1

Lettre d'information IPv6 – 9 octobre 2012

La présente lettre d'information peut être diffusée gratuitement et de manière illimitée. Elle vise cependant tout d’abord à informer les gestionnaires informatiques, les chefs de projets et les responsables réseaux des services publics fédéraux belges des nouveaux développements et des possibilités techniques d'IPv6.

Bart Hanssens,Expert interopérabilitéFedict (DG Standards et Architecture du système)

Table des matières

Configuration DNS

DNS records

Reverse DNS

Impact éventuel sur le firewall

Quel protocole a priorité ?

Si un serveur possède à la fois un « A-record » et un « AAAA-record »

Serveur: DNS Whitelisting déconseillé

Client: IPv6 et repli vers IPv4

Client: Happy Eyeballs

Site de test et Javascripts

Cour des Comptes accessible via IPv6

L'introduction d'IPV6 dans l'administration fédérale belge

Décision du Conseil des ministres

Responsabilités

Support

Pour les collaborateurs IT des SPF/SPP

Pour les managers IT des SPF/SPP

Lettre d'information IPv6 – 9 octobre 2012

2

CONFIGURATION DNS

DNS records

Les serveurs DNS enregistrent l’adresse IPv4 d’une machine dans un « A-record », tandis qu’une adresse IPv6 (4 fois plus longue) est enregistrée dans un « AAAA-record ». Ces records peuvent coexister et peuvent être consultés tant sur IPv4 que sur IPv6.

Un système peut dès lors (mais ne doit pas obligatoirement) posséder simultanément une adresse IPv4 et une adresse IPv6 ; et le contenu d’un « AAAA-record » peut à la fois être envoyé sur IPv4 et sur IPv6.

Reverse DNS

Le système Reverse DNS, où le serveur DNS doit donner un nom de machine correspondant à une adresse IP, est parfois utilisé comme mode de contrôle par les filtres anti-spam.

Tout comme pour IPv4, il est possible de créer des « PTR-records » pour IPv6 : ils sont eux aussi un peu plus longs et font partie du domaine « ip6.arpa » (au lieu de « in-addr.arpa »).

Impact éventuel sur le firewall

Les requêtes DNS se déroulent souvent via UDP, ce qui est plus efficace que les requêtes via TCP. Étant donné que les adresses IPv6 sont plus longues, il peut arriver que le résultat de ces requêtes soit plus long que les 512 octets prévus initialement 1, ce qui peut faire échouer la requête.

Les gestionnaires de réseaux ont donc intérêt à mettre en place un « Extension Mechanism for DNS » (EDNS0) 2, une option qui est d’ailleurs aussi nécessaire pour implémenter une sécurisation DNSSEC3 (qui en soi n’a rien avoir avec IPv6).

Il se peut que la configuration du firewall doive être adaptée.

1 http://tools.ietf.org/html/rfc1035 2 http://tools.ietf.org/html/rfc2671 3 http://tools.ietf.org/html/rfc4033

Lettre d'information IPv6 – 9 octobre 2012

3

QUEL PROTOCOLE A PRIORITÉ ?

Si un serveur possède à la fois un « A-record » et un « AAAA-record »

Si un serveur possède à la fois un « A-record » et un « AAAA-record », on ne sait pratiquement pas prévoir quel protocole le client utilisera pour communiquer avec ce serveur : cela dépend en effet de l’environnement de réseau, du système d’exploitation, et de l’application avec lesquels il travaille.

Serveur: DNS Whitelisting déconseillé

Le système « DNS Whitelisting », où un serveur DNS n’envoie les « AAAA-records » que dans les environnements compatibles IPv6, est déconseillé car cela demande davantage de maintenance et que, à terme, l’introduction d’IPv6 est plutôt contre-productive qu’efficace.4

Client: IPv6 et repli vers IPv4

Pour promouvoir l’usage d’IPv6, certains systèmes donnent la préférence à IPv6 lorsque l’environnement de réseau a été configuré afin d’utiliser à la fois IPv4 et IPv6.

Dans de rares cas, il peut y avoir des problèmes avec la connexion IPv6 et l’application attend le TCP time-out avant de lancer une connexion IPv4. En fonction du système, cette attente peut durer de quelques secondes à plusieurs minutes, ce qui est très incommodant pour l’utilisateur final, surtout dans le cas de sites web.

Il est possible de déterminer le nombre d’utilisateurs qui seront confrontés à ce problème. Les grands fournisseurs et opérateurs d’Internet comme Facebook, Yahoo, Google, etc. ont signalé que 0,02% à 0,1% de leurs utilisateurs avaient été confrontés à une « IPv6-brokenness ». C’était principalement dû à des bugs dans des systèmes spécifiques et à des environnements de réseau mal configurés.

Client: Happy Eyeballs

Pour lutter contre ce phénomène, certains navigateurs utilisent le système « Happy Eyeballs »5 , où le protocole le plus adapté est sélectionné en testant effectivement la disponibilité et la vitesse d’IPv4 et IPv6.

Lorsque ce type de navigateur reçoit un « A-record » ou un « AAAA-record », il tente d’établir (quasi) simultanément une connexion IPv6 et IPv4. Le protocole qui « gagne » est provisoirement enregistré et directement utilisé la fois suivante pour établir une connexion.

Le grand avantage est que l’utilisateur ne remarque rien (y compris aucun retard). L’inconvénient est que des connexions (inutiles) un peu plus nombreuses sont établies avec le serveur.

4 http://tools.ietf.org/html/rfc6589 5 http://tools.ietf.org/html/rfc6555

Lettre d'information IPv6 – 9 octobre 2012

4

SITE DE TEST ET JAVASCRIPTS

Les utilisateurs techniques qui souhaitent tester rapidement via un navigateur si leur configuration Internet est compatible avec IPv6 peuvent se rendre sur le site http://test-ipv6.com/. Une série de tests automatiques (via Javascript) y seront réalisés et généreront des éventuels rapports de problèmes, avec une brève description des causes possibles et des suggestions de solutions.

Bien entendu, il est aussi possible de placer un tel script de test (sous forme adaptée ou non) sur son propre site web. Pour ce faire, on peut utiliser le code de http://code.google.com/p/falling-sky/ ou http://www.getipv6.info/index.php/Warning_broken_users_with_JavaScript.

COUR DES COMPTES ACCESSIBLE VIA IPV6

Depuis début octobre, le site web de la Cour des comptes (http://www.ccrek.be) est également accessible via IPv6. Pour tout complément d’information, veuillez prendre contact avec Bart Vermoesen.

Lettre d'information IPv6 – 9 octobre 2012

5

L'INTRODUCTION D'IPV6 DANS L'ADMINISTRATION FÉDÉRALE BELGE

Décision du Conseil des ministres

Le Conseil des ministres du 22 juin 2012 a décidé que les services publics fédéraux doivent être compatibles avec IPv6 dans les deux ans6.

À cet égard, il convient d'accorder la priorité aux sites web et services (web) utilisés par les citoyens, les entreprises et les autres services publics. Une période de transition est prévue, durant laquelle les services seront accessibles tant via IPv4 que via IPv6.

Responsabilités

En sa qualité d'intégrateur de services, Fedict peut remplir une fonction de coordination mais la responsabilité de l'introduction d'IPv6 incombe aux services publics mêmes.

Afin de souligner l'importance économique d'IPv6, le SPF Économie présidera un groupe de travail dans lequel l'IBPT sera également représenté.

SUPPORT

Pour les collaborateurs IT des SPF/SPP

Fedict a créé un espace de travail IPv6 sur beConnected, la plate-forme sécurisée pour l'échange de documents entre les différents services publics.

Les informations présentes dans cet espace de travail sont surtout destinées aux managers IT, responsables réseaux et chefs de projets (IT).

Contactez le responsable beConnected de votre service si vous n'avez pas encore accès à cette plate-forme. Si vous avez déjà accès à beConnected, vous pouvez sur simple demande obtenir l'accès à l'espace de travail IPv6.

Pour les managers IT des SPF/SPP

Outre l'espace de travail sur beConnected, les managers IT des SPF et SPP peuvent également s'adresser au Groupe de pilotage ICT permanent (PICTS).

6 http://presscenter.org/fr/pressrelease/20120623/plan-de-d%C3%A9ploiement-de-lipv6-en-belgique?setlang=1

Lettre d'information IPv6 – 9 octobre 2012