Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sécurité IPv6 pour les plus impatients

Sécurité IPv6 pour les plus impatients
2011-11-302013-02-11lois, réglementations, standards et certificationsfrPublié le 30 Novembre 2011 par Vincent Maurin dans lois, réglementations, standards et certifications

 

C'est en 1993 que l'IETF lance au travers de la RFC1550 un appel à propositions sur le sujet "IP Next Generation", qui deviendra plus tard IPv6.

A l'époque, beaucoup d'entre nous n'en sont qu'au stade de découverte d'Internet, de sa suite de protocoles IPv4 et des premières problématiques de sécurité qui lui sont associées.

l'arrivée imminente de IPv6

Près de 20 ans plus tard, la pénurie d'adresses IPv4 est devenue une réalité et le déploiement des réseaux et services IPv6 devenus une réelle priorité pour les opérateurs, les équipementiers et les entreprises.

Ne vous faites pas d'illusion, IPv6 ne sera pas une révolution d'un point de vue sécurité. Une première lecture des RFC nous laisse penser qu'IPSEC sera la pierre angulaire de la sécurité IPv6 mais le raccourci est bien trop rapide.

évaluation des risques avec IPv6

Si nous considérons que les risques en termes de sécurité sont la somme des produits "probabilité x criticité" associés à chaque menace, qu'en est-il avec IPv6 ?

Les menaces actuellement identifiés autour d'IPv6 ne semblent pas évoluer de manière conséquente, par conséquent les probabilités varient globalement peu. En revanche, le manque de maturité des produits de sécurité dans leur intégration d'IPv6 (gestion de la pile par le CPU et non par un ASIC par exemple) augmente plus particulièrement la criticité des menaces.

Au final, les risques associés aux menaces sous IPv6 sont plus élevés que celles sous IPv4, du moins durant la phase transitoire. Et donc, oui, la gestion d'un simple TCP flood peut devenir une véritable galère pour un administrateur réseau et sécurité.

principales menaces sous IPv6

Prenez l'ensemble des types de menaces déjà connues sous IPv4 (spoofing, flooding, déni de service, ...), retirez quelques noyaux (NAT, ARP, ...) et rajoutez un zeste d'IPv6 (Routing Header 0, tunneling IPv4-IPv6)... votre nouveau terrain de jeu au niveau technique est opérationnel.

Ne sous-estimez pas non plus la formation des équipes sécurité, bureautique et des utilisateurs s'ils sont amenés à manipuler des adresses IPv6 :

 - "pouvez-vous me confirmer que votre adresse IP est bien 2001:db8:0:85a3::ac1f:8001 ?"
 - "Ah non, mon adresse c'est 2001:0db8:0000:85a3:0000:0000:ac1f:8001 !
"

un peu de lecture pour les plus impatients

En attendant la publication prochaine d'articles plus spécifiques à la sécurité IPv6, je vous livre ici une première série de liens (les plus pertinents à mon goût) vers des sites ou des documents traitant de la sécurité IPv6. La liste est sommaire mais une rapide recherche sur votre moteur de recherche préféré vous montrera que la littérature sur le sujet est assez redondante.

les principaux

les incontournables

les produits et services

appel aux plus chevronnés

La liste ci-dessus est bien évidemment loin d'être exhaustive et vous permettra seulement de vous constituer un premier bookmark sur le sujet.

Ceux d'entre vous qui sont déjà allés plus loin dans leurs lectures ou leurs recherches, peuvent nous communiquer via la section "Commentaires", les adresses qu'ils souhaitent partager.

credit image : © so47 - Fotolia.com

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage