Successfully reported this slideshow.

IPv6 au Clusir-Est

1 001 vues

Publié le

Migration et sécurité avec IPv6. Présentation Clusir-Est, voir : http://www.clusir-est.org

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

IPv6 au Clusir-Est

  1. 1. IPv6, d´ploiement et s´curit´ e e e Pr´sentation Clusir-Est e Johan Moreau IRCAD 14 juin 2012Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 1 / 39
  2. 2. IntroductionPlan1 Introduction2 IPv63 Projet ` l’institut a4 Plan de migration5 Les aspects s´curit´s e e6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 2 / 39
  3. 3. IntroductionIPv4 une r´ussite extraordinaire e RFC 791 de septembre 1981, plus de 20 ans ! Avec TCP et HTML, c’est l’un des protocoles qui aura fait le net tel que nous le connaissons IP est partout, y compris sur des LAN sp´cialis´s e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 3 / 39
  4. 4. IntroductionProbl´matiques e Espace d’adressage IPv4 insuffisant (3,7 milliards) Coˆt important du traitement des paquets sur les routeurs u R´pondre ` de nouveaux besoins e a ◦ s´curit´ e e ◦ qualit´ de service e ◦ mobilit´e ◦ simplification de la configuration ◦ ...Petit ` petit, perte d’un des principes de base : a communication de bout (SIP, VPN, ...)R´flexion de l’IETF milieu des ann´es 90, RFC 2460 de d´cembre 1998 ! e e eMais beaucoup de protocoles p´riph´riques absents. e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 4 / 39
  5. 5. IPv6Plan1 Introduction2 IPv63 Projet ` l’institut a4 Plan de migration5 Les aspects s´curit´s e e6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 5 / 39
  6. 6. IPv6Nouveaut´s d’IPv6 e Augmentation de l’espace d’adressage : 232 → 2128 soit 1,4 milliard de milliard d’adresses par cm2 sur terre soit 4,8*1028 /pers si on consid`re 7 milliards d’individus e Int´gration de m´canismes de configuration automatique e e IPsec, QoS et multicast (mieux) int´gr´s au protocole e e Simplification des en-tˆtes eRetour ` une communication de bout en bout (apr`s migration a ecompl`te !), mais pas de compatibilit´ native entre IPv4 et IPv6. Pour e e´changer, il faut des m´canismes compl´mentaires.e e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 6 / 39
  7. 7. IPv6En-tˆte IPv6 (40 octets/ 320 bits) e Champ Description Version = 6 pour IPv6 Traffic Class Indique l’utilisation de diffserv, et ECN Flow Label Marquage de paquets par la source Payload Length Taille de la charge utile (suivant le header de base) Next Header Identifie le datagramme interne Hop Limit Nombre maximum de sauts Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 7 / 39
  8. 8. IPv6Adresse IPv6 Une adresse est cod´e sur 128 bits e Not´ sous la forme 8 de champs de 2 octets exprim´s en hexad´cimal e e e ◦ ex : 2001:0db8:ab1f:1001:0000:0000:00e4:9f43 Suppression des z´ros non significatifs : e ◦ ex : 2001:db8:ab1f:1001:0:0:e4:9f43 Suppression d’une suite de z´ros : e ◦ ex : 2001:db8:ab1f:1001::e4:9f43 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 8 / 39
  9. 9. IPv6Autoconfiguration sans m´moire d’´tats e eFabrication d’une adresse globale ` partir de : a les annonces de pr´fixes faites par les routeurs e l’adresse MAC de l’interface r´seau eConcat´n´ au pr´fixe annonc´ par le routeur, on obtient une adresse e e e eglobale Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 9 / 39
  10. 10. IPv6Autoconfiguration avec m´moire d’´tats (DHCPv6) e eLe protocole DHCPv6 rempli les mˆmes tˆches que DHCPv4 : e a Le serveur ◦ m´morise l’´tat du client e e ◦ fournit les adresses IPv6 ou des param`tres de configuration (DNS, e . . .) Le client ´met des requˆtes et des acquittements selon le protocole. e eL’int´gration de DHCPv6 avec certaines fonctionnalit´s d’IPv6 (adresse e elien-local, multicast) le rende plus ´l´gant et plus efficace que son eepr´d´cesseur. e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 10 / 39
  11. 11. IPv6Support de l’autoconfiguration dans diff´rents OS e OS Router Advertisements RDNSS DHCPv6 SLAAC RFC6106 Linux / *BSD Mac OS X ≥ Lion Windows Vista / 7 × Windows XP × via Dibbler Sous Windows Vista / 7 et OS X le client DHCPv6 est int´gr´ ` l’OS. e ea Sous Linux / *BSD, utilisation du client WIDE / ISC dhclient / dibbler.Pour les autres logiciels : ok pour les navigateurs, en cours pourSkype/MySQL/... inconnue pour les imprimantes, cam´ras IP, boot r´seau e e(PXE, NetBoot, ...) Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 11 / 39
  12. 12. IPv6D´ploiement actuel e Moins de 5% du traffic mondial Effort actuel http ://www.worldipv6launch.org (6 juin) Les ”gros” en font partie : Google, Microsoft, Yahoo, Facebook, Wikipedia free, SFR, Orange, ... La France en tˆte du d´ploiement e e BT Connect : 5% des entreprises en 2011, 13% en 2012 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 12 / 39
  13. 13. IPv6R´partition mondiale en 2011 (google) e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 13 / 39
  14. 14. IPv6Effort du 6 juin 2012 (MS-IX ` Amsterdam) a Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 14 / 39
  15. 15. IPv6Utilisation de tunnels` eA d´faut, et pendant une phase de transition, il est possible d’obtenir uneconnectivit´ IPv6 via un tunnel. Les paquets IPv6 sont alors encapsul´s e edans des paquets IPv4, qui peuvent traverser le r´seau du FAI jusqu’` un e aserveur qui prend en charge IPv6 et IPv4, et o` ils sont d´capsul´s. Le u e erecours ` des tunnels, et donc ` un r´seau overlay, est de nature ` nuire a a e aaux performances. Tunnels statiques 6in4, GRE, ... via prestataire Tunnels automatiques 6to4, Teredo, 6rd, ... Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 15 / 39
  16. 16. Projet ` l’institut aPlan1 Introduction2 IPv63 Projet ` l’institut a4 Plan de migration5 Les aspects s´curit´s e e6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 16 / 39
  17. 17. Projet ` l’institut aD´marche globale du projet e Veille active depuis 2009 Ajout de contraintes dans les achats depuis 2011 Stage de master et maquette en 2012 Mise en production en 2013 sur une partie du LAN LAN enti`rement en IPv6 pas avant 2015 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 17 / 39
  18. 18. Projet ` l’institut aObjectifs du stage 2012 Etudier les diff´rents sc´narios de migration vers le protocole IPv6 e e Evaluer la compatibilit´ avec IPv6 des diff´rents ´quipements et e e e applications utilis´s au sein de l’institut e Mettre en oeuvre les sc´narios de migration dans une maquette e Evaluer la nouvelle architecture r´seau et les sc´narios, en termes de e e fiabilit´ et flexibilit´ e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 18 / 39
  19. 19. Projet ` l’institut aPr´paration de la maquette : les questions ? e Quel inventaire pour les ´quipements et applications ? e Pour chaque groupe d’´quipements, quelles fonctionnalit´s d’IPv6 e e sont support´es ? e Les applications fonctionnent-elles dans un environnement IPv6 ? ◦ Support dans diff´rents langages de programmation e ◦ Frameworks ◦ Possibilit´ d’utiliser un wrapper, ou tunnel v6-v4 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 19 / 39
  20. 20. Projet ` l’institut aFiltrage et routage Firewalls et bridges OpenBSD ◦ Ecriture de r`gles Packet Filter e ◦ Configuration du protocole CARP (redondance) ◦ Configuration du protocole pfsync (synchronisation des ´tats PF) e Filtrage applicatif Web : squid + squidGuard Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 20 / 39
  21. 21. Projet ` l’institut aSwitchMat´riels Cisco e Mise ` jour d’IOS et activation du dual-stack a Configuration d’IPv6 sur certains VLANs Redondance de la passerelle par d´faut (protocole HSRP) e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 21 / 39
  22. 22. Projet ` l’institut aService d’annuaire, nommage et autoconfiguration Active Directory 2008 : configurer l’adressage IPv6 DNS : Ajout de zones de recherche directe et invers´e, puis ajout e d’enregistrements AAAA DHCP : Ajout d’´tendues et r´servations e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 22 / 39
  23. 23. Projet ` l’institut aServeur de virtualisation VMWare ESXi IPv6 au niveau de l’hyperviseur IPv6 au niveau des machines virtuelles ◦ TCP Segmentation Offload non support´ e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 23 / 39
  24. 24. Projet ` l’institut aServeur de stockage iSCSI et NFS En production, des solutions de type NetApp sont utilis´es e Dans la maquette, tests effectu´s avec des solutions libres e ◦ NFSv4 ◦ Linux SCSI target framework (tgt) Acc`s et performance test´s depuis ESXi e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 24 / 39
  25. 25. Projet ` l’institut aMonitoring Collecte des informations faite par le moteur Nagios Trait´s en aval par Centreon, pnp4nagios, NagVis e Support d’IPv6 d´pendant des plugins e ◦ Cas identique ` Munin a Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 25 / 39
  26. 26. Projet ` l’institut aApplications utilis´es en interne e GLPI : solution de gestion de parc informatique (PHP/MySQL) SOGo : solution de serveur collaboratif (Objective-C/MySQL) XWiki : plateforme de wiki (Java/MySQL)Ces applications ont ´t´ rendues accessibles en IPv6 en modifiant eeuniquement la configuration du serveur Apache Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 26 / 39
  27. 27. Plan de migrationPlan1 Introduction2 IPv63 Projet ` l’institut a4 Plan de migration5 Les aspects s´curit´s e e6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 27 / 39
  28. 28. Plan de migrationM´thodes disponibles e 1 Dual-stack 2 NAT64 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 28 / 39
  29. 29. Plan de migrationDual-stack D´ploiement du r´seau IPv6 en parall`le du r´seau IPv4 e e e e Repli sur IPv4 en cas de d´faillance IPv6 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 29 / 39
  30. 30. Plan de migrationDual-stack D´ploiement du r´seau IPv6 en parall`le du r´seau IPv4 e e e e Repli sur IPv4 en cas de d´faillance IPv6 e× Charge suppl´mentaire (CPU, m´moire) e e× Maintenance plus coˆteuse u Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 29 / 39
  31. 31. Plan de migrationNAT64 Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 30 / 39
  32. 32. Plan de migrationNAT64 Permet ` un hˆte IPv6-only d’acc´der au contenu IPv4 a o e Impl´mentation disponible dans OpenBSD e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 30 / 39
  33. 33. Plan de migrationNAT64 Permet ` un hˆte IPv6-only d’acc´der au contenu IPv4 a o e Impl´mentation disponible dans OpenBSD e× Applications IPv4 ne sont plus fonctionnelles× Mˆme soucis qu’avec le NAT en IPv4 e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 30 / 39
  34. 34. Les aspects s´curit´s e ePlan1 Introduction2 IPv63 Projet ` l’institut a4 Plan de migration5 Les aspects s´curit´s e e6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 31 / 39
  35. 35. Les aspects s´curit´s e eLes points positifs Int´gration naturelle d’IPSec e Retour ` une communication de bout en bout a Scan de plage IP plus difficile Outils de malveillance ` red´velopper compl`tement a e e Outils l´gitime d´j` en bonne partie pr´sent e ea e Comp´tences ` acqu´rir pour les individus malveillants e a e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 32 / 39
  36. 36. Les aspects s´curit´s e eLes points de difficult´s traditionnelles e Comp´tences ` acqu´rir pour les ´quipes internes e a e e Tous les logiciels ne sont pas encore disponibles Bug des premi`res versions e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 33 / 39
  37. 37. Les aspects s´curit´s e eLes points li´s ` la transitions v4 vers v6 e a Activ´ par d´faut ! (Win7, ...) e e IPv6 utilis´ en priorit´ avant de recourir ` l’adresse IPv4 e e a Charge du double processus pour les ´quipements du r´seau e e Incapacit´ ` faire fonctionner certains protocoles en v4 et v6 (en ea mˆme temps) e Nombreuses configurations de s´curit´ ` mettre ` jour e ea a Projet de migration long, car maquettage difficile Pas de valeur ajout´e, peu de suivi des directions et des services e Information de transport dans la couche applicative Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 34 / 39
  38. 38. Les aspects s´curit´s e eExemple de sp´cificit´s v6 e e Autoconfiguration via les routeurs Niveau d’inspection des ´quipements s´curit´ encore faible e e e ... Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 35 / 39
  39. 39. Les aspects s´curit´s e eOutils d’audits Simple : diff´rents sites pour la connectivit´ e e fuzzing : Veripy (construit sur scappy) Snort : version r´cente, Suricata ok e Nmap : ok Extension IPvFOO pour Chrome et Firefox ... Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 36 / 39
  40. 40. Perspectives et conclusionPlan1 Introduction2 IPv63 Projet ` l’institut a4 Plan de migration5 Les aspects s´curit´s e e6 Perspectives et conclusion Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 37 / 39
  41. 41. Perspectives et conclusionInt´rˆt ´conomique ` l’´chelle mondiale ee e a e Peu d’int´rˆt des USA ee Demande importante des pays en voie de d´veloppement e Effort important de l’Europe IPv6 est une technologie qui am´liore la neutralit´ des r´seaux e e e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 38 / 39
  42. 42. Perspectives et conclusionPerspectives et conclusion La migration vers le protocole r´seau IPv6 est un passage obligatoire e Non prise en charge de l’´volution e Les piles IPv6 des OS modernes sont globalement robustes Manque de maturit´ dans certains cas (logiciels et mat´riels) e e De nombreux bugs sont encore pr´sents, qui seront corrig´s au fur et e e ` mesure des d´ploiements a e Prestation possible mais projet n´cessairement en partie interne e Johan Moreau (IRCAD) IPv6, d´ploiement et s´curit´ e e e 14 juin 2012 39 / 39

×