IPv6 : enfin le temps des projets ?
En pleine journée mondiale d’IPv6, alors qu’une première région du globe vient d’épuiser ses derniers stocks d’adresses IPv4 non allouées, on peut être tenté de penser que l’heure d’IPv6 est arrivée, que le glas d’IPv4 a sonné. Ce serait probablement aller bien trop vite en besogne même si le temps est venu d’attaquer la transition de manière concrète. Car celle-ci s’annonce longue et même parfois douloureuse.
Le monde n’est pas en avance. Si l’on parle régulièrement d’IPv6 depuis près d’une décennie, le successeur de l’indéboulonnable IPv4 n’est encore qu’une réalité balbutiante. La journée mondiale d’IPv6 est là pour le montrer : les géants des réseaux que sont Google, Facebook, Akamai, ou encore Cisco et D-Link se prépare à une journée de test d’intéropérabilité grandeur nature. Plus de 400 sites Web participent. Orange se vante d’avoir anticipé en s’attaquant dès 2008 au sujet.
Mais son réseau mobile ignore encore tout d’IPv6. A la décharge de l’opérateur, il convient de souligner que son cas est loin d’être isolé. Et que la responsabilité de cette latence est peut-être à chercher du côté des clients, et en particulier les entreprises. Nicolas Scheffer, responsable infrastructure IPv6 chez Cisco France, reconnaît volontiers que si l’équipementier supporte IPv6 dans ses produits depuis 2003, la parité fonctionnelle avec IPv4 n’est pas encore là : «oui, il reste beaucoup de travail à faire. Mais on développe des fonctions pour répondre aux besoins de nos clients...» Et justement, de leur côté, l’heure n’est pas à la précipitation.
Selon Infoblox, une majorité d’entreprises IT ne sont pas prêtes pour IPv6 : à 80 %, elles estiment manquer de connaissance pour mener à bien la transition; 41 % des 2400 entreprises sondées pour l’étude «évaluent leur préparation derrière celle des concurrents.» Il faut dire que la modernité ne semble pas vraiment au rendez-vous : «41 % suivent les adresses IP manuellement avec des feuilles de calcul.»
Aux Etats-Unis, selon CompTIA, la situation n’est guère plus brillante : seules 24 % des DSI auraient commencé à implémenter IPv6. Sans forcer l’optimisme, Nicolas Scheffer est tout de même rassurant : «le nombre de réseaux IPv6 qui s’annoncent sur Internet croît de manière exponentielle depuis 18 mois, même s’il reste faible.» Et l’on commencerait même à travailler à de premiers projets concrets et non plus seulement des pilotes ou des proof of concept. Bref, selon lui, «il y a une vraie prise de conscience des enjeux.»
L’assèchement des réserves d’adresses IPv4 pour la région Apac, en début d’année, a peut-être donné le signal d’alarme qui manquait : «c’est un peu comme lors du passage à la numérotation à 10 chiffres, en France. Ne pas s’y mettre, c’est prendre le risque de se couper du monde,» explique Nicolas Scheffer, soulignant au passage qu’en Asie, «on voit déjà des projets exclusivement IPv6.»
Alors certains pourraient être tentés de s’en remettre aux systèmes transitoires de tunneling entre les deux mondes : «mais il a un vrai problème de performances et nombre de cessions concurrentes possibles. Sans compter qu’une passerelle 6to4 peut faire une belle cible, attirante, pour une attaque.» Mais le chemin de la migration promet d’être long et semé d’embuches.
En France, Free a longtemps eu l’image du bonne élève, vertueux, en proposant très tôt IPv6 à ses clients dégroupés. «Mais quand on active IPv6 sur sa Freebox, son PC se retrouve généralement tout nu sur Internet,» explique Nicolas Scheffer. Oui : la configuration des outils de sécurité pour IPv4 ne recouvre pas forcément les flux IPv6... «Nous avons gros travail d’éducation à faire, là.» D’autant plus que la transition semble partie pour se faire largement avec mise en oeuvre des deux piles réseau : IPv4 et IPv6 - «il faudra gérer les deux, pendant longtemps» Ça, c’est pour la bonne pratique, sur le papier.
La mise en oeuvre promet d’être largement plus subtile et complexe car il faudra, en outre, tenir compte des compatibilités applicatives. Un véritable casse-tête. D’ailleurs, Nicolas Scheffer le constate : «l’évaluation de l’infrastructure chez le client, et la formulation de recommandations sur mesure pour passer à IPv6... c’est là que l’on est le plus débordé.»
IPv6 : la menace de l’impréparation
Le passage à IPv6, longtemps reporté dans les entreprises, mais aussi chez les FAI et les opérateurs, apparaît de plus en plus comme un impératif pressant. D’autant que les réserves d’adresses IPv4 se tarissent progressivement dans différentes régions du monde, faisant au passage d’une question technique un enjeu métier. Mais les incertitudes restent grandes face à ce qui apparaît comme un saut dans l’inconnu. Avec un double risque majeur : l’impréparation et la précipitation.
Alors que les réserves d’adresses IPv4 se sont taries dans la région Asie-Pacifique, la demande en compétences IPv6 pourrait rapidement progresser, jusqu’en Occident. Pierre Siaut, responsable business développement d’Integralis, l’anticipe ainsi : «pour les entreprises amenées à travailler avec des partenaires en Asie ou dans le Pacifique, cela risque d’être un passage obligé, voire même une condition pour répondre à certains appels d’offres.»
Et d’évoquer l’exemple d’un de ces clients, dans le domaine du commerce électronique, qui a entamé les travaux de migration afin de garantir la continuité de son activité avec une région qui sera amenée à passer rapidement à IPv6. «Plus généralement, j’invite les entreprises à lancer en interne des projets conduits avec un gestionnaire de risque - le RSSI serait légitime pour cela - afin d’identifier tous les éléments de risque, depuis l’infrastructure jusqu’aux applications, en particulier sur les systèmes patrimoniaux.»
Et puis, pour lui, alors que l’adoption des smartphones et autres tablettes ne se dément pas, «il serait dommage de casser la dynamique de flexibilité induite par la consumérisation» en ne prenant pas soin de bien préparer un passage à IPv6 qui, selon lui, «ira vite sur les réseaux mobiles ».
Au final, Pierre Siaut entrevoit même une très forte demande en compétences IPv6 dès 2012. Ce qui pourrait ne pas aller sans peine : «aujourd’hui encore, la plupart des ingénieurs qui sortent de l’école n’ont vu IPv6 que sur le papier...». Et d'ajouter : «IPv6 est beau sur le papier mais, dans les faits, on manque de retours d’expérience significatifs ».
IPv6, un abime de points d’interrogation
De fait, alors que les travaux d’étude sur la sécurité d’IPv6 se multiplient depuis près de 10 ans, les interrogations restent nombreuses. La présentation de Marc Van Hauser Heuse, consultant indépendant, à l’occasion d’Hackito Ergo Sum, début avril à Paris, en donnait un léger aperçu : «les extensions d’entête induisent une complexité considérable. Les concepteurs d’IPv6 eux-même ne savent pas ce qui passerait en cas de malformation de ces extensions.»
En outre, «on trouve de plus de vulnérabilités dans les piles logicielles IPv6 - en 2005, elles étaient 5; on en a trouvé entre 17 et 19 en 2010; cette année, je pense que l’on en trouvera plus de 20 ». Bref, pour lui, IPv6 «est si difficile à implémenter qu’il est très facile de commettre des erreurs ».
Dans un inventaire à la Prévert, il illustre plus loin son propos d’un spectre très large d’attaques possibles, jouant sur l’autoconfiguration, l’usurpation d’adresse pour conduire une attaque en déni de service. Il explique aussi comment il est possible d’optimiser considérablement la recherche de ports ouverts sur les machines d’un sous-réseau alors même que la plage d’adresses concernée est considérablement plus étendue qu’en IPv4. Et de préciser que lui-même, quelques années plus tôt, jugeait inimaginable de procéder à ce type de recherche en force brute sur IPv6...
Vers une mise en oeuvre parcimonieuse
Pierre Siaut s’inquiète en outre de l’implémentation d’IPv6, chez les fournisseurs d’équipements réseau mais aussi de solutions de sécurité : «côté IPS, par exemple, TippingPoint, SourceFire et McAfee supportent bien IPv6. D’autres le supportent, mais sans certification. Cependant, le pire est probablement du côté des proxies ou des serveurs de messagerie, ou encore des solutions de filtrage Web ou anti-spam. Certaines listes sont exclusivement basées sur des adresses IP et font l’impasse sur les noms d’hôtes. Elles vont devenir caduques.»
Dans ce contexte, comment envisager l’adaptation de son infrastructure à IPv6 ? «Il n’y a pas de règles de référence; cela se fera au cas par cas dans une logique de cohabitation. Surtout pour la connectivité publique; le réseau interne peut ne pas être concerné dans un premier temps. Cela implique donc tout ce qui est pare-feu ou équilibrage de charge. Plus globalement, le point clé est la passerelle entre les deux mondes. Les entreprises doivent amener IPv6 sur un point de connexion qui leur appartient afin d’avoir la maîtrise de sa configuration et de son adaptation à leur architecture.»
La migration vers IPv6
On parle de migrer vers IPv6 depuis 2003. Mais selon de nombreux experts, le moment est désormais venu de faire effectivement la transition, si elle n’a pas déjà été engagée. Le gouvernement américain a par exemple imposé à ses agences fédérales d’adopter IPv6 avant la fin 2008. Dans cette synthèse, vous trouverez les réponses aux principales questions que vous pouvez vous poser sur IPv6.
Qu’est-ce qu’IPv6 ?
IPv6 est la toute dernière version du protocole Internet (IP). Il est désormais supporté nativement par de nombreux produits, à commencer par les principaux systèmes d’exploitation. Concrètement, IPv6 est un ensemble de spécifications établies par l’Internet Engineering Task Force (IETF). Il a été conçu comme une évolution et une amélioration d’IPv4. Les hôtes et les noeuds réseau intégrant des piles IPv4 et IPv6 peuvent gérer des paquets de données formatés suivant les deux protocoles.
Les utilisateurs et les fournisseurs de services peuvent passer à IPv6 de manière indépendante sans avoir besoin de se coordonner. Pour plus d’information, écoutez notre enregistrement audio sur IPv6 (en anglais). Vous y apprendrai de manière plus détaillée ce qu’est IPv6 et ses avantages par rapport à IPv4. Mais également ce qui est arrivé à IPv5. Cet enregistrement contient également des informations utiles pour vous aider à prendre la décision de migrer dans votre propre organisation.
En quoi IPv6 est-il différent d’IPv4 ?
L’amélioration la plus évidente est l’extension des adresses, qui passent de 32 bits avec IPv4, à 128 bits avec IPv6. Cette extension permet d’anticiper une croissance future considérable du nombre d’équipements connectés à Internet et permet répondre à la pénurie d’adresses IPv4. IPv6 décrit des règles pour trois types d’adressage : unicast (d’un hôte à l’autre), anycast (d’un hôte à l’ensemble des hôtes les plus proches), et multicast (d’un hôte à plusieurs hôtes). Les autres avantages d’IPv6 sont :
- des options sont spécifiées dans d’une extension de l’entête qui est examinée uniquement à l’arrivée à destination, ce qui améliore les performances globales des réseaux.
- l’adressage de type anycast permet d’envoyer des messages à l’un des hôtes passerelles les plus proches afin qu’il le transmette aux autres. Les messages anycast peuvent être utilisés pour mettre à jour des tables de routage.
- les paquets peuvent être identifiés comme appartenant à un flux spécifique. Les paquets relatifs à une présentation multimédia nécessitant une transmission «temps réel» peuvent ainsi profiter d’une qualité de service plus élevée.
- l’entête IPv6 intègre des extensions qui permettent au paquet de spécifier un mécanisme d’authentification de son origine pour garantir l’intégrité des données et le respect de leur confidentialité.
Manque-t-on réellement d’adresses IPv4 ?
Récemment, l’American Registry for Internet Numbers (Arin), l’organisme chargé de l’attribution de plages d’adresses IPv4, a annoncé que les adresses IPv4 seraient de l’histoire ancienne en 2012. L’Arin, qui observait précédemment une approche neutre vis-à-vis d’IPv6, encourage désormais son adoption. Loki Jorgenson, scientifique en chef d’Apparent Networks, approuve cette estimation et estime qu’il n’y aura plus aucune adresse IPv4 disponible avant 5 ans. Une prévision qu’il présente comme modeste car basée sur une croissance nulle de l’utilisation des adresses IPv4.
Dès lors, selon lui, il n’est pas impossible que le stock d’adresses IPv4 arrive à épuisement dès 2011. Et cela même si les administrations et entreprises disposant d’adresses IPv4 en excès venaient à revendre leur surplus. Certaines régions du monde sont plus concernées que d’autres : la région Asie-Pacifique a par exemple déjà épuisé sont stock d’adresses IPv4.
Comment préparer la transition ?
Migrer d’un réseau IPv4 à un réseau IPv6 n’a pas besoin d’être réalisé en une seule fois : il existe des services de passerelle entre les deux univers, à l’instar de la BIG-IP IPv6 de F5 Networks. BIG-IP fournit un proxy complet pour le trafic entre environnements IPv4 et IPv6, permettant au trafic d’être «traduit» avant d’être consommé par des terminaux IPv4 ou IPv6.
Cela permet aux organisations de planifier leur migration par paliers, suivant l’augmentation de la demande pour IPv6. Les entreprises peuvent également opter pour la cohabitation en activant tant la pile IPv4 que la pile IPv6 de leurs équipements. De nombreuses entreprises devraient choisir cette option pour simplifier la transition. Mais cela va induire une surcharge de travail dans la mesure où les deux mondes nécessitent des concepts de sécurité différents.
Dans quelle mesure IPv6 va-t-il affecter l’administration des applications ?
IPv6 apporte des changements importants en matière de gestion des équipements. Tout d’abord, le passage d’un adressage 32 bits à un adressage 128 bits s’accompagne d’une augmentation de la structure et de l’allocation d’adresses. Une adresse IPv6 intègre un préfixe de routage global, un identifiant de sous-réseau, et un identifiant d’interface. La portion de l’adresse unique et globale est distribuée hiérarchiquement suivant la topologie de l’infrastructure réseau par l’Iana. Cela permet à la table de routage globale d’IPv6 d’être petite et d’éviter les problèmes d’augmentation d’échelle couramment rencontré avec le protocole de routage actuel BGP.
En outre, il y a probablement assez d’adresses IPv6 pour en attribuer une à chaque centimètre carré de la surface terrestre. Cela permet virtuellement à n’importe appareil imaginable d’être connecté à Internet. Mais c’est susceptible de se transformer en véritable cauchemar pour administrateur s’il devait gérer toutes les assignations d’adresses.
Heureusement, IPv6 intègre une fonction nommée Autoconfiguration des noeuds. Elle consiste essentiellement en un remplacement des protocoles DHCP et ARP et qui permet de connecter un appareil au réseau sans le moindre minimum de configuration. Cela simplifie également le processus de ré-adressage sur le réseau dans le cas d’un changement de fournisseur d’accès à Internet - et donc de préfixe de routage global. Parce qu’il suffit alors de changer la configuration du routeur : l’ensemble des équipements connectés au réseau va obtenir de nouvelles adresses avec le nouveau préfixe. Cela simplifie considérablement la gestion des adresses.
Mais les nouvelles fonctions d’IPv6 amènent aussi leur lot de problèmes d’administration potentiels. IPv6 supporte nativement IPSec, pour sécurité. Le chiffrement peut - ou pas - recouvrir certaines informations de l’entête, selon le mode utilisé pour créer le VPN. Ce qui peut réduire la quantité de tâches d’administration actives à appliquer aux flux entre clients et serveurs.
Mais gérer les règles de sécurité entre les points de terminaison (IKE) peut être délicat, si cela doit être fait manuellement. Et IPSec peut être sûr mais aussi fragile dans certaines situation d’accès distant comme la connexion à un réseau d’entreprise depuis un terminal mobile. Tout cela ajoutant encore à la complexité d’administration pour les DSI souhaitant fournir ce type de service.
Y’a-t-il des questions de sécurité à prendre spécifiquement en compte ?
Selon l’expert Mike Chapple, il y a 5 problématiques spécifiques à prendre en compte pour l’implémentation d’IPv6. Tout d’abord, les équipes sécurité doivent recevoir une formation particulière : il est impératif de connaître au moins les concepts de base liés à IPv6, et notamment les schémas d’adressage et les protocoles, afin de faciliter la gestion des incidents, entre autres.
Ensuite, les outils de sécurité doivent être mis à jour. IPv6 ne fournit pas de rétro-compatibilité : les équipements et les logiciels utilisés pour router le trafic entre réseaux et procéder à des analyses de sécurité ne fonctionneront pas avec IPv6 à moins qu’ils ne soient spécifiquement mis à jour pour le supporter. C’est tout particulièrement important pour les équipements de protection périmétrique. Routeurs, pare-feu et systèmes de détection d’intrusion peuvent nécessiter une mise à jour matérielle et/ou logicielle pour «parler» IPv6.
De nombreux équipementiers ont déjà commencer à proposer les mises à jour nécessaires. Cisco, par exemple, propose le support d’IPv6 avec la version 12.0S d’IOS. Par ailleurs, les équipements qui supportent IPv6 le traitent généralement comme un protocole totalement dissocié d’IPv4. Dès lors, les listes de contrôle d’accès, les règles et tous les autres paramètres de configuration doivent être réévalués et adaptés pour supporter un environnement IPv6. Les protocoles de tunneling créent de nouveaux risques. Les communautés réseau et sécurité ont investi temps et énergie pour assurer qu’IPv6 soit un protocole intégrant la sécurité.
Mais l’un des principaux risques liés à la migration est le retour à des protocoles de tunneling pour accompagner la transition. Ces protocoles permettent d’encapsuler des paquets IPv6 dans des flux IPv4 pour assurer leur routage sur des équipements inadaptés à IPv6. Dès lors, il est possible que des utilisateurs de votre réseau commencent à utiliser IPv6 avec ces protocoles de tunneling avant que vous ne les supportiez effectivement en environnement de production. Si vous craignez cette menace, bloquez sur le périmètre du réseau les protocoles de tunneling - c’est à dire SIT, ISATAP, 6to4, etc.
Enfin, l’autoconfiguration d’IPv6 induit des complexités d’adressage. IPv6 supporte deux types d’autoconfiguration - DHCPv6, une simple mise à jour du protocole DHCP, et l’autoconfiguration dite stateless. Cette technique permet aux équipements de générer leur propre adresse IP en vérifiant qu’il n’y a pas de duplication d’adresse. Cette approche décentralisée peut paraître séduisante mais elle complexifie la supervision de l’utilisation des ressources réseau.
Pourquoi devriez-vous déployer un réseau IPv6 interne maintenant
IPv6 est là. Et si de nombreuses entreprises traînent des pieds pour conduire la transition de leurs réseaux d’IPv4 à IPv6, Oracle est en train de migrer. L’éditeur ne se contente pas de déployer une connectivité IPv6 externe; il déploient IPv6 en interne. Paul Zawacki, ingénieur réseau senior chez Oracle, explique que les entreprises devraient déployer un réseau IPv6 interne ainsi qu’une connectivité IPv6 externe pour éviter les casse-tête et les surcoûts.
Pour autant, certains experts IPv6, à l’instar de John Curran, Pdg d’Arin, estiment que les entreprises devraient se contenter d’activer la pile IPv6 de leurs éléments d’infrastructure ouverts sur l’extérieur. Parce que l’intérêt de l’activation de la pile IPv6 sur ces équipements est évident, son utilisation pour un réseau interne l’est beaucoup moins.
Alors quand faut-il envisager de déployer IPv6 en interne ? «Chaque entreprise doit décider en fonction de ses besoins du moment opportun pour déployer IPv6 en interne. Les arguments pour déployer en externe sont évidents : il s’agit de pouvoir communiquer avec des clients, s’ouvrir de nouvelles opportunités commerciales. Mais je parle à beaucoup de gens qui ont du mal à faire passer l’idée d’IPv6 en interne,» explique Zawacki.
«Nos clients ont besoin de capacités IPv6 pour nos produits. Mais afin de supporter ces ambitions de connectivité IPv6 externe, nos équipes de développement doivent s’assurer de la pleine compatibilité des produits. Et pour tester ces services efficacement, nous avons besoin d’activer IPv6 sur notre réseau interne.»
Les acquisitions peuvent pousser à l’adoption
Encore un fois, toutes les entreprises n’ont pas un besoin aussi clairement défini. Mais d’autres raisons opérationnelles peuvent motiver le déploiement d’IPv6 sur le réseau interne. IPv6 est inévitable et plus un entreprise s’y prend tôt, plus elle sera préparée pour faire à des événements susceptibles de précipiter le mouvement. «Il peut y avoir un événement disruptif - un événement de vie de l’entreprise ou une technologie qui viendra nous forcer la main - et si vous n’êtes pas préparé à cela, vous allez vraiment avoir le sentiment de vous retrouver au mauvais endroit au mauvais moment,» dit-il. «Clairement, nous traversons une époque de fusions-acquisitions. Et votre entreprise est rachetée par une autre qui a déjà déployé IPv6 en interne, vous vous retrouvez immédiatement à chercher à rattraper le retard pour assurer l’interconnexion.» Adopter la stratégie de routage et le plan d’adressage utilisés dans l’entreprise acquise n’est probablement pas la meilleure manière de déployer IPv6 sur son propre réseau...
«Je ne pense que continuer de suivre une stratégie avec laquelle vous risquez d’être surpris par un événément majeur soit une bonne idée. Je pense que le mieux est d’anticiper l’éventualité de la surprise pour se tenir prêt.»
Alors qu’Oracle a racheté Sun il y a 18 mois, l’entreprise travaillait déjà à IPv6 depuis plus de 5 ans. Et ce n’est qu’au moment de l’acquisition que l’éditeur a découvert que Sun travaillait aussi de son côté à une stratégie de migration similaire. «Nous avons eu la chance de pouvoir combiner nos équipes et de consolider une stratégie pour avancer. Nous n’avons pas seulement implémenté IPv6 sur notre réseau, nous avons également commencé à l’utiliser sur nos services ouverts à l’extérieur.»
Migration interne et externe simultanée
Oracle dispose de deux équipes d’architecture réseau : l’une dédiée au déploiement d’IPv6 en interne et l’autre, vers l’extérieur. Certains ingénieurs travaillent dans les deux équipes pour assurer une transition fluide. Zawacki, ingénieur en chef pour le déploiement interne d’IPv6, relève que créer des points communs entre plan d’adressage IP et stratégie de routage peut permettre de gagner du temps : «une grosse part du travail peut être faite simultanément avec un minimum d’efforts supplémentaires s’il y a la bonne coopération entre les équipes.»
Mais ne vous attendez pas à ce que votre opérateur vous aide à passer à IPv6 en interne. Seuls quelques FAI se sont positionnés sur le marché de l’accompagnement à la migration et beaucoup d’entre eux utilisent du NAT. Et si le NAT a bien fonctionné pour de nombreuses organisations - et notamment des opérateurs les plus importants -, il a aussi causé son lot de difficultés. «Je dirais que se reposer sur un tiers et espérer que la qualité de ces solutions NAT d’opérateurs sera adéquat pour répondre à vos besoins n’est pas une stratégie. Chaque organisation devrait se prendre en charge et décider de ce qui est pertinent pour elle.» Par Tessa Parmenter, rédacteur, SearchEnterpriseWAN.com Adapté de l’anglais par la rédaction
Ce qu’il faut savoir avant de migrer à IPv6
SearchEnterpriseWAN.com: Quel est l’aspect d’IPv6 le plus méconnu ? Et pourquoi est-il si difficile de développer des compétences IPv6 en entreprise ?
Scott Hogg: Il est difficile de penser des adresses hexadécimales. Les adresses IPv6 sont représentées par 8 blocs de 4 caractères hexadécimaux et, naturellement, chacun a tendance à penser en décimales. Notre argent est en décimales, notre poids et notre taille aussi... nous pensons en décimales. Et, bien sûr, les adresses IPv4 sont constituées de quatre blocs de valeurs décimales. Avec IPv6, il faut donc apprendre en penser ses stratégies d’adressage en caractères hexadécimaux. Je rencontre de nombreuses personnes qui ont du mal à gérer des plans d’adressage IPv6.
Et c’est clairement la première et principale difficulté pour construire un plan d’adressage. L’adressage est un gros problème dans l’apprentissage d’IPv6 pour les entreprises. Elles doivent repenser la manière dont elles pensent leurs adresses IP et dont elles transposent leur organisation. Voire parfois rompre avec leurs traditions. Par exemple, si elles ont eu coutume de penser leurs plans d’adressage et leurs réseaux suivant leur topologie physique ou des distributions géographiques, elles doivent réussir à s’extraire de ce mode de pensée pour trouver comment utiliser IPv6 et comment changer leurs plans d’adressage.
SearchEnterpriseWAN.com: Que voulez-vous dire ? Qu’il est nécessaire de revoir sa topologie réseau pour passer à IPv6 ?
Scott Hogg: Oui, parce que vous allez utiliser IPv6 en plus d’IPv4. Mais vous devrez adresser les deux différemment, en raison des caractères hexadécimaux et de la manière dont vous allez les allouer. Vous pouvez penser pénurie et utiliser des adresses IPv6 avec frugalité, mais avec IPv6, on peut se permettre d’utiliser plus d’adresses. L’autre difficulté est la structure d’IPv6 : la manière dont il fonctionne, comment le configurer. Il manque souvent certaines connaissances de base. Certains ont peut-être suivi un cours sur IPv6 il y a cinq ans mais comme il n’en ont jamais retiré de concret, ils ont probablement tout oublié. Ou alors ils acheté un livre consacré au sujet il y a huit ans. Et maintenant, ils réalisent que ce livre est probablement quelque peu dépassé, parce que certaines ont changé et qu’ils n’ont pas suivi les évolutions du protocole. Ou bien tous les acquis ont tout simplement été oubliés... parce que personne ne savait vraiment quand allait surgir IPv6. C’est difficile de dire qu’IPv6 est encore un protocole émergent alors qu’on en parle depuis 10 ans et qu’il peut être mis en oeuvre depuis tout ce temps. Mais cela lui donné le temps de murir. Et c’est une bonne chose parce qu’on ne pas remplacer un protocole aussi important qu’IPv4 par une nouvelle version qui ne serait pas robuste.
SearchEnterpriseWAN.com: Qu’est-ce qui a changé, justement, en dix ans, avec IPv6 ?
Scott Hogg: Initialement, lorsque la structure de base d’IPv6 a été développée, au milieu des années 1990, nous avions prévu certaines dispositions en pensant que ce serait de bonnes choses. Et au cours des dix dernières années, nous avons réalisé que ce n’était peut-être pas les meilleures idées possibles. IPv6 a donc eu le temps de murir. Mais il y a encore aujourd’hui des éléments d’IPv6 qui ne sont pas actifs ou que l’on recommande de ne pas utiliser - comme une entête de routage vide, entre autres. Certaines adresses IPv6 ont en outre été allouées à certaines entreprises avant que l’on ne s’aperçoive que c’était une mauvaise idée - les adresses FEC 0. Je le répète : IPv6 a eu le temps de murir et c’est une bonne chose. Propos recueillis par Tessa Parmenter, rédacteur, SearchEnterpriseWAN.com Adapté de l’anglais par la rédaction
Tribune : IPv6, le challenge sécurité de demain ?
Pour Eric Leblond, directeur technique d'EdenWall Technologies (spécialiste des appliances de sécurité), l'arrivée d'IPv6 ouvre de nouveaux terrains de jeu aux crackers et script kiddies. Mais obligera surtout les entreprises à repenser leur politique de sécurité. Car le protocole va bousculer l'administration systèmes et réseau telle qu'elle est pratiquée aujourd'hui. La Toile explose, et IPv4 sature. Les demandes d'adresses IP affluent, de plus en plus nombreuses et vont continuer d'augmenter dans les années à venir, surtout compte tenu de l'accroissement exponentiel des outils et produits ayant accès à Internet.
Parti à la conquête du réseau dès 2008, notamment via le FAI Free, IPv6 débarque dans les entreprises, et nécessite forcément une adaptation des politiques sécuritaires et de protection du patrimoine informationnel. Quelles modifications l'adoption d'IPv6 induira-t-elle ? Quel challenge pour les entreprises, les particuliers ? Le premier résultat d'IPv6 sera l'interconnexion globale, à savoir un Internet vraiment mondial : en 2015, nos frigos seront interconnectés et twitteront lorsque l'on n'aura plus de bière au frais. En découlera un champ d'exploration É-NOR-ME pour les crackers et les script kiddies de tout poil. Et la seule force d'IPv6 contre cette accès direct sera sa taille. Un attaquant scannant 100 machines par seconde mettra environ... 10 puissance 20 milliards d'années à trouver votre frigidaire.
Le côté rassurant de cette statistique est que même si plus d'un milliard d'ordinateurs lancent un scan concerté et simultané, nous sommes encore dans un délai raisonnable de 10 puissance 10 milliards d'années : on est bien caché au milieu d'un cloud IPv6. Hormis une attaque ciblée, l'ouverture sur l'extérieur n'est donc pas un véritable problème pour la nouvelle génération d'adresses IP.
Une politique de sécurité à reconstruire
Le NAT, ou Network Adress Translation, était utilisé par certains pour empêcher les connexions directes vers l'extérieur et notamment vers un autre réseau NATé. Les attaques de type « prédictions de port », utilisées notamment par Skype, permettaient déjà d'établir des connexions directes entre machines de réseau NATé. IPv6 octroiera un nombre quasi illimité d'adresses IP, rendant l'utilisation du NAT inutile. D'un point de vue purement entreprise, les principales difficultés se situeront au niveau des politiques de sécurité. Fournir IPv6 sur un réseau est relativement aisé. Le protocole propose de nombreux modes de configuration automatique et l'utilisation d'IPv6 peut se résumer sur les systèmes d'exploitation évolués à une simple activation du pilote dédié. Les choses se compliquent pour l'entreprise lorsqu'elle décide de mettre en œuvre une politique de sécurité adaptée aux évolutions réseau : mes pare-feu gèrent-ils correctement IPv6 ? Comment puis-je déterminer l'adresse de mes serveurs et m'en souvenir ? Mes outils de journalisation supportent-ils IPv6 ? C'est tout un pan de l'administration système et réseau qui est donc à revoir.
Des extensions à s'arracher les cheveux !
IPv6 facilite l'anonymisation des adresses. Même si le DHCP (Dynamic Host Configuration Protocol) sur IPv6 a récemment connu un regain d'intérêt, il ne s'agit là que d'une solution de contournement d'une problématique opérationnelle liée au système d'attribution directe des adresses IP. Une nouvelle fonctionnalité des systèmes d'exploitation est le changement régulier des adresses du poste, ceci dans le but de protéger la vie privée de l'utilisateur, ou plus globalement les échanges de données des entreprises.
Il est donc complètement impossible de prévoir l'adresse du poste. Toute politique de sécurité basée sur une IP source donnée est donc à proscrire, et il faut envisager de systématiser l'utilisation de l'identification. IPv6 Mobile est l'une des extensions les plus controversées si on la considère d'un point de vue sécuritaire. Le principe d'IPv6 Mobile est de fournir une connectivité à une machine sur une même adresse IP et ce, quelle que soit sa position géographique. Deux types de techniques sont utilisées pour parvenir à ce résultat.
D'une part, l'établissement d'un tunnel IPsec entre le routeur d'origine (dit Home) et la machine déplacée derrière un routeur distant. D'autre part, un système de collaboration entre les routeurs assurant le transfert des flux entre les adresses de la machine (la locale et la distante). Ce dernier mécanisme repose sur une encapsulation des paquets d'origine qui ont alors deux couples d'adresses source et destination. Faut-il alors filtrer l'adresse Home ou l'adresse locale ? Ou prendre en compte les deux adresses, Home, codant l'emplacement fonctionnel, et l'adresse locale, codant l'emplacement géographique. Le déploiement IPv6 Mobile reste hypothétique car les recherches sur le sujet sont encore très actives, mais son intérêt pratique fera peut-être son succès.
Après de longues années d'hésitation l'adoption rapide d'IPv6 semble se profiler.Einstein disait que « l'homme et sa sécurité doivent constituer la première préoccupation de toute aventure technologique. » Mais comme il est de coutume, les enjeux de sécurité ne seront pas traités en premier... Ce qui ouvrira la porte à une nouvelle phase dans les attaques. Par Eric Leblond, directeur technique, EdenWall Technologies