SlideShare une entreprise Scribd logo

IPv6 au Clusir-Est

Johan Moreau
Johan Moreau

Migration et sécurité avec IPv6. Présentation Clusir-Est, voir : http://www.clusir-est.org

Technologie
1  sur  42
IPv6, d´ploiement et s´curit´ e e e Pr´sentation Clusir-Est e Johan Moreau IRCAD 14 juin 2012 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 1 / 39
Introduction Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 2 / 39
Introduction IPv4 une r´ussite extraordinaire e RFC 791 de septembre 1981, plus de 20 ans ! Avec TCP et HTML, c’est l’un des protocoles qui aura fait le net tel que nous le connaissons IP est partout, y compris sur des LAN sp´cialis´s e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 3 / 39
Introduction Probl´matiques e Espace d’adressage IPv4 insuffisant (3,7 milliards) Coˆt important du traitement des paquets sur les routeurs u R´pondre ` de nouveaux besoins e a ◦ s´curit´ e e ◦ qualit´ de service e ◦ mobilit´e ◦ simplification de la configuration ◦ ... Petit ` petit, perte d’un des principes de base : a communication de bout (SIP, VPN, ...) R´flexion de l’IETF milieu des ann´es 90, RFC 2460 de d´cembre 1998 ! e e e Mais beaucoup de protocoles p´riph´riques absents. e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 4 / 39
IPv6 Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 5 / 39
IPv6 Nouveaut´s d’IPv6 e Augmentation de l’espace d’adressage : 232 → 2128 soit 1,4 milliard de milliard d’adresses par cm2 sur terre soit 4,8*1028 /pers si on consid`re 7 milliards d’individus e Int´gration de m´canismes de configuration automatique e e IPsec, QoS et multicast (mieux) int´gr´s au protocole e e Simplification des en-tˆtes e Retour ` une communication de bout en bout (apr`s migration a e compl`te !), mais pas de compatibilit´ native entre IPv4 et IPv6. Pour e e ´changer, il faut des m´canismes compl´mentaires. e e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 6 / 39
IPv6 En-tˆte IPv6 (40 octets/ 320 bits) e Champ Description Version = 6 pour IPv6 Traffic Class Indique l’utilisation de diffserv, et ECN Flow Label Marquage de paquets par la source Payload Length Taille de la charge utile (suivant le header de base) Next Header Identifie le datagramme interne Hop Limit Nombre maximum de sauts Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 7 / 39
IPv6 Adresse IPv6 Une adresse est cod´e sur 128 bits e Not´ sous la forme 8 de champs de 2 octets exprim´s en hexad´cimal e e e ◦ ex : 2001:0db8:ab1f:1001:0000:0000:00e4:9f43 Suppression des z´ros non significatifs : e ◦ ex : 2001:db8:ab1f:1001:0:0:e4:9f43 Suppression d’une suite de z´ros : e ◦ ex : 2001:db8:ab1f:1001::e4:9f43 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 8 / 39
IPv6 Autoconfiguration sans m´moire d’´tats e e Fabrication d’une adresse globale ` partir de : a les annonces de pr´fixes faites par les routeurs e l’adresse MAC de l’interface r´seau e Concat´n´ au pr´fixe annonc´ par le routeur, on obtient une adresse e e e e globale Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 9 / 39
IPv6 Autoconfiguration avec m´moire d’´tats (DHCPv6) e e Le protocole DHCPv6 rempli les mˆmes tˆches que DHCPv4 : e a Le serveur ◦ m´morise l’´tat du client e e ◦ fournit les adresses IPv6 ou des param`tres de configuration (DNS, e . . .) Le client ´met des requˆtes et des acquittements selon le protocole. e e L’int´gration de DHCPv6 avec certaines fonctionnalit´s d’IPv6 (adresse e e lien-local, multicast) le rende plus ´l´gant et plus efficace que son ee pr´d´cesseur. e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 10 / 39
IPv6 Support de l’autoconfiguration dans diff´rents OS e OS Router Advertisements RDNSS DHCPv6 SLAAC RFC6106 Linux / *BSD Mac OS X ≥ Lion Windows Vista / 7 × Windows XP × via Dibbler Sous Windows Vista / 7 et OS X le client DHCPv6 est int´gr´ ` l’OS. e ea Sous Linux / *BSD, utilisation du client WIDE / ISC dhclient / dibbler. Pour les autres logiciels : ok pour les navigateurs, en cours pour Skype/MySQL/... inconnue pour les imprimantes, cam´ras IP, boot r´seau e e (PXE, NetBoot, ...) Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 11 / 39
IPv6 D´ploiement actuel e Moins de 5% du traffic mondial Effort actuel http ://www.worldipv6launch.org (6 juin) Les ”gros” en font partie : Google, Microsoft, Yahoo, Facebook, Wikipedia free, SFR, Orange, ... La France en tˆte du d´ploiement e e BT Connect : 5% des entreprises en 2011, 13% en 2012 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 12 / 39
IPv6 R´partition mondiale en 2011 (google) e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 13 / 39
IPv6 Effort du 6 juin 2012 (MS-IX ` Amsterdam) a Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 14 / 39
IPv6 Utilisation de tunnels ` e A d´faut, et pendant une phase de transition, il est possible d’obtenir une connectivit´ IPv6 via un tunnel. Les paquets IPv6 sont alors encapsul´s e e dans des paquets IPv4, qui peuvent traverser le r´seau du FAI jusqu’` un e a serveur qui prend en charge IPv6 et IPv4, et o` ils sont d´capsul´s. Le u e e recours ` des tunnels, et donc ` un r´seau overlay, est de nature ` nuire a a e a aux performances. Tunnels statiques 6in4, GRE, ... via prestataire Tunnels automatiques 6to4, Teredo, 6rd, ... Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 15 / 39
Projet ` l’institut a Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 16 / 39
Projet ` l’institut a D´marche globale du projet e Veille active depuis 2009 Ajout de contraintes dans les achats depuis 2011 Stage de master et maquette en 2012 Mise en production en 2013 sur une partie du LAN LAN enti`rement en IPv6 pas avant 2015 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 17 / 39
Projet ` l’institut a Objectifs du stage 2012 Etudier les diff´rents sc´narios de migration vers le protocole IPv6 e e Evaluer la compatibilit´ avec IPv6 des diff´rents ´quipements et e e e applications utilis´s au sein de l’institut e Mettre en oeuvre les sc´narios de migration dans une maquette e Evaluer la nouvelle architecture r´seau et les sc´narios, en termes de e e fiabilit´ et flexibilit´ e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 18 / 39
Projet ` l’institut a Pr´paration de la maquette : les questions ? e Quel inventaire pour les ´quipements et applications ? e Pour chaque groupe d’´quipements, quelles fonctionnalit´s d’IPv6 e e sont support´es ? e Les applications fonctionnent-elles dans un environnement IPv6 ? ◦ Support dans diff´rents langages de programmation e ◦ Frameworks ◦ Possibilit´ d’utiliser un wrapper, ou tunnel v6-v4 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 19 / 39
Projet ` l’institut a Filtrage et routage Firewalls et bridges OpenBSD ◦ Ecriture de r`gles Packet Filter e ◦ Configuration du protocole CARP (redondance) ◦ Configuration du protocole pfsync (synchronisation des ´tats PF) e Filtrage applicatif Web : squid + squidGuard Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 20 / 39
Projet ` l’institut a Switch Mat´riels Cisco e Mise ` jour d’IOS et activation du dual-stack a Configuration d’IPv6 sur certains VLANs Redondance de la passerelle par d´faut (protocole HSRP) e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 21 / 39
Projet ` l’institut a Service d’annuaire, nommage et autoconfiguration Active Directory 2008 : configurer l’adressage IPv6 DNS : Ajout de zones de recherche directe et invers´e, puis ajout e d’enregistrements AAAA DHCP : Ajout d’´tendues et r´servations e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 22 / 39
Projet ` l’institut a Serveur de virtualisation VMWare ESXi IPv6 au niveau de l’hyperviseur IPv6 au niveau des machines virtuelles ◦ TCP Segmentation Offload non support´ e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 23 / 39
Projet ` l’institut a Serveur de stockage iSCSI et NFS En production, des solutions de type NetApp sont utilis´es e Dans la maquette, tests effectu´s avec des solutions libres e ◦ NFSv4 ◦ Linux SCSI target framework (tgt) Acc`s et performance test´s depuis ESXi e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 24 / 39
Projet ` l’institut a Monitoring Collecte des informations faite par le moteur Nagios Trait´s en aval par Centreon, pnp4nagios, NagVis e Support d’IPv6 d´pendant des plugins e ◦ Cas identique ` Munin a Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 25 / 39
Projet ` l’institut a Applications utilis´es en interne e GLPI : solution de gestion de parc informatique (PHP/MySQL) SOGo : solution de serveur collaboratif (Objective-C/MySQL) XWiki : plateforme de wiki (Java/MySQL) Ces applications ont ´t´ rendues accessibles en IPv6 en modifiant ee uniquement la configuration du serveur Apache Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 26 / 39
Plan de migration Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 27 / 39
Plan de migration M´thodes disponibles e 1 Dual-stack 2 NAT64 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 28 / 39
Plan de migration Dual-stack D´ploiement du r´seau IPv6 en parall`le du r´seau IPv4 e e e e Repli sur IPv4 en cas de d´faillance IPv6 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 29 / 39
Plan de migration Dual-stack D´ploiement du r´seau IPv6 en parall`le du r´seau IPv4 e e e e Repli sur IPv4 en cas de d´faillance IPv6 e × Charge suppl´mentaire (CPU, m´moire) e e × Maintenance plus coˆteuse u Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 29 / 39
Plan de migration NAT64 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 30 / 39
Plan de migration NAT64 Permet ` un hˆte IPv6-only d’acc´der au contenu IPv4 a o e Impl´mentation disponible dans OpenBSD e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 30 / 39
Plan de migration NAT64 Permet ` un hˆte IPv6-only d’acc´der au contenu IPv4 a o e Impl´mentation disponible dans OpenBSD e × Applications IPv4 ne sont plus fonctionnelles × Mˆme soucis qu’avec le NAT en IPv4 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 30 / 39
Les aspects s´curit´s e e Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 31 / 39
Les aspects s´curit´s e e Les points positifs Int´gration naturelle d’IPSec e Retour ` une communication de bout en bout a Scan de plage IP plus difficile Outils de malveillance ` red´velopper compl`tement a e e Outils l´gitime d´j` en bonne partie pr´sent e ea e Comp´tences ` acqu´rir pour les individus malveillants e a e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 32 / 39
Les aspects s´curit´s e e Les points de difficult´s traditionnelles e Comp´tences ` acqu´rir pour les ´quipes internes e a e e Tous les logiciels ne sont pas encore disponibles Bug des premi`res versions e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 33 / 39
Les aspects s´curit´s e e Les points li´s ` la transitions v4 vers v6 e a Activ´ par d´faut ! (Win7, ...) e e IPv6 utilis´ en priorit´ avant de recourir ` l’adresse IPv4 e e a Charge du double processus pour les ´quipements du r´seau e e Incapacit´ ` faire fonctionner certains protocoles en v4 et v6 (en ea mˆme temps) e Nombreuses configurations de s´curit´ ` mettre ` jour e ea a Projet de migration long, car maquettage difficile Pas de valeur ajout´e, peu de suivi des directions et des services e Information de transport dans la couche applicative Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 34 / 39
Les aspects s´curit´s e e Exemple de sp´cificit´s v6 e e Autoconfiguration via les routeurs Niveau d’inspection des ´quipements s´curit´ encore faible e e e ... Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 35 / 39
Les aspects s´curit´s e e Outils d’audits Simple : diff´rents sites pour la connectivit´ e e fuzzing : Veripy (construit sur scappy) Snort : version r´cente, Suricata ok e Nmap : ok Extension IPvFOO pour Chrome et Firefox ... Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 36 / 39
Perspectives et conclusion Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 37 / 39
Perspectives et conclusion Int´rˆt ´conomique ` l’´chelle mondiale ee e a e Peu d’int´rˆt des USA ee Demande importante des pays en voie de d´veloppement e Effort important de l’Europe IPv6 est une technologie qui am´liore la neutralit´ des r´seaux e e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 38 / 39
Perspectives et conclusion Perspectives et conclusion La migration vers le protocole r´seau IPv6 est un passage obligatoire e Non prise en charge de l’´volution e Les piles IPv6 des OS modernes sont globalement robustes Manque de maturit´ dans certains cas (logiciels et mat´riels) e e De nombreux bugs sont encore pr´sents, qui seront corrig´s au fur et e e ` mesure des d´ploiements a e Prestation possible mais projet n´cessairement en partie interne e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 39 / 39

Recommandé

IPv6 training
IPv6 trainingIPv6 training
IPv6 trainingFred Bovy
 
IPv6 cohabitation et migration - Oussama SALIHI
IPv6 cohabitation et migration - Oussama SALIHIIPv6 cohabitation et migration - Oussama SALIHI
IPv6 cohabitation et migration - Oussama SALIHIgrecma
 
IPv6 Les Bases
IPv6 Les BasesIPv6 Les Bases
IPv6 Les BasesAymen Bouzid
 
IPv6
IPv6IPv6
IPv6medalaa
 
Internet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - ComputerlandInternet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - ComputerlandPatricia NENZI
 
Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Gondo Fréjus Léonel MANDE
 
10 ipv6
10 ipv610 ipv6
10 ipv6Youssef Fatihi
 
See i pv6
See i pv6See i pv6
See i pv6Karim Fathallah
 

Recommandé

IPv6 training
IPv6 trainingIPv6 training
IPv6 trainingFred Bovy
 
IPv6 cohabitation et migration - Oussama SALIHI
IPv6 cohabitation et migration - Oussama SALIHIIPv6 cohabitation et migration - Oussama SALIHI
IPv6 cohabitation et migration - Oussama SALIHIgrecma
 
IPv6 Les Bases
IPv6 Les BasesIPv6 Les Bases
IPv6 Les BasesAymen Bouzid
 
IPv6
IPv6IPv6
IPv6medalaa
 
Internet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - ComputerlandInternet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - ComputerlandPatricia NENZI
 
Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Gondo Fréjus Léonel MANDE
 
10 ipv6
10 ipv610 ipv6
10 ipv6Youssef Fatihi
 
See i pv6
See i pv6See i pv6
See i pv6Karim Fathallah
 
IPv6, un second souffle pour l’internet
IPv6, un second souffle pour l’internet IPv6, un second souffle pour l’internet
IPv6, un second souffle pour l’internetNeil Armstrong
 
IPV6
IPV6IPV6
IPV6'Farouk' 'BEN GHARSSALLAH'
 
Multicast en IPv6
Multicast en IPv6Multicast en IPv6
Multicast en IPv6Mounia EL
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6EL AMRI El Hassan
 
Présentation IPV6 ANWARNET 2010
Présentation IPV6 ANWARNET 2010Présentation IPV6 ANWARNET 2010
Présentation IPV6 ANWARNET 2010Fadi Gouasmia
 
I pv6 en-tunisie-2010102800
I pv6 en-tunisie-2010102800I pv6 en-tunisie-2010102800
I pv6 en-tunisie-2010102800tunisiehautdebit
 
IPv6
IPv6IPv6
IPv6Thomas Moegli
 
Corrigé ccna1 chap10 couche application ccna cisco 5
Corrigé ccna1 chap10 couche application ccna cisco 5Corrigé ccna1 chap10 couche application ccna cisco 5
Corrigé ccna1 chap10 couche application ccna cisco 5abdoulaye camara
 
IPV6 Implémentation Best Practices & Retours d'Expérience
IPV6 Implémentation Best Practices & Retours d'ExpérienceIPV6 Implémentation Best Practices & Retours d'Expérience
IPV6 Implémentation Best Practices & Retours d'ExpérienceMicrosoft Technet France
 
Ccna4
Ccna4Ccna4
Ccna4CONNECT Tunisia
 
Ccna4
Ccna4Ccna4
Ccna4Farah Zouaki
 
Presentation 6lowpan
Presentation 6lowpanPresentation 6lowpan
Presentation 6lowpanAbed Zine-Eddine BENAMAR
 
Exonet adressagei pv6
Exonet adressagei pv6Exonet adressagei pv6
Exonet adressagei pv6Youssef Fatihi
 
Cisco Call Manager
Cisco Call ManagerCisco Call Manager
Cisco Call ManagerOusmane CAMARA
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Stephen Salama
 
Fr E Routing Slm V40
Fr E Routing Slm V40Fr E Routing Slm V40
Fr E Routing Slm V40boukna abdou
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat patDimitri LEMBOKOLO
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteDimitri LEMBOKOLO
 
Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3Stephen Salama
 
Résumé vlsm et cidr
Résumé vlsm et cidrRésumé vlsm et cidr
Résumé vlsm et cidrBoubaker KHERFALLAH
 
Livre blanc-ipv6
Livre blanc-ipv6Livre blanc-ipv6
Livre blanc-ipv6Zakaria Boulouard
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureJohan Moreau
 

Contenu connexe

Tendances

IPv6, un second souffle pour l’internet
IPv6, un second souffle pour l’internet IPv6, un second souffle pour l’internet
IPv6, un second souffle pour l’internetNeil Armstrong
 
Multicast en IPv6
Multicast en IPv6Multicast en IPv6
Multicast en IPv6Mounia EL
 
Présentation IPV6 ANWARNET 2010
Présentation IPV6 ANWARNET 2010Présentation IPV6 ANWARNET 2010
Présentation IPV6 ANWARNET 2010Fadi Gouasmia
 
I pv6 en-tunisie-2010102800
I pv6 en-tunisie-2010102800I pv6 en-tunisie-2010102800
I pv6 en-tunisie-2010102800tunisiehautdebit
 
Corrigé ccna1 chap10 couche application ccna cisco 5
Corrigé ccna1 chap10 couche application ccna cisco 5Corrigé ccna1 chap10 couche application ccna cisco 5
Corrigé ccna1 chap10 couche application ccna cisco 5abdoulaye camara
 
IPV6 Implémentation Best Practices & Retours d'Expérience
IPV6 Implémentation Best Practices & Retours d'ExpérienceIPV6 Implémentation Best Practices & Retours d'Expérience
IPV6 Implémentation Best Practices & Retours d'ExpérienceMicrosoft Technet France
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Stephen Salama
 
Fr E Routing Slm V40
Fr E Routing Slm V40Fr E Routing Slm V40
Fr E Routing Slm V40boukna abdou
 
Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3Stephen Salama
 

Tendances (20)

IPv6, un second souffle pour l’internet
IPv6, un second souffle pour l’internet IPv6, un second souffle pour l’internet
IPv6, un second souffle pour l’internet
 
IPV6
IPV6IPV6
IPV6
 
Multicast en IPv6
Multicast en IPv6Multicast en IPv6
Multicast en IPv6
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6
 
Présentation IPV6 ANWARNET 2010
Présentation IPV6 ANWARNET 2010Présentation IPV6 ANWARNET 2010
Présentation IPV6 ANWARNET 2010
 
I pv6 en-tunisie-2010102800
I pv6 en-tunisie-2010102800I pv6 en-tunisie-2010102800
I pv6 en-tunisie-2010102800
 
IPv6
IPv6IPv6
IPv6
 
Corrigé ccna1 chap10 couche application ccna cisco 5
Corrigé ccna1 chap10 couche application ccna cisco 5Corrigé ccna1 chap10 couche application ccna cisco 5
Corrigé ccna1 chap10 couche application ccna cisco 5
 
IPV6 Implémentation Best Practices & Retours d'Expérience
IPV6 Implémentation Best Practices & Retours d'ExpérienceIPV6 Implémentation Best Practices & Retours d'Expérience
IPV6 Implémentation Best Practices & Retours d'Expérience
 
Ccna4
Ccna4Ccna4
Ccna4
 
Ccna4
Ccna4Ccna4
Ccna4
 
Presentation 6lowpan
Presentation 6lowpanPresentation 6lowpan
Presentation 6lowpan
 
Exonet adressagei pv6
Exonet adressagei pv6Exonet adressagei pv6
Exonet adressagei pv6
 
Cisco Call Manager
Cisco Call ManagerCisco Call Manager
Cisco Call Manager
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
 
Fr E Routing Slm V40
Fr E Routing Slm V40Fr E Routing Slm V40
Fr E Routing Slm V40
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3
 
Résumé vlsm et cidr
Résumé vlsm et cidrRésumé vlsm et cidr
Résumé vlsm et cidr
 

Similaire à IPv6 au Clusir-Est

Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureJohan Moreau
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleOlivier MJ Crépin-Leblond
 
Brocade - AG France IX - 30 Juin 2011
Brocade - AG France IX - 30 Juin 2011Brocade - AG France IX - 30 Juin 2011
Brocade - AG France IX - 30 Juin 2011France IX Services
 
Programmation réseau en JAVA
Programmation réseau en JAVAProgrammation réseau en JAVA
Programmation réseau en JAVABachir Benyammi
 
Ip6 fd formation-les-fondamentaux-d-ipv6-concepts-et-deploiements
Ip6 fd formation-les-fondamentaux-d-ipv6-concepts-et-deploiementsIp6 fd formation-les-fondamentaux-d-ipv6-concepts-et-deploiements
Ip6 fd formation-les-fondamentaux-d-ipv6-concepts-et-deploiementsCERTyou Formation
 
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)Pôle Systematic Paris-Region
 
COUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreCOUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreAbdou Lahad SYLLA
 
IPv6 news-fr-20121009
IPv6 news-fr-20121009IPv6 news-fr-20121009
IPv6 news-fr-20121009Bart Hanssens
 
Anniversaire Paris JUG - Deja 10 ans - retour vers le futur avec JMX
Anniversaire Paris JUG - Deja 10 ans - retour vers le futur avec JMXAnniversaire Paris JUG - Deja 10 ans - retour vers le futur avec JMX
Anniversaire Paris JUG - Deja 10 ans - retour vers le futur avec JMXJean-Michel Doudoux
 
IPv6 stephane bortzmeyer
IPv6 stephane bortzmeyer IPv6 stephane bortzmeyer
IPv6 stephane bortzmeyer Afnic
 
Administration reseau
Administration reseauAdministration reseau
Administration reseauRiadh Briki
 
Extreme networks - Multi-Pathing L2 & SDN
Extreme networks - Multi-Pathing L2 & SDNExtreme networks - Multi-Pathing L2 & SDN
Extreme networks - Multi-Pathing L2 & SDNFrance IX Services
 

Similaire à IPv6 au Clusir-Est (20)

Livre blanc-ipv6
Livre blanc-ipv6Livre blanc-ipv6
Livre blanc-ipv6
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégrale
 
Brocade - AG France IX - 30 Juin 2011
Brocade - AG France IX - 30 Juin 2011Brocade - AG France IX - 30 Juin 2011
Brocade - AG France IX - 30 Juin 2011
 
Programmation réseau en JAVA
Programmation réseau en JAVAProgrammation réseau en JAVA
Programmation réseau en JAVA
 
M1.3.pdf
M1.3.pdfM1.3.pdf
M1.3.pdf
 
Routing in 6lowpan (in French)
Routing in 6lowpan (in French) Routing in 6lowpan (in French)
Routing in 6lowpan (in French)
 
Ports et definitionscp
Ports et definitionscpPorts et definitionscp
Ports et definitionscp
 
Ip6 fd formation-les-fondamentaux-d-ipv6-concepts-et-deploiements
Ip6 fd formation-les-fondamentaux-d-ipv6-concepts-et-deploiementsIp6 fd formation-les-fondamentaux-d-ipv6-concepts-et-deploiements
Ip6 fd formation-les-fondamentaux-d-ipv6-concepts-et-deploiements
 
Les reseaux
Les reseauxLes reseaux
Les reseaux
 
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
 
COUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreCOUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCore
 
IPv6 Matrix Présentation Tunis 19 Juin 2012
IPv6 Matrix Présentation Tunis 19 Juin 2012IPv6 Matrix Présentation Tunis 19 Juin 2012
IPv6 Matrix Présentation Tunis 19 Juin 2012
 
cours-gratuit.com--id-5598.pdf
cours-gratuit.com--id-5598.pdfcours-gratuit.com--id-5598.pdf
cours-gratuit.com--id-5598.pdf
 
IPv6 news-fr-20121009
IPv6 news-fr-20121009IPv6 news-fr-20121009
IPv6 news-fr-20121009
 
Anniversaire Paris JUG - Deja 10 ans - retour vers le futur avec JMX
Anniversaire Paris JUG - Deja 10 ans - retour vers le futur avec JMXAnniversaire Paris JUG - Deja 10 ans - retour vers le futur avec JMX
Anniversaire Paris JUG - Deja 10 ans - retour vers le futur avec JMX
 
IPv6 stephane bortzmeyer
IPv6 stephane bortzmeyer IPv6 stephane bortzmeyer
IPv6 stephane bortzmeyer
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
 
Extreme networks - Multi-Pathing L2 & SDN
Extreme networks - Multi-Pathing L2 & SDNExtreme networks - Multi-Pathing L2 & SDN
Extreme networks - Multi-Pathing L2 & SDN
 

Plus de Johan Moreau

Les premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueLes premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueJohan Moreau
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Johan Moreau
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiquesJohan Moreau
 
Intégration continue
Intégration continueIntégration continue
Intégration continueJohan Moreau
 
Implications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entrepriseImplications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entrepriseJohan Moreau
 
De la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logicielsDe la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logicielsJohan Moreau
 
Outils de construction pour la recherche
Outils de construction pour la rechercheOutils de construction pour la recherche
Outils de construction pour la rechercheJohan Moreau
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockJohan Moreau
 
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?Johan Moreau
 
Processus de développement
Processus de développementProcessus de développement
Processus de développementJohan Moreau
 
2009 2010 Fip3 A Unix
2009 2010 Fip3 A Unix2009 2010 Fip3 A Unix
2009 2010 Fip3 A UnixJohan Moreau
 

Plus de Johan Moreau (11)

Les premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueLes premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaque
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiques
 
Intégration continue
Intégration continueIntégration continue
Intégration continue
 
Implications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entrepriseImplications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entreprise
 
De la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logicielsDe la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logiciels
 
Outils de construction pour la recherche
Outils de construction pour la rechercheOutils de construction pour la recherche
Outils de construction pour la recherche
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
 
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
 
Processus de développement
Processus de développementProcessus de développement
Processus de développement
 
2009 2010 Fip3 A Unix
2009 2010 Fip3 A Unix2009 2010 Fip3 A Unix
2009 2010 Fip3 A Unix
 

IPv6 au Clusir-Est

  • 1. IPv6, d´ploiement et s´curit´ e e e Pr´sentation Clusir-Est e Johan Moreau IRCAD 14 juin 2012 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 1 / 39
  • 2. Introduction Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 2 / 39
  • 3. Introduction IPv4 une r´ussite extraordinaire e RFC 791 de septembre 1981, plus de 20 ans ! Avec TCP et HTML, c’est l’un des protocoles qui aura fait le net tel que nous le connaissons IP est partout, y compris sur des LAN sp´cialis´s e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 3 / 39
  • 4. Introduction Probl´matiques e Espace d’adressage IPv4 insuffisant (3,7 milliards) Coˆt important du traitement des paquets sur les routeurs u R´pondre ` de nouveaux besoins e a ◦ s´curit´ e e ◦ qualit´ de service e ◦ mobilit´e ◦ simplification de la configuration ◦ ... Petit ` petit, perte d’un des principes de base : a communication de bout (SIP, VPN, ...) R´flexion de l’IETF milieu des ann´es 90, RFC 2460 de d´cembre 1998 ! e e e Mais beaucoup de protocoles p´riph´riques absents. e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 4 / 39
  • 5. IPv6 Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 5 / 39
  • 6. IPv6 Nouveaut´s d’IPv6 e Augmentation de l’espace d’adressage : 232 → 2128 soit 1,4 milliard de milliard d’adresses par cm2 sur terre soit 4,8*1028 /pers si on consid`re 7 milliards d’individus e Int´gration de m´canismes de configuration automatique e e IPsec, QoS et multicast (mieux) int´gr´s au protocole e e Simplification des en-tˆtes e Retour ` une communication de bout en bout (apr`s migration a e compl`te !), mais pas de compatibilit´ native entre IPv4 et IPv6. Pour e e ´changer, il faut des m´canismes compl´mentaires. e e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 6 / 39
  • 7. IPv6 En-tˆte IPv6 (40 octets/ 320 bits) e Champ Description Version = 6 pour IPv6 Traffic Class Indique l’utilisation de diffserv, et ECN Flow Label Marquage de paquets par la source Payload Length Taille de la charge utile (suivant le header de base) Next Header Identifie le datagramme interne Hop Limit Nombre maximum de sauts Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 7 / 39
  • 8. IPv6 Adresse IPv6 Une adresse est cod´e sur 128 bits e Not´ sous la forme 8 de champs de 2 octets exprim´s en hexad´cimal e e e ◦ ex : 2001:0db8:ab1f:1001:0000:0000:00e4:9f43 Suppression des z´ros non significatifs : e ◦ ex : 2001:db8:ab1f:1001:0:0:e4:9f43 Suppression d’une suite de z´ros : e ◦ ex : 2001:db8:ab1f:1001::e4:9f43 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 8 / 39
  • 9. IPv6 Autoconfiguration sans m´moire d’´tats e e Fabrication d’une adresse globale ` partir de : a les annonces de pr´fixes faites par les routeurs e l’adresse MAC de l’interface r´seau e Concat´n´ au pr´fixe annonc´ par le routeur, on obtient une adresse e e e e globale Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 9 / 39
  • 10. IPv6 Autoconfiguration avec m´moire d’´tats (DHCPv6) e e Le protocole DHCPv6 rempli les mˆmes tˆches que DHCPv4 : e a Le serveur ◦ m´morise l’´tat du client e e ◦ fournit les adresses IPv6 ou des param`tres de configuration (DNS, e . . .) Le client ´met des requˆtes et des acquittements selon le protocole. e e L’int´gration de DHCPv6 avec certaines fonctionnalit´s d’IPv6 (adresse e e lien-local, multicast) le rende plus ´l´gant et plus efficace que son ee pr´d´cesseur. e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 10 / 39
  • 11. IPv6 Support de l’autoconfiguration dans diff´rents OS e OS Router Advertisements RDNSS DHCPv6 SLAAC RFC6106 Linux / *BSD Mac OS X ≥ Lion Windows Vista / 7 × Windows XP × via Dibbler Sous Windows Vista / 7 et OS X le client DHCPv6 est int´gr´ ` l’OS. e ea Sous Linux / *BSD, utilisation du client WIDE / ISC dhclient / dibbler. Pour les autres logiciels : ok pour les navigateurs, en cours pour Skype/MySQL/... inconnue pour les imprimantes, cam´ras IP, boot r´seau e e (PXE, NetBoot, ...) Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 11 / 39
  • 12. IPv6 D´ploiement actuel e Moins de 5% du traffic mondial Effort actuel http ://www.worldipv6launch.org (6 juin) Les ”gros” en font partie : Google, Microsoft, Yahoo, Facebook, Wikipedia free, SFR, Orange, ... La France en tˆte du d´ploiement e e BT Connect : 5% des entreprises en 2011, 13% en 2012 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 12 / 39
  • 13. IPv6 R´partition mondiale en 2011 (google) e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 13 / 39
  • 14. IPv6 Effort du 6 juin 2012 (MS-IX ` Amsterdam) a Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 14 / 39
  • 15. IPv6 Utilisation de tunnels ` e A d´faut, et pendant une phase de transition, il est possible d’obtenir une connectivit´ IPv6 via un tunnel. Les paquets IPv6 sont alors encapsul´s e e dans des paquets IPv4, qui peuvent traverser le r´seau du FAI jusqu’` un e a serveur qui prend en charge IPv6 et IPv4, et o` ils sont d´capsul´s. Le u e e recours ` des tunnels, et donc ` un r´seau overlay, est de nature ` nuire a a e a aux performances. Tunnels statiques 6in4, GRE, ... via prestataire Tunnels automatiques 6to4, Teredo, 6rd, ... Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 15 / 39
  • 16. Projet ` l’institut a Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 16 / 39
  • 17. Projet ` l’institut a D´marche globale du projet e Veille active depuis 2009 Ajout de contraintes dans les achats depuis 2011 Stage de master et maquette en 2012 Mise en production en 2013 sur une partie du LAN LAN enti`rement en IPv6 pas avant 2015 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 17 / 39
  • 18. Projet ` l’institut a Objectifs du stage 2012 Etudier les diff´rents sc´narios de migration vers le protocole IPv6 e e Evaluer la compatibilit´ avec IPv6 des diff´rents ´quipements et e e e applications utilis´s au sein de l’institut e Mettre en oeuvre les sc´narios de migration dans une maquette e Evaluer la nouvelle architecture r´seau et les sc´narios, en termes de e e fiabilit´ et flexibilit´ e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 18 / 39
  • 19. Projet ` l’institut a Pr´paration de la maquette : les questions ? e Quel inventaire pour les ´quipements et applications ? e Pour chaque groupe d’´quipements, quelles fonctionnalit´s d’IPv6 e e sont support´es ? e Les applications fonctionnent-elles dans un environnement IPv6 ? ◦ Support dans diff´rents langages de programmation e ◦ Frameworks ◦ Possibilit´ d’utiliser un wrapper, ou tunnel v6-v4 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 19 / 39
  • 20. Projet ` l’institut a Filtrage et routage Firewalls et bridges OpenBSD ◦ Ecriture de r`gles Packet Filter e ◦ Configuration du protocole CARP (redondance) ◦ Configuration du protocole pfsync (synchronisation des ´tats PF) e Filtrage applicatif Web : squid + squidGuard Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 20 / 39
  • 21. Projet ` l’institut a Switch Mat´riels Cisco e Mise ` jour d’IOS et activation du dual-stack a Configuration d’IPv6 sur certains VLANs Redondance de la passerelle par d´faut (protocole HSRP) e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 21 / 39
  • 22. Projet ` l’institut a Service d’annuaire, nommage et autoconfiguration Active Directory 2008 : configurer l’adressage IPv6 DNS : Ajout de zones de recherche directe et invers´e, puis ajout e d’enregistrements AAAA DHCP : Ajout d’´tendues et r´servations e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 22 / 39
  • 23. Projet ` l’institut a Serveur de virtualisation VMWare ESXi IPv6 au niveau de l’hyperviseur IPv6 au niveau des machines virtuelles ◦ TCP Segmentation Offload non support´ e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 23 / 39
  • 24. Projet ` l’institut a Serveur de stockage iSCSI et NFS En production, des solutions de type NetApp sont utilis´es e Dans la maquette, tests effectu´s avec des solutions libres e ◦ NFSv4 ◦ Linux SCSI target framework (tgt) Acc`s et performance test´s depuis ESXi e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 24 / 39
  • 25. Projet ` l’institut a Monitoring Collecte des informations faite par le moteur Nagios Trait´s en aval par Centreon, pnp4nagios, NagVis e Support d’IPv6 d´pendant des plugins e ◦ Cas identique ` Munin a Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 25 / 39
  • 26. Projet ` l’institut a Applications utilis´es en interne e GLPI : solution de gestion de parc informatique (PHP/MySQL) SOGo : solution de serveur collaboratif (Objective-C/MySQL) XWiki : plateforme de wiki (Java/MySQL) Ces applications ont ´t´ rendues accessibles en IPv6 en modifiant ee uniquement la configuration du serveur Apache Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 26 / 39
  • 27. Plan de migration Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 27 / 39
  • 28. Plan de migration M´thodes disponibles e 1 Dual-stack 2 NAT64 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 28 / 39
  • 29. Plan de migration Dual-stack D´ploiement du r´seau IPv6 en parall`le du r´seau IPv4 e e e e Repli sur IPv4 en cas de d´faillance IPv6 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 29 / 39
  • 30. Plan de migration Dual-stack D´ploiement du r´seau IPv6 en parall`le du r´seau IPv4 e e e e Repli sur IPv4 en cas de d´faillance IPv6 e × Charge suppl´mentaire (CPU, m´moire) e e × Maintenance plus coˆteuse u Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 29 / 39
  • 31. Plan de migration NAT64 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 30 / 39
  • 32. Plan de migration NAT64 Permet ` un hˆte IPv6-only d’acc´der au contenu IPv4 a o e Impl´mentation disponible dans OpenBSD e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 30 / 39
  • 33. Plan de migration NAT64 Permet ` un hˆte IPv6-only d’acc´der au contenu IPv4 a o e Impl´mentation disponible dans OpenBSD e × Applications IPv4 ne sont plus fonctionnelles × Mˆme soucis qu’avec le NAT en IPv4 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 30 / 39
  • 34. Les aspects s´curit´s e e Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 31 / 39
  • 35. Les aspects s´curit´s e e Les points positifs Int´gration naturelle d’IPSec e Retour ` une communication de bout en bout a Scan de plage IP plus difficile Outils de malveillance ` red´velopper compl`tement a e e Outils l´gitime d´j` en bonne partie pr´sent e ea e Comp´tences ` acqu´rir pour les individus malveillants e a e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 32 / 39
  • 36. Les aspects s´curit´s e e Les points de difficult´s traditionnelles e Comp´tences ` acqu´rir pour les ´quipes internes e a e e Tous les logiciels ne sont pas encore disponibles Bug des premi`res versions e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 33 / 39
  • 37. Les aspects s´curit´s e e Les points li´s ` la transitions v4 vers v6 e a Activ´ par d´faut ! (Win7, ...) e e IPv6 utilis´ en priorit´ avant de recourir ` l’adresse IPv4 e e a Charge du double processus pour les ´quipements du r´seau e e Incapacit´ ` faire fonctionner certains protocoles en v4 et v6 (en ea mˆme temps) e Nombreuses configurations de s´curit´ ` mettre ` jour e ea a Projet de migration long, car maquettage difficile Pas de valeur ajout´e, peu de suivi des directions et des services e Information de transport dans la couche applicative Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 34 / 39
  • 38. Les aspects s´curit´s e e Exemple de sp´cificit´s v6 e e Autoconfiguration via les routeurs Niveau d’inspection des ´quipements s´curit´ encore faible e e e ... Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 35 / 39
  • 39. Les aspects s´curit´s e e Outils d’audits Simple : diff´rents sites pour la connectivit´ e e fuzzing : Veripy (construit sur scappy) Snort : version r´cente, Suricata ok e Nmap : ok Extension IPvFOO pour Chrome et Firefox ... Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 36 / 39
  • 40. Perspectives et conclusion Plan 1 Introduction 2 IPv6 3 Projet ` l’institut a 4 Plan de migration 5 Les aspects s´curit´s e e 6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 37 / 39
  • 41. Perspectives et conclusion Int´rˆt ´conomique ` l’´chelle mondiale ee e a e Peu d’int´rˆt des USA ee Demande importante des pays en voie de d´veloppement e Effort important de l’Europe IPv6 est une technologie qui am´liore la neutralit´ des r´seaux e e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 38 / 39
  • 42. Perspectives et conclusion Perspectives et conclusion La migration vers le protocole r´seau IPv6 est un passage obligatoire e Non prise en charge de l’´volution e Les piles IPv6 des OS modernes sont globalement robustes Manque de maturit´ dans certains cas (logiciels et mat´riels) e e De nombreux bugs sont encore pr´sents, qui seront corrig´s au fur et e e ` mesure des d´ploiements a e Prestation possible mais projet n´cessairement en partie interne e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 39 / 39