Tribune : lancement de l'IPv6 avec des défis de sécurité

Le par  |  15 commentaire(s)
Christophe-Auberger-Fortinet

Le 6 juin 2012, des fournisseurs d'accès à Internet et de grandes entreprises Web activeront IPv6 de manière permanente. Responsable technique chez Fortinet, Christophe Auberger signe une tribune intitulée : " des défis de sécurité apparaissent avec le lancement de l'IPv6 ".

Il ne fait aucun doute que le lancement mondial imminent du protocole IPv6 le 6 Juin 2012 annonce une nouvelle ère de l'infrastructure Internet dans le monde entier, à la fois en termes d'évolution et d'adoption généralisée.

Le monde a déjà eu un avant-goût du nouveau protocole en juin dernier, lors de la Journée Mondiale IPv6. Mené par l'Internet Society, plus de 1 000 sites Internet, entreprises high-tech et FAI ont été encouragés à passer collectivement à l'IPv6 durant une période de 24 heures pour tester le protocole et essayer d'anticiper les problèmes techniques qui pourraient se produire lors du lancement officiel.

Le 6 juin 2012, les principales organisations high-tech et leaders du Web tels que Google, Facebook et Yahoo!, entre autres, basculeront vers le nouveau protocole Internet lors du lancement mondial officiel.

Et la transition devient de plus en plus nécessaire. Le protocole actuel IPv4, qui supporte environ 3,7 milliards d'adresses, a simplement épuisé le stock d'adresses disponibles, en partie du fait de l'explosion des appareils mobiles. Mais l'IPv6, de son côté, a une capacité illimitée d'adresses ce qui lui permet de s'adapter à une infrastructure mobile et Internet mondiale en pleine croissance.

Christophe-Auberger-FortinetCependant, avec le lancement imminent du protocole mondial IPv6, les chercheurs et professionnels de l'IT anticipent certains défis, en particulier en matière de sécurité.

L'aspect novateur et le manque de connaissances relatifs au protocole IPv6 feront qu'il y aura forcément des erreurs de configuration, des problèmes de compatibilité et autres maladresses d'implémentation. Il n'existe pas les connaissances institutionnelles sur l'IPv6 que l'on a sur l'IPv4, qui a été utilisé depuis des décennies et offre une vaste base de connaissances.

Mais peut-être que le plus important défi en matière de sécurité est que de nombreux appareils de sécurité réseau sont capables de transférer le trafic IPv6, mais pas de l'inspecter. Et, comme l'IPv6 est activé par défaut sur de nombreuses plateformes réseaux actuelles - tel que Windows 7 - ces systèmes sont déjà installés sur le réseau.

La plupart des systèmes qui n'ont pas l'IPv6 activé ont la capacité de contourner ce problème en encapsulant les paquets IPv6 d'en-têtes IPv4. Ils lisent l'en-tête, mais ne peuvent pas lire le contenu du paquet en lui-même. Ils ne peuvent donc pas faire l'inspection approfondie habituelle des paquets, et transfèrent donc juste les paquets. C'est seulement quand ils ont une implémentation dual stack, qu'ils peuvent autoriser les fonctions de sécurité réseau à simultanément traiter et inspecter les paquets provenant à la fois des protocoles IPv4 et IPv6.

Plusieurs constructeurs de sécurité offrent cette fonctionnalité - mais pas tous - et c'est justement l'un des risques auxquels sont confrontés les professionnels de la sécurité réseau aujourd'hui. Ils doivent s'assurer que leurs produits de sécurité peuvent inspecter le trafic IPv6. S'ils peuvent seulement transférer le trafic IPv6, ces produits pourraient également transférer le contenu malveillant.

Même avec une implémentation dual stack, les organisations ont néanmoins besoin de vérifier si elles ont les mêmes fonctionnalités de sécurité activées pour le protocole IPv4 que pour l'IPv6. Dans le cas contraire, les appareils de sécurité réseau sont susceptibles de laisser passer des éléments critiques du trafic malveillant qui pourraient potentiellement compromettre le réseau.

Certaines des politiques et technologies sur lesquelles vous comptez peuvent uniquement fonctionner en IPv4 et non en IPv6, et créent ainsi les déficits de votre couverture de sécurité. Cependant, mettre à jour l'infrastructure de sécurité réseau pour permettre le transfert à l'IPv6 n'est pas un projet simple et prendra probablement des années pour être complètement abouti. C'est pourquoi de nombreuses organisations, faisant face à des mises à jour matérielles qui sont potentiellement longues et onéreuses, n'ont pas prévu d'adopter l'IPv6 de sitôt.

Pourtant, les entreprises ne vont pas pouvoir éviter l'IPv6 encore trop longtemps. Suite au lancement du 6 Juin, beaucoup plus de trafic IPv6 atteindra leurs réseaux. Lorsque l'IPv6 représentera 5 à 10 pourcents de vos données - plutôt qu-une fraction de pourcent comme a l'heure actuelle - éviter les mises à jour nécessaires va devenir beaucoup plus difficile à justifier. Les DSI vont donc devoir se pencher sur ce problème rapidement.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #962061
J'ai suivi un "recyclage" sur l'IPv6 il y a quelques mois. Malgré que ce protocole soit devenu indispensable vu l'épuisement de l'IPv4, je peux vous dire que l'administration réseau va devenir vraiment compliquée dans les grosses configurations ou en cas de problèmes. Mais bon, c'est comme pour Windows 8, on devra y passer de toute manière alors autant s'y mettre.
Le #962081
Ils lisent l'en-tête, mais ne peuvent pas lire le contenu du paquet en lui-même. Ils ne peuvent donc pas faire l'inspection approfondie habituelle des paquets.

Et c'est bien ca qui les dérange.
Le #962111
voici un extrait d'article pris de cette page:
http://www.pcinpact.com/news/68388-ipv6-launch-day-deploiement-societes.htm


Et pour les utilisateurs ? Dans la très grande majorité des cas, il ne se passera rien de particulier. Ils continueront à se rendre sur les sites web de manière transparente. Les serveurs DNS feront simplement la traduction et la connexion IPv6 sera exploitée lorsqu?elle sera disponible. Autrement dit, pour exploiter un site émettant en IPv6, il faudra que sa connexion le gère. C?est le cas par exemple chez Free, SFR et Orange (uniquement Business par contre), mais pas chez Bouygues ou Numericable.



est ce que j'ai quand meme besoin de changer mon modem netgear dg834g (pas prévu pour l'ipv6) pour continuer à surfer sachant que je suis chez sfr?
Le #962151
a écrit :

voici un extrait d'article pris de cette page:
http://www.pcinpact.com/news/68388-ipv6-launch-day-deploiement-societes.htm


Et pour les utilisateurs ? Dans la très grande majorité des cas, il ne se passera rien de particulier. Ils continueront à se rendre sur les sites web de manière transparente. Les serveurs DNS feront simplement la traduction et la connexion IPv6 sera exploitée lorsqu?elle sera disponible. Autrement dit, pour exploiter un site émettant en IPv6, il faudra que sa connexion le gère. C?est le cas par exemple chez Free, SFR et Orange (uniquement Business par contre), mais pas chez Bouygues ou Numericable.



est ce que j'ai quand meme besoin de changer mon modem netgear dg834g (pas prévu pour l'ipv6) pour continuer à surfer sachant que je suis chez sfr?


Pour les réseaux locaux, l'IPv4 sera encore de mise un bon moment. A part Google qui a mit son réseau interne en IPv6, je n'en connais pas d'autre. Pour l'accès aux FAI, les modems (ou modem/routeur) seront certainement remplacés. On parle même que le FAI ferait lui-même une translation (IPv4 régional vers un IPv6 mondial). On parle aussi que les grands serveurs DNS s'en occuperaient ... En fait, on ne sait pas encore la politique qui sera vraiment appliquée. Ce qui est certain, c'est que d'ici le temps que l'IPv6 soit imposée au niveau mondial, tu auras sûrement changé de modem (et même d'ordi)
Le #962231
bon bah si rien ne presse, wait and see alors.

merci
Le #962261
Moi ce que je trouve pas cool c'est le manque d'information de la part des FAI, seul Free est déjà en IPV6, quid des autres ? Mystère !
VérifiezVosInfos Hors ligne Senior 460 points
Le #962291
"Mais l'IPv6, de son côté, a une capacité illimitée d'adresses"

FAUX :

Une adresse IPv6 est longue de 128 bits, soit 16 octets, contre 32 bits pour IPv4. On dispose ainsi d'environ 3,4 × 10 puissance 38 adresses

http://fr.wikipedia.org/wiki/Adresse_IPv6
Le #962331
VérifiezVosInfos a écrit :

"Mais l'IPv6, de son côté, a une capacité illimitée d'adresses"

FAUX :

Une adresse IPv6 est longue de 128 bits, soit 16 octets, contre 32 bits pour IPv4. On dispose ainsi d'environ 3,4 × 10 puissance 38 adresses

http://fr.wikipedia.org/wiki/Adresse_IPv6


arrete de jouer ton puriste
ce nombre est tellement grand que la limite ne sera sans doute jamais atteinte, on peut donc considérer cela comme de l'illimité.
Le #962381
a écrit :

VérifiezVosInfos a écrit :

"Mais l'IPv6, de son côté, a une capacité illimitée d'adresses"

FAUX :

Une adresse IPv6 est longue de 128 bits, soit 16 octets, contre 32 bits pour IPv4. On dispose ainsi d'environ 3,4 × 10 puissance 38 adresses

http://fr.wikipedia.org/wiki/Adresse_IPv6


arrete de jouer ton puriste
ce nombre est tellement grand que la limite ne sera sans doute jamais atteinte, on peut donc considérer cela comme de l'illimité.


Sauf qu'a chaque nouvelle techno on se dit ca. Et au bout de qqs années la limite arrive.
Imagines un truc à la con genre on sait fabriquer des androids à partir de blocs microscopiques communicant en ipv6, (oui c de la SF, et alors, y'a 50 ans envoyer une sonde sur mars ct aussi de la SF) et bien la limite risque d'être atteinte.

Donc il est faux de dire illimité. Dire "Mais l'IPv6, de son côté, a une capacité d'adresses qui semble illimitée aux vues de nos connaissances actuelles" serait plus judicieux.
Même s'il est vrai que c'est jouer les puristes, qqn de non technique peut vraiment croire que c'est illimité.
Le #962391
Ulysse2K a écrit :

J'ai suivi un "recyclage" sur l'IPv6 il y a quelques mois. Malgré que ce protocole soit devenu indispensable vu l'épuisement de l'IPv4, je peux vous dire que l'administration réseau va devenir vraiment compliquée dans les grosses configurations ou en cas de problèmes. Mais bon, c'est comme pour Windows 8, on devra y passer de toute manière alors autant s'y mettre.


Entièrement d'accord.
D'un autre coté ca va nous faire du taff
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]