5. Principes de base
IPv6 : Pourquoi ?
1. Problème de disponibilité
• Adressage IPv4 = 4,3 milliards d’adresses (32 bits)
• Adresses disponibles déjà
– largement utilisées
– mal utilisées (bloc d’adresses dédicacé
initialement pour de grandes organisations)
• Reste peu d’adresses disponibles
pour les pays émergeant
60 à 75% pour les US pour 5% de la population
développement plus rapide de l’IPv6 en Asie
7. Principes de base
IPv6 : Pourquoi ?
3. Combler les limitations IPv4 :
• Pas orienté plug & play
• Mobilité
• Complexité du NAT (incompatibilité de certains protocoles et
applications)
• Problème de sécurité
8. Principes de base
Les nouveautés ?
1.
2.
3.
Adresses sur 128 bits (contre 32 bits en IPv4)
= 3,4*1038
Routage optimisé
En tête plus simple (8 champs au lieu de 13 en IPv4)
•
•
4.
5.
6.
Amélioration de la performance
Comprenant des infos pour la mobilité, la qualité de service et
la sécurité
Couche IPSec intégrée
Mécanisme d’autoconfiguration
Intégration et gestion de la mobilité
•
•
•
Portage (multi réseau, multi pays)
Performance
Autoconfiguration
9. Principes de base
Structure du protocole
5 champs en moins dans le header :
•
•
•
Header Length : taille fixe contre variable (entre 20 et 60
bytes) - en IPv6, on utilisera les « extension headers »
Identification – Flags – Fragment Offset : Méconnaissance
du MTU distant et fragmentation contre connaissance du
MTU distant (Path MTU Discovery) et utilisation des
« extension headers » si fragmentation nécessaire
Checksum : Plus nécessaire au niveau des routeurs
1 nouveau champ : Flow label
Indicateur associé à l’adresse source et l’adresse
destination permet un traitement identique des
paquets pour un même flux
D’autres champs remplacés et renommés
Pour résumer : simplification et
optimisation
plus rapide pour le traitement
10. Principes de base
Address Space
IPV4
• 4,3 milliards d’adresses
• 2.113.389 réseaux (classe A, B, C, D et E)
IPv6
• 340 282 366 920 938 463 463 374 607 431 768 211 456 d’adresses
• 6,65 X 1023 adresses par m² sur terre !
11. Principes de base
Address Notation
Une adresse IPv6 est composée de 128 bits (16 bytes) et est divisée en 8
blocs hexadécimaux de 16 bits (2 bytes) séparés par le caractère « : »
Exemple :
2001:0DB8:0000:0056:0000:0000:EF12:1234
Plusieurs simplifications sont possibles :
1. 2001:DB8:0000:56:0000:0000:EF12:1234 (suppression des 0 de
gauche)
2. 2001:DB8:0:56:0:0:EF12:1234 (suppression d’un bloc de 4 0 par un
seul)
3. 2001:DB8::56:0:0:EF12:1234 (remplacement de 0 contigu par ::)
4. 2001:DB8:0:56::EF12:1234 (ou ceci)
Le « :: » est unique dans l’adresse
2001:DB8::56::EF12:1234
12. Principes de base
Global Routing Prefix
Tout comme pour IPV4, IPv6 utilise un préfix afin d’identifier la
partie réseau de l’adresse
Le principe de notation est identique :
• IPv6 Address/Prefix Length
• La longueur du préfixe indique le nombre de bits le plus à gauche, utilisé
pour déterminer le réseau :
2E78:DA53:1200::/40
HEX Notation
Binary Notation
Number of bits
2E78
0010 1110 0111 1000
16
DA53
1101 1010 0101 0011
16
12
0001 0010
8
Total : 40
13. Principes de base
Global Routing Prefix
Attention à la simplification d’adresse. Prenons l’exemple suivant :
•
Address Notation :
•
Prefix Notation :
•
Simplified Prefix Notation :
2001:0DB8:0000:0056:0000:0000:EF12:1234/64
2001:0DB8:0000:0056/64
2001:DB8::56/64
En se basant sur la « Simplified Prefix Notation », vérifions l’adresse que nous obtenons :
2001:0DB8:0000:0000:0000:0000:0000:0056/64
Et revenons à une expression simplifiée du préfixe :
2001:0DB8:0000:0000::/64
La simplification nous a dirigé vers une mauvaise interprétation !
Nous devons donc noter l’adresse de la manière suivante :
2001:0DB8:0:56::/64
14. Principes de base
Address Type
Unicast Address
Identifie de manière unique une interface IPv6. Un paquet envoyé à une adresse de type unicast
sera transmis à l’interface identifiée par cette adresse (idem IPV4)
Multicast Address
Identifie un groupe d’interface IPv6. Un paquet envoyé à une adresse de type multicast sera
traité par tous les membres du groupe multicast (idem IPv4). En IPv6, le broadcast est remplacé
par le multicast
Anycast Address
Une adresse de type anycast est assignée à plusieurs interfaces IPv6. Un paquet envoyé à une
adresse de type anycast sera transmis uniquement à l’une des interfaces, généralement la plus
proche
Autres types d’adresses réservées:
•
•
•
•
•
•
Unspecified addresses
Loopback addresses
6to4 addresses
Teredo addresses
Unassigned addresses
…
« :: » (ipv4 : 0.0.0.0) – Processus d’initialisation
« ::1 » (ipv4 : 127.0.0.1) – Localhost
2002::/16 fabriquée avec IP publique (v4)
2001::/32 Idem mais par Microsoft
réserve IANA
16. Principes de base
Pour résumer
1.
Les IP publiques laissent la place aux adresses de type Global
Unicast
35 184 372 088 832 (245) réseaux « publics » divisibles chacun en
536 (216) sous réseaux - Chaque réseau 264 hôtes
1er Adresse :
Dernière Adresse :
2.
65
2000:0000:0000:0000:0000:0000:0000:0000
3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
Fin du NAT
Chaque équipement nécessitant un accès Internet possèdera une IPv6
de type Global Unicast
3.
Plusieurs adresses IPv6 par équipement
(Link-Local, Global Unicast, Teredo, Multicast, Anycast, …)
17. Principes de base
Routage
Les principes restent fort proches entre IPv6 et v4
Les protocoles dynamiques ont été reconstruits
•
•
RIPng <-> RIPv2 , IPv6 EIGRP <-> EIGRP
IPv6 IS-IS <-> IS-IS, OSPFv3 <-> OSPFv2, extensions IPv6 pour BGP
Le principe de route
statique persiste
19. Intégration IPv6
Interopérabilité
Le basculement vers IPv6 est progressif (il a déjà commencé)
phases de transition
Techniques d’interopérabilité :
1.
2.
3.
Dual stack / Dual layer
Tunneling
Translation
20. Intégration IPv6
Dual Stack
Support complet des deux protocoles sur les équipements
En pratique :
1.
2.
3.
Déjà présent sur les OS modernes
Permet la cohabitation
Migration progressive
21. Intégration IPv6
Encapsulation
Un protocole est encapsulé dans un autre protocole
IPv6 header
IPv4
header
Paquet IPv6 d’origine envoyé d’un
PC vers l’entrée du tunnel
Payload
IPv6 header
Paquet encapsulé envoyé vers la
sortie du tunnel
Payload
Trois composants :
•
•
•
Encapsulation à l’entrée du tunnel
Décapsulation à la sortie du tunnel
Gestion du tunnel Réseau IPv6
Réseau IPv6
Tunnel endpoint
Tunnel endpoint
Réseau IPv4
R1
Paul
IPv6
R2
Jacques
IPv6
22. Intégration IPv6
Tunneling automatique : 6to4
Mécanisme permettant à deux sites IPv6 de communiquer à travers un
3 bits 13 bits
32 bits
16 bits
64 bits
nuage IPv4
Adresse IPv6 réservée 2002::/16
FP
001
TLA
Ox0002
Adresse IPv4
SLA ID
Fonctionnement:
1.
2.
3.
4.
Les paquets sont envoyés à R1
R1 extrait l’adresse IPv4 de l’adresse IPv6 de destination
R1 envoie les paquets à R2
R2 décapsule et envoie les paquets à la destination finale
Problèmes :
1.
2.
Le relay 6to4 doit avoir une adresse IP publique IPv4
6to4 gère mal le NAT
Interface ID
23. Intégration IPv6
Tunneling automatique : Teredo
•
•
•
•
•
Utilise des paquets de type « TEREDO »
Teredo utilise UDP (port 3544)
32 bits
Supporte le NAT
Adresse IPv6 réservée : 2001::/32
Préfixe Teredo
Origine : Microsoft
Prefix
32 bits
Adresse IPv4
16 bits
16 bits
32 bits
Flags
Port
Adresse IPv4 client
Port UDP
Adresse IPv4 d’un
du client
serveur Teredo
Adresse et type
de NAT
Adresse IPv4 du
poste client
26. Intégration IPv6
Résumé
Avantage
Inconvénient
DUAL-STACK
Facile d’utilisation
Supression IPv4 à la fin de la
migration
Usage CPU et mémoire
(double gestion)
Protéger le réseau IPv6
TUNNELING
Migration par étapes :
LAN : IPv6 avec un ISP IPv4
LAN : IPv4 avec un ISP IPv6
Usage CPU et mémoire
(encapsulation)
Attention à la sécurité du
LAN
NAT-PT
Un hôte IPv4 peut
directement parler avec un
hôte IPv6
Pas de sécurité point à
point
27. Intégration IPv6
Oui mais … QUAND ?
Les facteurs qui vont encourager la migration :
•
•
•
•
•
•
Le manque d’adresses v4 publiques
Réseaux IPv6 inaccessibles depuis IPv4
Des applications IPv6 « only » pourraient sortir
Garantir l’interopérabilité
Le besoin de nouvelles fonctionnalités apportée par IPv6 (sécurité,
mobilité, …)
Et surtout … pour anticiper le changement
D’un autre côté :
•
•
Les mécanismes de cohabitation existent
Les éditeurs de logiciels ne sont pas fous !
29. IPv6 et la sécurité
IPv4
Deny of service
Scan réseau
Propagation des malwares
IP est sujet aux attaques suivantes :
– packet sniffing
(capture de paquets)
– IP spoofing
(vol d’adresses IP)
– Connection hijacking (corruption des paquets IP)
30. IPv6 et la sécurité
Constat
Adresses IPv6 codées sur 128 bits (3,4 * 1038 possibilités)
Scanner le réseau demande un temps considérable …
264 hôtes = 584.942.417.355 années
Certains programmes malicieux auront difficile à se propager
Mais pas d’impact sur les bots & virus qui se propagent souvent par
email
31. IPv6 et la sécurité
Solution
A la conception d’IPv6, des mesures ont été prises pour
contrer ce genre d’attaques via l’intégration d’IPSec (Internet
Protocol Security)
•
•
•
Confidentialité & intégrité des données
Authentification de l'origine des données
Protection contre les attaques de type Replay
Mais IPSec permet aussi :
•
•
•
Création de VPN
Sécuriser les accès distants (Utilisation nomade)
Protection d’un serveur sensible
32. IPv6 et la sécurité
Conclusions
1.
IPv6 améliore la sécurité :
1.
2.
2.
Le passage à IPv6 ne sera certainement pas un inhibiteur pour la
cybercriminalité qui continue à se développer très fortement
1.
2.
3.
Intégration IPSec
Nombre important d’adresses IPv6 possible
Logiciels malveillants toujours plus sophistiqués
Combinant plusieurs types d’attaques
ll est donc essentiel pour toutes les organisations de s’équiper d’une
première ligne de défense efficace en déployant des solutions de
sécurité multi-menaces
34. Comment préparer votre entreprise
En pratique
•
•
•
•
•
Généralisation de l’utilisation du DNS
Mise à jour des OS et applicatifs
Attention aux applicatifs « métiers »
La chasse aux adresses IPv4 « hard codées » est ouverte
Familiarisez-vous avec les concepts !
ComputerLand peut vous aider :
•
•
•
Conseil
Audit
Veille technologique