Tandis que les fournisseurs de services s’inquiètent au sujet de la fin des adresses IPV4, comment les équipes en charge des services informatiques dansles entreprises doivent-elles se préparer pour l’IPV6 ?
Directeur du service ’International Business Development’ chez Spirent Communications, Alan Way nous explique tout.
L’IPv6 fait soudain la une de l’actualité. Le fait que nous allions bientôt nous trouver à court d’adresses IP a comme un goût d’Armageddon, un goût suffisamment prononcé pour entraîner une forte augmentation des gros titres abordant ce sujet dans les nouvelles. Nous sommes tous si dépendants d’internet que nous frissonnons à l’idée d’en être dépossédés.
On pourrait penser que l’IPv6 a surgit de nulle part, telle une bête en maraude, mais on est bien loin de la vérité. En effet, spécialiste des tests et des contrôles, Spirent Communications aide les organisations à tester leurs supports pour ce nouveau protocole et la fonctionnalité double pile depuis 2004.
« Il y a 5 ans nous aidions déjà certaines organisations, notamment le ‘US Department of Defense’, à se préparer pour l’IPv6», nous informe Alan. « Le problème était bien compris, mais n’apparaissait pas comme une menace imminente, les gens s’en sont donc un peu lassés. Aujourd’hui l’IPv6 fait à nouveau la une de l’actualité et on nous demande une nouvelle fois notre aide. Durant le laps de temps séparant ces deux événements, il semblerait que les difficultés économiques aient relayé l’IPv6 au second plan et qu’elle ait été oubliée, jusqu’à la peur récente suscitée par ’la fin de l’IPv4’ ».
Il est temps de poser un regard calme sur ce problème, en adoptant le point de vue des entreprises. A quel point est ce grave ? Quelle est la menace réelle pour l’entreprise ? Quelle est la meilleure stratégie à adopter et pour quelle(s) raison(s) ?
Est-ce que le problème ne va pas tout simplement disparaître ?
Si le sujet est resté au second plan pendant des années, pourquoi ne pas attendre que ça se passe pour le moment? A court terme, il n’y a apparemment pas grand intérêt à se préparer pour l’IPv6 si vos partenaires et vos clients sont tous en IPv4, ce qui est très probablement le cas en Europe et aux USA. C’est dans l’Est et dans les pays en voie de développement que l’IPv6 se développe rapidement : de nombreux utilisateurs apparaissent et la pénurie de nouvelles adresses y représente une menace imminente.
Même lorsque nous allons manquer d’adresses IP, un peu plus tard cette année, cela ne signifiera pas pour autant la fin des services internet ; en effet, les fournisseurs de services possèdent d’ors et déjà plusieurs façons de contourner le problème. Le NAT (’Traduction d’adresse réseau’) fait en sorte que des adresses IPv4 déjà utilisées ailleurs puissent être attribuées à l’intérieur d’un réseau tout en étant dotées d’une étiquette IPv6 unique en dehors de celui-ci. Ainsi, lorsqu’un message arrive dans le réseau, le serveur NAT traduit cette adresse IPv6 unique en une adresse IPVv4 interne, et vice versa lorsqu’un message quitte le réseau. Une seconde approche consiste à encapsuler des paquets IPv6 dans des paquets IPV4, de sorte que vos contacts IPv6 puissent communiquer avec votre système IPv4 d’origine, et de la même manière, que vos messages puissent leur être renvoyés encapsulés à l’intérieur de paquets IPv6 si cela s’avérait nécessaire. La solution 6RD (Développement rapide de l’IPv6) utilise cette approche d’encapsulation.
Alors, pourquoi s’ennuyer à mettre à jour ? La réponse est simple : les solutions apportées par le NAT et l’encapsulation ne sont que des moyens pour contourner le problème. Elles nécessitent un traitement en temps réel des messages, ajoutant à la latence du système. L’organisation qui s’accrochera obstinément à son vieil héritage IPv4 ne sera évidemment pas coupée du monde extérieur mais elle souffrira d’une dégradation croissante de ses performances tandis que de plus en plus de communications passeront par l’IPv6. Pour les services financiers et toutes autres transactions similaires à grande vitesse, cela serait désastreux. Pour les autres secteurs, cela émoussera leur côté compétitif.
Les risques.
D’autres problèmes apparaîtront si vous ne faites rien à propos de l’IPv6. Ainsi, les pare-feux ne reconnaîtront pas le trafic IPv6 à moins d’être programmés pour le faire. Un système d’origine pourra donc permettre librement le passage de paquets IPv6, sans qu’aucun contrôle ne soit effectué. A ce jour, l’unique raison empêchant la communauté criminelle de s’engouffrer plus avant dans cette voie est que, jusqu’ici, la plupart des cibles sont encore en IPv4. Mais il existe déjà des botnets IPv6 et des paquets de contrôle malveillants en circulation, et le danger ne fera que grandir. Si votre organisation n’a absolument pas besoin de l’IPv6, la solution la plus sure est alors de bloquer tout trafic IPv6 jusqu’à ce que vos clients vous le réclame.
Si au contraire vous décidez de supporter le trafic IPv6, gardez à l’esprit que l’encapsulation peut fournir un chemin d’accès aisé à un code IPv6 malveillant caché à l’intérieur de paquets IPv4 à priori inoffensifs. Il ne suffit pas que votre pare-feu supporte l’IPv6, vous devez également ajouter une technologie de vérification des paquets en profondeur pour vous assurer un trafic sain, sans pour autant compromettre les performances de votre réseau.
|