C'est en 1993 que l'IETF lance au travers de la RFC1550 un appel à propositions sur le sujet "IP Next Generation", qui deviendra plus tard IPv6.
A l'époque, beaucoup d'entre nous n'en sont qu'au stade de découverte d'Internet, de sa suite de protocoles IPv4 et des premières problématiques de sécurité qui lui sont associées.
l'arrivée imminente de IPv6
Près de 20 ans plus tard, la pénurie d'adresses IPv4 est devenue une réalité et le déploiement des réseaux et services IPv6 devenus une réelle priorité pour les opérateurs, les équipementiers et les entreprises.
Ne vous faites pas d'illusion, IPv6 ne sera pas une révolution d'un point de vue sécurité. Une première lecture des RFC nous laisse penser qu'IPSEC sera la pierre angulaire de la sécurité IPv6 mais le raccourci est bien trop rapide.
évaluation des risques avec IPv6
Si nous considérons que les risques en termes de sécurité sont la somme des produits "probabilité x criticité" associés à chaque menace, qu'en est-il avec IPv6 ?
Les menaces actuellement identifiés autour d'IPv6 ne semblent pas évoluer de manière conséquente, par conséquent les probabilités varient globalement peu. En revanche, le manque de maturité des produits de sécurité dans leur intégration d'IPv6 (gestion de la pile par le CPU et non par un ASIC par exemple) augmente plus particulièrement la criticité des menaces.
Au final, les risques associés aux menaces sous IPv6 sont plus élevés que celles sous IPv4, du moins durant la phase transitoire. Et donc, oui, la gestion d'un simple TCP flood peut devenir une véritable galère pour un administrateur réseau et sécurité.
principales menaces sous IPv6
Prenez l'ensemble des types de menaces déjà connues sous IPv4 (spoofing, flooding, déni de service, ...), retirez quelques noyaux (NAT, ARP, ...) et rajoutez un zeste d'IPv6 (Routing Header 0, tunneling IPv4-IPv6)... votre nouveau terrain de jeu au niveau technique est opérationnel.
Ne sous-estimez pas non plus la formation des équipes sécurité, bureautique et des utilisateurs s'ils sont amenés à manipuler des adresses IPv6 :
- "pouvez-vous me confirmer que votre adresse IP est bien 2001:db8:0:85a3::ac1f:8001 ?"
- "Ah non, mon adresse c'est 2001:0db8:0000:85a3:0000:0000:ac1f:8001 !"
un peu de lecture pour les plus impatients
En attendant la publication prochaine d'articles plus spécifiques à la sécurité IPv6, je vous livre ici une première série de liens (les plus pertinents à mon goût) vers des sites ou des documents traitant de la sécurité IPv6. La liste est sommaire mais une rapide recherche sur votre moteur de recherche préféré vous montrera que la littérature sur le sujet est assez redondante.
les principaux
- Migration IPv6 : enjeux de sécurité (CERTA)
- Présentations - IPv6 et sécurité (Hervé Schauer Consultants)
- IPv6 Security Considerations and Recommendations (Microsoft)
les incontournables
- IPv6 Security (Cisco)
- IPv6 and IPv4 Threat Comparison and Best-Practice Evaluation (Sean Convery)
- About IPv6 Security (STIndustries)
les produits et services
appel aux plus chevronnés
La liste ci-dessus est bien évidemment loin d'être exhaustive et vous permettra seulement de vous constituer un premier bookmark sur le sujet.
Ceux d'entre vous qui sont déjà allés plus loin dans leurs lectures ou leurs recherches, peuvent nous communiquer via la section "Commentaires", les adresses qu'ils souhaitent partager.
credit image : © so47 - Fotolia.com