S É C U R I T É I P V 6 A R C H I T E C T U R E S É C U R I S É E

Documents pareils
Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Découverte de réseaux IPv6

Compte-rendu du TP n o 2

Sécurité des réseaux IPSec

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Pare-feu VPN sans fil N Cisco RV120W

Arkoon Security Appliances Fast 360

SSL ET IPSEC. Licence Pro ATC Amel Guetat

1 PfSense 1. Qu est-ce que c est

IPv6, BGP et plus si affinités

IPSEC : PRÉSENTATION TECHNIQUE

Déployer des services en IPv6

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Offre de stage. Un(e) stagiaire en informatique

Devoir Surveillé de Sécurité des Réseaux

Description des UE s du M2

Découverte de réseaux IPv6

Routeur VPN Wireless-N Cisco RV215W

Administration Avancée de Réseaux d Entreprises (A2RE)

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Prototype dual-stack IPv4/6 sur un backbone MPLS-VPN (services et sécurité)

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Pare-feu VPN sans fil N Cisco RV110W

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Chapitre 11 : Le Multicast sur IP

Parcours en deuxième année

Le protocole IPv6 sur le Réseau Académique Parisien

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

FORMATION WS0803 CONFIGURATION ET DEPANNAGE DE L'INFRASTRUCTURE RESEAU WINDOWS SERVER 2008

TP réseaux Translation d adresse, firewalls, zonage

Réseaux Privés Virtuels Virtual Private Networks

Formations. «Produits & Applications»

Réseaux IUP2 / 2005 IPv6

Groupe Eyrolles, 2006, ISBN : X

Sécurité des réseaux sans fil

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

SEND : la découverte de voisins IPv6 sécurisée

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Cisco RV220W Network Security Firewall

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

(In)sécurité de la Voix sur IP [VoIP]

Cisco RV220W Network Security Firewall

Spécialiste Systèmes et Réseaux

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Sécurité des réseaux wi fi

Domain Name System Extensions Sécurité

Retour d expérience sur Prelude

Critères d évaluation pour les pare-feu nouvelle génération

Plan. Programmation Internet Cours 3. Organismes de standardisation

Projet Sécurité des SI

Aperçu technique Projet «Internet à l école» (SAI)

[ Sécurisation des canaux de communication

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Groupe Eyrolles, 2004, ISBN :

Sécurité des réseaux Les attaques

Sécurité GNU/Linux. Virtual Private Network

Le rôle Serveur NPS et Protection d accès réseau

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Dr.Web Les Fonctionnalités

Menaces et sécurité préventive

Mettre en place un accès sécurisé à travers Internet

TP 6 : Wifi Sécurité

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

DIFF AVANCÉE. Samy.

NetCrunch 6. Superviser

Le protocole SSH (Secure Shell)

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Ingénierie des réseaux

La citadelle électronique séminaire du 14 mars 2002

Introduction. Adresses

L'écoute des conversations VoIP

Sécurité des réseaux Firewalls

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Présentation et portée du cours : CCNA Exploration v4.0

VPN IP security Protocol

FORMATION CN01a CITRIX NETSCALER

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Mise en place d'un Réseau Privé Virtuel

Gamme d appliances de sécurité gérées dans le cloud

Transcription:

S É C U R I T É I P V 6 A R C H I T E C T U R E S É C U R I S É E T A N G U I L E P E N S E B E N J A M I N G U I L L E T A C H K A N H O S S E I N I M A N E C H E A R T H U R S A I Z N I C O L A S F U R L A N E R W A N M O Y O N 1

Plan 1. I N T R O D U C T I O N S U R I P V 6 1. Présentation et différences avec IPv4 2. Pénurie des adresses IPv4 2. I P V 6 S U R L E R É S E A U 1. Faiblesses d IPv6 sur le réseau global 2. Présentation IPSec 3. Architecture IPsec 4. Déploiement et coûts IPsec 5. Pare-feu 3. C A R T O G R A P H I E 1. Un scan réseau «intelligent» 4. S É C U R I T É D I P V 6 S U R L E S R É S E A U X L O C A U X 1. Faiblesses d IPv6 sur les réseaux locaux 2. SEcure Neighbor Discovery 3. Autres mécanismes de mitigation sur réseau local 5. C O N C L U S I O N 2

Sécurité IPv6 architecture sécurisée INTRODUCTION SUR IPV6 3

Présentation et différences avec IPv4 Epuisement des adresses IPV4 Février 2011, la réserve de blocs libres d'adresses publiques IPv4 de l IANA est arrivée à épuisement Causes de la pénurie Une adresse IP comporte 32 bits, ce qui permet de créer jusqu'à 4 milliards de numéros. Certaines adresses sont réservées à des usages particuliers. Nos ordinateurs ne sont pas les seuls à avoir besoin d'adresses IP, d autres terminaux en possèdent : smartphones, serveurs, distributeurs de billets, système de vidéosurveillance... Allocation trop généreuse au début de l internet IPv6 est une nouvelle version du protocole IP et non pas un nouveau protocole et apporte un certain nombre de nouvelles fonctionnalités : Un espace d adressage qui se fait désormais sur 128 bits au lieu de 32 Un en-tête simplifié et efficace L auto-configuration : un équipement devient complètement «plug-and-play» IPSec est obligatoire d implémentation en IPv6 4

Prévision de l évolution de la réserve de blocs d adresses IPv4 pour chaque RIR Pénurie des adresses IPv4 : prévision L Asie et l Europe seront les premiers touchés par la pénurie d adresse On va assister à un déploiement accéléré d IPv6 par nécessité 5

Sécurité IPv6 architecture sécurisée IPV6 SUR LE RESEAU 6

Faiblesses d IPv6 sur le réseau global IPv6 se base sur les mêmes principes qu IPv4, il a donc les mêmes vulnérabilités. Les niveaux de sécurité de ces deux protocoles sont globalement équivalents. L IPv6 réintroduit le principe de communication de bout en bout Les NAPT ne sont plus nécessaires Mais ce ne sont pas des équipements de sécurité Un flux IPv6 n est pas chiffré ni authentifié par défaut MITM possible pour un attaquant sur le chemin Utilisation possible mais pas toujours suffisante des mécanismes de sécurité des niveaux inférieurs et supérieurs Double-pile IPv4/IPv6 Attaques off-path 7

Présentation IPSec Protocole sécurisant le niveau IP Version actuelle : v3 Obligatoire pour IPv6 mais optionnel pour IPv4 IPSec crée une barrière entre une zone non protégée et une zone protégée IPSec offre différents services : Intégrité des données Confidentialité Authentification de l origine des données Détection et protection contre les rejeux Il se découpe en 3 grands groupes Protocole ESP / AH IKE Algorithmes de chiffrement L implémentation IPSec requiert les bases suivantes : SAD (Security Association Database) SPD (Security Policy Database) PAD (Peer Authorization Database) Une SA est une structure de données qui regroupe les données d identification et est composée de : Un indice de sécurité SPI (Security Parameters Index) qui indique le contexte de chiffrement L adresse du destinataire du paquet Un des protocoles de sécurité AH ou ESP Modèle haut niveau du traitement IPSec 8

Protocole AH Authentification Protocole ESP Authentification Chiffrement Obligatoire pour IPsec Protocole IKE Gestion des clés Authentification entre deux parties Création d une SA Mode Transport / Tunnel Architecture IPsec 9

Déploiement et coûts Déploiement du protocole IPSec 2 types d équipements IPsec Hôte final Passerelle de sécurité 3 étapes Planification Installation Configuration Planification Identification des besoins Identification des communications Type de sécurisation Choix des règles à appliquer Installation : Oui ou Non Ipsec déjà intégré? Configuration Application des règles de sécurité Limitations Limites et coûts Performances liées aux communications Configuration manuelle sur un large réseau Complexité Beaucoup d algorithmes et de protocoles Un nombre important de types de SA à gérer Manque de bonnes pratiques Documentation Difficile d accès car très dense Coûts déterminés selon quatre paramètres Performance Sécurité Support Maintenance 10

Pare-feu La plupart des systèmes gèrent à la fois IPv4 et IPv6 : on parle de double pile Windows, MAC OS/X, Linux, BSD OS mobiles : Android, IOS Les nœuds se configurent automatiquement, il faut donc mettre en place une stratégie pour sécuriser le trafic IPv6 en plus d IPv4 Les pare-feu sont généralement capables de filtrer le trafic IPv6 Les administrateurs réseau doivent préparer le déploiement d IPv6 (plan d action, formation) Penser à bloquer certains types de message ICMPv6 tels que : Découverte des voisins Découvertes des routeurs Messages de redirection 11

Sécurité IPv6 architecture sécurisée CARTOGRAPHIE 12

La cartographie : un scan réseau «intelligent» Impossibilité de tester linéairement la validité de chaque adresse Il faut scanner le réseau avec des méthodes permettant de réduire l espace de recherche : DNS Mapping (bruteforce sur les noms d hôte) Multicast Réduction de l espace d adressage Comment s en protéger? Éviter les noms d hôtes communs Règles de pare-feu restrictives sur les clients Windows ne répond pas au ping ICMPv6 Utilisation des adresses aléatoires Plus d heuristiques possibles Bénéfice pour la protection de la vie privée Cohabitation : un réseau IPv4 sécurisé Eviter le Routing Header, filtrer le protocole ICMPv6. 13

Sécurité IPv6 architecture sécurisée SÉCURITÉ D IPV6 SUR LES RÉSEAUX LOCAUX 14

Faiblesses d IPv6 sur les réseaux locaux Configuration sur réseaux locaux SLAAC : Neighbor Discovery Protocol sur ICMPv6 Découverte des voisins (NS et NA) Découverte des routeurs (RS et RA) Détection des adresses déjà utilisées (DAD) Redirection (ICMPv6 Redirect) DHCPv6 : équivalent à DHCP pour IPv4 (configuration avec état) Comme pour IPv4/Arp, ces protocoles sont vulnérables Attaques DOS NS/NA poisoning DAD spoofing Router Advertisement spoofing ICMPv6 ECHO smurfing Attaque MITM RA malicieux NA et NS malicieux ICMPv6 Redirect DHCPv6 spoofing : même attaque qu en IPv4 15

SEcure Neighbor Discovery Limitations Protocole spécifique pour la sécurisation de NDP Sécurité en trois axes : Utilisation d adresse cryptographique CGA empêche le vol d adresse Messages ICMPv6 signés, chaque nœud possède une biclef certifie que le message est bien envoyé par le propriétaire de la CGA) Routeurs authentifiés grâce à des certificats Émettre de fausses annonces devient impossible Des protections contre les attaques par rejeu sont implantées Protège contre les attaques DOS et MITM vues précédemment Techniques : Ne fournit pas la confidentialité N empêche pas l usurpation d adresse de niveau 2 Adresses CGA & vie privée Déploiement : Déploiement de certificats sur les postes clients Pas d autorité de certification centralisée, mobilité entre réseaux réduite Implémentation : Les routeurs commencent à implanter ce standard (Cisco, Juniper) Windows et OS/X ne l implantent pas, les OS mobiles non plus Le déploiement de SEND est difficilement envisageable aujourd hui et reste complexe 16

Protection contre le vol d adresse et intégrité des messages NDP grâce à SEND 17

Autres mécanismes de mitigation sur réseau local Configuration manuelle Mais qui a envie de le faire aujourd hui? Filtrage au niveau 2 : Autoriser seulement les routeurs légitimes Encore à l état de brouillon N adresse pas toutes les attaques Utiliser les mécanismes d authentification de niveau 2 802.1X, 802.11 Authentification n est pas autorisation VPN/SSL Authentification avec DHCPv6 Même principe que pour DHCP Comme pour SEND, il faut déployer des certificats Pas implanté dans Windows et OS/X, expérimental sous UNIX VLAN (802.1Q) Isolation des réseaux Solution sécurisée et simple Implantable si les hôtes n ont pas besoin de communiquer entre eux L importance du monitoring Permet de détecter les attaques et remonter les alertes NDPMon pour IPv6/ICMPv6 18

Sécurité IPv6 architecture sécurisée CONCLUSION 19

QUESTIONS? 20

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back