Basculement vers IPv6: comment les entreprises doivent-elles s’y préparer ?
Il n’y a bientôt plus d’adresses IPv4 disponibles. Les dernières ont été attribuées par l’IANA aux registres Internet régionaux (RIR) en février 2011 et un basculement vers le protocole (IPv6) est nécessaire pour permettre l’affectation d’adresses aux nouveaux équipements connectés à Internet.
Un avant-goût de l’avenir a été donné en juin 2011
lors de la journée mondiale IPv6 quand des entreprises telles que
Microsoft, Google, Facebook, Colt et Orange Business Services ont participé au
premier test planétaire « grandeur nature » d’IPv6. L’objectif était
de motiver les différents acteurs du secteur – FAI, fabricants, éditeurs
de systèmes d’exploitation, sites Web… – à préparer leurs services en vue de
réussir la transition vers IPv6 une fois les adresses IPv4 épuisées.
Après des années de mise en place par les
fournisseurs d’infrastructures et des mois de préparation par les
fournisseurs de contenus et de services pour la constitution
des environnements de routage et de ‘namespace’, la journée IPv6 s’est
déroulée avec succès mais a également révélé que la route vers la pleine
adoption d’IPv6 allait être longue.
Quelles menaces sont-elles à craindre avec l’arrivée d’IPV6 pour la
sécurité des entreprises ?
De nombreux routeurs et autres éléments des réseaux
n’offrent pas encore le même degré de prise en charge d’IPv6 que pour
IPv4. Même s’ils reconnaissent IPv6, ils n’ont pas fait l’objet de tests
poussés, par conséquent le risque de problèmes imprévus est déjà élevé même si
on ne prend pas en compte les risques d’attaques. Tant que la proportion d’utilisateurs d’IPv6 restera
très faible comme c’est le cas aujourd’hui, des attaques sont peu
probables : les pirates n’ont en effet guère d’intérêt à viser un nombre
réduit de cibles. Cependant, à mesure que le nombre d’entreprises
utilisant IPv6 augmentera, il en ira rapidement de même pour les risques
d’attaques.
Quelles sont les types d’attaques prévisibles ?
Les premières attaques sur IPv6 seront très
similaires à celles dirigées contre IPv4 car le plus facile sera
vraisemblablement de transposer ces dernières. Ensuite viendront sans doute
des attaques employant des en-têtes d’extension destinés à susciter une
réponse d’un nœud intermédiaire (routeur) ou d’un terminal. Les attaques
empruntant des tunnels devraient être les plus courantes en raison de la
capacité des tunnels à masquer le contenu du trafic qui les traverse. Certains
experts IPV6 font d’ailleurs remarquer que bittorrent est l’une des
applications les plus courantes faisant usage des tunnels IPv6.
En outre, lorsque les utilisateurs peuvent obtenir
un accès physique à un réseau local (LAN), il existe d’importants risques
d’annonces de routeurs « pirates », qu’elles soient intentionnelles
ou non. Cela peut se produire si un utilisateur connecte par inadvertance un
routeur à un réseau local et attribue une adresse IPv6 à l’interface
reliée au LAN. Certains routeurs vont se mettre à envoyer des annonces et à
répondre aux sollicitations de routeur par défaut, même si le routeur n’a aucun
accès à Internet. En conséquence, les utilisateurs IPv6 du LAN peuvent être
amenés à penser que ce routeur fournit une voie d’accès valide à Internet,
alors qu’en fait le trafic passant par celui-ci sera intercepté.
Ou bien un « pirate » pourrait connecter
au LAN un équipement se comportant comme un routeur IPv6 et reproduire le
cas de figure décrit ci-dessus. Tous les nœuds du réseau « leurrés »
faisant transiter les paquets par l’équipement pirate verront leur trafic
intercepté et potentiellement espionné. Ou encore, le pirate pourrait connecter
au LAN un équipement se comportant comme un routeur IPv6 et transmettant
effectivement les paquets sur Internet, mais après avoir les avoir examinés
et/ou manipulés dans ce qui pourrait ressembler à une attaque de type
« man in the middle ».
Comment
les entreprises peuvent-elles s’assurer qu’elles sont prêtes pour
le basculement vers IPv6 sans risques ?
A la lumière de ce qui a été dit précédemment certaines
précautions sont à prendre. Il existe deux solutions possibles pour contrer ces attaques. Les entreprises
peuvent mettre en œuvre le protocole sécurisé SEND (Secure Neighbour Discovery) si la menace est jugée suffisante pour
justifier l’investissement nécessaire. Hélas la prise en charge de SEND par les
fabricants est encore très limitée. Une autre solution pourrait consister à
filtrer les annonces et sollicitations de routeurs au niveau de la
couche 2 (commutateur Ethernet).
Pour un réseau à serveurs fixes (dans un centre de
données, par exemple), il est possible de configurer manuellement
l’adressage IPv6 sur ces serveurs et d’interdire à leur système d’exploitation
de configurer l’accès réseau par SLAAC (Stateless
Address Auto-Configuration). Il ne faut pas sous-estimer le risque de ‘black
holing‘ du trafic qui pourrait se produire si un ordinateur destinataire
apparaissait aux serveurs et autres hôtes du réseau comme accessible via
IPv6 alors qu’il ne l’est pas. Les ingénieurs réseau doivent s’assurer que
leurs serveurs ne sont pas mal configurés avec des routes IPv6 par défaut et
que des adresses IPv6 de serveurs non ‘routables’ ne sont pas fournies par
le DNS.
Les ingénieurs réseau doivent comprendre les
problématiques entourant la configuration automatique ou manuelle des tunnels.
Si les versions les plus récentes des systèmes d’exploitation gèrent
correctement le ‘tunneling’ IPv6, ce n’est peut être pas le cas des plus
anciennes. Les ingénieurs réseau doivent donc vérifier que leurs systèmes
gèrent correctement l’ajustement du MTU (Maximum
Transmission Unit) pour la prise en charge des tunnels et que leurs ‘firewalls’
ne bloquent pas les messages ICMPv6 ‘paquet trop volumineux‘.
Ils doivent également veiller à ce que leurs
outils, routeurs et équipements de sécurité offrent le même niveau de capacité
pour le trafic IPv6 que pour IPv4. Aujourd’hui, plus que jamais, il est
essentiel pour les entreprises de vérifier que le matériel et les logiciels
dont elles s’équipent sont compatibles avec IPv6. Il leur faut évaluer la prise
en charge d’IPV6 par leur parc actuel d’équipements réseaux et prévoir des
plans de mise à niveau si nécessaire. Certains équipements peuvent en effet
nécessiter une mise à jour logicielle ou matérielle spécifique pour se
conformer à la configuration minimale requise pour IPv6.
Les entreprises doivent enfin vérifier les
capacités IPv6 de leurs fournisseurs d’accès Internet. Tout comme pour IPv4,
les grandes entreprises de même que les entreprises ‘multi-homed’ doivent
prévoir l’acquisition de blocs d’adresses IPv6 auprès de leur RIR. Les entreprises
plus petites peuvent quant à elles se contenter de la plage d’adresses fournie
par leur FAI.
Il y a encore quelques années, il pouvait être
intéressant mais pas indispensable de demander à un fabricant si son matériel
était compatible avec IPv6.
Aujourd’hui, cette question est devenue une première
étape essentielle pour déterminer si le produit répondra aux besoins à mesure
que l’univers Internet commencera à déployer IPv6.