IPv6 est maintenant mis en uvre dans de nombreux systmes d'information ;
2. IPv6 est encore mconnu ; 3. IPv6 prtend rsoudre certains probmes de scurit ; !. "a mi#ration vers IPv6 est d$% en#a#e dans pusieurs rseaux ; &. "es ris'ues associs au dpoiement IPv6 sont moins popuaires. 1 Introduction "e protocoe de routa#e principaement utiis au$ourd'(ui pour es communications Internet est e protocoe IP )Internet Protoco*. "a version a pus utiise du protocoe IP est a version ! )on utiisera 'abrviation IPv!* et n'a fait 'ob$et d'aucune voution ma$eure depuis a pubication du document fondateur+ a ,-. /01+ en septembre 1011. "e protocoe IP dans sa version ! s'est avr asse2 robuste tout au on# de 'essor de 'Internet. .ependant+ un certain nombre de caractristi'ues et d'voutions n'ont pas t prises en compte+ ce 'ui % conduit % a ncessit de 'aboration d'un successeur au protocoe IP actue. Parmi es voutions actuees ma considres par IPv!+ on peut citer 3 a croissance rapide de 'Internet 'ui conduit rapidement % un puisement des adresses IPv! disponibes ; a mutipication des systmes communi'uants mobies )P45s+ tp(ones portabes+ ...* ; 'essor de nouveaux services de diffusion mutimdia )vido ou radio sur 'Internet+ vidoconfrence+ etc*. "e successeur nature aurait pu o#i'uement 6tre IP version &+ mais cette version a t attribue % un protocoe exprimenta 3 78 )Internet 7tream Protoco*+ dfini pour a premire fois en 10/0 et 'ui n'a $amais atteint e #rand pubic. "e successeur fut donc c(oisi sous e nom de IPv6. 2 IPv6 en pratique 2.2 Les adresses IPv6 est un protocoe rseau+ servant % v(icuer des pa'uets de donnes % travers diffrents ments actifs )routeurs par exempe* du rseau. 8out comme IPv!+ IPv6 doit enveopper )ou encapsuer* es donnes dans certains pa'uets+ en a$outant pusieurs informations. .ees9ci se trouvent dans un endroit particuier+ appe ent6te du pa'uet. :e prcise entre autres 'adresse de 'metteur du pa'uet+ ainsi 'ue cee du destinataire. 7ous IPv!+ i est fr'uent de voir une tee adresse sur 32 bits sous a forme ;.<.=.>+ avec c(acune de ces ettres reprsentant des nombres entre ? et 2&&. Par exempe 3 213.&6.1/6.2 3 'adresse pubi'ue du site @@@.certa.ssi.#ouv.fr oA ce document a t pubi ; 102.161.?.1 3 une adresse prive rserve % un usa#e interne ; 12/.?.?.1 3 'adresse de bouca#e loopback+ 'uand une mac(ine veut s'envoyer des pa'uets )ors'u'ee combine es rBes de cient et serveur par exempe*. 7ous IPv6+ e format d'une adresse c(an#e 3 ee fait maintenant 121 bits )donc un stocC de adresses+ soit fois pus 'u'avec IPv!*+ et se prsente en 1 mots de 16 bits )! (exadcimaux* spars par e caractre D 3 E. "a reprsentation du prfixe+ reste+ ee+ simiaire % cee de a notation .I4, du ,-. 1&10 utiise avec IPv! F,-.1&10G. I s'a#it des fameux /24+ /8+ etc. 4eux iustrations+ 'une tant 'adresse IPv6 d'une mac(ine+ 'autre cee d'un rseau+ sont reprsentes ci9 dessous 3 5dresse IPv6 d'une mac(ine 3 -:4.3!??5321?-33!:4311113!!!!34:3:33140 5dresse IPv6 d'un rseau 3 -:4.3!??5321?-33!:433H6! 5dresse de type loopback 3 ?3?3?3?3?3?3?31 ou 331 4ans e cas oA 'adresse IPv6 est directement mise dans e ien rticuaire d'un site )ou URL*+ cee9ci doit apparaItre entre croc(ets 3 http://[XXX:XXXX:XXXX::XXXX:XXXX]/index.html+ parce 'ue D3E a une autre si#nification dans une URL. :nfin+ tout comme pour IPv!+ certaines pa#es sont rserves. 4e pus ampes dtais se trouvent dans es ,-. 3&13+ !?!1+ !103 et 31/0. Pour concure cette section+ i faut #aement mentionner 'ue des adresses IPv6 sont en t(orie rserve pour a documentation F,-.31!0G. I s'a#it de a pa#e 2??134J133H32+ % 'instar des adresses 102.?.2.?H2! dfinies sous IPv! par e ,-. 333?. .ette r#e n'est cependant pas tou$ours respecte dans ce document. 2.3 Les enttes "'ent6te d'un pa'uet est #rement diffrente de cee mise en uvre par e protocoe IPv!+ mais de nombreux points communs demeurent+ comme 'iustrent es fi#ures 1 et 2 3 a fi#ure 1 prsente un pa'uet IPv6 dans sa #obait+ et a fi#ure 2 dcrit es diffrents c(amps de 'ent6te IPv6. "es standards se sont appuys sur 'ac'uis d'IPv! afin de simpifier es c(amps de 'ent6te+ au bon(eur des administrateurs rseaux et des routeurs. :n premire remar'ue+ i n'existe pus de c(amp c(ecCsum+ 'ui vrifie 'int#rit du pa'uet 3 ainsi+ IPv6 ne vrifie pus si une erreur est apparue au niveau de son ent6te au cours des diffrentes tapes de traitement du pa'uet. I se pose aors e probme de savoir si e c(amp source ou destination du pa'uet ne contient pas d'erreur. IPv6 considre 'ue cette tKc(e revient aux protocoes de niveau suprieur+ 'ui devront mettre en pace un mcanisme de vrification d'int#rit de bout9en9bout+ incuant une pseudo9ent6te avec es adresses source et destination. Par exempe+ L4P permet d'a$outer ces c(amps et vrifier es erreurs+ mais ceux9ci sont facutatifs sous IPv!. .ependant+ ce man'ue d'int#rit au niveau rseau peut poser des probmes. 4'une part+ es routeurs ne faisant pus de contrBe d'int#rit+ a dtection d'une erreur dans e pa'uet ne se fera 'u'% sa destination )ors de a ecture des protocoes des couc(es suprieures*. 4'autre part+ i est pus difficie d'identifier es connexions rseau 'ui seraient % 'ori#ine d'un taux anorma d'erreurs au cours du voya#e des pa'uets. I.MPv! )pour Internet .ontro Messa#e Protoco* est e protocoe utiis pour #rer des informations reatives % 'tat du rseau des mac(ines connectes. 5 a diffrence d'L4P+ I.MPv! ne vrifie 'ue 'int#rit du messa#e I.MP+ et non a source et a destination du pa'uet ori#ina. .eci a contribu % 'apparition d'un protocoe 'uivaent mais pus adapt+ nomm I.MPv6. .omme pour IPv!+ IPv6 prend en compte e nombre de sauts+ ou nombre de routeurs 'ue e pa'uet est autoris % traverser. 4ans IPv!+ ce c(amp est appe dure de vie+ ou 88" )pour 8ime9to9"ive*. I est dcrment % c(a'ue noeud travers+ normaement de 1. "a vaeur initiae de ce c(amp devrait 6tre donne par 'I5N5 )(ttp3HH@@@.iana.or#*. .ette vaeur+ code sur 1 bits+ n'est cependant pas encore attribue+ et a pupart des mises en uvre sont c(oisies au bon #r des dveoppeurs+ tout comme pour IPv!. I reste cod sur 1 bits+ donc IPv6 ne prvoit pas pus de sauts pour un m6me pa'uet. IPv! rserve une pace dans 'ent6te consacre % diffrentes options )traceroute+ timestamp+ etc*. 4ans IPv6+ ces options n'existent pus dans 'ent6te. :es sont rempaces par des c(amps facutatifs+ non int#rs % 'ent6te+ et appes extensions. "es extensions sont prises en compte par es 'uipements destinataires du pa'uet. "e ,-. 2!6? donne pusieurs recommandations+ mais ces c(amps restent de taie+ de contenu et de si#nification variabes. I existe une recommandation concernant eur ordre d'apparition dans e pa'uet IPv6+ mais a seue vraie restriction concerne une extension+ nomme Proc(e9en9Proc(e )ou Oop9by9 Oop*. "es extensions es pus si#nificatives sont 3 'extension Proc(e9en9Proc(e 3 cette extension+ considre par c(acun des nuds+ permet au routeur traitant e pa'uet d'c(an#er de 'information avec es routeurs suivants+ sous forme d'options. Pus exactement+ i indi'ue son comportement 'uand i rencontre un c(amp tran#e+ par exempe 'u'i ne sait pas interprter+ dans e pa'uet IPv6. 4eux options sont actueement dtaies dans es normes F,-.26/&+,-.2/11G. "'une des pus in'uitante du point de vue de a scurit est 'option D,outer 5ertE+ 'ui demande au routeur suivant d'examiner e contenu des pa'uets 'u'i reaie+ comme es protocoes ,7PP )si#naisation de fux* et muticast )Muticast "istener 4iscovery* 'exi#ent. .ette option permet d'inciter un routeur % interprter es donnes d'un pa'uet+ m6me si cea n'est pas sa fonction premire+ au ris'ue d'au#menter sa c(ar#e de travai )dni de service* et de e voir effectuer une mauvaise interprtation. 4'autres options devraient apparaItre dans es proc(ains mois. 'extension 4estination 3 cette extension contient #aement des options+ 'ui seront traites par ''uipement destinataire. :e n'est pas encore vraiment expoite+ car ee peut paraItre redondante avec 'extension prcdente. 'extension ,outa#e 3 cette extension permet d'imposer % un pa'uet une route diffrente de cee offerte par a poiti'ue de routa#e du rseau 3 ee met en uvre e routa#e par a source. "e principe est identi'ue dans IPv! et souve pusieurs probmes de scurit is % 'imprcision fournie dans e ,-. 26!?. "e .:,85 a pubi dans e buetin d'actuait .:,8592??/95.89?11 de mai 2??/ un artice sur a probmati'ue de cette option+ 'ui a fait 'ob$et de correctifs provisoires. Lne rfrence de vunrabiit a t attribue 3 .P:9 2??/922!2. "e document F,-.&?0&G pubi en dcembre 2??/ rend obsote 'usa#e de cet en9t6te+ et prcise 'u'une mac(ine sous IPv6 doit 'i#norer. 'extension -ra#mentation 3 comme pour IPv!+ certaines appications tees 'ue N-7 sur L4P ncessitent une dcoupe des messa#es+ beaucoup trop #ros pour 6tre contenu int#raement dans un pa'uet IP. Pour rduire e travai des routeurs intermdiaires+ e processus de fra#mentation se fait sur ''uipement metteur+ 'ui fra#mente+ puis sur ''uipement du rcepteur+ 'ui rassembe. "es informations concernant es routeurs intermdiaires )extensions proche-en-proche et routage* sont ees recopies dans c(a'ue fra#ment. .ertaines bonnes prati'ues doivent 6tre contrBes au cours de a fra#mentation 3 1* tout fra#ment+ (ormis e dernier+ doit 6tre de taie suprieure % 121? octets ; 2* tous es fra#ments doivent parvenir % destination dans une fen6tre de temps raisonnabe )de 'ordre de 'ue'ues di2aines de secondes au maximum*. 'extension 7curit 3 deux extensions de scurit+ 'une pour 'aut(entification 5O )5ut(entication Oeader*+ 'autre pour a confidentiait :7P ):ncapsuatin# 7ecurity Payoad* sont dfinies par 'I:8-. Nous dtaions cees9ci dans a section !. 'extension Mobiit 3 cette option indi'uant a mobiit )voir section2.!.3* est aussi intressante+ mais ee est en cours d'voution. :e sert normaement % maintenir une reation entre e systme mobie distant et son rseau d'ori#ine. Lne autre option intressante de 'extension roche-en-roche est e $umbo#ramme F,-.26/&G. .ette option si#nae aux ments du rseau 'u'is doivent traiter un pa'uet de taie extr6mement #rande. Quand a on#ueur des donnes dpasse 6&&3& octets+ e c(amp de 'ent6te prcisant a on#ueur )cod sur 2 octets* vaut aors ?+ et cette option est empoye. Jien 'ue cette option sembe offrir une optimisation au niveau de a bande passante+ ee peut perturber un ensembe d'ments dans e rseau 'ui n'ont pas a capacit de #rer de tes pa'uets )sondes I47s+ pare9feux*. Par aieurs+ IPv! n'a $amais t cr dans e but de favoriser e muticast+ c'est9%9dire a distribution simutane d'information vers un #roupe donn de destinataires. .ependant+ e muticast prsente un attrait certain pour es diffrents protocoes mutimdia comme ,8P )pour ,ea 8ime Protoco*+ et a diffusion de donnes mutimdia )fims+ musi'ue*. IPv6 se doit donc d'int#rer ce moyen de communication+ et ceci est rendu possibe par e biais de certaines extensions. 4ans cette brve introduction au format IPv6+ i apparaIt 'ue a structure #obae de 'ent6te IPv6 ne diffre #ure de cee d'IPv!. .ependant+ 'ent6te possde des extensions offrant de nombreuses possibiits 3 cea conduit % a dfinition de nombreux c(amps+ souvent optionnes. "es ,-.s ne dtaient pas systmati'uement es vaeurs par dfaut. "es mises en uvre d'IPv6 pourraient donc 6tre identifiabes seon es vaeurs c(oisies. Par aieurs+ certaines extensions peuvent #aement poser directement probme+ comme c'est e cas pour 'une des options de 'extension Proc(e9en9 Proc(e 3 Router "lert+ 'ui demande au routeur suivant d'examiner e contenu des pa'uets 'u'i reaie+ comme certains protocoes 'exi#ent. .ette option permet d'inciter un routeur % interprter es donnes d'un pa'uet+ m6me si cea n'est pas sa fonction premire+ au ris'ue d'au#menter sa c(ar#e de travai )dni de service* et de e voir effectuer une mauvaise interprtation. :n se bornant % cette prsentation sommaire+ i apparaIt aussi 'ue es extensions doivent rester int#res entre a source et a destination. 4ans e cas contraire+ i serait facie+ pendant e tra$et du pa'uet+ de c(an#er e messa#e de 'extension % 'attention du destinataire. 3 Processus de traduction entre IPv4 et IPv6 3.2 Transport de IPv6 dans IPv4 I n'est pas tou$ours possibe d'avoir une double pile # ou un rseau IPv6 de bout9en9bout. .ependant+ es trames IPv6 doivent pouvoir 6tre transmises+ m6me si un rseau intermdiaire ne supporte 'u'IPv!. Pusieurs soutions sont disponibes+ pour former un tunnel 3 es pa'uets IPv6 transitent aors encapsus dans IPv!+ ce 'ui s'appee autrement un tunne IPv!. Nous distin#uons es tunnes stati'ues et es tunnes automati'ues. 4 La scurit considre dans IPv6 4.1 IPsec par dfaut IPv6 supporte par dfaut es deux arc(itectures cassi'ues d'IPsec 3 5O et :7P. "'extension d'aut(entification+ ou "$+ assure 'aut(entification et 'int#rit des donnes. "'metteur cacue une si#nature sur un data#ramme et 'met avec e data#ramme sur e'ue ee porte. "e rcepteur rcupre cette vaeur et vrifie 'u'ee est correcte. .ette si#nature peut s'appuyer sur des cs asymtri'ues et ventueement des certificats. "'extension %& )pour :ncryption 7ecurity Payoad* compte a prcdente pour offrir a confidentiait des donnes. :e permet de c(iffrer 'ensembe des pa'uets )ent6te IPv6 comprise* ou seuement eur partie transport )tout ce 'ui se trouve aprs 'ent6te IP*+ seon es modes dits repectivement tunnel et tran'port. 5vant 'aut(entification ou e c(iffrement de donnes IP+ 'metteur et e receveur doivent convenir des a#orit(mes et des cs % utiiser. .eci se fait par e protocoe IR: )pour Internet Rey :xc(an#e+ F,-.2!?0G*. 7ans dcrire es dtais de ce dernier+ i est important de se souvenir 'ue ce protocoe ne convient pas+ dans 'tat actue+ aux c(an#es multica't. 4es initiatives dans ce domaine se confirment+ comme (&")* pour a distribution de cs+ et te'la pour 'aut(entification+ mais es couc(es IPv6 actuees ne es utiisent pas encore pour e muticast. "e trafic muticast passe donc en cair+ pour a ma$orit des cas+ dans e rseau+ % moins de considrer une procdure d'aut(entification et de c(iffrement dans es niveaux protocoaires suprieurs. 4.3 Pare-feux et filtrae Pusieurs outis de fitra#e existent+ et sont mis % disposition dans es systmes d'expoitation avec a couc(e IPv6. Parmi ceux9ci 3 7ous "inux+ i existe ip+table'+ dont 'usa#e est trs simiaire % ceui de son prdecesseur iptable' pour IPv! ; 4ans es versions J74+ p, permet de fitrer IPv6 de manire asse2 simpe )voir es exempes fournis dans e fic(ier p,.con,* ; Mac S7 s'appuie sur 'utiitaire ip,- )ip6f@* pour offrir e fitra#e IPv6. Microsoft fournit #aement un pare9feu % partir de a version <P 7P1+ nomm Internet .onnection -ire@a puis ;indo@s -ire@a. "'utiisateur dfinit une seue confi#uration+ 'ui s'appi'ue pour IPv! et IPv6. "es r#es de fitra#e se basent souvent sur es c(amps suivants 3 adresses source et destination ; es protocoes suprieurs ; es ports source et destination )niveau transport*; c(amps tes 'ue es abes de fux )fo@ abes* ou es casses de trafic )traffic cass*. .ependant+ es diffrentes options de tunne offertes par IPv6 sont difficiement contrBabes au niveau d'un pare9feu+ et es r#es simpes de connectivit )ports sourceHdestination* sont faciement contournabes. "es pare9feux ne #ardent souvent pas es dtais de 'tat des connexions. :nfin+ comme i a t rapidement mentionn ci9dessus+ es extensions du protocoe IPv6 sont voutives et peuvent provo'uer des probmes dcisionnes. "es documents ,-.s ne donnent 'ue trs peu de directives sur es actions % entreprendre pour e fitra#e IPv6. "es Dsystmes de dtection d'intrusionsE )I47s* se mettent pro#ressivement % IPv6. Pour ceux 'ui s'appuient sur des ensembes de si#natures+ e c(an#ement de code n'est pas ma$eur. Is doivent pouvoir capturer et anayser des pa'uets aux diffrents formats IPv6. .ependant+ i y a encore peu d'atta'ues connues cibant es nouveaux protocoes associs % IPv6. "'ensembe de r#es reste encore % crire. 7ans cea+ 'intr6t des I47s reste minime. "'usa#e d'IPsec va aussi compi'uer a tKc(e des sondes surveiant e trafic du rseau. 7i es pa'uets sont c(iffrs+ i sera pus difficie d'y voir des indications de code maveiant. 5 '(eure actuee+ a pupart des outis I47s se bornent % dtecter a prsence de pa'uets IPv6 dans e rseau+ sans re#arder a smanti'ue ni e contenu 3 eur action est encore oin d'6tre satisfaisante. "es pare9feux et I47s compatibes IPv6 sont encore en p(ase de dveoppement. I est nanmoins raisonnabe de prvoir 'ue e besoin de scurisation des postes terminaux va s'accentuer+ compte tenu de a difficut de cette tKc(e au niveau des 'uipements du rseau. ! Pro"l#$es et risques !.1 Les piles protocolaires existantes !.1.1 Trouver IPv6 dans son s%st#$e "e code IPv6 est disponibe dans es 'uipements terminaux rcents )P.s+ imprimantes+ etc* et dans es routeurs. .ette p(ase de dveoppement est ac(eve pour a pupart des 'uipementiers. "es fabri'uants de systmes d'interconnexion ont int#r IPv6 dans eurs systmes d'expoitation. Lne iste de systmes est disponibe % 'adresse rticuaire suivante3 http://---.ip.+.org/impl/ !.2 Les risques existants avec IPv6 .e c(apitre recense brivement es premiers ris'ues associs au dpoiement IPv6 'ui ont t rapports+ soit sous forme d'outis+ soit sous forme de concept. Lne des toutes premires utiisations maveiantes concernant IPv6 concerne es portes drobes. Lne fois 'u'une mac(ine est compromise+ e code maveiant active a couc(e IPv6 prsente sur a mac(ine+ mais non utiise avant a compromission. "e code ouvre ensuite une porte drobe via IPv6 FL7.:,8G. 4e cette manire+ a porte drobe a peu de c(ances d'6tre dtecte par des tests d'audit traditionnes. Par aieurs+ e trafic IPv6 se $oue asse2 aisment des pare9feux et systmes de dtection d'intrusions encore ar#ement icompatibes avec IPv6. I existe d$% dans e domaine pubic des outis expoitant certaines vunrabiits du protocoe IPv6+ 'ue ce soit des faibesses protocoaires+ des erreurs de mise en uvre ou des probmes de confi#uration. .ea incut 3 des scanners IPv6 permettant d'identifier toutes es mac(ines 'ui ont activ IPv6+ ainsi 'ue es ports ouverts. des outis pour crer diffrents types de tunnes+ permettant aux personnes maveiantes+ mais pas seuement+ de v(icuer des donnes par des canaux cac(s )nouveaux protocoes+ ports+ c(iffrement+ etc*. des outis pour ancer des dnis de service+ en inondant de pa'uets certains ports de a mac(ine + afin de perturber son fonctionnement ; es transitions IPv! vers IPv6+ coTteuses en ressources+ sont pour e moment es pus vunrabes % ce #enre d'atta'ues. des outis d'usurpation de pa'uets de dcouverte devoisina#e I.MP pour es atta'ues de type D(omme9au9miieuE. des tec(ni'ues de dnis de service+ 'ui emp6c(ent 'accs d'un systme au rseau )medium* ; une personne maveiante peut confectionner une rponse bo'uante+ 'uand e systme envoie son adresse provisoire )ou 454+ pour 4upicate 5ddress 4etection* afin de vrifier 'u'aucun autre systme 'utiise. des routeurs fictifs in$ectant de mauvaises routes et devenant de facto des routeurs de rfrence )connus par es autres systmes*. des outis ractifs 3 'uand un nouveau systme re$oint e rseau IPv6+ un mcanisme ance rapidement un script. des outis #nants+ 'ui rduisent a taie des pa'uets dans es c(an#es )Maximum 8ransmission Lnit ou M8L* avec autre systme afin de imiter ses services. des outis d'ampification de trafic )smurf* 'ui consistent % envoyer en muticast diffrents pa'uets+ suscitant c(acun une rponse systmati'ue des mac(ines voisines. "e ,-. 2!63 prcise 'u'aucune rponse I.MP ne doit 6tre mise si e destinataire du pa'uet est une adresse muticast. Mais une vunrabiit+ dsormais corri#e+ dans des produits .isco+ rappee 'ue es mises en uvre des couc(es IPv6 ne sont pas ncessairement en accord avec es ,-.s. etc & 'onclusion IPv! ne disparaItra pas brutaement du monde Internet. 5 a date de rdaction de ce document+ sa disparition totae n'est d'aieurs pas envisa#e. .ependant+ nous sommes actueement dans une priode transitoire+ oA IPv6 mer#e. .e protocoe+ prometteur+ introduit de nombreux c(an#ements. .e document se focaise sur es impications en terme de scurit de ce dernier+ sans toutefois remettre en cause es avanta#es certains 'u'i prsente et 'ui $ustifie son dveoppement. .omme i a t montr dans ce document+ 'tape de standardisation des protocoes de base d'IPv6 peut 6tre considre comme ac(eve. IPv6 rsoud pusieurs probmes de scurit+ mais+ ma#r cea+ pusieurs demeurent+ et certains sont directement is % cette p(ase transitoire. 4e manire sc(mati'ue+ a scurit IPv6 en 'tat n'est pas ncessairement meieure 'ue cee IPv!. "es mcanismes d'atta'ues sont trs sembabes+ et es nouveaux protocoes autour d'IPv6 ne c(an#ent pas ces vunrabiits. 4'autres peuvent #aement apparaItre+ du fait de a $eunesse et de a 'uait de mise en uvre des protocoes associs. I est important+ ds maintenant+ d'envisa#er ce tournant avec e pus #rand soin+ et de ne pas oubier 'u'IPv6 fait d$% partie de nos systmes d'information. "a 77I doit donc e considrer comme te+ et prendre es mesures ncessaires afin d'obtenir % terme une transition maItrise.