Le coup d’envoi en faveur d’IPv6 a été lancé et compris. Chaque exploitant de réseau se prépare à vivre ce tournant historique qui consiste à exploiter à la fois IPv4 et IPv6. D’autres, les ITS coopératifs, se tournent vers les nouveaux usages en IPv6 seulement. Des conseils sont prodigués à l’intention des entreprises afin qu’elles ne soient pas pénalisées par cette nécessaire transition dans leurs connexions et dans leurs applications. Verisign appelle à la prudence en matière de sécurité. En 2015, selon les études conduites par Gartner, 17 % des Internautes pourraient utiliser IPv6 et plus d’un quart des connexions de réseau IP aura été aménagé sur ce nouveau protocole.
Les conseils de Colt à propos d’IPv6
L’exploitant de réseau Colt prodigue des conseils auprès des entreprises sur le thème de la mise en place de IPv6. Les entreprises faisant de l’e-commerce sur Internet ou disposant de leur propre infrastructure publique se doivent d’agir plus vite que celles qui se contentent de consommer simplement des services Internet. Colt rappelle qu’aucune date de passage à l’IPv6 ou d’échéance pour la prise en charge de ce protocole n’a été fixée et que les protocoles IPv4 et IPv6 seront amenés à coexister pendant de nombreuses années. La formation complète en IPv6 du personnel chargé du développement et de la sécurité des réseaux, des systèmes et des applications est essentielle. Comme IPv6 introduira un nouveau plan de numérotation sur le réseau de l’entreprise, ceci peut constituer une opportunité pour remplacer les équipements obsolètes ou renouveler en partie l’infrastructure de communication informatique de l’entreprise et de ses connexions externes. IPv6 obéira à la demande des consommateurs et en conséquence, le trafic IPv6 est voué à croître sur le LAN. Il est donc important de disposer des outils adéquats pour visualiser et mettre en œuvre le trafic IPv4/IPv6 sur le réseau interne afin d’éviter de mettre les données en danger. Selon Colt, "IPv6 n’est pas plus sécurisé ou moins sécurisé que l’IPv4. On croit souvent que, du fait de la prise en charge native d’IPsec par l’IPv6, l’ensemble des communications seront chiffrées, mais ce n’est pas le cas". Il faut donc, à ce propos, appliquer les mêmes règles aux trafics IPv4 et IPv6. Une évaluation technologique complète doit être pratiquée sur le plan des fonctions entre l’IPv4 et l’IPv6, ainsi que sur les performances des périphériques. La coopération avec le fournisseur de services et les collaborateurs est essentielle. www.colt.net
Nerim à la disposition de sa clientèle Le thème de l’IPv6 est en pleine actualité. Le Ministère de l’Industrie et de l’Economie Numérique souhaite accélérer le passage à l’IPv6 en France, et envisage réunir à ce propos les exploitants de réseau. Dès 2002, Nerim a été le premier exploitant de réseau en France à proposer aux entreprises un double adressage IPv4 et IPv6. Pour alerter et aider les entreprises à mieux comprendre l’IPv6 et ses enjeux, Nerim rappelle qu’il a également développé un site Internet à but informatif.
www.comprendre-ipv6.net
De l’IPv4 à l’IPv6, chez Infoblox
Depuis sa création en 1999, Infoblox s’est spécialisée dans l’automatisation des services réseaux IP (DNS, DHCP...). Avec la multiplication des appareils connectés, l’épuisement des adresses IPv4 et l’apparition de l’IPv6 et de la virtualisation, la complexité de la gestion de réseau dans les entreprises s’accroît. La multiplication des réseaux et l’augmentation du nombre des abonnés conduisent à la mise en place de l’IPv6. La création d’un grand nombre de sous-réseaux devient possible. Il n’y a pas lieu de retarder le déploiement de IPv6, car tous les industriels ont déjà anticipé l’évolution et les équipements sont disponibles. Du côté des OS (operating systems), les principaux acteurs sont d’ores et déjà "IPv6 ready" : Windows 7, MacOS X, tous les Linux, y compris les Androïd et autres Apple iOS des terminaux mobiles, type "Smartphone". De même, les routeurs des infrastructures, les commutateurs, les pare feux, les équilibreurs de charge acceptent IPv6, en entrée comme en sortie. Les entreprises doivent se préparer sur le plan de leurs infrastructures et de leurs applications, quitte à étaler leurs investissements sur plusieurs années. L’existence d’environnements mixtes entre l’IPv4 et l’IPv6, avec des solutions qui seront capables d’écouter de l’IPv4 et pousser de l’IPv6 en sortie, ou inversement vont rendre complexe cette gestion de réseau. Fort opportunément, Infoblox a conçu à cet effet la passerelle DNS64, qui est capable de "protéger" les îlots IPv4 dans des environnements IPv6. www.infoblox.com/en/home.html
IPv6 à l’honneur des JRES
Les Journées Réseaux (JRES) sont traditionnellement très prisées des acteurs du réseau du domaine académique. La prochaine édition, qui se tiendra à Toulouse du 22 au 25 Novembre 2011, a réservé une place exceptionnelle au thème de l’IPv6 au sein de la thématique Réseau avec les quatre conférences suivantes :
1 - Comment vivre avec un réseau IPv6 pur, par Matthieu HERRB ;
2 - La fin annoncée d’IPv4, par Alix GUILLARD ;
3 - Deploying IPv6 in University Campus Network - Practical Problems, par Tomas Podermanski, Gregr Matej ;
4 - IPv6 CARE : Un outil pour maîtriser la compatibilité IPv6 de vos applications, Etienne DUBLE, du G6.
Le thème IPv6, un peu relégué au second plan depuis cinq ans environ, revient aujourd’hui en force, ce qui constitue un bon signe de la part de cette communauté d’experts d’habitude plutôt peu sensible. Une grande variété d’autres thèmes sera bien évidemment évoquée au cours de ces journées, généralement très riches. Le programme complet est disponible sur la Toile. www.g6.asso.fr
Le déploiement de IPv6 et la sécurité, selon Verisign
L’espace d’adressage en IP passant de 32 à 128 bits, l’ouverture à l’Internet pour tous est assurée, mais, estiment les experts en sécurité de Verisign, un certain nombre de points méritent d’être étudiés soigneusement afin de garantir la sécurité des échanges pendant la période de transition qui va associer IPv4 à IPv6.
1 – Les transactions de IPv4 vers IPv6 risquent d’être vulnérables, car leurs traductions imposent d’ouvrir les enveloppes de paquets afin d’effectuer le changement de format. Le réseau devient complexe pendant cette phase intermédiaire et des erreurs sont susceptibles d’apparaître.
2 – Les grands segments de réseau constituent à la fois une bonne et une mauvaise affaire. IPv6 va ouvrir de grands segments de réseau IPv6 beaucoup plus importants que ceux que nous connaissons aujourd’hui, puisqu’il s’agit de sous réseaux disposant d’une adresse dont la longueur du préfixe sera de 2 à la puissance 64 (/64), ce qui représente un potentiel de 18 milliards de milliards de serveurs sur le même segment d’adresse (un sacré réseau local au demeurant) ! Cette taille de préfixe demande des années pour vérifier son contenu. Une autre méthode de gestion des adresses et d’autres analyses des DNS (Domain Name Address) devront être mises en place afin de contrer les initiatives des pirates informatiques.
3 – L’acheminement à l’aide du procédé de découverte du voisinage (ND, Neighbor Discovery) peut créer des problèmes au sein du réseau. En IPv6, l’emploi de la méthode ND ouvre cinq types de message avec le protocole ICMPv6 (Internet Control Message Protocol version 6), permettant, entre autre, de déterminer les adresses de la couche liaison des voisins, d’effacer les valeurs invalides et de découvrir les voisins en mesure de retransmettre les paquets. Mais ND peut aussi être le vecteur sélectionné par des pirates pour certaines fonctions. Il faudrait, estime–t-on, pouvoir être en mesure de fermer les contrôles d’accès et les mécanismes de sécurité dont on n’a pas besoin. ND peut être sécurisé grâce au protocole Secure ND (SeND).
4 – Les longues en-têtes d’extension en IPv6 peuvent fragiliser les pare-feux et les passerelles de sécurité à l’occasion d’attaques de déni de service (DDoS). En IPv6, les options d’acheminement sont placées dans les extensions d’adresses qui se trouvent en rapport avec la destination, le parcours, les options d’acheminement pas à pas, l’authentification, etc. L’acheminement peut se trouver pénalisé par cette surcharge et la dégradation des performances peut ouvrir la porte à des dénis de service ou des attaques malveillantes.
5 – Les experts de Verisign estiment que les procédés de Proxy “6to4” et "6RD" sont susceptibles d’encourager les attaques et les abus, car il n’existe pas de création de tunnels protecteurs dédiés. Le déploiement de serveurs Proxy IPv6 pourrait être utile aux exploitants, mais en retour la multiplication des attaques par découverte, par réflexion, par imitation pourrait aussi leur être préjudiciable puisqu’ils pourraient être considérés comme étant à l’origine des pertes de qualité de service.
6 – La coexistence des deux protocoles est susceptible de créer un fort volume de trafic inutile entre DNS. La nouvelle pile de protocole IPv6 sera sujette à des défauts et à des attaques. La longue période de transition et l’interdépendance des systèmes, des routeurs et des services de réseau va constituer un terreau fertile aux gredins du piratage informatique. Avec IPv6, des procédures de sécurité ou de vérification peuvent être ajoutées, grâce aux extensions d’en-tête (qu’il faut sécuriser également). La difficulté présente vient du fait que peu de gens sont formés (et donc comprennent) IPv6. En revanche, la coexistence des deux protocoles pouvant poser des problèmes, il est nécessaire de passer massivement et au plus vite à IPv6 afin de limiter cette coexistence au minimum possible.
7 – La traduction classique de grandes adresses IP par des équipements NAT-PT (network address translation protocol translation) supprime certaines fonctions utiles, comme la géolocalisation, ou la détection de comportements de réseaux anormaux, ce qui discréditera la crédibilité des contrôles de sécurité et d’identification.
8 – L’emploi du protocole IPSec pose des difficultés lorsqu’est utilisée la mise en tunnel à travers d’autres réseaux. IP Security (IPSec) doit permettre d’identifier l’expéditeur, et il doit assurer la protection de l’intégrité des données, et éventuellement, le chiffrement des paquets IP afin d’assurer la confidentialité des données transmises. Le protocole IPSec, optionnel en IPv4, doit être obligatoirement implémenté en IPv6. En mode tunnel (création d’un VPN de réseau à réseau, de serveur à serveur), le paquet est encapsulé dans un nouveau paquet IP avec un nouvel en-tête. Mais, d’autres protocoles de réseau (dont IKE, Internet Key Exchange) ajoutent à la complexité d’acheminement et à la gestion des clés secrètes.
9 – En attendant la fin d’IPv4, il nous faudra pourtant faire face à tous ces problèmes et assurer le meilleur service à nos quatre milliards d’abonnés à Internet. www.verisigninc.com/IP v6
La conclusion sur la sécurité en IPv6
Comme la suite de protocoles IPv6 est différente de celle de IPv4 (e.g. neighbor discovery), il est nécessaire que l’administrateur réseau comprenne bien la fonctionnement de ces nouveaux protocoles afin de bien gérer la sécurité. S’il se contente de gérer la sécurité comme en IPv4, il ne pourra pas sécuriser totalement son réseau face à certaines menaces. Ce n’est pas IPv6 qui crée des menaces, mais le manque de formation et de compétences en IPv6 qui les introduit. C’est donc ce message qu’il convient de faire passer et il faut donc assurer un bon niveau de formation en IPv6 aux administrateurs réseaux. Il est nécessaire également d’insister sur le fait que même si l’entreprise ne déploie pas de l’IPv6, elle recevra tôt ou tard du trafic IPv6. La formation est donc nécessaire pour ne pas exposer le réseau. http://g6.asso.fr/
Madame Michu et IPv6 (suite et fin !)
Vous vous souvenez des problèmes de messagerie de Madame Michu que nous vous avions signalés le mois dernier. L’Internet ne lui transmettait que la moitié de ses messages et de la même façon, ses envois de messagerie ne parvenaient qu’à une petite partie de ses correspondantes. Le service d’assistance de Quimper a enfin trouvé l’erreur ! Et IPv6 n’y est pour rien ! Ouf ! Ce n’est qu’une question de mauvaise gestion de la "liste rouge" de la part de Madame Michu. En effet, "liste rouge" en messagerie Internet n’a pas le même sens que "liste rouge" en téléphonie. De la même façon "mot de passe de messagerie" n’a rien à voir avec "mot de passe de connexion" ! Mais quand la notice remise à l’utilisateur se perd elle aussi dans la terminologie qu’elle a créée, la pauvre Madame Michu a cru que son abonnement était muté en IPv6. Ce n’est pas encore le cas ! Quant aux deux dépanneurs qui ont traversé la Bretagne profonde pour aider Madame Michu, ils ne connaissaient pas les astuces de la "liste rouge" de la messagerie et ils n’ont pas eu le temps d’admirer les menhirs des Monts d’Arrée. https://strategiestm.com/Madame-Michu-et-l-IPv6.html
INTERNATIONAL IPv6 APPLICATION CONTEST 2011, Le 1er Décembre 2011, Hasso Plattner Institute, Potsdam , The objectives of this (...) ... [suite] 25ème Congrès DNAC , Du 16 au 18 Novembre 2011, ESIEA, 9 rue Vésale, Paris , Le 16 novembre sera dévolu (...) ... [suite]
