La migration vers IPv6, un petit pas pour les adresses, un grand pas pour les DSI

Transcription

1 articlefévrier 2012 La migration vers IPv6, un petit pas pour les adresses, Une ressource qu on a longtemps crue inépuisable s est tarie, ce que certains journalistes ont appelé l «IPcalyspe», l épuisement des adresses IPv4 libres, est arrivé. Les cinq derniers blocs de classe A, aussi appelés /8 en notation CIDR, ont été attribués le 3 février Ajoutons à cela des manifestations de grande ampleur en faveur de la migration, comme l IPv6 Day, tenu le 8 juin dernier. Il s agit d un test de connectivité IPv6 à l échelle mondiale, où de grands fournisseurs de services ont activé l IPv6 sur leurs serveurs. La migration vers IPv6, longtemps retardée, apparaît désormais inéluctable. Cependant, les modalités de cette migration sont loin de faire l unanimité ; certains pensent qu elle ne concerne que le grand public, et que les entreprises pourront se contenter encore longtemps d une adresse IPv4 publique qui abritera un réseau interne, non routable depuis l extérieur, et qui n a donc pas de nouvelles adresses. D autres voient dans le développement des Smartphones et des tablettes un nouveau besoin d adresse IP, et pensent que les avantages intrinsèques d IPv6 justifient une migration coûteuse. Il convient donc d examiner les bénéfices réels d IPv6, au-delà de tout effet de mode ou d urgence, et de les comparer à ses coûts, les difficultés liées à son implémentation qu on peut prévoir, et ses faiblesses. Commençons par un bref rappel historique La norme IPv6 a été développée au cours des années 90 par l IETF, et elle a été publiée dans la RFC 2460 en décembre Cependant, la complexité et le coût de la migration ont découragé les grands acteurs d internet ; cette prudence ne doit pas occulter les améliorations qu IPv6 apporte par rapport à son aînée, de dix sept ans plus ancienne. On remarquera particulièrement la plage d adressage, infiniment plus grande, un nouveau format pour les paquets IPv6, une prise en charge native d IPsec, un protocole de sécurisation des communications, et des configurations facilitées. L événement IPv6 : l IPv6 day IPv6 ne date pas d hier ; sa formalisation dans l IETF a commencé en 1990 pour aboutir à une RFC en Cependant, certains signes montrent que l adoption globale d IPv6 se profile et que de grands acteurs de l internet s y préparent. Parmi eux, l IPv6 day est le plus probant. Il s est déroulé le 8 juin 2011, et consiste en un test à grande échelle de la connectivité IPv6 pour les grands acteurs qui y participent ; ils comptent de nombreux sites fortement fréquentés, tels Google, Facebook, Yahoo ou Youtube. Pendant cette journée, ils ont activé la pile IPv6 sur leurs sites pour tester le fonctionnement des infrastructures et leur robustesse à la montée en charge. L une des infrastructures de cette journée est un site permettant de tester la compatibilité IPv6 de sa propre connexion. Faites le test : Il est actuellement trop tôt pour avoir des résultats sur l action de cette journée, cependant, cette initiative concrète illustre la volonté d avancer des acteurs majeurs. 1

2 La pénurie d adresses, source du développement d IPv6 La raison première au développement d IPv6 est la pénurie annoncée d adresses. Le successeur d IPv4 offre plusieurs centaines de milliards de milliards de milliards de milliards d adresses uniques. C est donc un euphémisme de dire que le problème de pénurie d adresses ne se représentera pas avant longtemps. Conséquence directe de l abondance d adresses routables, une entreprise peut envisager de fournir à chacun de ses postes une adresse globale, éliminant ainsi la traduction d adresse (NAT). Ce dispositif, rendu nécessaire par l épuisement d adresses IPv4, apporte une couche de complexité supplémentaire, et peut poser des problèmes de compatibilité avec certaines applications. En outre, cette nouvelle attribution des adresses a permis de réserver de nouvelles adresses spéciales pour des usages particuliers, notamment pour les adresses multicast intégrant une grande liberté de paramétrage, et des nouveaux groupes «anycast». Atouts d IPv6 : plus qu un simple élargissement de l adressage IPv6 présente d autres améliorations que la seule prolongation de la taille de l adresse ; les adresses sont organisées hiérarchiquement, elles peuvent être regroupées en sous groupes pour correspondre à la topologie réseau, et ainsi rendre le routage plus aisé. L entête d un paquet (header) a été retravaillé et présente plusieurs fonctionnalités nouvelles et améliorations. Les champs présents dans l en-tête ont changé : certains ont disparu, d autres sont nouveaux et les derniers ont parfois changé, dans le but d une plus grande efficacité réseau. Le champ de checksum a disparu, laissant aux niveaux 2 et 4 du modèle OSI le soin de vérifier l intégrité du paquet ; cette suppression épargne des calculs aux routeurs intermédiaires. De plus, la nouvelle norme ne permet plus la fragmentation par des routeurs intermédiaires, elle vérifie au préalable la route à suivre et fragmente le paquet si nécessaire, directement à la source. Ces modifications visent à améliorer la performance réseau. Les nouveaux champs permettent, quant à eux, de rajouter de nouvelles fonctionnalités dont l absence était handicapante en IPv4 : le champ «Traffic class» permet de différencier les flux selon leur type, et donc de les prioriser selon leurs besoins. Ce classement simplifie l implémentation de mécanismes de qualité de service (QoS). Enfin, si la taille de l entête est fixe, on peut lui accoler des entêtes optionnels pour des besoins spécialisés, comme des indications de routage ou de fragmentation, des en-têtes pour IPsec, par exemple. IPv6 intègre également des possibilités d auto configuration et de réadressage dynamique sans état (c'est-à-dire qu il n a pas besoin d information préalable, par exemple d un serveur DHCP). Cette méthode permet à un poste rejoignant un réseau de se déterminer lui-même une adresse IP sans nécessiter un serveur DHCP ; de la même manière, un poste peut redéfinir son adresse IP sans intervention du serveur. Ces potentialités font espérer une simplification considérable des tâches des administrateurs réseaux. En définitive, on remarque qu IPv6 présente de nombreux avantages inhérents, en plus de solutionner la pénurie d adresses IPv4. Ces avantages concernent surtout la gestion et la performance des réseaux, le côté sécurité étant plus controversé. Cependant, certaines faiblesses existent, et surtout, la migration aura un coût indéniable, que nous allons examiner. Au cœur d IPv6 : format de l adresse Le premier changement apporté par IPv6, et le plus fondamental, est celui de la taille de l adresse. On passe d une adresse sur trente deux bits soit quatre octets à une de cent vingt huit bits, seize octets. La notation change également, passant d une notation décimale à une notation hexadécimale. Prenons un exemple : Une ancienne adresse, IPV4 : Une nouvelle adresse, IPv6 : 2a01:02b3:0004:000a:0000:0000:0000:0001 Une astuce de notation permet de réduire une suite de 0, en ne notant que les chiffres significatifs. Ainsi réduite, l adresse ci-dessus donne : 2a01:2b3:4:a::1 La notation «::» signifiant qu à cet endroit, on doit remplir de 0 pour compléter l adresse. La conséquence immédiate de cette taille est une augmentation exponentielle du nombre d adresses disponibles. Là où IPv4 en offrait 4,3 milliards, IPv6 propose 3,4.10^38 adresses différentes. Soit, à titre d exemple, 6,7.10^23 adresses par mètre carré de la surface de la Terre. 2

3 Embûches et obstacles sur le chemin de l IPv6 Le plus grand inconvénient d IPv6 et le plus fondamental est son incompatibilité avec Ipv4. Les réseaux IPv6 peuvent cohabiter avec ceux en IPv4, mais ils ne pourront ni communiquer ni se voir directement. Cette incompatibilité se retrouve à tous les niveaux de l'infrastructure réseau : celui du matériel, des protocoles réseaux et des systèmes. Les fournisseurs de matériel ont anticipé l'arrivée d IPv6, et la grande majorité des équipements sont compatibles avec IPv6. De la même manière, les systèmes d'exploitation sont équipés de deux piles IP, permettant une double compatibilité. Les plus grandes difficultés viendront des logiciels dont la mise à niveau peut varier très fortement. Certaines entreprises utilisent des logiciels spécifiques, et assurer leur compatibilité demandera une charge de développement. La sécurité en IPv6 : une tempête dans un verre d eau? La question de la sécurité des réseaux dans IPv6 fait couler beaucoup d encre, alors que l implémentation réelle du protocole se précise de plus en plus. Des communiqués alarmistes, annonçant des failles nouvelles par centaines aux déclarations triomphantes, déclarant qu IPv6, armé d IPsec, va résoudre tous les problèmes, où est la réalité? Probablement dans un juste milieu gris, chamarré de quelques lueurs d espoir et de quelques nuances de précautions supplémentaires. En effet, la grande majorité des failles existantes sont toujours valables en IPv6, parfois avec quelques modifications dans leur exécution. ARP est remplacé par IC-MPv6, mais le spoofing est toujours possible, pour ne citer que lui. Cependant, il est exact que l utilisation d IPsec, inclus par défaut dans IPv6, bloque certaines attaques mais en contrepartie crée un risque de ne pas contrôler des flux chiffrés. Il faut préciser que son inclusion par défaut ne dispense pas de le configurer ; IPv6 apporte, comme tout changement, son lot de nouvelles mesures et bonnes pratiques notamment sur la configuration d IDS plus difficile du fait de la modularité de l en-tête et des différentes méthodes de routage. Certaines doivent même s appliquer aux réseaux restés en IPv4! En effet, les «Pour l'instant, les seuls à être bien passés à l'ipv6 sont les pirates.» Hervé Schauer équipements et les systèmes d exploitation sont globalement en avance pour la compatibilité IPv6. Saviez-vous que les fonctionnalités IPv6 sont activées par défaut et que le trafic IPv6 échappe souvent au contrôle faute de règles de firewall adaptées? En résumé, IPv6 n est ni une solution miracle pour la sécurité, ni une faille béante dans les systèmes. Il apporte certaines améliorations, nécessite des précautions spécifiques pour éviter de créer de nouvelles vulnérabilités, et il faudra du temps pour atteindre la pleine maturité en termes de sécurité. Son plus grand atout sera peut-être d offrir la possibilité de retravailler l architecture du réseau et de revoir les process, et donc d éliminer d anciens risques. Exemples d attaques IPv4 et équivalents IPv6 : IPv4 IPv6 Deny Of Service Deny Of Service DHCPv4 spoofing DHCPv6 spoofing ICMPv4 redirect ICMPv6 redirect ARP spoofing NDP Spoofing Source routing Routing Header type 0 3

4 Outils de transition : un pont sur le gouffre de la migration Au niveau réseau, plusieurs méthodes sont disponibles pour assurer la compatibilité avec IPv6, plus ou moins complexes, plus ou moins durables. Les opérateurs utilisent depuis des années le NAT pour mutualiser les adresses IPv4, NAT 44 pour les LAN, NAT 444 pour les MAN. Cependant, cette attitude ne permet que de repousser le problème de la migration au prix d'une couche de complexité supplémentaire. Un artifice pour simuler une compatibilité est la traduction d'adresse IPv6 vers IPv4, par des protocoles comme le NAT 6-4. Il donne l'illusion à un client IPv6 qu'il communique avec un serveur IPv6 alors que ledit serveur est toujours adressé en IPv4. Ce protocole est cependant critiqué pour sa lourdeur et son coût, qui limitent son déploiement. La méthode de transition qui apparaît la plus durable est l'activation de doubles piles d'adresses, assurant la visibilité d'un serveur à la fois pour les clients IPv4 et les clients IPv6. La question posée par le dual stack est de savoir quels équipements vont activer la double pile. Deux principales approches existent : la migration des équipements de bordure en conservant un cœur de réseau Ipv4. Cette politique est notamment représentée par 6RD (IPv6 Rapid Deployement), solution choisie par Free en L'optique inverse, le Dual Stack Lite, qui consiste à migrer le cœur de réseau vers IPv6, en retardant la migration des routeurs de bordure par une encapsulation Ipv4. Ces méthodes de dual stacking concernent principalement les fournisseurs d'accès internet. Les fournisseurs de contenu peuvent se contenter de gérer les accès au niveau de leurs serveurs frontaux en activant la double pile, ou d'implémenter la traduction au niveau des load balancers. A ce stade, il apparaît clair que le passage en IPv6 apporte des avantages indéniables, que les technologies sont pour la plus grande partie en ordre de marche. Cependant, le changement est fondamental, complexe et donc coûteux. Il n y pas de réponse simple et universelle à la question de la migration IPv6 pour une entreprise. Pourtant, des lignes directrices existent, et nous allons à présent discuter de ces éléments de réponse. Enjeux variés, pour une utilisation du réseau propre à chaque entreprise Toutes les entreprises ne sont pas concernées au même degré par la migration en IPv6. Deux cas de figure particuliers existent, les fournisseurs d'accès internet et les fournisseurs de service. Cependant, certaines problématiques existent pour toutes les entreprises. Les fournisseurs d'accès sont concernés en premier lieu par la pénurie d'adresses et elle constitue leur première incitation à migrer. La fourniture d'accès réseau constitue leur cœur de métier, et ils devront se tourner vers des solutions durables, notamment des méthodes de double pile. Les fournisseurs de services doivent quant à eux assurer leur visibilité continuelle sur Internet, or un client en IPv6 natif ne verra pas un site resté en IPv4. Les incitations à migrer sont donc directement liées à l'adoption d'ipv6 par le public. Il n y a donc pas d'urgence, bien qu'il faille garder à l'esprit que ce mouvement est inexorable et qu'il convient de s'y préparer dès maintenant. D'une manière plus générale, les entreprises qui doivent le plus se soucier d'une migration sont les entreprises multisites, plus grande consommatrices d'adresses IPv4. Bien que peu d'entre elles soient en situation de pénurie, la gestion des adresses peut devenir particulièrement fastidieuse. Cette problématique est aggravée par l'émergence des communications unifiées, des Smartphones et de la ToIP, qui consomment eux aussi les adresses disponibles. 4

5 Comment estimer le coût d une migration IPv6? Un déploiement IPv6 est un projet conséquent et à long terme dont beaucoup tentent d estimer le coût. Tim Hubard (Nortel, director of MPLS for EMEA) l évaluait à 10$ par interface IP. Mais il faut reconnaître la difficulté de le définir ; peu d exemples concrets existent et les coûts de mise en œuvre varient considérablement selon l entreprise en fonction des architectures réseaux, des services hébergés et du choix d un déploiement infogéré ou interne. What is the cost not to deploy IPv6? Jim Bound, Compaq, IPv6 Forum Première étape : inventorier l ensemble de ses équipements IP d extrémités (PC, IPPhone, imprimantes, alarmes ) afin de définir ceux nécessitant une mise à jour logicielle ou un remplacement. Côté IT, l impact est sur les routeurs, mais aussi les serveurs, les systèmes d'équilibrage de charge, le WAN, les systèmes DNS, DHCP et LDAP, les outils d'administration, les politiques de sécurité basées sur l IP, etc. Cependant, les coûts matériels ne sont généralement pas les plus importants. En effet, la majorité des entreprises inclut la compatibilité IPv6 dans leurs appels d offres et les constructeurs fournissent déjà essentiellement des équipements «IPv6 ready». Les cycles de rafraîchissement naturel éliminent donc de nouveaux investissements matériels importants. Le risque est plus considérable sur les coûts de mise à jour de logiciels, principalement les développements anciens ou low-cost qui utiliseraient des IP plutôt que des noms DNS. pénurie des ressources IT compétentes est possible. Mais surtout lors des premières étapes de migration, la gestion simultanée des deux protocoles augmente les dépenses de fonctionnement. Pour un coût optimal, il faut donc prendre son temps en amont lors des phases de préparation mais inciter une transition rapide. Les experts estiment qu'à moyen ou à long terme, IPv6 permet de réduire les dépenses opérationnelles. En effet, un en-tête simplifié rendant le routage plus efficient, l auto-configuration sans serveur, un support multicast renforcé avec davantage d adresses, etc. Autant de fonctionnalités qui simplifient les fonctions d administration du réseau. IPv6 permet aussi de répondre à de nouveaux besoins tels que des réseaux de senseurs innombrables (cf. interview NTT). De plus, il faut s attendre à une augmentation des dépenses liée à l IPv4 ; il sera de plus en plus difficile et de plus en plus coûteux d obtenir de nouveaux espaces d adresses IPv4 pour la croissance des réseaux et de gérer l espace d adresses IPv4 restant. Impact du temps de migration sur le coût Un autre facteur important : les coûts de formation des équipes internes IT (réseaux, mais aussi sécurité, serveurs, voix ) qui n ont pas ou peu d expérience sur ce protocole. Le temps joue aussi sur la facture. Pour une même transition, trop tôt, l entreprise «essuie les plâtres» et risque des coûts non projetés ; trop tard, une IPv4 Coûts de coexistance Gains de coûts opérationnels Non migration en IPv6 IPv6 5

6 L attentisme, une attitude risquée D aucuns pourraient penser que l adoption d IPv6, technologie ancienne dans sa formalisation mais des plus récentes dans son application, est risquée. Ils ont raison! Nous ne pouvons qu imaginer un internet majoritairement en IPv6 et les nouveaux défis qu il apporterait. Cependant, les risques à retarder sa migration sont eux certains. Ils commencent par une réduction de la flexibilité des réseaux. Si l IPv6 se généralise, des services ne seront à terme plus disponibles en IPv4 et l entreprise restée en arrière se verra coupée d une partie de l innovation. De plus, elle pourrait souffrir d une incompatibilité avec ses partenaires et ses clients. Le risque est particulièrement fort pour les entreprises en liaison avec l Asie, où la pénurie d adresses est plus intense et donc l adoption d IPv6 plus rapide. Enfin, les pouvoirs publics prennent conscience de la problématique et on peut attendre des incitations réglementaires dans les années à venir. Les déclarations d Eric Besson, ministre de l industrie, de l énergie et de l économie numérique, en faveur d IPv6 suite à l IPv6 Day, illustrent cette volonté politique naissante. Le mot de la fin IPv6 est restée bien longtemps dans les cartons, mais à présent, son adoption se profile à long terme. On peut prévoir un effet «boule de neige», les migrations accélérant les migrations. Si bien des entreprises ne connaissent pas d urgence à adopter immédiatement IPv6, il est en revanche indispensable de planifier et de préparer cette transition dès maintenant, car le sujet est vaste et complexe et l innovation n attendra personne quand elle sera lancée. Interview : 5 questions à un opérateur, l IPv6 et NTT NTT Communications est la branche internationale des services de données et Internet de Nippon Telegraph and Telephone Corporation (NTT), la 2 ème entreprise de télécommunications et de services Internet du monde (classée 31 ème plus grande entreprise dans le classement de Fortune Global en 2011). NTT Communications se positionne comme un spécialiste des réseaux, de l hébergement et des services d infrastructures en ligne (IaaS) et souhaite développer ces offres. La décision a été prise d augmenter fortement ses parts de marché en Europe. Les rachats stratégiques récents le montrent. Beijaflore : NTT a-t-il migré ses infrastructures pour supporter IPV6 (double pile)? Avez-vous une Roadmap claire sur les évolutions vers IPv6 chez NTT? NTT : L ensemble du backbone de NTT supporte aujourd hui l IPV6. L offre technologique est disponible worldwide. L offre commerciale IPv6 de NTT (Dual-Stack) sera disponible partout dans le monde en Le continent africain et l Amérique du sud sont les moins équipés à l heure actuelle. La pénurie d adresses IPv4 n est pas encore ressentie. Les clients de NTT passe à l IPv6 d abord par innovation, par préparation et anticipation. Quelles sont les entreprises les plus concernées par une migration de leur SI vers IPv6? L intérêt principal de l IPv6 par rapport à l IPv4 : un coût de déploiement moins conséquent et de 6

7 meilleures performances. Ces avantages sont majoritairement dus au fait que le nombre d équipements nécessaires est réduit. Les problématiques liées au NAT sont fortement amoindries. Le gain est surtout perceptible pour les projets de M2M. Ce sont d ailleurs des projets de ce type qui ont incité les clients ayant migré à le faire. IPv6 sera-t-il déployé partout dans le monde? Quelles pourraient être les différences entre les régions? L IPv6 sera effectivement déployée dans le monde entier. Mais les disparités existantes persisteront. L Afrique et l Amérique du sud seront équipées, mais surement avec un maillage moins dense. Le Japon, quant à lui, est un des premiers pays à déployer massivement l IPv6 : c est la première zone à avoir épuisé son pool IPv4. Quels services liés à IPv6 proposez-vous? NTT Communications propose un service IPv6 sur ces offres de réseaux VPN MPLS et de bande passante Internet. Auriez-vous des exemples concrets de déploiement de l'ipv6 chez vos clients? Le réseau de senseurs de l agence météorologique japonaise, détecteur de secousses sismique au Japon est entièrement en IPv6. Ou encore l une des plus grandes chaînes de télévisions IP du monde : Hikari.tv. contact : conseilsi@beijaflore.com 7