IPv6 et sécurité IPV6, enjeux et risques pour les entreprises 17 Septembre 2002 Hervé Schauer <Herve.Schauer@hsc.fr> Hervé Schauer Consultants <http://www.hsc.fr/> Copyright Hervé Schauer Consultants 2002 - Reproduction Interdite IPv6 et sécurité Agenda Améliorations d IPv6 pour la sécurité Situation comparable entre IPv4 et IPv6 Limites actuelles de la sécurité avec IPv6 Problèmes de sécurité apportés par IPv6 Conclusion Ressources Hervé Schauer Consultants Domaines de compétence Type de prestations
Améliorations d IPv6 pour la sécurité Datagramme IP est plus robuste Plus de fragmentation comme en IPv4 Chaînage des datagrammes plus rigoureux Résistera sans doute mieux aux dénis de service au niveau IP/ICMP/TCP/UDP Pas de changement au niveau applicatif Adresses longues, donc sans doute plus d adresses routées La recherche d adresses valides et de services ouverts est plus longue et plus complexe pour l attaquant Situation comparable entre IPv4 et IPv6 (1/4) Firewall Points de contrôles connus et maîtrisés entre son espace de responsabilité et le reste du monde toujours indispensable Toujours du filtrage IP Toujours de l analyse de contenu Pas de changement conceptuel Filtrage IP Concept identique Simplification de l en-tête IP Adresses IP plus longues Pourra sans doute permettre de garder de la commutation sur le filtrage malgré la taille des adresses Perte de performance dans un premier temps
Situation comparable entre IPv4 et IPv6 (2/4) L adresse IPv6 est globale Permettra de garder la partie locale de l adresse IP d un nomade constante Peut faciliter le contrôle d accès Peut être vu comme une limitation de la vie privée Disponibilité de beaucoup d adresses IP Permet d affecter plusieurs adresses IP au même équipement Adresse locale au site et adresse routée sur Internet Utilisation du routage en fonction de l adresse IP source Filtrage étendu : une application = une adresse IPv6 Développé dans un projet de recherche DoD Plus aucun problème de gestion des protocoles complexes et dynamiques dans les filtres Demande une adaptation des systèmes d exploitation et des applications Situation comparable entre IPv4 et IPv6 (3/4) Chiffrement IPsec de bout en bout est intégré dans IPv6 Rappel : pas de contrôle d accès ni de contrôle de contenu dans un tunnel Reste aussi complexe qu en IPv4 Devra respecter les filtres IPv6 sur les terminaisons de tunnels Impose des outils de gestion centralisée de politiques de filtrage distribuées Fonctionnera plus facilement qu en IPv4 En IPv4 la traduction d adresse pose des difficultés Pas de solution normalisée pour les accès distants IPsec a été conçu pour IPv4 Incompatibilités en cours de reconception avec le nomadisme standard dans IPv6 Et le protocole de gestion des clefs IKE est en cours de reconception
Situation comparable entre IPv4 et IPv6 (4/4) IPv6 n isole pas plus les applicatifs de l Internet IPv6 n apporte pas de réel plus pour la vie privée Globalement les spécificités d IPv6 en sécurité restent limitées Les concepts restent les mêmes Les besoins de sécurité n étaient pas dans le cahier des charges Ni ceux des entreprises, ni ceux des particuliers Limites actuelles de la sécurité avec IPv6 La gestion du datagramme IPv4 a 15 ans d expérience Les piles IPv6 sont neuves Erreurs de programmations classiques entraînant des failles de sécurité La disponibilité des outils de sécurité en IPv6 prendra du temps Aucun firewall IPv6 comparable aux firewalls IPv4 Pas de commutateurs Plusieurs produits disponibles, principalement des logiciels libres ou des routeurs filtrants IP-Filter, Netfilter, 6Wind Problèmes limités dans le temps
Problèmes de sécurité apportés par IPv6 IPv6 apporte des services plus facilement accessibles qu en IPv4, sans particulièrement les sécuriser Services domotiques accessibles du bureau mais pas à tout l internet Voir à distance la caméra de son bébé Régler son chauffage avant de rentrer Services peer-to-peer Auto-configuration Mécanismes de transition d IPv4 à IPv6 L ensemble des mécanismes de transition apportent des vulné rabilités Certains mécanismes indispensables apportent des vulnérabilit és majeures Conclusion La sécurité apportée par IPv6 ne justifie pas de migrer vers IPv6 pour des raisons de sécurité Les difficultés en sécurité avec IPv6 ne justifient pas de ne pas migrer vers IPv6 IPv6 demeure assez neutre vis-à-vis de la sécurité, vos politiques de sécurité pourront s appliquer sur des réseaux IPv6 comme elles s appliquent sur les réseaux actuels en IPv4 Questions / Réponses www.hsc.fr
Ressources (1/2) IPv6 migration and security Jean-Jacques Bernard, Hervé Schauer Consultants, FIRST conference, Toulouse, France, 06/01 www.hsc.fr/ressources/presentations/ipv6mig/ IPv6 Internet Security for Enterprise Akihiro Inomata, Fujitsu, APNIC Open Policy Meeting, Bangkok, Thailand, 03/02 www.apnic.net/meetings/13/sigs/docs/4.4_osg_enterprise.ppt IPsec and privacy with IPv6 K Jayachandra, Hewlett-Packard, Global IPv6 summit, Beijing, China, 05/02 www.ipv6.net.cn/event/presentation/1%20hp-jay.pdf Ressources (2/2) IPv6 Zero-Configuration Networks Eric Carmès, 6Wind, IPv6 forum, Madrid, Spain, 03/02 Voir transparent 19 www.6wind.com/pdf/events/6wind-eric_carmes-ipv6%20summit%20madrid.pdf
Hervé Schauer Consultants Cabinet de consultants en sécurité Unix, Windows, TCP/IP et Internet depuis 1989 13 consultants Expérience de la sécurité Unix depuis 1987 Expérience de la sécurité Internet depuis 1991 Expérience de la sécurité Windows depuis 1997 Veille en vulnérabilités vendue depuis Juin 1997 Veille technologique et stratégique de l actualité en sécurité vendue depuis Janvier 2000 6 à 8 conférences internationales par an Blackhat, CanSecWest, Defcon, Eurosec, IETF, ISSE, RSA, SANS, Usenix... HSC : Domaines de compétence Sécurité réseaux IP IPsec, SSL, dénis de service, filtrage, IPv6, VLAN, 802.11, GPRS HTTP, SQLnet, net8, Tuxedo, Encina, Corba, SSH, CIFS/SMB... Infrastructure, infogérance, PKI, journalisation, SOC, anti-virus Architecture, haute-disponibilité, routage, cloisonnement Sécurité des systèmes d exploitation Windows (NT, 2000, XP,.Net), Unix/Linux, OpenVMS, IOS, PalmOS... Sécurité des applications Apache, Microsoft, Netscape, Lotus... Broadvision, JAVA, Oracle Portal, PHP, Weblogic, Webmethods, Websphere... Signature X.509, XML, WebSSO, interconnexions SAP... Programmes consultants et bonnes relations avec les fournisseurs en toute indépendance 6Wind, Arkoon, Axiliance, Cisco, Checkpoint, Deny-All, Evidian, ISS, Microsoft, Netasq, Nokia, Nortel, Solsoft... Plus de 30 produits de sécurité maîtrisés
HSC : Types de prestations Études Conception, architecture, assistance à maîtrise d ouvrage, produits... Installations Mise en place, sécurisation de l existant Investigations et enquêtes après incident Analyses, audits et tests d intrusion Tests de vulnérabilités semi-automatiques récurrents : TSAR Formations Sécurité Unix, Linux, Solaris, Windows Sécurité réseaux TCP/IP, Internet/intranet, serveurs web Détection d intrusion, programmation sécurisée Cryptographie, IPsec, PKI, DNS, Postfix, Firewall-1 Tutoriels Infosec, La Salon de la Sécurité, Netsec, Web-Business...