. ;+)

Ceci étant, j’observe que vous avez parfaitement cerné le problème. Merci pour cet excellent commentaire !

Pourtant je persiste à ne pas trouver idéal de se retrouver à devoir configurer *un par un* les firewalls de chacun des équipements réseau de son LAN (de nos jours avec la multiplication des équipements connectés ça devient vite ingérable chez certains)
Je ne pense qu’il soit extrêmement exigeant de proposer que les firmwares des BOX intègrent d’un firewall basique, simplement préchargé avec une configuration par défaut bloquant *toutes* les connexions entrantes dès qu’IPV6 est activé. Charge aux utilisateurs « avancés » d’aller ajuster les règles au cas par cas (ou de remplacer la box par un routeur plus élaboré).
Ce réglage par défaut mettrait déjà les clients « grand public », à l’abri dans la majorité des cas quand ils on bêtement coché la case « activer l’IPV6 » sans trop comprendre les implications.

@Gilles

Nous sommes de fait obligés de protéger nos machines du fait de notre mobilité. La défense périmétrique a vécu ! ;+)

Laisser un commentaire

(requis)

(requis)