1. IPv6, d´ploiement et s´curit´
e e e
Pr´sentation Clusir-Est
e
Johan Moreau
IRCAD
14 juin 2012
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 1 / 39
2. Introduction
Plan
1 Introduction
2 IPv6
3 Projet ` l’institut
a
4 Plan de migration
5 Les aspects s´curit´s
e e
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 2 / 39
3. Introduction
IPv4 une r´ussite extraordinaire
e
RFC 791 de septembre 1981, plus de 20 ans !
Avec TCP et HTML, c’est l’un des protocoles qui aura fait le net tel
que nous le connaissons
IP est partout, y compris sur des LAN sp´cialis´s
e e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 3 / 39
4. Introduction
Probl´matiques
e
Espace d’adressage IPv4 insuffisant (3,7 milliards)
Coˆt important du traitement des paquets sur les routeurs
u
R´pondre ` de nouveaux besoins
e a
◦ s´curit´
e e
◦ qualit´ de service
e
◦ mobilit´e
◦ simplification de la configuration
◦ ...
Petit ` petit, perte d’un des principes de base :
a
communication de bout (SIP, VPN, ...)
R´flexion de l’IETF milieu des ann´es 90, RFC 2460 de d´cembre 1998 !
e e e
Mais beaucoup de protocoles p´riph´riques absents.
e e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 4 / 39
5. IPv6
Plan
1 Introduction
2 IPv6
3 Projet ` l’institut
a
4 Plan de migration
5 Les aspects s´curit´s
e e
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 5 / 39
6. IPv6
Nouveaut´s d’IPv6
e
Augmentation de l’espace d’adressage :
232 → 2128
soit 1,4 milliard de milliard d’adresses par cm2 sur terre
soit 4,8*1028 /pers si on consid`re 7 milliards d’individus
e
Int´gration de m´canismes de configuration automatique
e e
IPsec, QoS et multicast (mieux) int´gr´s au protocole
e e
Simplification des en-tˆtes
e
Retour ` une communication de bout en bout (apr`s migration
a e
compl`te !), mais pas de compatibilit´ native entre IPv4 et IPv6. Pour
e e
´changer, il faut des m´canismes compl´mentaires.
e e e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 6 / 39
7. IPv6
En-tˆte IPv6 (40 octets/ 320 bits)
e
Champ Description
Version = 6 pour IPv6
Traffic Class Indique l’utilisation de diffserv, et ECN
Flow Label Marquage de paquets par la source
Payload Length Taille de la charge utile (suivant le header de base)
Next Header Identifie le datagramme interne
Hop Limit Nombre maximum de sauts
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 7 / 39
8. IPv6
Adresse IPv6
Une adresse est cod´e sur 128 bits
e
Not´ sous la forme 8 de champs de 2 octets exprim´s en hexad´cimal
e e e
◦ ex : 2001:0db8:ab1f:1001:0000:0000:00e4:9f43
Suppression des z´ros non significatifs :
e
◦ ex : 2001:db8:ab1f:1001:0:0:e4:9f43
Suppression d’une suite de z´ros :
e
◦ ex : 2001:db8:ab1f:1001::e4:9f43
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 8 / 39
9. IPv6
Autoconfiguration sans m´moire d’´tats
e e
Fabrication d’une adresse globale ` partir de :
a
les annonces de pr´fixes faites par les routeurs
e
l’adresse MAC de l’interface r´seau
e
Concat´n´ au pr´fixe annonc´ par le routeur, on obtient une adresse
e e e e
globale
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 9 / 39
10. IPv6
Autoconfiguration avec m´moire d’´tats (DHCPv6)
e e
Le protocole DHCPv6 rempli les mˆmes tˆches que DHCPv4 :
e a
Le serveur
◦ m´morise l’´tat du client
e e
◦ fournit les adresses IPv6 ou des param`tres de configuration (DNS,
e
. . .)
Le client ´met des requˆtes et des acquittements selon le protocole.
e e
L’int´gration de DHCPv6 avec certaines fonctionnalit´s d’IPv6 (adresse
e e
lien-local, multicast) le rende plus ´l´gant et plus efficace que son
ee
pr´d´cesseur.
e e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 10 / 39
11. IPv6
Support de l’autoconfiguration dans diff´rents OS
e
OS Router Advertisements RDNSS DHCPv6
SLAAC RFC6106
Linux / *BSD
Mac OS X ≥ Lion
Windows Vista / 7 ×
Windows XP × via Dibbler
Sous Windows Vista / 7 et OS X le client DHCPv6 est int´gr´ ` l’OS.
e ea
Sous Linux / *BSD, utilisation du client WIDE / ISC dhclient /
dibbler.
Pour les autres logiciels : ok pour les navigateurs, en cours pour
Skype/MySQL/... inconnue pour les imprimantes, cam´ras IP, boot r´seau
e e
(PXE, NetBoot, ...)
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 11 / 39
12. IPv6
D´ploiement actuel
e
Moins de 5% du traffic mondial
Effort actuel http ://www.worldipv6launch.org (6 juin)
Les ”gros” en font partie : Google, Microsoft, Yahoo, Facebook,
Wikipedia
free, SFR, Orange, ...
La France en tˆte du d´ploiement
e e
BT Connect : 5% des entreprises en 2011, 13% en 2012
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 12 / 39
13. IPv6
R´partition mondiale en 2011 (google)
e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 13 / 39
14. IPv6
Effort du 6 juin 2012 (MS-IX ` Amsterdam)
a
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 14 / 39
15. IPv6
Utilisation de tunnels
` e
A d´faut, et pendant une phase de transition, il est possible d’obtenir une
connectivit´ IPv6 via un tunnel. Les paquets IPv6 sont alors encapsul´s
e e
dans des paquets IPv4, qui peuvent traverser le r´seau du FAI jusqu’` un
e a
serveur qui prend en charge IPv6 et IPv4, et o` ils sont d´capsul´s. Le
u e e
recours ` des tunnels, et donc ` un r´seau overlay, est de nature ` nuire
a a e a
aux performances.
Tunnels statiques 6in4, GRE, ... via prestataire
Tunnels automatiques 6to4, Teredo, 6rd, ...
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 15 / 39
16. Projet ` l’institut
a
Plan
1 Introduction
2 IPv6
3 Projet ` l’institut
a
4 Plan de migration
5 Les aspects s´curit´s
e e
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 16 / 39
17. Projet ` l’institut
a
D´marche globale du projet
e
Veille active depuis 2009
Ajout de contraintes dans les achats depuis 2011
Stage de master et maquette en 2012
Mise en production en 2013 sur une partie du LAN
LAN enti`rement en IPv6 pas avant 2015
e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 17 / 39
18. Projet ` l’institut
a
Objectifs du stage 2012
Etudier les diff´rents sc´narios de migration vers le protocole IPv6
e e
Evaluer la compatibilit´ avec IPv6 des diff´rents ´quipements et
e e e
applications utilis´s au sein de l’institut
e
Mettre en oeuvre les sc´narios de migration dans une maquette
e
Evaluer la nouvelle architecture r´seau et les sc´narios, en termes de
e e
fiabilit´ et flexibilit´
e e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 18 / 39
19. Projet ` l’institut
a
Pr´paration de la maquette : les questions ?
e
Quel inventaire pour les ´quipements et applications ?
e
Pour chaque groupe d’´quipements, quelles fonctionnalit´s d’IPv6
e e
sont support´es ?
e
Les applications fonctionnent-elles dans un environnement IPv6 ?
◦ Support dans diff´rents langages de programmation
e
◦ Frameworks
◦ Possibilit´ d’utiliser un wrapper, ou tunnel v6-v4
e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 19 / 39
20. Projet ` l’institut
a
Filtrage et routage
Firewalls et bridges OpenBSD
◦ Ecriture de r`gles Packet Filter
e
◦ Configuration du protocole CARP (redondance)
◦ Configuration du protocole pfsync (synchronisation des ´tats PF)
e
Filtrage applicatif Web : squid + squidGuard
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 20 / 39
21. Projet ` l’institut
a
Switch
Mat´riels Cisco
e
Mise ` jour d’IOS et activation du dual-stack
a
Configuration d’IPv6 sur certains VLANs
Redondance de la passerelle par d´faut (protocole HSRP)
e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 21 / 39
22. Projet ` l’institut
a
Service d’annuaire, nommage et autoconfiguration
Active Directory 2008 : configurer l’adressage IPv6
DNS : Ajout de zones de recherche directe et invers´e, puis ajout
e
d’enregistrements AAAA
DHCP : Ajout d’´tendues et r´servations
e e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 22 / 39
23. Projet ` l’institut
a
Serveur de virtualisation VMWare ESXi
IPv6 au niveau de l’hyperviseur
IPv6 au niveau des machines virtuelles
◦ TCP Segmentation Offload non support´ e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 23 / 39
24. Projet ` l’institut
a
Serveur de stockage iSCSI et NFS
En production, des solutions de type NetApp sont utilis´es
e
Dans la maquette, tests effectu´s avec des solutions libres
e
◦ NFSv4
◦ Linux SCSI target framework (tgt)
Acc`s et performance test´s depuis ESXi
e e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 24 / 39
25. Projet ` l’institut
a
Monitoring
Collecte des informations faite par le moteur Nagios
Trait´s en aval par Centreon, pnp4nagios, NagVis
e
Support d’IPv6 d´pendant des plugins
e
◦ Cas identique ` Munin
a
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 25 / 39
26. Projet ` l’institut
a
Applications utilis´es en interne
e
GLPI : solution de gestion de parc informatique (PHP/MySQL)
SOGo : solution de serveur collaboratif (Objective-C/MySQL)
XWiki : plateforme de wiki (Java/MySQL)
Ces applications ont ´t´ rendues accessibles en IPv6 en modifiant
ee
uniquement la configuration du serveur Apache
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 26 / 39
27. Plan de migration
Plan
1 Introduction
2 IPv6
3 Projet ` l’institut
a
4 Plan de migration
5 Les aspects s´curit´s
e e
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 27 / 39
28. Plan de migration
M´thodes disponibles
e
1 Dual-stack
2 NAT64
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 28 / 39
29. Plan de migration
Dual-stack
D´ploiement du r´seau IPv6 en parall`le du r´seau IPv4
e e e e
Repli sur IPv4 en cas de d´faillance IPv6
e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 29 / 39
30. Plan de migration
Dual-stack
D´ploiement du r´seau IPv6 en parall`le du r´seau IPv4
e e e e
Repli sur IPv4 en cas de d´faillance IPv6
e
× Charge suppl´mentaire (CPU, m´moire)
e e
× Maintenance plus coˆteuse
u
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 29 / 39
31. Plan de migration
NAT64
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 30 / 39
32. Plan de migration
NAT64
Permet ` un hˆte IPv6-only d’acc´der au contenu IPv4
a o e
Impl´mentation disponible dans OpenBSD
e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 30 / 39
33. Plan de migration
NAT64
Permet ` un hˆte IPv6-only d’acc´der au contenu IPv4
a o e
Impl´mentation disponible dans OpenBSD
e
× Applications IPv4 ne sont plus fonctionnelles
× Mˆme soucis qu’avec le NAT en IPv4
e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 30 / 39
34. Les aspects s´curit´s
e e
Plan
1 Introduction
2 IPv6
3 Projet ` l’institut
a
4 Plan de migration
5 Les aspects s´curit´s
e e
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 31 / 39
35. Les aspects s´curit´s
e e
Les points positifs
Int´gration naturelle d’IPSec
e
Retour ` une communication de bout en bout
a
Scan de plage IP plus difficile
Outils de malveillance ` red´velopper compl`tement
a e e
Outils l´gitime d´j` en bonne partie pr´sent
e ea e
Comp´tences ` acqu´rir pour les individus malveillants
e a e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 32 / 39
36. Les aspects s´curit´s
e e
Les points de difficult´s traditionnelles
e
Comp´tences ` acqu´rir pour les ´quipes internes
e a e e
Tous les logiciels ne sont pas encore disponibles
Bug des premi`res versions
e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 33 / 39
37. Les aspects s´curit´s
e e
Les points li´s ` la transitions v4 vers v6
e a
Activ´ par d´faut ! (Win7, ...)
e e
IPv6 utilis´ en priorit´ avant de recourir ` l’adresse IPv4
e e a
Charge du double processus pour les ´quipements du r´seau
e e
Incapacit´ ` faire fonctionner certains protocoles en v4 et v6 (en
ea
mˆme temps)
e
Nombreuses configurations de s´curit´ ` mettre ` jour
e ea a
Projet de migration long, car maquettage difficile
Pas de valeur ajout´e, peu de suivi des directions et des services
e
Information de transport dans la couche applicative
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 34 / 39
38. Les aspects s´curit´s
e e
Exemple de sp´cificit´s v6
e e
Autoconfiguration via les routeurs
Niveau d’inspection des ´quipements s´curit´ encore faible
e e e
...
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 35 / 39
39. Les aspects s´curit´s
e e
Outils d’audits
Simple : diff´rents sites pour la connectivit´
e e
fuzzing : Veripy (construit sur scappy)
Snort : version r´cente, Suricata ok
e
Nmap : ok
Extension IPvFOO pour Chrome et Firefox
...
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 36 / 39
40. Perspectives et conclusion
Plan
1 Introduction
2 IPv6
3 Projet ` l’institut
a
4 Plan de migration
5 Les aspects s´curit´s
e e
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 37 / 39
41. Perspectives et conclusion
Int´rˆt ´conomique ` l’´chelle mondiale
ee e a e
Peu d’int´rˆt des USA
ee
Demande importante des pays en voie de d´veloppement
e
Effort important de l’Europe
IPv6 est une technologie qui am´liore la neutralit´ des r´seaux
e e e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 38 / 39
42. Perspectives et conclusion
Perspectives et conclusion
La migration vers le protocole r´seau IPv6 est un passage obligatoire
e
Non prise en charge de l’´volution
e
Les piles IPv6 des OS modernes sont globalement robustes
Manque de maturit´ dans certains cas (logiciels et mat´riels)
e e
De nombreux bugs sont encore pr´sents, qui seront corrig´s au fur et
e e
` mesure des d´ploiements
a e
Prestation possible mais projet n´cessairement en partie interne
e
Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´
e e e 14 juin 2012 39 / 39