Tandis que les fournisseurs de services s’inquiètent au sujet de la fin des adresses IPV4, comment les équipes en charge des services informatiques dansles entreprises doivent-elles se préparer pour l’IPV6 ?
Directeur du service ’International Business Development’ chez Spirent Communications, Alan Way nous explique tout.
L’IPv6 fait soudain la une de l’actualité. Le fait que nous allions bientôt nous trouver à court d’adresses IP a comme un goût d’Armageddon, un goût suffisamment prononcé pour entraîner une forte augmentation des gros titres abordant ce sujet dans les nouvelles. Nous sommes tous si dépendants d’internet que nous frissonnons à l’idée d’en être dépossédés.
On pourrait penser que l’IPv6 a surgit de nulle part, telle une bête en maraude, mais on est bien loin de la vérité. En effet, spécialiste des tests et des contrôles, Spirent Communications aide les organisations à tester leurs supports pour ce nouveau protocole et la fonctionnalité double pile depuis 2004.
 « Il y a 5 ans nous aidions déjà certaines organisations, notamment le ‘US Department of Defense’, à se préparer pour l’IPv6», nous informe Alan. « Le problème était bien compris, mais n’apparaissait pas comme une menace imminente, les gens s’en sont donc un peu lassés. Aujourd’hui l’IPv6 fait à nouveau la une de l’actualité et on nous demande une nouvelle fois notre aide. Durant le laps de temps séparant ces deux événements, il semblerait que les difficultés économiques aient relayé l’IPv6 au second plan et qu’elle ait été oubliée, jusqu’à la peur récente suscitée par ’la fin de l’IPv4’ ».
Il est temps de poser un regard calme sur ce problème, en adoptant le point de vue des entreprises. A quel point est ce grave ? Quelle est la menace réelle pour l’entreprise ? Quelle est la meilleure stratégie à adopter et pour quelle(s) raison(s) ?
Est-ce que le problème ne va pas tout simplement disparaître ?
Si le sujet est resté au second plan pendant des années, pourquoi ne pas attendre que ça se passe pour le moment? A court terme, il n’y a apparemment pas grand intérêt à se préparer pour l’IPv6 si vos partenaires et vos clients sont tous en IPv4, ce qui est très probablement le cas en Europe et aux USA. C’est dans l’Est et dans les pays en voie de développement que l’IPv6 se développe rapidement : de nombreux utilisateurs apparaissent et la pénurie de nouvelles adresses y représente une menace imminente.
Même lorsque nous allons manquer d’adresses IP, un peu plus tard cette année, cela ne signifiera pas pour autant la fin des services internet ; en effet, les fournisseurs de services possèdent d’ors et déjà plusieurs façons de contourner le problème. Le NAT (’Traduction d’adresse réseau’) fait en sorte que des adresses IPv4 déjà utilisées ailleurs puissent être attribuées à l’intérieur d’un réseau tout en étant dotées d’une étiquette IPv6 unique en dehors de celui-ci. Ainsi, lorsqu’un message arrive dans le réseau, le serveur NAT traduit cette adresse IPv6 unique en une adresse IPVv4 interne, et vice versa lorsqu’un message quitte le réseau. Une seconde approche consiste à encapsuler des paquets IPv6 dans des paquets IPV4, de sorte que vos contacts IPv6 puissent communiquer avec votre système IPv4 d’origine, et de la même manière, que vos messages puissent leur être renvoyés encapsulés à l’intérieur de paquets IPv6 si cela s’avérait nécessaire. La solution 6RD (Développement rapide de l’IPv6) utilise cette approche d’encapsulation.
Alors, pourquoi s’ennuyer à mettre à jour ? La réponse est simple : les solutions apportées par le NAT et l’encapsulation ne sont que des moyens pour contourner le problème. Elles nécessitent un traitement en temps réel des messages, ajoutant à la latence du système. L’organisation qui s’accrochera obstinément à son vieil héritage IPv4 ne sera évidemment pas coupée du monde extérieur mais elle souffrira d’une dégradation croissante de ses performances tandis que de plus en plus de communications passeront par l’IPv6. Pour les services financiers et toutes autres transactions similaires à grande vitesse, cela serait désastreux. Pour les autres secteurs, cela émoussera leur côté compétitif.
Les risques.
D’autres problèmes apparaîtront si vous ne faites rien à propos de l’IPv6. Ainsi, les pare-feux ne reconnaîtront pas le trafic IPv6 à moins d’être programmés pour le faire. Un système d’origine pourra donc permettre librement le passage de paquets IPv6, sans qu’aucun contrôle ne soit effectué. A ce jour, l’unique raison empêchant la communauté criminelle de s’engouffrer plus avant dans cette voie est que, jusqu’ici, la plupart des cibles sont encore en IPv4. Mais il existe déjà des botnets IPv6 et des paquets de contrôle malveillants en circulation, et le danger ne fera que grandir. Si votre organisation n’a absolument pas besoin de l’IPv6, la solution la plus sure est alors de bloquer tout trafic IPv6 jusqu’à ce que vos clients vous le réclame.
Si au contraire vous décidez de supporter le trafic IPv6, gardez à l’esprit que l’encapsulation peut fournir un chemin d’accès aisé à un code IPv6 malveillant caché à l’intérieur de paquets IPv4 à priori inoffensifs. Il ne suffit pas que votre pare-feu supporte l’IPv6, vous devez également ajouter une technologie de vérification des paquets en profondeur pour vous assurer un trafic sain, sans pour autant compromettre les performances de votre réseau.
D’autres risques sont inhérents au protocole en lui même. Par exemple, l’IPv6 permet un trafic multicast qui peut être bloqué en IPv4 et il est possible de définir des équipements virtuels rogues qui se comportent comme des routeurs et kidnappent le trafic IPv6 légitime. Mais tout ceci allant au-delà du propos de cet article, il est suffisant de savoir que de tels risques existent.
Point positif, l’IPv6 au sein du réseau entreprise rend beaucoup plus facile l’encryptage du trafic. Si on prend en compte le fait que plus des deux tiers des attaques qui réussissent viennent de l’intérieur du réseau plutôt que de l’extérieur, la capacité à concevoir l’encryptage depuis le bureau plutôt que depuis le bord du réseau a d’importantes conséquences sur la sécurité : des conséquences qui justifient l’adoption rapide de l’IPv6 parmi les gouvernements et les organisations de défense.
Une stratégie optimisée.
Il est évident que, pour de nombreux SMO au moins, il y a quelque chose à dire contre. Si vous ne dépendez pas actuellement d’utilisateurs IPv6, alors bloquez ce type de trafic pour le moment. Cela vous laissera le temps de prévoir de meilleures décisions pour l’avenir. Laissez d’autres être les pionniers, laissez le temps aux problèmes de sécurité évoqués d’être résolus et ne mettez à jour en passant à l’IPv6 qu’une fois le bon moment venu.
Une mise à jour « correcte » doit inclure un test préalable du réseau. On peut lister tous les changements et réfléchir soigneusement à leurs implications, prendre toutes les précautions nécessaires pour éviter tout accroc et pourtant, et c’est là la complexité des réseaux actuels, la seule façon de savoir que vous avez fait les choses correctement est de tester la structure entière en termes de fonctionnalités et de performances, notamment dans des conditions d’attaques ou de stress. Un réseau peut fonctionner à merveille pendant des mois et s’effondrer lors d’un pic de trafic, au moment même où vous dépendez le plus de lui.
Passer à l’IPv6 signifie inévitablement l’utilisation des deux protocoles en tandem : le jour où plus personne n’aura besoin de l’IPv4 est loin d’être arrivé. Prenez en considération ce que cela signifie. En plus de devoir programmer vos pare-feu et vos IDS pour les deux types de trafic, les routeurs vont devoir être reconfigurés, les interfaces serveurs et les routeurs relais (border relay routers) fonctionneront en mode double pile. Chacun de ces changements est minime, mais vous ne pouvez être certains de leur effet combiné qu’en effectuant des tests complets.
C’est précisément le travail que nous avons commencé à faire en 2004 lorsque quelques grandes organisations tournées vers l’avenir ont décidé qu’elles devaient se préparer à l’IPv6. Le secret est de construire dés le départ des tests faisant partie intégrante de la stratégie de mise à jour, plutôt que de les rattacher à posteriori.
Que vous utilisiez les équipements Spirent ou que vous externalisiez le test vers nos ingénieurs, le processus reste le même. Le réseau peut être reproduit en laboratoire grâce à la simulation d’opérations réalistes correspondant exactement au profil d’un trafic quotidien. La charge peut être augmentée jusqu’à atteindre le point de rupture, fournissant ainsi des données importantes sur le potentiel de charge du réseau, puis une gamme complète de conditions extrêmes peut être imposée, seules ou en parallèle –panne du système local, conditions d’attaques, pics de trafic etc. Des rapports détaillés sont générés automatiquement, soulignant les goulets d’étranglement ou les points faibles présents dans le réseau.
Avant que la mise à jour soit étendue, vous bénéficiez d’une alerte préalable vous permettant de savoir de quelle manière elle peut impacter le réseau. Bien souvent, les résultats montrent de petites améliorations peu coûteuses nécessaires à l’amélioration du réseau et, parfois, des clients s’aperçoivent qu’ils étaient sur le point d’investir outre mesure dans des mises à jour hors de prix alors qu’une solution bien moins chère fonctionnerait tout aussi bien. Dans ces cas là, le retour sur investissement pour le test est immédiat.
Puis, une fois que le réseau a été mis à jour de façon optimale, vous pouvez incorporer un programme de test automatisé qui contrôlera en continu les performances du système et la qualité de service, fournissant ainsi des alertes prévenant chaque problème potentiel bien en amont.
Les réseaux actuels sont complexes, ils forment un écosystème soigneusement équilibré qui peut cependant avoir un comportement surprenant si des changements, même relativement minimes, sont effectués. L’IPv6 est un de ces petits changements : ne l’adoptez pas si vous n’êtes pas absolument certains que votre système peut le supporter. Testez-le, ou préparez vous à être testés.
|
