Pourquoi migrer en IPv6 ?

CybersécuritéIPv6
IPV6

Pourquoi migrer en IPv6 ?

IPV6Le protocole Internet (IP, Internet Protocol), l’un des principaux composants d’Internet, est le système qui permet aux ordinateurs et aux appareils de se trouver et de se connecter en ligne. La version que nous utilisons aujourd’hui, IPv4, a été conçue au début des années 80, une époque où personne n’aurait pu prévoir la croissance exponentielle d’Internet. Son successeur, IPv6, dispose de fonctionnalités et de solutions requises par l’Internet moderne dont ne dispose pas IPv4 : une plus grande intégrité de connexion et une sécurité plus importante ainsi que la possibilité de prendre en charge un grand nombre d’appareils adaptés au Web. Pourtant, si IPv6 comporte certaines améliorations en matière de sécurité, ses changements importants pourraient aussi introduire des trous de sécurité dans votre environnement. Pourquoi voudrait-on donc adopter IPv6 s’il est susceptible de poser des problèmes ?

Pendant des années, les régulateurs et les experts Internet ont alerté sur le tarissement imminent du pool d’adresses limité d’IPv4. Bien que les estimations se comptaient en années puis en décennies, elles semblent maintenant converger sur les quelques années à venir. De plus en plus de nouveaux appareils, plates-formes et services incluent une prise en charge d’IPv6, mais jusqu’à présent, la migration de masse a été retardée encore et encore. Le manque de compréhension des avantages d’IPv6 par le public et les craintes générales relatives à la difficulté et la complexité de son processus de migration contribuent au ralentissement de son adoption.

Inévitable, la transition vers IPv6 va demander des efforts considérables ainsi que des préparations et réflexions importantes. Si l’opération est effectuée de manière incorrecte ou est incomplète, elle pourra laisser des trous de sécurité béants dans vos systèmes réseau. Sans une minutieuse planification, vous pouvez accidentellement exécuter IPv4 et IPv6 en parallèle et annuler ainsi toutes les mesures de sécurité que vous avez mises en place autour de l’un ou l’autre des protocoles.

Il est donc essentiel que les solutions et les pratiques de sécurité soient parfaitement compatibles avec les nouvelles infrastructures ; et que les utilisateurs retardant le processus de migration s’assurent que tous les trous de sécurité potentiels soient bouchés dans leurs couches de protection.

Quel est le problème posé par IPv4 ?

Lorsque IPv4 est arrivé pour la première fois en 1981, les 4 milliards d’adresses environ qu’il pouvait fournir semblaient être un chiffre énorme, étant donné le nombre relativement limité d’ordinateurs à l’époque. Trois décennies plus tard, les ordinateurs sont ultra répandus et un grand nombre d’autres appareils utilisent aussi les connexions réseau comme les smartphones, les tablettes, les portables, les consoles de jeux, les téléviseurs et même les voitures et les frigos. Soudain, ces 4 milliards d’adresses dans le pool d’adresses disponible semblent massivement inappropriées.

Bien sûr, il existe des solutions au manque d’adresses, notamment la traduction des adresses réseau (NAT, Network Address Translation) qui permet de connecter un grand nombre d’appareils cachés derrière une adresse unique, en développant davantage les adresses publiques disponibles. NAT, les services partagés et le CIDR (Classless Inter-Domain Routing) aident tous à atténuer le rareté des adresses disponibles. Même pour ces solutions utilisées depuis quelque temps déjà, la croissance d’Internet constitue un défi. Les régulateurs Internet essaient frénétiquement de se réapproprier les adresses non utilisées, de renuméroter et de resserrer les règles de distribution pour soutirer le plus possible du système en cours. Pourtant, ces mesures, provisoires et inefficaces, représentent de sérieux défis en matière de conception et de mise en place d’une véritable sécurité et évolutivité.

Les avantages d’IPv6

IPv6 offre un pool d’adresses beaucoup plus étendu grâce à l’utilisation d’adresses 128 bits : 340 undecillion (3,4×1038), comparés aux 4,3 milliards disponibles dans les adresses IPv4 32 bits. Ce pool d’adresses étendu non seulement permet une meilleure évolutivité, mais aussi introduit une sécurité supplémentaire en rendant le contrôle et l’identification des hôtes plus difficile pour les attaquants. Pourtant, IPv6 fait plus que mettre à disposition de nouvelles adresses, il possède des avantages en matière de sécurité, d’intégrité et de performances.

Avantages en matière de sécurité

IPv6 a été pensé pour pouvoir accueillir le chiffrement bout-à-bout. Si cette technologie a été ajoutée dans IPv4, elle reste une option supplémentaire non utilisée universellement. Le chiffrement et la vérification de l’intégrité utilisés dans les réseaux privés virtuels (VPN, Virtual Private Network) actuels est un composant standard dans IPv6, disponible pour toutes les connexions et pris en charge par tous les appareils et systèmes compatibles. Si IPv6 est introduit correctement, son emploi répandu pourra rendre beaucoup plus difficiles les attaques de l’homme du milieu (MITM, man-in-the-middle).

IPv6 assure en outre une résolution des noms plus sécurisée. Le protocole Secure Neighbor Discovery (SEND) permet de confirmer en termes cryptographiques qu’un hôte est bien ce qu’il prétend être au moment de la connexion. L’empoisonnement du protocole de résolution d’adresse (ARP, Address Resolution Protocol) et les autres attaques basées sur les noms deviennent ainsi beaucoup plus difficiles. Et même si cela ne remplace pas la vérification des applications ou des couches de service, la fiabilité est nettement meilleur au niveau des connexions. Sur un réseau IPv4, l’attaquant peut assez facilement réorienter le trafic entre deux hôtes légitimes, dans le but de manipuler la conversation ou au moins de l’observer. Avec IPv6, cette opération est très difficile. (cette fonctionnalité n’est pas encore introduite sur tous les appareils et systèmes d’exploitation IPv6).

Cette sécurité supplémentaire dépend entièrement de la conception et de la mise en place, et l’infrastructure plus complexe et plus souple d’IPv6 donne plus de travail afin que chaque “t” soit barré et chaque “i” en pointillés. Pourtant, un réseau IPv6 correctement configuré est beaucoup plus sûr que son prédécesseur.

Avantages en termes de performances

La taille des paquets de données transférés sous IPv4 est très réduite, ceux qui sont trop gros doivent donc être fragmentés et reformés. Ce sont les routeurs et autres appareils intermédiaires le long du chemin de transport qui gèrent cette fragmentation, mais les tâches à réaliser peuvent se révéler inefficaces, accaparantes et en fin de compte coûteuses. Sous IPv6, la conception du protocole incorpore une fragmentation bout à bout afin de simplifier et d’alléger la charge de travail que représente la gestion des paquets fragmentés. Le nombre d’opérations nécessaires pour identifier et diviser correctement les données étant moindre, la vitesse augmente et le charge de travail le long du chemin de transport diminue.

IPv6 n’effectue pas la vérification de l’intégrité des paquets lors du transit, laissant l’opération à des protocoles de plus haut niveau comme Transmission Control Protocol (TCP) et User Datagram Protocol (UDP). Du temps de routeur précieux est ainsi gagné pour transférer les données le plus rapidement possible.

IPv6 présente aussi des avantages importants pour les appareils mobiles puisque ces derniers peuvent conserver la même adresse lors du déplacement d’une connexion à une autre, à savoir depuis un réseau 3G vers la Wi-Fi d’un café local, par exemple. Au lieu de recueillir une nouvelle adresse depuis le nouveau service de connexion, l’appareil mobile peut conserver la même “home address” à tous moments. On évite ainsi un “routage triangulaire” où les données envoyées à l’appareil mobile doivent tout d’abord passer par le réseau du fournisseur d’accès. Non seulement ces changements sont source de plus de rapidité, de simplicité et de maniabilité, ils rendent aussi les connexions plus solides et plus sûres. Vue la prédominance actuelle des appareils mobiles, cette amélioration devrait être la bienvenue.

Grâce à une vérification améliorée des identités, IPv6 permet de contourner nombre de problèmes de performances et de sécurité liés à la diffusion Multicast et Anycast, et offre une meilleure configuration automatique, avec les messages ICMP6 utilisés pour déterminer une adresse et une configuration appropriées. Un DCHP6 mis à niveau est aussi disponible pour ceux qui exigent un contrôle plus dynamique des connexions réseau et, bien sûr, une attribution conventionnelle des adresses statiques est possible, si besoin est. La combinaison d’un pool d’adresses plus important et d’une structure d’adresses plus sophistiquée permet de résoudre nombre de problèmes de conflits d’adresses, lesquels surgissent le plus souvent lors de rachats ou de fusions d’entreprises avec intégration et réadressage des réseaux. Un élément essentiel de l’infrastructure IPv6, les préfixes spécifiques aux organisations permettent d’éviter les collisions même lorsque se superposent les parties inférieures des adresses. Le changement des structures d’adressage est aussi plus simple et plus efficace.

Quels sont les problèmes posés par IPv6 ?

Plusieurs vulnérabilités dans l’infrastructure IPv6 ont déjà été découvertes. Résolu depuis sa découverte, un de ces problèmes concerne la “fonction” Router Heading Type 0 (RH0) qui s’est avérée potentiellement utile pour exécuter des attaques DDOS et falsifier des identités hôtes. D’autres problèmes se poseront vraisemblablement lorsque IPv6 commencera à être utilisé : les gens commenceront à employer leur temps et leur énergie à tenter de subvertir sa sécurité intégrée. Des problèmes semblables étaient présents dans IPv4 et le sont toujours. Au fur et à mesure que de nouveaux problèmes seront découverts, nous allons avoir besoin de nouvelles méthodes et de nouveaux outils pour les résoudre.

Les opérations de déploiement et de configuration sont également essentielles. Étant donné que des problèmes sont garantis si le déploiement de IPv6 est effectué de la même façon que pour IPv4, l’administrateur informatique doit avoir une toute nouvelle approche du réseau : de la simple résolution des problèmes à la configuration des pare-feu et à la surveillance des journaux de sécurité. Les nouvelles connaissances dont l’administrateur aura besoin laisseront beaucoup de place à la confusion et aux erreurs.

Le changement d’IPv4 en IPv6 n’est pas instantané mais partiel avec utilisation de technologies de “tunneling” pour transporter IPv6 via IPv4. Ce type de solution est une autre source potentielle de confusion, de mauvaise configuration et de trous de sécurité.

Jusqu’à présent, si les pirates n’ont pas vraiment prêté attention à IPv6, principalement à cause de son emploi limité, nous avons déjà rencontré du malware avec des fonctionnalités de commandement et de contrôle de type IPv6. Étant donné le manque relatif d’attention prêté à IPv6, cette technique permet de contourner complètement la protection existante. (votre serveur peut activer IPv6 par défaut mais votre pare-feu ne peut pas). Au fur et à mesure de l’adoption d’IPv6, nous verrons sans aucun doute apparaître plus de défauts et de moyens d’abuser du système à des fins malveillantes.

Quelle aide puis-je espérer de mon fournisseur de sécurité ?

Les fournisseurs de sécurité doivent être au courant du passage à IPv6 et rester informés. De nombreux produits de sécurité vont exiger des changements pour gérer les nouveaux modèles de réseau, à la fois comme moyen de transport pour les mises à jour, les recherches et les systèmes de gestion et de reporting, mais aussi comme moyen de garantir l’approvisionnement continu des fonctionnalités de contrôle et de protection.

À l’avenir, il est inévitable que des approches fondamentales de la sécurité évolueront à mesure que changent les pratiques réseau. Nous verrons apparaître de nouvelles vulnérabilités et de nouveaux vecteurs de menaces auxquels les fournisseurs de sécurité devront faire face.

L’un des plus changements les plus évidents dans les pratiques de sécurité concernera l’ordinateur d’extrémité, puisqu’une plus importante utilisation du chiffrement bout-à-bout rendra plus difficile et inefficace la sécurité autour de son périmètre. Par exemple, les technologies DLP réseau peineront à inspecter le contenu au fur et à mesure de son chiffrement avant qu’il n’atteigne l’ordinateur d’extrémité. Étant donné le comportement itinérant des utilisateurs (leur trafic ne passant pas forcément par le réseau de l’entreprise), une approche de la sécurité beaucoup plus centrée autour de l’ordinateur d’extrémité devra être appliquée. En ce qui concerne les réseaux professionnels, universitaires et gouvernementaux, des décisions importantes devront être prises concernant soit la mise en place généralisée d’une sécurité Internet Protocol, soit le maintien de filtres et de contrôles au niveau de la passerelle. Faudra-t-il par ailleurs autoriser le chiffrement pour garantir que les données atteignent l’ordinateur d’extrémité intactes ou le désactiver pour permettre la vérification interne, le filtrage et l’éventuel espionnage ? Il s’agit d’une question profonde et complexe, impliquant un conflit potentiel entre sécurité et confidentialité. Pourtant, étant donné la tendance croissante qui consiste à s’éloigner du périmètre pour d’autres raisons, tous les fournisseurs de sécurité de qualité devront aller dans le sens d’une sécurité complète au niveau du poste de travail.

Les fournisseurs de sécurité devront investir en temps et en argent pour garantir une prise en charge appropriée et complète d’IPv6, et devront rester alertes face aux nouveaux risques que IPv6 pourra induire.

Que dois-je faire ?

La migration vers IPv6 n’est plus une question de “si” mais plutôt une question de “quand”. Des services comme Google et Facebook sont déjà disponibles via IPv6. Plusieurs fournisseurs importants de services Internet, de télécommunications et de services Web effectuent actuellement des essais ou procèdent activement à la migration. Afin de prendre en charge leurs réseaux haute vitesse, les opérateurs mobiles insistent de plus en plus pour une mise en place généralisée d’IPv6. Ce qui signifie que toutes les entreprises doivent réfléchir à leurs programmes de mise en place, si ce n’est déjà fait. Le 8 juin 2011 aura lieu World IPv6 Day où les principaux fournisseurs mondiaux exécuteront des tests publics complets sur IPv6. Soyons attentifs aux résultats et commençons à préparer nos propres plans pragmatiques.

Pour garantir une perturbation minimale et une satisfaction optimale, réfléchissez à la conception et la configuration de vos plans d’adoption. Plusieurs problèmes essentiels sont à considérer lors de la planification et de la mise en place du changement :

  1. Méfiez-vous lors de l’utilisation du “tunneling” lors de la période de chevauchement initiale. Si les tunnels peuvent garantir une connectivité vitale entre les composants IPv4 et IPv6 ou activer un IPv6 partiel sur certaines parties des réseaux toujours sous IPv4, ils peuvent aussi être la source de risques importants pour la sécurité. Par exemple, les tunnels peuvent couper au travers des règles de votre pare-feu de périmètre, mais peuvent être moins restreints que votre pare-feu. Ce qui peut permettre aux attaquants de se connecter à votre insu aux ressources présentes à l’intérieur de la “coque dure” de votre réseau. La complexité comporte toujours des risques, vous devez donc conserver un minimum de tunnels et les utiliser seulement lorsque c’est absolument nécessaire. Vérifiez soigneusement la configuration du “tunneling automatique” comme “6to4” et Teredo. Le “tunneling” du trafic va par ailleurs rendre les systèmes de sécurité réseau (par exemple, les appareils IPS) beaucoup moins à même d’identifier les attaques.
  2. N’oubliez pas de regarder la situation dans son ensemble. La configuration du réseau sous IPv6 est très différente de celle sous IPv4, c’est pourquoi la réplication de votre configuration existante ne garantira pas des résultats parfaits. Pour obtenir le meilleur d’IPv6, vous devrez remodeler votre réseau de manière significative (des guides détaillées sont disponibles auprès de distributeurs comme Cisco et Microsoft). Pour éviter des problèmes au niveau des performances et de la sécurité, préparez minutieusement tout cela dès le départ au lieu d’exécuter plusieurs migrations. Réfléchissez aussi à l’architecture des ressources Internet et des ressources LAN, ne vous débarrassez pas de votre zone DMZ !
  3. Vérifiez que votre infrastructure réseau complète est compatible et à jour. Il est facile de manquer des commutateurs et des routeurs lors de régimes d’application de correctifs. Il est possible que vous ayez à les mettre à niveau aux dernières versions des firmwares et logiciels. Vérifiez que ces appareils sont prêts pour IPv6 ; s’ils ne le sont pas, faites en sorte qu’ils le soient. Au début, IPv6 peut être source de risques au niveau des protocoles (étant donné que nous apprenons tous à l’utiliser dans un environnement réel), faites donc très attention à l’application des correctifs. De nombreuses entreprises n’incluent pas leur infrastructure réseau dans leurs plans de mise en place de correctifs, ce qui peut les laisser à la merci d’attaques sérieuses. C’est le moment idéal pour vérifier vos processus dans ce domaine.
  4. Assurez-vous que toutes vos solutions de sécurité sont à la hauteur de la tâche. Il peut être judicieux d’utiliser davantage IPSec, lequel est pleinement pris en charge par IPv6, mais le chiffrement bout-à-bout peut interférer avec certains processus de sécurité au niveau du périmètre. L’ordinateur de bureau doit bénéficier d’une sécurité supplémentaire ; en ce sens, assurez-vous que la sécurité des ordinateurs de bureau inclut la prévention contre la perte des données (DLP, Data Loss Prevention) et la sécurité Web. Peut-être devrez-vous également mettre à niveau ou reconfigurer vos pare-feu ? Vérifiez que votre fournisseur pour ordinateurs d’extrémité dispose de toute la panoplie de contrôles nécessaires pour remplacer les contrôles de périmètre conventionnels.
  5. N’activez pas IPv6 tant que vous n’êtes pas parfaitement prêt. IPv6 est activé par défaut sur de nombreuses plates-formes, mais assurez-vous qu’il reste inactif tant qu’il n’est pas correctement configuré. De nombreux pare-feu se concentrent exclusivement sur IPv4 et ne filtrent pas du tout le trafic IPv6, laissant les systèmes complètement exposés. Désactivez les services inutiles et vérifiez les ports et protocoles utilisés par les services dont vous avez besoin. J’ai rencontré de nombreux systèmes clients utilisant IPv6 par défaut, qui pouvaient permettre aux attaquants de contourner les contrôles de sécurité et de faire du dégât. Des instructions simples sont disponibles en ligne pour l’activation ou la désactivation d’IPv6 sous Linux, Mac et Windows.

Produits Sophos

Sophos a déjà investi en fonctionnalités dans notre produit Endpoint pour restreindre l’utilisation d’IPv6 tant que vous n’êtes pas prêt à l’utiliser. Nous continuons à mettre au point des fonctionnalités IPv6 au niveau de l’ordinateur d’extrémité afin de nous préparer à la transition dans des délais convenables. Au fur et à mesure de l’utilisation accrue d’IPv6, les conditions requises de mise en place et de sécurité vont évoluer. Nous continuerons à faire en sorte de fournir la protection qui convient à nos clients.

Surtout, ne paniquez pas ! Il est préférable de découvrir d’éventuels problèmes au moment de la planification qu’au beau milieu de l’installation. Commencez à planifier le plus rapidement possible pour éviter de vous précipiter lorsque la migration globale s’accélèrera. Le passage à IPv6 semble être une grosse affaire, mais l’essentiel est de procéder étape par étape et de s’assurer que toutes vos bases sont couvertes avant de commencer.

À chaque étape, songez à la fois à la sécurité et à la facilité d’utilisation, et le processus de migration sera transparent, direct et se fera sans problème.




Partagez Pourquoi migrer en IPv6 ? avec : http://wp.me/p2YJS1-eF

Billet inspiré de Why IPv6 Matters for Your Security par Crédit James Lyne, Director of Technology Strategy

Remerciements à Jean-Luc Relave pour la traduction.

1 Commentaire

Leave a Reply to Pourquoi migrer en IPv6 ? | Sophos France Blog ... Cancel reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.