Le protocole IPv6 étant encore très peu utilisé, notamment dans les réseaux domestiques, celui-ci peut être porteur de faille de sécurité pour votre système puisque les pare-feux actifs en général ne gèrent que les connexions IPv4.
Attention, je n’ai pas dit qu’il n’existe pas d’outil pour gérer les connexions en IPv6, simplement les outils diffèrent. Par exemple Iptables et utilisé pour IPv4 alors qu’il faudra utiliser Ip6tables pour gérer les flux en IPv6.
Ainsi si vous n’utilisez pas d’IPv6, autant désactiver cette fonctionnalité, votre poste n’en sera que mieux protégé.
J’indique ici les manipulations pour le système Ubuntu puisque testé sous celui-ci, cependant, sous tout autre système Gnu/Linux, la manipulation doit s’avérer très proche de celle-ci (attention cependant aux emplacements de fichier qui peuvent varier).
Pour désactiver le support IPv6 dans Ubuntu, selon votre version, vous avez plusieurs possibilités:
Version d’Ubuntu < 9.10 (kernel < 2.6.31):
Ajoutez à la fin du fichier /etc/modprobe.d/blacklist.conf la ligne:
blacklist ipv6
Version d’Ubuntu ≥ 9.10 (kernel ≥ 2.6.31):
Il va falloir passer par une modification du Grub (le chargeur de démarrage)
La modification des paramètres de Grub peut empêcher votre système de démarrer, prenez garde à ne pas modifier n’importe quel argument dans le fichier indiqué.
sudo vim /etc/default/grub
Modifier:
GRUB_CMDLINE_LINUX_DEFAULT=”quiet splash”
en
GRUB_CMDLINE_LINUX_DEFAULT=”ipv6.disable=1 quiet splash”
Puis valider en mettant à jour grub via la commande suivante:
sudo update-grub
Il suffit ensuite de redémarrer votre système pour que cette modification soit prise en compte.
Pour vous assurer que IPv6 est désactivé, tapez dans un terminal:
ip a | grep inet6
Sans retour de cette commande, IPv6 est bien désactivé.
Quelques outils pour configurer plus facilement vos firewall:
#1 par coldroom à 1 septembre 2010 - 11 h 14 min
Un truc que je ne comprends pas : Admettons que qu’on laisse IPv6 d’activé. Tant que rien n’est initialisé de l’intérieur en IPv6, vers l’exterieur, il n’y a aucun risque.. De même, si une connexion est initialisé de l’exterieur en IPv6 et qu’à l’intérieur tout fonctionne en IPv4, la tentative de connexion sera purement et simplement ignorée, non ?
Donc concrètement, d’un point de vue sécurité ça ne change pas grand chose.. non ?
#2 par rirififi à 1 septembre 2010 - 11 h 27 min
Manque une petite précision:
Si Ubuntu = 9.10 (et/ou kernel = 2.6.31), c’est la solution 1 ou 2 qui est préférable ?
Pingback: Tweets that mention Désactiver IPV6 sous Ubuntu 10.04 « Libre-Astux.info -- Topsy.com
#3 par Antoine à 1 septembre 2010 - 12 h 17 min
Bonjour,
Je ne suis pas vraiment d’accord avec toi. Je pense que désactiver l’ipv6 par défaut est une très mauvaise pratique. L’épuisement de l’ipv4 arrive à échéance courte (1 à 2 ans). De plus, les hôtes en ipv6 commencent à se multiplier très rapidement.
Sur l’affirmation que l’ipv6 introduit des failles de sécurité, je pense que cela est faux. Dans le cas où la machine n’héberge aucun service, l’ipv6 ne pose aucun risque de sécurité supplémentaire. Dans le cas où la machine héberge des services, si les services sont configurés par défaut, ils se connectent en v4. Aucun risque non plus.
Si on fait des services en v6, il faut firewaller en v6 mais ca un minimum de bon sens l’indiquera.
Bref, c’est un bon tuto mais dire qu’il faut par défaut désactiver ipv6 est un mauvais conseil.
Bonne journée,
Antoine
#4 par Gatien à 1 septembre 2010 - 12 h 30 min
Bonjour à tous,
Effectivement, j’aurais du préciser, quand je dis que l’IPv6 activé par défaut peut constituer une faille, je pense essentiellement au cas d’un réseau interne. Si certaines machines d’un réseau interne disposent d’IPv4 et IPv6, tant qu’il n’y a pas d’équipement purement IPv4 entre votre poste et cette machine, si certains services écoutent sur IPv6 et IPv4 par défaut, si seul un pare-feu IPv4 est installé, cette machine peut être plus facilement attaquable depuis IPv6.
Mais effectivement du moment que les paquets IPv6 ne sont pas routés vers / depuis l’extérieur, cela ne pose pas de problème.
De plus, si l’on est consciencieux et que l’on prend soin de configurer chacun des services du poste convenablement, il est effectivement inutile de désactiver IPv6.
Pour ceux qui souhaitent tout de même le désactiver, la marche à suivre est indiquée dans ce tuto.
Bonne visite.
#5 par regala à 1 septembre 2010 - 12 h 36 min
c’est du FUD, non ? ipv6 faille de sécurité, on entend tout et n’importe quoi parfois. D’ailleurs, tu ne sais visiblement pas de quoi tu parles: pour gérer ipv4 comme ipv6, c’est iptables dans les 2 cas, les exécutables ont des noms différents, iptables et ip6tables (remarque la place du 6 pour la prochaine fois…), qui ont les mêmes options. Donc je ne comprends ni le raisonnement, ni cette frilosité par rapport à une technologie qui DOIT être étudiée, et surtout déployée rapidement.
C’est d’ailleurs un comble que de désactiver ipv6 pour cause de faille de sécurité, puisque l’une des raisons principales (avec la déjà prévue pénurie) du développement d’ipv6 était l’incorporation de mécanismes de sécurité forts dans le protocole…
#6 par Denis à 1 septembre 2010 - 13 h 16 min
Méthode sur Centos testé et validée :
-> http://www.dsfc.net/logiciel-libre/linux/desactiver-ipv6-a-partir-de-grub/
Il y a une autre méthode : ip6tables ! ;+)
#7 par alex à 1 septembre 2010 - 15 h 20 min
Ben attendez les gens, la liberté, c’est aussi la liberté de ne pas activer IPv6 (au risque de privilégier certains lecteurs à d’autres).
l’IPv4 ne va pas s’évaporer du jour au lendemain, il n’y aura simplement plus de place pour les nouveaux. Par contre, rester en IPv4, c’est se priver du public qui ne disposera QUE de l’IPv6.
Concernant la désactivation, je dois avouer que ça facilite effectivement la configuration d’un serveur dans certains cas.
Par exemple, derrière une Box qui fait du NAT (IPv4), on peut se permettre de laisser mysql ouvert, personne d’autre qu’un interne ne viendra s’y connecter.
Avec l’IPv6 (la machine est visible directement sur le net), il faut mettre une règle niveau firewall ou niveau mysql. c’est valable pour tous les autres services d’une machine, ce qui est fastidieux pour un particulier.
#8 par noipv6 à 1 septembre 2010 - 16 h 06 min
Perso, je désactive ipv6 directement dans le kernel avec un fichier dans /etc/sysctl.d/noipv6.conf :
net/ipv6/conf/all/disable_ipv6=1
ce qui revient à faire echo -n 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
de toute façon j’ai pas ipv6 sur mon adsl… mais ça me rassure, j’ai pas besoin de configurer mon firewall en ipv6.
#9 par Frédéric à 1 septembre 2010 - 16 h 39 min
Je suis entièrement d’accord avec toi, d’autant plus que l’interface par défaut de configuration d’iptables est depuis quelque version déjà UFW sur ubuntu et que celui-ci gère parfaitement IPv6, il suffit pour cela de mettre le paramètre IPV6 à true dans /etc/default/ufw
#10 par Gatien à 1 septembre 2010 - 17 h 17 min
Effectivement UFW gère l’ipv6, cependant, dois-je rappeler que pour un utilisateur lambda, par défaut aucun pare-feu n’est actif sous Ubuntu (après une installation de base) et aucune interface graphique de gestion du pare-feu n’est installée par défaut non plus.
Pour ceux qui ne connaissent pas suffisamment UFW et voudrais configurer un pare-feu facilement, je vous conseille d’utiliser l’interface GUFW.
Si vous connaissez d’autres interfaces faciles d’utilisation, n’hésitez pas à les indiquer ici.
#11 par Gaëtan à 1 septembre 2010 - 19 h 19 min
J’ai converti des amis à Ubuntu, mais j’ai eu un problème justement à cause de l’IPv6.
Ils ont une connexion chez Orange et utilisent simplement une livebox. J’ai due désactiver l’IPv6 car le temps de latence avant le chargement d’une page web par exemple était vraiment très long.
Moi même je n’ai pas ce probleme avec ma connexion Free.
Après désactivation de l’IPv6 c’est redevenu normal.
Je n’y connais pas grand chose mais quelqu’un peut-il m’expliquer pourquoi et que faut t’il faire ou attendre pour pouvoir utiliser l’IPv6 chez eux, si nécessaire dans le future ?
#12 par Frédéric à 2 septembre 2010 - 7 h 31 min
Je pense qu’il serait temps de demander la mise en place par défaut de ces fonctionnalités sur les versions desktop ou tout du moins l’intégrer à l’installeur.
#13 par Frédéric à 2 septembre 2010 - 7 h 34 min
Concernant Orange, l’infrastructure IPv6 (routeur, box etc…) n’est pas prête, donc même en activant IPv6 sur le poste client, il est impossible de l’utiliser sur l’architecture Orange, à ma connaissance, seul Free propose cela pour le moment.
#14 par thierrybo à 4 septembre 2010 - 19 h 34 min
idem noipv6 (#8) ou presque :
ajouter la ligne suivante à /etc/sysctl.conf
net.ipv6.conf.all.disable_ipv6 = 1