IPv6 : OPPORTUNITÉS ET DÉFIS OPÉRATIONNELS. Mohsen Souissi (AFNIC) Bruno Stévant (Telecom Bretagne)



Documents pareils
Plan. Programmation Internet Cours 3. Organismes de standardisation

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Réseaux IUP2 / 2005 IPv6

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Service de VPN de niveau 3 sur RENATER (L3VPN MPLS)

Métrologie des réseaux IP

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Aperçu des activités R&D de l Afnic. JCSA Paris 16/05/2014

Programme formation pfsense Mars 2011 Cript Bretagne

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

Algorithmique et langages du Web

Figure 1a. Réseau intranet avec pare feu et NAT.

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Windows Vista, Windows Server 2008, IPv6 et les applications. Bernard Ourghanlian Chief Technology & Security Officer Microsoft France

DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft

Fonctions Réseau et Télécom. Haute Disponibilité

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Introduction. Adresses

Le protocole IPv6 sur le Réseau Académique Parisien

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Domain Name System Extensions Sécurité

Le catalogue TIC. Solutions. pour les. Professionnels

Windows Server 2012 Administration avancée

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Prototype dual-stack IPv4/6 sur un backbone MPLS-VPN (services et sécurité)

Déploiement IPv6 en entreprise. 13 pièges à éviter. IPv6 Experience Exchange Event. Fabien Broillet Consultant IT

Présentation et portée du cours : CCNA Exploration v4.0

Pare-feu VPN sans fil N Cisco RV120W

Travaux pratiques IPv6

1 PfSense 1. Qu est-ce que c est

Windows Server 2012 R2 Administration avancée - 2 Tomes

Introduction aux Technologies de l Internet

FORMATION WS0803 CONFIGURATION ET DEPANNAGE DE L'INFRASTRUCTURE RESEAU WINDOWS SERVER 2008

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

La Gestion des Applications la plus efficace du marché

IPv6: from experimentation to services

Aperçu de la situation d IPv6 en France. et positionnement par rapport à d autres pays/régions

PocketNet SNMP/Modbus

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Routeur VPN Wireless-N Cisco RV215W

IPFIX (Internet Protocol Information export)

Plateforme spécialité réseau (PFRES)

Le protocole SSH (Secure Shell)

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Protéger une machine réelle derrière une machine virtuelle avec pfsense

Le NIC France. Annie Renard INRIA. BP , Le Chesnay CEDEX Septembre 1995

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Les réseaux du future

Projet Sécurité des SI

Pare-feu VPN sans fil N Cisco RV110W

Security and privacy in network - TP

Mon compte : gérer les tâches administratives

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Compte-rendu du TP n o 2

Comprendre et anticiper les attaques DDoS

PACK SKeeper Multi = 1 SKeeper et des SKubes

LE RESEAU GLOBAL INTERNET

Les fonctions de hachage, un domaine à la mode

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Architecture Principes et recommandations

Étendez les capacités de vos points de vente & sécurisez vos transactions.

La supervision des services dans le réseau RENATER

Description des UE s du M2

7.3 : Ce qu IPv6 peut faire pour moi

Sécuriser le routage sur Internet

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Positionnement produit

Gouvernance de l Internet : Quels acteurs pour quels rôles?

Administration Avancée de Réseaux d Entreprises (A2RE)

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Aperçu technique Projet «Internet à l école» (SAI)

Threat Management déploiement rapide de contre-mesures

(In)sécurité de la Voix sur IP [VoIP]

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Firewall Net Integrator Vue d ensemble

Le service IPv4 multicast pour les sites RAP

Acquia Digital Lifecycle Management

SYNTHÈSE. Quelles sont les perspectives du marché des services en ligne?

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

1.Introduction - Modèle en couches - OSI TCP/IP

Projet Système & Réseau

IPv6. Protocole, format et applications. Tuyêt Trâm DANG NGOC. Université de Cergy-Pontoise. Tuyêt Trâm DANG NGOC IPv6 1 / 150

Réseaux Privés Virtuels Virtual Private Networks

Détection d'intrusions et analyse forensique

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Les réseaux de campus. F. Nolot

Présentation du modèle OSI(Open Systems Interconnection)

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Présentation et portée du cours : CCNA Exploration v4.0

Cours n 12. Technologies WAN 2nd partie

Windows Server 2012 R2

Editions ENI. DirectAccess. Mobilité et nomadisme, mise en œuvre de la solution Microsoft. Collection Expert IT. Table des matières

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Transcription:

IPv6 : OPPORTUNITÉS ET DÉFIS OPÉRATIONNELS Mohsen Souissi (AFNIC) Bruno Stévant (Telecom Bretagne)

CE QUE CETTE PRÉSENTATION EST ET N EST PAS! Cette présentation entend : Mettre en évidence à la fois des opportunités et des problématiques liées aux besoins de déploiement d IPv6 chez les opérateurs/fai Montrer des exemples de solutions pratiques au travers de quelques sujets choisis Provoquer des réactions et un débat à partir de ces exemples Cette présentation n est pas : Une nième justification sur pourquoi IPv6 est nécessaire Un tutorial de plus sur comment faire un déploiement sans peine Une liste exhaustive de solutions/outils de transition 2

SUJET 1 : ÉPUISEMENT DE L ESPACE D ADRESSAGE IPv4 EN 2012? ET ALORS? 3

2012+ : CE QUI SE PROFILE Prévisions (http://www.potaroo.net/tools/ipv4/index.html) Épuisement chez l IANA : 08/2011 Épuisement chez les RIR : 04/2012 Quelles incidences? Accélération du déploiement d IPv6 (bon gré mal gré) et/ou recours à un marché gris (surtout parmi «les résistants»!) Recrudescence des boîtiers de traduction v4privé-v4public et v4-v6 Recrudescence des tunnels/encapsulation v4-in-v6 et v6-inv4 dans les backbones et réseaux d accès Ceux qui n auront pas pris le temps de pratiquer ces techniques risquent d avoir de gros problèmes de stabilité de leurs réseaux/services! 4

2012+ : CE QUI SE PROFILE Quelles solutions? Consolider IPv6 dans l infrastructure là où c est possible, sans délai Assurer le dual-stack là où c est possible (pour une intégration fluide d IPv6 en production) Maintenir un fonctionnement acceptable d IPv4 quand il n y a pas le choix (vieux équipements/logiciels ne supportant pas IPv6), avec recours éventuel aux adresses IPv4 privées partagées (cf. DS-Lite) Profiter des cycles de rafraîchissement naturels des équipements/logiciels pour les faire passer à IPv6 5

DS-LITE : L ACCÈS ABONNÉ SANS IPv4 PUBLIC draft-ietf-softwire-dual-stack-lite Principe : Les clients obtiennent de l opérateur de l IPv6 et de l IPv4 privé L IPv4 privé est transporté jusqu à l opérateur grâce à l IPv6 Un CGN («Carrier Grade NAT», boîtier NAT du FAI) assure la traduction entre l IPv4 privé et public côté FAI Exemples : Solution AFTR développée par l ISC, adopté par Comcast (http://www.networkworld.com/news/2010/031810-comcast-isc-ipv6-tool.html) D autres FAI intéressés (FT ) Remarques : On reste dans un contexte NATé La solution peut permettre de faire du partage d adresses au niveau du CGN 6

6RD : POUR S Y METTRE RAPIDEMENT rd pour «rapid deployment» RFC 5569 (informatif) = 6rd actuellement chez Free Voir aussi l annexe de «Deploying IPv6 in Broadband Access Networks», Adeel Ahmed, Salman Asadullah draft-ietf-softwire-ipv6-6rd (RFC XXXX) : version poussée par l IETF sur la voie de standardisation 6rd = 6to4 tel qu il aurait dû être spécifé Résout les problèmes de performances, de sécurité identifiés dans 6to4 (cf. RFC 3964, «Security Considerations for 6to4») Adresses routées vers l opérateur (routage symétrique) Relais 6to4 chez l opérateur Anycast restreint à l opérateur 7

SUJET 2 : ADRESSES IPv6 PI, MULTI-HOMING ET IPv6 RIPENESS 8

IPv6 PI POUR LE MULTI-HOMING Impensable/inacceptable il y a 10 ans Seuls les préfixes PA étaient promus pour «maîtriser» la taille de la DFZ Recherche de solutions (plus) «propres» (qu en v4) pour le multihoming IPv6 : sans gaspillage d entrées dans les tables de routage Cadre de travail IETF : multi6, avec solution shim6 Mais aussi d autres approches : HIP, LISP, SCTP Pression pour un multi-homing IPv6 «à la v4» (PI) Entreprises déjà multi-homées en IPv4 et voulant l être en IPv6 : Difficile d attendre encore plus longtemps les solutions IETF promises «Mieux vaut déployer IPv6 avec une table de routage qui enfle que de ne pas le déployer du tout»! Certains RIR adoptent une politique d affectation de préfixes IPv6 PI (ARIN en premier) Le RIPE-NCC finit (le dernier) par adopter/implémenter une telle politique : beaucoup de résistance! 9

IPv6 PI & MULTI-HOMING (2) En pratique : Politique peu connue aujourd hui des potentiels bénéficiaires (mais aussi de nombreux opérateurs!) Politique contraignante pour le demandeur et pour le RIPE-NCC (contrat direct avec le RIPE-NCC ou passage via un LIR) Politique spéciale qui s y apparente : micro-affectation de préfixes IPv6 pour les nuages DNS anycast de TLD : pas mal de succès! Où sont les vrais problèmes aujourd hui? Qualité des routes et stabilité du routage Le nombre de routes n est pas alarmant en lui-même Les tunnels v6-in-v4 peuvent être une source de problèmes opérationnels (MTU, routage sous-optimal, topologie masquée ) 10

AVEZ-VOUS MESURÉ VOTRE RIPENESS? Définition des métriques et mesures comparatives (http://labs.ripe.net/content/ipv6-ripeness) : jusqu à 4 étoiles à gagner Voir aussi : http://labs.ripe.net/content/ipv6-ripeness-sequel Pas difficile d obtenir les 4 étoiles : ce n est que le début en fait :-) Mais : d autres critères importants sont à considérer Utilisation réelle des adresses dans les déploiements de réseaux/services (la simple annonce BGP des préfixes n est pas suffisante) La qualité du réseau IPv6 et ses performances : accessibilité, résilience, temps de réponse La parité avec IPv4 en termes de déploiement de services (web, mail, ftp, dns, routage, sécurité ) Une intégration progressive d IPv6 est plus raisonnable/réaliste qu un «basculement» un jour J (à supposer que ce soit possible!) Voir l excellent rapport de l OCDE Measuring Deployment of IPv6 (de nombreuses métriques définies et des chiffres donnés) : http://www.oecd.org/dataoecd/48/51/44953210.pdf http://www.oecd.org/dataoecd/48/8/44961688.pdf (présentation) 11

SUJET 3 : DÉPLOYER LES SERVICES, SÉCURISER/FIABILISER LE DÉPLOIEMENT, DÉPLOYER LA SÉCURITÉ 12

Déployer les réseaux/services, Sécuriser/fiabiliser le déploiement Les services essentiels (infrastructure et applications) sont «déployables» sans difficulté en IPv6 : routage, DNS, web, mail Reste tout un pan d applications utiles mais moins largement utilisées Applications «métiers», géo-loc, services Internet mobiles Mais aussi des CPE IPv6-ready (pour tous les goûts) : http://labs.ripe.net/content/ipv6-cpe-survey Sécuriser/fiabiliser le déploiement en IPv6: NIST «DRAFT Guidelines for the Secure Deployment of IPv6» : http://g6.asso.fr/blog/?p=53 http://csrc.nist.gov/publications/drafts/800-119/draft-sp800-19_feb2010.pdf Constat actuel : la parité avec IPv4 en termes de choix et d options n est pas toujours garantie, mais évolution dans le bon sens Exemples : Arrivée progressive des outils anti-spam à base de DNSBL (http://www.roaringpenguin.com/node/639, http://www.roaringpenguin.com/solutions/antispam_ipv6) Attention aux problèmes de configuration : Exemple : pour la découverte de la PMTU, autoriser messages ICMPv6 «Packet Too Big» 13

Déployer la sécurité en IPv6 Déployer la sécurité Pare-feux commerciaux et en logiciel libre existent même si la parité avec v4 n est pas toujours au rendez-vous Parfois des fonctionnalités sont implémentées au niveau matériel en IPv4 mais seulement au niveau logiciel en IPv6 ==> problème de perf. Cf. enquêtes du SSAC : http://g6.asso.fr/blog/?p=55 (et celle en 2007 : http://www.icann.org/en/committees/security/sac021.pdf) Filtrage : ICMPv6 <> ICMPv4 ==> attention au filtrage abusif! Plus de boulot dans IPv6 : DPI, absence de NAT IPsec reste difficile à déployer, même si IPv6 a un avantage sur IPv4 (jeux d en-têtes) 14

SÉCURITÉ ET IPv6 ATTENTION AUX RAGOTS! IPv6 peut soulever des inquiétudes Crainte de la nouveauté Protocole mal maîtrisé = Protocole mal déployé Implémentations pas encore éprouvées Les problèmes commencent à apparaître avec les premiers déploiements Mais la rumeur va plus vite qu IPv6! Cf. récent FUD sur la faille IPv6/PPTP Le réflexe à avoir : don t panic! s informer, consulter les références (exemple : http://g6.asso.fr/blog/?p=62) prendre du recul : il existe toujours une solution (certes plus coûteuse mais rentable à moyen/long terme) autre que le radical «désactiver IPv6!» 15

QUELQUES RÉFÉRENCES Épuisement IPv4 / Solutions IPv6 Les dates : http://www.potaroo.net/tools/ipv4/index.html 6rd (version Free) : http://tools.ietf.org/html/rfc5569 6rd (version IETF) : RFC à paraître http://tools.ietf.org/html/draft-ietfsoftwire-ipv6-6rd-10 DS-Lite : http://tools.ietf.org/html/draft-ietf-softwire-dual-stack-lite-04 IPv6 RIPEness, Mesures, PI, Multi-homing http://labs.ripe.net/content/ipv6-ripeness http://labs.ripe.net/content/ipv6-ripeness-sequel Rapport OCDE avec métriques/mesures de déploiement : http://www.oecd.org/sti/ict/ipv6 PI : http://www.ripe.net/ripe/docs/ipv6policy.html#_8._ipv6_provider Multi-homing :IETF shim6, lisp, hip wg (https://datatracker.ietf.org/wg/shim6, lisp, hip}/ : RFC 5533-5535 ) IPv6 / Déploiement / Sécurité (documentation pratique) Le blog du G6 : http://g6.asso.fr/blog Livre «IPv6, Théorie et pratique» du G6 (Gisèle Cizault :-)) : http://livre.g6.asso.fr/ Yet another technical blog : http://blog.ioshints.info/search/label/ipv6 16

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back