IPV6 et restrictions d'accès sur windows

IPV6 et restrictions d'accès sur windows - Sécurité - Windows & Software

Marsh Posté le 07-11-2014 à 20:13:02    

Bonsoir,
 
J'ai un réseau local utilisant l'ipv6
+ un portable avec Windows 8 et connecté à ce réseau local
+ une connectivité ipv6 vers internet fournie par le FAI (free)
 
Comment configurer windows pour que seules les machines du réseau local aient accés à certains services (partage de fichiers, et dans le cadre de mon test, un serveur http) ?
 
En désignant simplement le réseau auquel on est connecté en tant que "réseau privé", une machine externe peut quand même accéder au serveur http. Est-ce normal ?!
 
dans la section permettant d'éditer la liste des applications autorisées ou non, apache http server est bien coché à gauche, et seule la case "privé" est coché dans les colonnes de droite

Reply

Marsh Posté le 07-11-2014 à 20:13:02   

Reply

Marsh Posté le 07-11-2014 à 20:16:38    

Par défaut les machines à l'extérieur de ton lan ne peuvent ni accéder à tes partages, ni à un serveur http local.

Reply

Marsh Posté le 07-11-2014 à 20:51:39    

En l'occurence, la connexion réseau utilisée par le portable est configurée en tant que "réseau privé" et j'ai pourtant accès au serveur http depuis une machine extérieure à ce réseau.
 
J'ai fait quelques tests avec nmap :
 


spirou:~# nmap -6 -Pn -p T:80 2a01:##########
 
Starting Nmap 6.00 ( http://nmap.org ) at 2014-11-07 20:47 CET
Nmap scan report for 2a01:##########
Host is up (0.039s latency).
PORT   STATE SERVICE
80/tcp open  http
 
Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds
spirou:~# nmap -6 -Pn -p T:139 2a01:##########
 
Starting Nmap 6.00 ( http://nmap.org ) at 2014-11-07 20:47 CET
Nmap scan report for 2a01:##########
Host is up.
PORT    STATE    SERVICE
139/tcp filtered netbios-ssn
 
Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds


 
Le port 80 est bien ouvert. le port 139 est marqué comme filtré

Reply

Marsh Posté le 07-11-2014 à 21:10:43    

Effectivement il semble qu'en IPv6, les ordinateurs soient directement accessibles.

Reply

Marsh Posté le 10-11-2014 à 21:19:42    

En fait, même si on est sur une connexion ayant le profil "réseau privé". Pour les services installés manuellement, il faut peaufiner le réglage du pare-feu
 
Le pare-feu interdit toutes les connexions entrantes qui ne sont pas à destinatation d'une "application autorisée". Ceci dit, une application autorisée sera accessible par défaut de n'importe où.
Il faut ensuite aller dans les réglages du pare-feu dans système et sécurité => pare-feu windows => paramètres avancés => règles de trafic entrant.
puis trouver les règles concernant notre application (ici, Apache HTTP Server), clic droit => propriétés => onglet "étendue" => Section "adresse IP distante" => bouton "Ajouter" et restreindre à "sous-réseau local" dans la partie "Groupe d'ordinateurs prédéfini". Ouf, c'est bon :D
 
PS: bon, du coup, c'est pas vraiment spécifique à IPv6. Encore cette saleté de NAT qui donne une illusion de sécurité  :non:


Message édité par bobe le 10-11-2014 à 21:21:15
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed