IPv6, deploiement et securitePresentation Clusir-Est
Johan Moreau
IRCAD
14 juin 2012
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 1 / 39
Introduction
Plan
1 Introduction
2 IPv6
3 Projet a l’institut
4 Plan de migration
5 Les aspects securites
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 2 / 39
Introduction
IPv4 une reussite extraordinaire
RFC 791 de septembre 1981, plus de 20 ans !
Avec TCP et HTML, c’est l’un des protocoles qui aura fait le net telque nous le connaissons
IP est partout, y compris sur des LAN specialises
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 3 / 39
Introduction
Problematiques
Espace d’adressage IPv4 insuffisant (3,7 milliards)
Cout important du traitement des paquets sur les routeurs
Repondre a de nouveaux besoins◦ securite◦ qualite de service◦ mobilite◦ simplification de la configuration◦ . . .
Petit a petit, perte d’un des principes de base :
communication de bout (SIP, VPN, ...)
Reflexion de l’IETF milieu des annees 90, RFC 2460 de decembre 1998 !Mais beaucoup de protocoles peripheriques absents.
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 4 / 39
IPv6
Plan
1 Introduction
2 IPv6
3 Projet a l’institut
4 Plan de migration
5 Les aspects securites
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 5 / 39
IPv6
Nouveautes d’IPv6
Augmentation de l’espace d’adressage :
232 → 2128
soit 1,4 milliard de milliard d’adresses par cm2 sur terresoit 4,8*1028/pers si on considere 7 milliards d’individus
Integration de mecanismes de configuration automatique
IPsec, QoS et multicast (mieux) integres au protocole
Simplification des en-tetes
Retour a une communication de bout en bout (apres migrationcomplete !), mais pas de compatibilite native entre IPv4 et IPv6. Pourechanger, il faut des mecanismes complementaires.
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 6 / 39
IPv6
En-tete IPv6 (40 octets/ 320 bits)
Champ Description
Version = 6 pour IPv6
Traffic Class Indique l’utilisation de diffserv, et ECN
Flow Label Marquage de paquets par la source
Payload Length Taille de la charge utile (suivant le header de base)
Next Header Identifie le datagramme interne
Hop Limit Nombre maximum de sauts
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 7 / 39
IPv6
Adresse IPv6
Une adresse est codee sur 128 bits
Note sous la forme 8 de champs de 2 octets exprimes en hexadecimal◦ ex : 2001:0db8:ab1f:1001:0000:0000:00e4:9f43
Suppression des zeros non significatifs :◦ ex : 2001:db8:ab1f:1001:0:0:e4:9f43
Suppression d’une suite de zeros :◦ ex : 2001:db8:ab1f:1001::e4:9f43
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 8 / 39
IPv6
Autoconfiguration sans memoire d’etats
Fabrication d’une adresse globale a partir de :
les annonces de prefixes faites par les routeurs
l’adresse MAC de l’interface reseau
Concatene au prefixe annonce par le routeur, on obtient une adresseglobale
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 9 / 39
IPv6
Autoconfiguration avec memoire d’etats (DHCPv6)
Le protocole DHCPv6 rempli les memes taches que DHCPv4 :
Le serveur◦ memorise l’etat du client◦ fournit les adresses IPv6 ou des parametres de configuration (DNS,. . .)
Le client emet des requetes et des acquittements selon le protocole.
L’integration de DHCPv6 avec certaines fonctionnalites d’IPv6 (adresselien-local, multicast) le rende plus elegant et plus efficace que sonpredecesseur.
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 10 / 39
IPv6
Support de l’autoconfiguration dans differents OS
OS Router Advertisements RDNSS DHCPv6
SLAAC RFC6106
Linux / *BSD � � �Mac OS X � � ≥ Lion
Windows Vista / 7 � × �Windows XP � × via Dibbler
Sous Windows Vista / 7 et OS X le client DHCPv6 est integre a l’OS.
Sous Linux / *BSD, utilisation du client WIDE / ISC dhclient /dibbler.
Pour les autres logiciels : ok pour les navigateurs, en cours pourSkype/MySQL/... inconnue pour les imprimantes, cameras IP, boot reseau(PXE, NetBoot, ...)
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 11 / 39
IPv6
Deploiement actuel
Moins de 5% du traffic mondial
Effort actuel http ://www.worldipv6launch.org (6 juin)
Les ”gros” en font partie : Google, Microsoft, Yahoo, Facebook,Wikipedia
free, SFR, Orange, ...
La France en tete du deploiement
BT Connect : 5% des entreprises en 2011, 13% en 2012
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 12 / 39
IPv6
Repartition mondiale en 2011 (google)
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 13 / 39
IPv6
Effort du 6 juin 2012 (MS-IX a Amsterdam)
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 14 / 39
IPv6
Utilisation de tunnels
A defaut, et pendant une phase de transition, il est possible d’obtenir uneconnectivite IPv6 via un tunnel. Les paquets IPv6 sont alors encapsulesdans des paquets IPv4, qui peuvent traverser le reseau du FAI jusqu’a unserveur qui prend en charge IPv6 et IPv4, et ou ils sont decapsules. Lerecours a des tunnels, et donc a un reseau overlay, est de nature a nuireaux performances.
Tunnels statiques 6in4, GRE, ... via prestataire
Tunnels automatiques 6to4, Teredo, 6rd, ...
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 15 / 39
Projet a l’institut
Plan
1 Introduction
2 IPv6
3 Projet a l’institut
4 Plan de migration
5 Les aspects securites
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 16 / 39
Projet a l’institut
Demarche globale du projet
Veille active depuis 2009
Ajout de contraintes dans les achats depuis 2011
Stage de master et maquette en 2012
Mise en production en 2013 sur une partie du LAN
LAN entierement en IPv6 pas avant 2015
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 17 / 39
Projet a l’institut
Objectifs du stage 2012
Etudier les differents scenarios de migration vers le protocole IPv6
Evaluer la compatibilite avec IPv6 des differents equipements etapplications utilises au sein de l’institut
Mettre en oeuvre les scenarios de migration dans une maquette
Evaluer la nouvelle architecture reseau et les scenarios, en termes defiabilite et flexibilite
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 18 / 39
Projet a l’institut
Preparation de la maquette : les questions ?
Quel inventaire pour les equipements et applications ?
Pour chaque groupe d’equipements, quelles fonctionnalites d’IPv6sont supportees ?
Les applications fonctionnent-elles dans un environnement IPv6 ?◦ Support dans differents langages de programmation◦ Frameworks◦ Possibilite d’utiliser un wrapper, ou tunnel v6-v4
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 19 / 39
Projet a l’institut
Filtrage et routage
Firewalls et bridges OpenBSD◦ Ecriture de regles Packet Filter◦ Configuration du protocole CARP (redondance)◦ Configuration du protocole pfsync (synchronisation des etats PF)
Filtrage applicatif Web : squid + squidGuard
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 20 / 39
Projet a l’institut
Switch
Materiels Cisco
Mise a jour d’IOS et activation du dual-stack
Configuration d’IPv6 sur certains VLANs
Redondance de la passerelle par defaut (protocole HSRP)
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 21 / 39
Projet a l’institut
Service d’annuaire, nommage et autoconfiguration
Active Directory 2008 : configurer l’adressage IPv6
DNS : Ajout de zones de recherche directe et inversee, puis ajoutd’enregistrements AAAA
DHCP : Ajout d’etendues et reservations
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 22 / 39
Projet a l’institut
Serveur de virtualisation VMWare ESXi
IPv6 au niveau de l’hyperviseur
IPv6 au niveau des machines virtuelles◦ TCP Segmentation Offload non supporte
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 23 / 39
Projet a l’institut
Serveur de stockage iSCSI et NFS
En production, des solutions de type NetApp sont utilisees
Dans la maquette, tests effectues avec des solutions libres◦ NFSv4◦ Linux SCSI target framework (tgt)
Acces et performance testes depuis ESXi
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 24 / 39
Projet a l’institut
Monitoring
Collecte des informations faite par le moteur Nagios
Traites en aval par Centreon, pnp4nagios, NagVis
Support d’IPv6 dependant des plugins◦ Cas identique a Munin
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 25 / 39
Projet a l’institut
Applications utilisees en interne
GLPI : solution de gestion de parc informatique (PHP/MySQL)
SOGo : solution de serveur collaboratif (Objective-C/MySQL)
XWiki : plateforme de wiki (Java/MySQL)
Ces applications ont ete rendues accessibles en IPv6 en modifiantuniquement la configuration du serveur Apache
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 26 / 39
Plan de migration
Plan
1 Introduction
2 IPv6
3 Projet a l’institut
4 Plan de migration
5 Les aspects securites
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 27 / 39
Plan de migration
Methodes disponibles
1 Dual-stack
2 NAT64
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 28 / 39
Plan de migration
Dual-stack
� Deploiement du reseau IPv6 en parallele du reseau IPv4� Repli sur IPv4 en cas de defaillance IPv6
× Charge supplementaire (CPU, memoire)× Maintenance plus couteuse
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 29 / 39
Plan de migration
Dual-stack
� Deploiement du reseau IPv6 en parallele du reseau IPv4� Repli sur IPv4 en cas de defaillance IPv6
× Charge supplementaire (CPU, memoire)× Maintenance plus couteuse
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 29 / 39
Plan de migration
NAT64
� Permet a un hote IPv6-only d’acceder au contenu IPv4� Implementation disponible dans OpenBSD
× Applications IPv4 ne sont plus fonctionnelles× Meme soucis qu’avec le NAT en IPv4
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 30 / 39
Plan de migration
NAT64
� Permet a un hote IPv6-only d’acceder au contenu IPv4� Implementation disponible dans OpenBSD
× Applications IPv4 ne sont plus fonctionnelles× Meme soucis qu’avec le NAT en IPv4
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 30 / 39
Plan de migration
NAT64
� Permet a un hote IPv6-only d’acceder au contenu IPv4� Implementation disponible dans OpenBSD
× Applications IPv4 ne sont plus fonctionnelles× Meme soucis qu’avec le NAT en IPv4
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 30 / 39
Les aspects securites
Plan
1 Introduction
2 IPv6
3 Projet a l’institut
4 Plan de migration
5 Les aspects securites
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 31 / 39
Les aspects securites
Les points positifs
Integration naturelle d’IPSec
Retour a une communication de bout en bout
Scan de plage IP plus difficile
Outils de malveillance a redevelopper completement
Outils legitime deja en bonne partie present
Competences a acquerir pour les individus malveillants
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 32 / 39
Les aspects securites
Les points de difficultes traditionnelles
Competences a acquerir pour les equipes internes
Tous les logiciels ne sont pas encore disponibles
Bug des premieres versions
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 33 / 39
Les aspects securites
Les points lies a la transitions v4 vers v6
Active par defaut ! (Win7, ...)
IPv6 utilise en priorite avant de recourir a l’adresse IPv4
Charge du double processus pour les equipements du reseau
Incapacite a faire fonctionner certains protocoles en v4 et v6 (enmeme temps)
Nombreuses configurations de securite a mettre a jour
Projet de migration long, car maquettage difficile
Pas de valeur ajoutee, peu de suivi des directions et des services
Information de transport dans la couche applicative
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 34 / 39
Les aspects securites
Exemple de specificites v6
Autoconfiguration via les routeurs
Niveau d’inspection des equipements securite encore faible
...
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 35 / 39
Les aspects securites
Outils d’audits
Simple : differents sites pour la connectivite
fuzzing : Veripy (construit sur scappy)
Snort : version recente, Suricata ok
Nmap : ok
Extension IPvFOO pour Chrome et Firefox
...
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 36 / 39
Perspectives et conclusion
Plan
1 Introduction
2 IPv6
3 Projet a l’institut
4 Plan de migration
5 Les aspects securites
6 Perspectives et conclusion
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 37 / 39
Perspectives et conclusion
Interet economique a l’echelle mondiale
Peu d’interet des USA
Demande importante des pays en voie de developpement
Effort important de l’Europe
IPv6 est une technologie qui ameliore la neutralite des reseaux
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 38 / 39
Perspectives et conclusion
Perspectives et conclusion
La migration vers le protocole reseau IPv6 est un passage obligatoire
Non prise en charge de l’evolution
Les piles IPv6 des OS modernes sont globalement robustes
Manque de maturite dans certains cas (logiciels et materiels)
De nombreux bugs sont encore presents, qui seront corriges au fur eta mesure des deploiements
Prestation possible mais projet necessairement en partie interne
Johan Moreau (IRCAD) IPv6, deploiement et securite 14 juin 2012 39 / 39