L’IPv6 est considéré par les experts comme une évolution inévitable. Ils semblent s’inquiéter désormais des risques de sécurité pour les entreprises restant à IPv4. Pour autant, nombreuses sont celles qui ne semblent y voir aucun avantage.
Des risques pour la sécurité
Scott Hogg, co-auteur de l’IPv6 Security Guidebook, explique qu’IPv6 pourrait causer des problèmes majeurs de sécurité aux entreprises qui n’auraient pas déployé le nouveau protocole.
Les systèmes d’exploitation tels que Vista ou Linux sont déjà prêts pour IPv6. Ainsi des réseaux qui utiliseraient ces systèmes pourraient comporter un trafic IPv6 sans que leurs opérateurs ne le sachent.De plus, l’une des méthodes de connexion entre adresses IPv6 sur un réseau IPv4 est d’encapsuler des données IPv6 dans un packet IPv4 puis d’utiliser le réseau habituel.
« Les pare-feux classiques ne regardent pas assez profondément dans les paquets encapsulés car ils n’ont aucun moyen d’ouvrir le contenant », explique Scott Hogg. « Certains vendeurs essayent de corriger ensemble cette faiblesse, mais les résultats ne sont pas encore là. » Il considère de plus que les pirates informatiques pourraient s’en servir pour pénétrer les réseaux.Scott Hogg pense aussi que créer des réseaux capables de gérer à la fois IPv4 et IPv6 pourrait créer des vulnérabilités. Une entreprise choisissant cette solution devrait s’assurer que son réseau est parfaitement sécurisé avant d’activer la moindre fonctionnalité IPv6.
Ce qui implique de sécuriser d’abord le périmètre du réseau, puis de renforcer les matériels et enfin de construire le réseau IPv6 du coeur jusqu’aux extrémités.
« C’est en fait assez similaire à ce que l’on fait pour sécuriser un réseau IPv4. La migration doit aller du coeur jusqu’à l’extérieur.»
Archives par mot-clé : tunneling
IPv6 – ce n’est pas pour tout de suite … pour un problème de migration!
Merci à – Benoit Minvielle, Hirschmann France – pour cet intéressant article qui “rassurera” les industriels – IPv6 ce n’est vraiment pas pour tout de suite même si il y a vraiment urgence pour les accès Internet.
La plus grande erreur d’IPv6 : il n’est pas rétro-compatible avec l’internet actuel. Les développeurs l’admettent. Les organismes de normalisation tentent de créer de nouveaux outils pour corriger les problèmes de transition. Et comme d’habitude ils mettent la pression sur les responsables réseaux et les DSI pour adopter IPv6.
La communauté en charge de l’engineering d’internet explique que sa plus grande erreur dans le développement d’IPv6 – attendu pour la mise à jour d’internet – est qu’il manque de compatibilité avec l’actuel protocole Internet, connu sous le nom d’IPv4.
Une table ronde de l’IETF
Lors d’une table ronde qui s’est tenue à San Francisco mardi 24 mars, les dirigeants de l’Internet Engineering Task Force (IETF) ont admis qu’ils n’avaient pas fait un assez bon travail en veillant à ce que les dispositifs et les réseaux en IPv6 natif soient en mesure de communiquer avec leurs homologues IPv4 lorsqu’ils ont conçu la norme IPv6 il y a 13 ans.
"L’absence de véritable rétro-compatibilité avec IPv4 est la seule erreur critique", explique Leslie Daigle, Chief Internet Technology Officer de l’Internet Society. «Il y avait des raisons à l’époque pour le faire … Mais la réalité est que personne ne veut aller vers IPv6, sauf s’il pense que ses amis le font aussi».Absence de pont entre IPv6 et IPv4
Initialement, les développeurs d’IPv6 avaient envisagé un scénario où les terminaux utilisateurs et les réseaux dorsaux fonctionneraient à la fois en IPv4 et IPv6, à côté l’un de l’autre dans ce que l’on appelle le mode « double-stack ».
Toutefois, ils n’avaient pas pris en compte que certains dispositifs IPv4 ne seraient jamais mis à jour vers IPv6, et que des réseaux entièrement IPv6 auraient besoin de communiquer avec des périphériques uniquement en IPv4 ou des contenus de ce type.
Les promoteurs de l’IPv6 déclarent que l’absence de mécanismes de « pontage » entre IPv4 et l’IPv6 est l’unique raison importante qui ait fait que la plupart des FAI et les entreprises n’aient pas déployé IPv6.L’échec de la stratégie de la "double-stack"
«Notre stratégie de transition était le « double-stack », où l’on commencerait par ajouter de l’IPv6 sur les machines, puis progressivement, nous aurions désactivé l’IPv4 et tout se serait passé sans heurts», explique Russ Housley président de l’IETF, qui a ajouté que la transition vers IPv6 n’a pas eu lieu conformément au plan.
En réponse, l’IETF est en train d’élaborer de nouveaux outils de transition vers l’IPv6 qui seront disponibles d’ici la fin de 2009, selon Russ Housley.
«La raison pour laquelle il n’y pas eu plus de déploiement d’IPv6, c’est parce que les gens qui font le travail ont découvert qu’ils avaient besoin de ces nouveaux outils de migration», ajoute Russ Housley. « Ces outils sont nécessaires pour faciliter le déploiement. »
