ipv6, d eploiement et s ecurit e - clusir-est.orgclusir-est.org/resources/ipv6.pdf · ip est...

IPv6, deploiement et securitePresentation Clusir-Est

Johan Moreau

IRCAD

14 juin 2012

Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 1 / 39

Introduction

Plan

1 Introduction

2 IPv6

3 Projet a l’institut

4 Plan de migration

5 Les aspects securites

6 Perspectives et conclusion


Introduction

IPv4 une reussite extraordinaire

RFC 791 de septembre 1981, plus de 20 ans !

Avec TCP et HTML, c’est l’un des protocoles qui aura fait le net telque nous le connaissons

IP est partout, y compris sur des LAN specialises


Introduction

Problematiques

Espace d’adressage IPv4 insuffisant (3,7 milliards)

Cout important du traitement des paquets sur les routeurs

Repondre a de nouveaux besoins◦ securite◦ qualite de service◦ mobilite◦ simplification de la configuration◦ . . .

Petit a petit, perte d’un des principes de base :

communication de bout (SIP, VPN, ...)

Reflexion de l’IETF milieu des annees 90, RFC 2460 de decembre 1998 !Mais beaucoup de protocoles peripheriques absents.


IPv6

Plan

1 Introduction

2 IPv6


4 Plan de migration




IPv6

Nouveautes d’IPv6

Augmentation de l’espace d’adressage :

232 → 2128

soit 1,4 milliard de milliard d’adresses par cm2 sur terresoit 4,8*1028/pers si on considere 7 milliards d’individus

Integration de mecanismes de configuration automatique

IPsec, QoS et multicast (mieux) integres au protocole

Simplification des en-tetes

Retour a une communication de bout en bout (apres migrationcomplete !), mais pas de compatibilite native entre IPv4 et IPv6. Pourechanger, il faut des mecanismes complementaires.


IPv6

En-tete IPv6 (40 octets/ 320 bits)

Champ Description

Version = 6 pour IPv6

Traffic Class Indique l’utilisation de diffserv, et ECN

Flow Label Marquage de paquets par la source

Payload Length Taille de la charge utile (suivant le header de base)

Next Header Identifie le datagramme interne

Hop Limit Nombre maximum de sauts


IPv6

Adresse IPv6

Une adresse est codee sur 128 bits

Note sous la forme 8 de champs de 2 octets exprimes en hexadecimal◦ ex : 2001:0db8:ab1f:1001:0000:0000:00e4:9f43

Suppression des zeros non significatifs :◦ ex : 2001:db8:ab1f:1001:0:0:e4:9f43

Suppression d’une suite de zeros :◦ ex : 2001:db8:ab1f:1001::e4:9f43


IPv6

Autoconfiguration sans memoire d’etats

Fabrication d’une adresse globale a partir de :

les annonces de prefixes faites par les routeurs

l’adresse MAC de l’interface reseau

Concatene au prefixe annonce par le routeur, on obtient une adresseglobale


IPv6

Autoconfiguration avec memoire d’etats (DHCPv6)

Le protocole DHCPv6 rempli les memes taches que DHCPv4 :

Le serveur◦ memorise l’etat du client◦ fournit les adresses IPv6 ou des parametres de configuration (DNS,. . .)

Le client emet des requetes et des acquittements selon le protocole.

L’integration de DHCPv6 avec certaines fonctionnalites d’IPv6 (adresselien-local, multicast) le rende plus elegant et plus efficace que sonpredecesseur.


IPv6

Support de l’autoconfiguration dans differents OS

OS Router Advertisements RDNSS DHCPv6

SLAAC RFC6106

Linux / *BSD � � �Mac OS X � � ≥ Lion

Windows Vista / 7 � × �Windows XP � × via Dibbler

Sous Windows Vista / 7 et OS X le client DHCPv6 est integre a l’OS.

Sous Linux / *BSD, utilisation du client WIDE / ISC dhclient /dibbler.

Pour les autres logiciels : ok pour les navigateurs, en cours pourSkype/MySQL/... inconnue pour les imprimantes, cameras IP, boot reseau(PXE, NetBoot, ...)


IPv6

Deploiement actuel

Moins de 5% du traffic mondial

Effort actuel http ://www.worldipv6launch.org (6 juin)

Les ”gros” en font partie : Google, Microsoft, Yahoo, Facebook,Wikipedia

free, SFR, Orange, ...

La France en tete du deploiement

BT Connect : 5% des entreprises en 2011, 13% en 2012


IPv6

Repartition mondiale en 2011 (google)


IPv6

Effort du 6 juin 2012 (MS-IX a Amsterdam)


IPv6

Utilisation de tunnels

A defaut, et pendant une phase de transition, il est possible d’obtenir uneconnectivite IPv6 via un tunnel. Les paquets IPv6 sont alors encapsulesdans des paquets IPv4, qui peuvent traverser le reseau du FAI jusqu’a unserveur qui prend en charge IPv6 et IPv4, et ou ils sont decapsules. Lerecours a des tunnels, et donc a un reseau overlay, est de nature a nuireaux performances.

Tunnels statiques 6in4, GRE, ... via prestataire

Tunnels automatiques 6to4, Teredo, 6rd, ...


Projet a l’institut

Plan

1 Introduction

2 IPv6


4 Plan de migration





Demarche globale du projet

Veille active depuis 2009

Ajout de contraintes dans les achats depuis 2011

Stage de master et maquette en 2012

Mise en production en 2013 sur une partie du LAN

LAN entierement en IPv6 pas avant 2015



Objectifs du stage 2012

Etudier les differents scenarios de migration vers le protocole IPv6

Evaluer la compatibilite avec IPv6 des differents equipements etapplications utilises au sein de l’institut

Mettre en oeuvre les scenarios de migration dans une maquette

Evaluer la nouvelle architecture reseau et les scenarios, en termes defiabilite et flexibilite



Preparation de la maquette : les questions ?

Quel inventaire pour les equipements et applications ?

Pour chaque groupe d’equipements, quelles fonctionnalites d’IPv6sont supportees ?

Les applications fonctionnent-elles dans un environnement IPv6 ?◦ Support dans differents langages de programmation◦ Frameworks◦ Possibilite d’utiliser un wrapper, ou tunnel v6-v4



Filtrage et routage

Firewalls et bridges OpenBSD◦ Ecriture de regles Packet Filter◦ Configuration du protocole CARP (redondance)◦ Configuration du protocole pfsync (synchronisation des etats PF)

Filtrage applicatif Web : squid + squidGuard



Switch

Materiels Cisco

Mise a jour d’IOS et activation du dual-stack

Configuration d’IPv6 sur certains VLANs

Redondance de la passerelle par defaut (protocole HSRP)



Service d’annuaire, nommage et autoconfiguration

Active Directory 2008 : configurer l’adressage IPv6

DNS : Ajout de zones de recherche directe et inversee, puis ajoutd’enregistrements AAAA

DHCP : Ajout d’etendues et reservations



Serveur de virtualisation VMWare ESXi

IPv6 au niveau de l’hyperviseur

IPv6 au niveau des machines virtuelles◦ TCP Segmentation Offload non supporte



Serveur de stockage iSCSI et NFS

En production, des solutions de type NetApp sont utilisees

Dans la maquette, tests effectues avec des solutions libres◦ NFSv4◦ Linux SCSI target framework (tgt)

Acces et performance testes depuis ESXi



Monitoring

Collecte des informations faite par le moteur Nagios

Traites en aval par Centreon, pnp4nagios, NagVis

Support d’IPv6 dependant des plugins◦ Cas identique a Munin



Applications utilisees en interne

GLPI : solution de gestion de parc informatique (PHP/MySQL)

SOGo : solution de serveur collaboratif (Objective-C/MySQL)

XWiki : plateforme de wiki (Java/MySQL)

Ces applications ont ete rendues accessibles en IPv6 en modifiantuniquement la configuration du serveur Apache


Plan de migration

Plan

1 Introduction

2 IPv6


4 Plan de migration




Plan de migration

Methodes disponibles

1 Dual-stack

2 NAT64


Plan de migration

Dual-stack

� Deploiement du reseau IPv6 en parallele du reseau IPv4� Repli sur IPv4 en cas de defaillance IPv6

× Charge supplementaire (CPU, memoire)× Maintenance plus couteuse


Plan de migration

NAT64

� Permet a un hote IPv6-only d’acceder au contenu IPv4� Implementation disponible dans OpenBSD

× Applications IPv4 ne sont plus fonctionnelles× Meme soucis qu’avec le NAT en IPv4


Les aspects securites

Plan

1 Introduction

2 IPv6


4 Plan de migration





Les points positifs

Integration naturelle d’IPSec

Retour a une communication de bout en bout

Scan de plage IP plus difficile

Outils de malveillance a redevelopper completement

Outils legitime deja en bonne partie present

Competences a acquerir pour les individus malveillants



Les points de difficultes traditionnelles

Competences a acquerir pour les equipes internes

Tous les logiciels ne sont pas encore disponibles

Bug des premieres versions



Les points lies a la transitions v4 vers v6

Active par defaut ! (Win7, ...)

IPv6 utilise en priorite avant de recourir a l’adresse IPv4

Charge du double processus pour les equipements du reseau

Incapacite a faire fonctionner certains protocoles en v4 et v6 (enmeme temps)

Nombreuses configurations de securite a mettre a jour

Projet de migration long, car maquettage difficile

Pas de valeur ajoutee, peu de suivi des directions et des services

Information de transport dans la couche applicative



Exemple de specificites v6

Autoconfiguration via les routeurs

Niveau d’inspection des equipements securite encore faible

...



Outils d’audits

Simple : differents sites pour la connectivite

fuzzing : Veripy (construit sur scappy)

Snort : version recente, Suricata ok

Nmap : ok

Extension IPvFOO pour Chrome et Firefox

...


Perspectives et conclusion

Plan

1 Introduction

2 IPv6


4 Plan de migration





Interet economique a l’echelle mondiale

Peu d’interet des USA

Demande importante des pays en voie de developpement

Effort important de l’Europe

IPv6 est une technologie qui ameliore la neutralite des reseaux




La migration vers le protocole reseau IPv6 est un passage obligatoire

Non prise en charge de l’evolution

Les piles IPv6 des OS modernes sont globalement robustes

Manque de maturite dans certains cas (logiciels et materiels)

De nombreux bugs sont encore presents, qui seront corriges au fur eta mesure des deploiements

Prestation possible mais projet necessairement en partie interne


ipv6, d eploiement et s ecurit e - clusir-est.orgclusir-est.org/resources/ipv6.pdf · ip est...

Documents