ComputerLand
IPv6 sous contrôle
Analyse de l'impact sur votre infrastructure IT

Bienvenue !
Agenda
Pour vous éclairer
Agenda
Principes de base
IPv6 : Pourquoi ?
1. Problème de disponibilité
• Adressage IPv4 = 4,3 milliards d’adresses (32 bits)
• A...
Principes de base
IPv6 : Pourquoi ?
2. Explosion des besoins :
•
•
•
•
•
•

Services mobiles (gprs, umts, …)
Services wifi...
Principes de base
IPv6 : Pourquoi ?
3. Combler les limitations IPv4 :
• Pas orienté plug & play
• Mobilité
• Complexité du...
Principes de base
Les nouveautés ?
1.
2.
3.

Adresses sur 128 bits (contre 32 bits en IPv4)
= 3,4*1038
Routage optimisé
En...
Principes de base
Structure du protocole
5 champs en moins dans le header :
•
•

•

Header Length : taille fixe contre var...
Principes de base
Address Space
IPV4
• 4,3 milliards d’adresses
• 2.113.389 réseaux (classe A, B, C, D et E)

IPv6
• 340 2...
Principes de base
Address Notation
Une adresse IPv6 est composée de 128 bits (16 bytes) et est divisée en 8
blocs hexadéci...
Principes de base
Global Routing Prefix
Tout comme pour IPV4, IPv6 utilise un préfix afin d’identifier la
partie réseau de...
Principes de base
Global Routing Prefix
Attention à la simplification d’adresse. Prenons l’exemple suivant :
•

Address No...
Principes de base
Address Type
Unicast Address
Identifie de manière unique une interface IPv6. Un paquet envoyé à une adre...
Principes de base
Principaux préfixes
Allocation

Prefix Binary

Prefix HEX

Unassigned

0000 0000

::0/8

Global Unicast
...
Principes de base
Pour résumer
1.

Les IP publiques laissent la place aux adresses de type Global
Unicast
35 184 372 088 8...
Principes de base
Routage
Les principes restent fort proches entre IPv6 et v4
Les protocoles dynamiques ont été reconstrui...
Agenda
Intégration IPv6
Interopérabilité
Le basculement vers IPv6 est progressif (il a déjà commencé)
 phases de transition
Tech...
Intégration IPv6
Dual Stack
Support complet des deux protocoles sur les équipements
En pratique :
1.
2.
3.

Déjà présent s...
Intégration IPv6
Encapsulation
Un protocole est encapsulé dans un autre protocole
IPv6 header

IPv4
header

Paquet IPv6 d’...
Intégration IPv6
Tunneling automatique : 6to4
Mécanisme permettant à deux sites IPv6 de communiquer à travers un
3 bits 13...
Intégration IPv6
Tunneling automatique : Teredo
•
•
•
•
•

Utilise des paquets de type « TEREDO »
Teredo utilise UDP (port...
Intégration IPv6
Teredo : exemple
Intégration IPv6
Translation : NAT-PT
Intégration IPv6
Résumé
Avantage

Inconvénient

DUAL-STACK

Facile d’utilisation
Supression IPv4 à la fin de la
migration
...
Intégration IPv6
Oui mais … QUAND ?
Les facteurs qui vont encourager la migration :
•
•
•
•
•
•

Le manque d’adresses v4 p...
Agenda
IPv6 et la sécurité
IPv4
 Deny of service
 Scan réseau
 Propagation des malwares

IP est sujet aux attaques suivantes :...
IPv6 et la sécurité
Constat
Adresses IPv6 codées sur 128 bits (3,4 * 1038 possibilités)
 Scanner le réseau demande un tem...
IPv6 et la sécurité
Solution
A la conception d’IPv6, des mesures ont été prises pour
contrer ce genre d’attaques via l’int...
IPv6 et la sécurité
Conclusions
1.

IPv6 améliore la sécurité :
1.
2.

2.

Le passage à IPv6 ne sera certainement pas un i...
Agenda
Comment préparer votre entreprise
En pratique
•
•
•
•
•

Généralisation de l’utilisation du DNS
Mise à jour des OS et appl...
Questions ?
Prochaines présentations
Prochain SlideShare
Chargement dans…5
×

Internet Procedure vesion 6 - IPV6 V4 - Computerland

743 vues

Publié le

Pour plus d'infos : #AskComputerland. Nos experts répondent à vos questions. http://bit.ly/1fonxAz

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
743
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
45
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Distribution des dernières adresses par l’IANA aux entitiés hiérarchique
  • Internet Procedure vesion 6 - IPV6 V4 - Computerland

    1. 1. ComputerLand IPv6 sous contrôle Analyse de l'impact sur votre infrastructure IT Bienvenue !
    2. 2. Agenda
    3. 3. Pour vous éclairer
    4. 4. Agenda
    5. 5. Principes de base IPv6 : Pourquoi ? 1. Problème de disponibilité • Adressage IPv4 = 4,3 milliards d’adresses (32 bits) • Adresses disponibles déjà – largement utilisées – mal utilisées (bloc d’adresses dédicacé initialement pour de grandes organisations) • Reste peu d’adresses disponibles pour les pays émergeant  60 à 75% pour les US pour 5% de la population  développement plus rapide de l’IPv6 en Asie
    6. 6. Principes de base IPv6 : Pourquoi ? 2. Explosion des besoins : • • • • • • Services mobiles (gprs, umts, …) Services wifi Électronique connectée (télévision, consoles, …) Véhicule connecté Domotique …
    7. 7. Principes de base IPv6 : Pourquoi ? 3. Combler les limitations IPv4 : • Pas orienté plug & play • Mobilité • Complexité du NAT (incompatibilité de certains protocoles et applications) • Problème de sécurité
    8. 8. Principes de base Les nouveautés ? 1. 2. 3. Adresses sur 128 bits (contre 32 bits en IPv4) = 3,4*1038 Routage optimisé En tête plus simple (8 champs au lieu de 13 en IPv4) • • 4. 5. 6. Amélioration de la performance Comprenant des infos pour la mobilité, la qualité de service et la sécurité Couche IPSec intégrée Mécanisme d’autoconfiguration Intégration et gestion de la mobilité • • • Portage (multi réseau, multi pays) Performance Autoconfiguration
    9. 9. Principes de base Structure du protocole 5 champs en moins dans le header : • • • Header Length : taille fixe contre variable (entre 20 et 60 bytes) - en IPv6, on utilisera les « extension headers » Identification – Flags – Fragment Offset : Méconnaissance du MTU distant et fragmentation contre connaissance du MTU distant (Path MTU Discovery) et utilisation des « extension headers » si fragmentation nécessaire Checksum : Plus nécessaire au niveau des routeurs 1 nouveau champ : Flow label Indicateur associé à l’adresse source et l’adresse destination permet un traitement identique des paquets pour un même flux D’autres champs remplacés et renommés Pour résumer : simplification et optimisation  plus rapide pour le traitement
    10. 10. Principes de base Address Space IPV4 • 4,3 milliards d’adresses • 2.113.389 réseaux (classe A, B, C, D et E) IPv6 • 340 282 366 920 938 463 463 374 607 431 768 211 456 d’adresses • 6,65 X 1023 adresses par m² sur terre !
    11. 11. Principes de base Address Notation Une adresse IPv6 est composée de 128 bits (16 bytes) et est divisée en 8 blocs hexadécimaux de 16 bits (2 bytes) séparés par le caractère « : » Exemple : 2001:0DB8:0000:0056:0000:0000:EF12:1234 Plusieurs simplifications sont possibles : 1. 2001:DB8:0000:56:0000:0000:EF12:1234 (suppression des 0 de gauche) 2. 2001:DB8:0:56:0:0:EF12:1234 (suppression d’un bloc de 4 0 par un seul) 3. 2001:DB8::56:0:0:EF12:1234 (remplacement de 0 contigu par ::) 4. 2001:DB8:0:56::EF12:1234 (ou ceci) Le « :: » est unique dans l’adresse 2001:DB8::56::EF12:1234
    12. 12. Principes de base Global Routing Prefix Tout comme pour IPV4, IPv6 utilise un préfix afin d’identifier la partie réseau de l’adresse Le principe de notation est identique : • IPv6 Address/Prefix Length • La longueur du préfixe indique le nombre de bits le plus à gauche, utilisé pour déterminer le réseau : 2E78:DA53:1200::/40 HEX Notation Binary Notation Number of bits 2E78 0010 1110 0111 1000 16 DA53 1101 1010 0101 0011 16 12 0001 0010 8 Total : 40
    13. 13. Principes de base Global Routing Prefix Attention à la simplification d’adresse. Prenons l’exemple suivant : • Address Notation : • Prefix Notation : • Simplified Prefix Notation : 2001:0DB8:0000:0056:0000:0000:EF12:1234/64 2001:0DB8:0000:0056/64 2001:DB8::56/64 En se basant sur la « Simplified Prefix Notation », vérifions l’adresse que nous obtenons : 2001:0DB8:0000:0000:0000:0000:0000:0056/64 Et revenons à une expression simplifiée du préfixe : 2001:0DB8:0000:0000::/64  La simplification nous a dirigé vers une mauvaise interprétation ! Nous devons donc noter l’adresse de la manière suivante : 2001:0DB8:0:56::/64
    14. 14. Principes de base Address Type Unicast Address Identifie de manière unique une interface IPv6. Un paquet envoyé à une adresse de type unicast sera transmis à l’interface identifiée par cette adresse (idem IPV4) Multicast Address Identifie un groupe d’interface IPv6. Un paquet envoyé à une adresse de type multicast sera traité par tous les membres du groupe multicast (idem IPv4). En IPv6, le broadcast est remplacé par le multicast Anycast Address Une adresse de type anycast est assignée à plusieurs interfaces IPv6. Un paquet envoyé à une adresse de type anycast sera transmis uniquement à l’une des interfaces, généralement la plus proche Autres types d’adresses réservées: • • • • • • Unspecified addresses Loopback addresses 6to4 addresses Teredo addresses Unassigned addresses … « :: » (ipv4 : 0.0.0.0) – Processus d’initialisation « ::1 » (ipv4 : 127.0.0.1) – Localhost 2002::/16 fabriquée avec IP publique (v4) 2001::/32 Idem mais par Microsoft réserve IANA
    15. 15. Principes de base Principaux préfixes Allocation Prefix Binary Prefix HEX Unassigned 0000 0000 ::0/8 Global Unicast 001 2000::/3 Link-Local Unicast 1111 1110 10 FE80::/10 ULA Unicast 1111 110 FC00::/7 MultiCast 1111 1111 FF00::/8 Anycast 001 2000::/3 … … …
    16. 16. Principes de base Pour résumer 1. Les IP publiques laissent la place aux adresses de type Global Unicast 35 184 372 088 832 (245) réseaux « publics » divisibles chacun en 536 (216) sous réseaux - Chaque réseau  264 hôtes 1er Adresse : Dernière Adresse : 2. 65 2000:0000:0000:0000:0000:0000:0000:0000 3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF Fin du NAT Chaque équipement nécessitant un accès Internet possèdera une IPv6 de type Global Unicast 3. Plusieurs adresses IPv6 par équipement (Link-Local, Global Unicast, Teredo, Multicast, Anycast, …)
    17. 17. Principes de base Routage Les principes restent fort proches entre IPv6 et v4 Les protocoles dynamiques ont été reconstruits • • RIPng <-> RIPv2 , IPv6 EIGRP <-> EIGRP IPv6 IS-IS <-> IS-IS, OSPFv3 <-> OSPFv2, extensions IPv6 pour BGP Le principe de route statique persiste
    18. 18. Agenda
    19. 19. Intégration IPv6 Interopérabilité Le basculement vers IPv6 est progressif (il a déjà commencé)  phases de transition Techniques d’interopérabilité : 1. 2. 3. Dual stack / Dual layer Tunneling Translation
    20. 20. Intégration IPv6 Dual Stack Support complet des deux protocoles sur les équipements En pratique : 1. 2. 3. Déjà présent sur les OS modernes Permet la cohabitation Migration progressive
    21. 21. Intégration IPv6 Encapsulation Un protocole est encapsulé dans un autre protocole IPv6 header IPv4 header Paquet IPv6 d’origine envoyé d’un PC vers l’entrée du tunnel Payload IPv6 header Paquet encapsulé envoyé vers la sortie du tunnel Payload Trois composants : • • • Encapsulation à l’entrée du tunnel Décapsulation à la sortie du tunnel Gestion du tunnel Réseau IPv6 Réseau IPv6 Tunnel endpoint Tunnel endpoint Réseau IPv4 R1 Paul IPv6 R2 Jacques IPv6
    22. 22. Intégration IPv6 Tunneling automatique : 6to4 Mécanisme permettant à deux sites IPv6 de communiquer à travers un 3 bits 13 bits 32 bits 16 bits 64 bits nuage IPv4 Adresse IPv6 réservée  2002::/16 FP 001 TLA Ox0002 Adresse IPv4 SLA ID Fonctionnement: 1. 2. 3. 4. Les paquets sont envoyés à R1 R1 extrait l’adresse IPv4 de l’adresse IPv6 de destination R1 envoie les paquets à R2 R2 décapsule et envoie les paquets à la destination finale Problèmes : 1. 2. Le relay 6to4 doit avoir une adresse IP publique IPv4 6to4 gère mal le NAT Interface ID
    23. 23. Intégration IPv6 Tunneling automatique : Teredo • • • • • Utilise des paquets de type « TEREDO » Teredo utilise UDP (port 3544) 32 bits Supporte le NAT Adresse IPv6 réservée : 2001::/32 Préfixe Teredo Origine : Microsoft Prefix 32 bits Adresse IPv4 16 bits 16 bits 32 bits Flags Port Adresse IPv4 client Port UDP Adresse IPv4 d’un du client serveur Teredo Adresse et type de NAT Adresse IPv4 du poste client
    24. 24. Intégration IPv6 Teredo : exemple
    25. 25. Intégration IPv6 Translation : NAT-PT
    26. 26. Intégration IPv6 Résumé Avantage Inconvénient DUAL-STACK Facile d’utilisation Supression IPv4 à la fin de la migration Usage CPU et mémoire (double gestion) Protéger le réseau IPv6 TUNNELING Migration par étapes : LAN : IPv6 avec un ISP IPv4 LAN : IPv4 avec un ISP IPv6 Usage CPU et mémoire (encapsulation) Attention à la sécurité du LAN NAT-PT Un hôte IPv4 peut directement parler avec un hôte IPv6 Pas de sécurité point à point
    27. 27. Intégration IPv6 Oui mais … QUAND ? Les facteurs qui vont encourager la migration : • • • • • • Le manque d’adresses v4 publiques Réseaux IPv6 inaccessibles depuis IPv4 Des applications IPv6 « only » pourraient sortir Garantir l’interopérabilité Le besoin de nouvelles fonctionnalités apportée par IPv6 (sécurité, mobilité, …) Et surtout … pour anticiper le changement D’un autre côté : • • Les mécanismes de cohabitation existent Les éditeurs de logiciels ne sont pas fous !
    28. 28. Agenda
    29. 29. IPv6 et la sécurité IPv4  Deny of service  Scan réseau  Propagation des malwares IP est sujet aux attaques suivantes : – packet sniffing (capture de paquets) – IP spoofing (vol d’adresses IP) – Connection hijacking (corruption des paquets IP)
    30. 30. IPv6 et la sécurité Constat Adresses IPv6 codées sur 128 bits (3,4 * 1038 possibilités)  Scanner le réseau demande un temps considérable … 264 hôtes = 584.942.417.355 années  Certains programmes malicieux auront difficile à se propager  Mais pas d’impact sur les bots & virus qui se propagent souvent par email
    31. 31. IPv6 et la sécurité Solution A la conception d’IPv6, des mesures ont été prises pour contrer ce genre d’attaques via l’intégration d’IPSec (Internet Protocol Security) • • • Confidentialité & intégrité des données Authentification de l'origine des données Protection contre les attaques de type Replay Mais IPSec permet aussi : • • • Création de VPN Sécuriser les accès distants (Utilisation nomade) Protection d’un serveur sensible
    32. 32. IPv6 et la sécurité Conclusions 1. IPv6 améliore la sécurité : 1. 2. 2. Le passage à IPv6 ne sera certainement pas un inhibiteur pour la cybercriminalité qui continue à se développer très fortement 1. 2. 3. Intégration IPSec Nombre important d’adresses IPv6 possible Logiciels malveillants toujours plus sophistiqués Combinant plusieurs types d’attaques ll est donc essentiel pour toutes les organisations de s’équiper d’une première ligne de défense efficace en déployant des solutions de sécurité multi-menaces
    33. 33. Agenda
    34. 34. Comment préparer votre entreprise En pratique • • • • • Généralisation de l’utilisation du DNS Mise à jour des OS et applicatifs Attention aux applicatifs « métiers » La chasse aux adresses IPv4 « hard codées » est ouverte Familiarisez-vous avec les concepts ! ComputerLand peut vous aider : • • • Conseil Audit Veille technologique
    35. 35. Questions ?
    36. 36. Prochaines présentations

    ×