Internet Procedure vesion 6 - IPV6 V4 - Computerland

ComputerLand

IPv6 sous contrôleAnalyse de l'impact sur votre infrastructure IT

Bienvenue !

Agenda

14h • Principes de base

14h30 • Intégration IPv6

14h50 • IPv6 et la sécurité

15h10• Comment préparer

votre entreprise

Pour vous éclairer

Gauthier Marting

IT System Engineer

Michaël Huynh

IT System Engineer

Philippe Monfils

IT Consultant

Patrick Keutgen

IT Project team

Agenda





votre entreprise

Principes de baseIPv6 : Pourquoi ?

1. Problème de disponibilité• Adressage IPv4 = 4,3 milliards d’adresses (32 bits)• Adresses disponibles déjà

– largement utilisées– mal utilisées (bloc d’adresses dédicacé initialement pour de grandes organisations)

• Reste peu d’adresses disponibles pour les pays émergeant

60 à 75% pour les US pour 5% de la population développement plus rapide de l’IPv6 en Asie


2. Explosion des besoins :• Services mobiles (gprs, umts, …)• Services wifi• Électronique connectée (télévision, consoles, …)• Véhicule connecté• Domotique• …


3. Combler les limitations IPv4 :• Pas orienté plug & play• Mobilité• Complexité du NAT (incompatibilité de certains protocoles et

applications)• Problème de sécurité

Principes de baseLes nouveautés ?

1. Adresses sur 128 bits (contre 32 bits en IPv4) = 3,4*1038

2. Routage optimisé 3. En tête plus simple (8 champs au lieu de 13 en IPv4)

• Amélioration de la performance• Comprenant des infos pour la mobilité, la qualité de service et la

sécurité

4. Couche IPSec intégrée 5. Mécanisme d’autoconfiguration6. Intégration et gestion de la mobilité

• Portage (multi réseau, multi pays)• Performance• Autoconfiguration

Principes de baseStructure du protocole5 champs en moins dans le header :• Header Length : taille fixe contre variable (entre 20 et 60 bytes) -

en IPv6, on utilisera les « extension headers »• Identification – Flags – Fragment Offset : Méconnaissance du

MTU distant et fragmentation contre connaissance du MTU distant (Path MTU Discovery) et utilisation des « extension headers » si fragmentation nécessaire

• Checksum : Plus nécessaire au niveau des routeurs

1 nouveau champ : Flow labelIndicateur associé à l’adresse source et l’adresse destination permet un traitement identique des paquets pour un même flux

D’autres champs remplacés et renommés

Pour résumer : simplification et optimisation plus rapide pour le traitement

Principes de baseAddress SpaceIPV4

• 4,3 milliards d’adresses• 2.113.389 réseaux (classe A, B, C, D et E)

IPv6• 340 282 366 920 938 463 463 374 607 431 768 211 456 d’adresses• 6,65 X 1023 adresses par m² sur terre !

Principes de baseAddress Notation

Une adresse IPv6 est composée de 128 bits (16 bytes) et est divisée en 8 blocs hexadécimaux de 16 bits (2 bytes) séparés par le caractère « : »Exemple :2001:0DB8:0000:0056:0000:0000:EF12:1234

Plusieurs simplifications sont possibles :1. 2001:DB8:0000:56:0000:0000:EF12:1234 (suppression des 0 de

gauche)2. 2001:DB8:0:56:0:0:EF12:1234 (suppression d’un bloc de 4 0 par un

seul)3. 2001:DB8::56:0:0:EF12:1234 (remplacement de 0 contigu par ::) 4. 2001:DB8:0:56::EF12:1234 (ou ceci)Le « :: » est unique dans l’adresse

2001:DB8::56::EF12:1234

Principes de baseGlobal Routing PrefixTout comme pour IPV4, IPv6 utilise un préfix afin d’identifier la partie réseau de l’adresse

Le principe de notation est identique :•IPv6 Address/Prefix Length•La longueur du préfixe indique le nombre de bits le plus à gauche, utilisé pour déterminer le réseau :2E78:DA53:1200::/40

HEX Notation Binary Notation Number of bits2E78 0010 1110 0111 1000 16

DA53 1101 1010 0101 0011 16

12 0001 0010 8

Total : 40

Principes de baseGlobal Routing PrefixAttention à la simplification d’adresse. Prenons l’exemple suivant :• Address Notation :

2001:0DB8:0000:0056:0000:0000:EF12:1234/64• Prefix Notation :

2001:0DB8:0000:0056/64• Simplified Prefix Notation :

2001:DB8::56/64

En se basant sur la « Simplified Prefix Notation », vérifions l’adresse que nous obtenons : 2001:0DB8:0000:0000:0000:0000:0000:0056/64

Et revenons à une expression simplifiée du préfixe :2001:0DB8:0000:0000::/64

La simplification nous a dirigé vers une mauvaise interprétation ! Nous devons donc noter l’adresse de la manière suivante :2001:0DB8:0:56::/64

Principes de baseAddress TypeUnicast Address Identifie de manière unique une interface IPv6. Un paquet envoyé à une adresse de type unicast sera transmis à l’interface identifiée par cette adresse (idem IPV4)

Multicast Address Identifie un groupe d’interface IPv6. Un paquet envoyé à une adresse de type multicast sera traité par tous les membres du groupe multicast (idem IPv4). En IPv6, le broadcast est remplacé par le multicast

Anycast AddressUne adresse de type anycast est assignée à plusieurs interfaces IPv6. Un paquet envoyé à une adresse de type anycast sera transmis uniquement à l’une des interfaces, généralement la plus proche

Autres types d’adresses réservées:• Unspecified addresses « :: » (ipv4 : 0.0.0.0) – Processus d’initialisation• Loopback addresses « ::1 » (ipv4 : 127.0.0.1) – Localhost• 6to4 addresses 2002::/16 fabriquée avec IP publique (v4)• Teredo addresses 2001::/32 Idem mais par Microsoft• Unassigned addresses réserve IANA• …

Principes de basePrincipaux préfixes

Allocation Prefix Binary Prefix HEX

Unassigned 0000 0000 ::0/8

Global Unicast 001 2000::/3

Link-Local Unicast 1111 1110 10 FE80::/10

ULA Unicast 1111 110 FC00::/7

MultiCast 1111 1111 FF00::/8

Anycast 001 2000::/3

… … …

Principes de basePour résumer1. Les IP publiques laissent la place aux adresses de type Global

Unicast35 184 372 088 832 (245) réseaux « publics » divisibles chacun en 65 536 (216) sous réseaux - Chaque réseau 264 hôtes

1er Adresse : 2000:0000:0000:0000:0000:0000:0000:0000Dernière Adresse : 3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF

2. Fin du NATChaque équipement nécessitant un accès Internet possèdera une IPv6 de type Global Unicast

3. Plusieurs adresses IPv6 par équipement(Link-Local, Global Unicast, Teredo, Multicast, Anycast, …)

Principes de baseRoutageLes principes restent fort proches entre IPv6 et v4Les protocoles dynamiques ont été reconstruits

• RIPng <-> RIPv2 , IPv6 EIGRP <-> EIGRP• IPv6 IS-IS <-> IS-IS, OSPFv3 <-> OSPFv2, extensions IPv6 pour BGP

Le principe de route statique persiste

Agenda




15h10 • Comment préparer votre entreprise

Intégration IPv6InteropérabilitéLe basculement vers IPv6 est progressif (il a déjà commencé) phases de transition

Techniques d’interopérabilité :1. Dual stack / Dual layer2. Tunneling 3. Translation

Intégration IPv6Dual StackSupport complet des deux protocoles sur les équipements

En pratique :1. Déjà présent sur les OS modernes2. Permet la cohabitation 3. Migration progressive

Intégration IPv6EncapsulationUn protocole est encapsulé dans un autre protocole

Trois composants :• Encapsulation à l’entrée du tunnel• Décapsulation à la sortie du tunnel• Gestion du tunnel

IPv6 header Payload

IPv4 header

IPv6 header Payload

Paquet IPv6 d’origine envoyé d’un PC vers l’entrée du tunnel

Paquet encapsulé envoyé vers la sortie du tunnel

Réseau IPv6 Réseau IPv6

PaulIPv6

JacquesIPv6

R1 R2

Tunnel endpoint Tunnel endpoint

Réseau IPv4

Intégration IPv6

Fonctionnement:1. Les paquets sont envoyés à R12. R1 extrait l’adresse IPv4 de l’adresse IPv6 de destination3. R1 envoie les paquets à R24. R2 décapsule et envoie les paquets à la destination finale

Problèmes :5. Le relay 6to4 doit avoir une adresse IP publique IPv46. 6to4 gère mal le NAT

FP001

TLAOx0002 Adresse IPv4 SLA ID Interface ID

3 bits 13 bits 32 bits 16 bits 64 bits

Tunneling automatique : 6to4Mécanisme permettant à deux sites IPv6 de communiquer à travers un nuage IPv4

Adresse IPv6 réservée 2002::/16

Intégration IPv6Tunneling automatique : Teredo• Utilise des paquets de type « TEREDO » • Teredo utilise UDP (port 3544)• Supporte le NAT• Adresse IPv6 réservée : 2001::/32• Origine : Microsoft

Prefix Adresse IPv4 Flags

32 bits 32 bits 16 bits

Port

16 bits

Adresse IPv4 client

32 bits

Préfixe Teredo

Adresse IPv4 d’un serveur Teredo

Adresse et type de NAT

Port UDP du client Adresse IPv4 du

poste client

Intégration IPv6Teredo : exemple

Intégration IPv6Translation : NAT-PT

Intégration IPv6Résumé

Avantage Inconvénient

DUAL-STACK Facile d’utilisationSupression IPv4 à la fin de la migration

Usage CPU et mémoire (double gestion)Protéger le réseau IPv6

TUNNELING Migration par étapes : LAN : IPv6 avec un ISP IPv4LAN : IPv4 avec un ISP IPv6

Usage CPU et mémoire (encapsulation)Attention à la sécurité du LAN

NAT-PT Un hôte IPv4 peut directement parler avec un hôte IPv6

Pas de sécurité point à point

Intégration IPv6Oui mais … QUAND ?Les facteurs qui vont encourager la migration :• Le manque d’adresses v4 publiques• Réseaux IPv6 inaccessibles depuis IPv4• Des applications IPv6 « only » pourraient sortir• Garantir l’interopérabilité• Le besoin de nouvelles fonctionnalités apportée par IPv6 (sécurité,

mobilité, …)• Et surtout … pour anticiper le changement

D’un autre côté :• Les mécanismes de cohabitation existent• Les éditeurs de logiciels ne sont pas fous !

Agenda




15h10 • Comment préparer votre entreprise

IPv6 et la sécuritéIPv4 Deny of service Scan réseau Propagation des malwares

IP est sujet aux attaques suivantes : – packet sniffing (capture de paquets)– IP spoofing (vol d’adresses IP)– Connection hijacking (corruption des paquets IP)

IPv6 et la sécurité

ConstatAdresses IPv6 codées sur 128 bits (3,4 * 1038 possibilités)

Scanner le réseau demande un temps considérable …264 hôtes = 584.942.417.355 années

Certains programmes malicieux auront difficile à se propager Mais pas d’impact sur les bots & virus qui se propagent souvent par email


SolutionA la conception d’IPv6, des mesures ont été prises pour contrer ce genre d’attaques via l’intégration d’IPSec (Internet Protocol Security)• Confidentialité & intégrité des données• Authentification de l'origine des données• Protection contre les attaques de type Replay

Mais IPSec permet aussi :• Création de VPN• Sécuriser les accès distants (Utilisation nomade)• Protection d’un serveur sensible


Conclusions

1. IPv6 améliore la sécurité :1. Intégration IPSec2. Nombre important d’adresses IPv6 possible

2. Le passage à IPv6 ne sera certainement pas un inhibiteur pour la cybercriminalité qui continue à se développer très fortement

1. Logiciels malveillants toujours plus sophistiqués2. Combinant plusieurs types d’attaques

3. ll est donc essentiel pour toutes les organisations de s’équiper d’une première ligne de défense efficace en déployant des solutions de sécurité multi-menaces

Agenda





votre entreprise

Comment préparer votre entrepriseEn pratique• Généralisation de l’utilisation du DNS• Mise à jour des OS et applicatifs• Attention aux applicatifs « métiers »• La chasse aux adresses IPv4 « hard codées » est ouverte• Familiarisez-vous avec les concepts !

ComputerLand peut vous aider :• Conseil• Audit• Veille technologique

Questions ?

Prochaines présentations

Internet Procedure vesion 6 - IPV6 V4 - Computerland

Technology

Transcript of Internet Procedure vesion 6 - IPV6 V4 - Computerland