S É C U R I T É I P V 6 A R C H I T E C T U R E S É C U R I S É E T A N G U I L E P E N S E B E N J A M I N G U I L L E T A C H K A N H O S S E I N I M A N E C H E A R T H U R S A I Z N I C O L A S F U R L A N E R W A N M O Y O N 1
Plan 1. I N T R O D U C T I O N S U R I P V 6 1. Présentation et différences avec IPv4 2. Pénurie des adresses IPv4 2. I P V 6 S U R L E R É S E A U 1. Faiblesses d IPv6 sur le réseau global 2. Présentation IPSec 3. Architecture IPsec 4. Déploiement et coûts IPsec 5. Pare-feu 3. C A R T O G R A P H I E 1. Un scan réseau «intelligent» 4. S É C U R I T É D I P V 6 S U R L E S R É S E A U X L O C A U X 1. Faiblesses d IPv6 sur les réseaux locaux 2. SEcure Neighbor Discovery 3. Autres mécanismes de mitigation sur réseau local 5. C O N C L U S I O N 2
Sécurité IPv6 architecture sécurisée INTRODUCTION SUR IPV6 3
Présentation et différences avec IPv4 Epuisement des adresses IPV4 Février 2011, la réserve de blocs libres d'adresses publiques IPv4 de l IANA est arrivée à épuisement Causes de la pénurie Une adresse IP comporte 32 bits, ce qui permet de créer jusqu'à 4 milliards de numéros. Certaines adresses sont réservées à des usages particuliers. Nos ordinateurs ne sont pas les seuls à avoir besoin d'adresses IP, d autres terminaux en possèdent : smartphones, serveurs, distributeurs de billets, système de vidéosurveillance... Allocation trop généreuse au début de l internet IPv6 est une nouvelle version du protocole IP et non pas un nouveau protocole et apporte un certain nombre de nouvelles fonctionnalités : Un espace d adressage qui se fait désormais sur 128 bits au lieu de 32 Un en-tête simplifié et efficace L auto-configuration : un équipement devient complètement «plug-and-play» IPSec est obligatoire d implémentation en IPv6 4
Prévision de l évolution de la réserve de blocs d adresses IPv4 pour chaque RIR Pénurie des adresses IPv4 : prévision L Asie et l Europe seront les premiers touchés par la pénurie d adresse On va assister à un déploiement accéléré d IPv6 par nécessité 5
Sécurité IPv6 architecture sécurisée IPV6 SUR LE RESEAU 6
Faiblesses d IPv6 sur le réseau global IPv6 se base sur les mêmes principes qu IPv4, il a donc les mêmes vulnérabilités. Les niveaux de sécurité de ces deux protocoles sont globalement équivalents. L IPv6 réintroduit le principe de communication de bout en bout Les NAPT ne sont plus nécessaires Mais ce ne sont pas des équipements de sécurité Un flux IPv6 n est pas chiffré ni authentifié par défaut MITM possible pour un attaquant sur le chemin Utilisation possible mais pas toujours suffisante des mécanismes de sécurité des niveaux inférieurs et supérieurs Double-pile IPv4/IPv6 Attaques off-path 7
Présentation IPSec Protocole sécurisant le niveau IP Version actuelle : v3 Obligatoire pour IPv6 mais optionnel pour IPv4 IPSec crée une barrière entre une zone non protégée et une zone protégée IPSec offre différents services : Intégrité des données Confidentialité Authentification de l origine des données Détection et protection contre les rejeux Il se découpe en 3 grands groupes Protocole ESP / AH IKE Algorithmes de chiffrement L implémentation IPSec requiert les bases suivantes : SAD (Security Association Database) SPD (Security Policy Database) PAD (Peer Authorization Database) Une SA est une structure de données qui regroupe les données d identification et est composée de : Un indice de sécurité SPI (Security Parameters Index) qui indique le contexte de chiffrement L adresse du destinataire du paquet Un des protocoles de sécurité AH ou ESP Modèle haut niveau du traitement IPSec 8
Protocole AH Authentification Protocole ESP Authentification Chiffrement Obligatoire pour IPsec Protocole IKE Gestion des clés Authentification entre deux parties Création d une SA Mode Transport / Tunnel Architecture IPsec 9
Déploiement et coûts Déploiement du protocole IPSec 2 types d équipements IPsec Hôte final Passerelle de sécurité 3 étapes Planification Installation Configuration Planification Identification des besoins Identification des communications Type de sécurisation Choix des règles à appliquer Installation : Oui ou Non Ipsec déjà intégré? Configuration Application des règles de sécurité Limitations Limites et coûts Performances liées aux communications Configuration manuelle sur un large réseau Complexité Beaucoup d algorithmes et de protocoles Un nombre important de types de SA à gérer Manque de bonnes pratiques Documentation Difficile d accès car très dense Coûts déterminés selon quatre paramètres Performance Sécurité Support Maintenance 10
Pare-feu La plupart des systèmes gèrent à la fois IPv4 et IPv6 : on parle de double pile Windows, MAC OS/X, Linux, BSD OS mobiles : Android, IOS Les nœuds se configurent automatiquement, il faut donc mettre en place une stratégie pour sécuriser le trafic IPv6 en plus d IPv4 Les pare-feu sont généralement capables de filtrer le trafic IPv6 Les administrateurs réseau doivent préparer le déploiement d IPv6 (plan d action, formation) Penser à bloquer certains types de message ICMPv6 tels que : Découverte des voisins Découvertes des routeurs Messages de redirection 11
Sécurité IPv6 architecture sécurisée CARTOGRAPHIE 12
La cartographie : un scan réseau «intelligent» Impossibilité de tester linéairement la validité de chaque adresse Il faut scanner le réseau avec des méthodes permettant de réduire l espace de recherche : DNS Mapping (bruteforce sur les noms d hôte) Multicast Réduction de l espace d adressage Comment s en protéger? Éviter les noms d hôtes communs Règles de pare-feu restrictives sur les clients Windows ne répond pas au ping ICMPv6 Utilisation des adresses aléatoires Plus d heuristiques possibles Bénéfice pour la protection de la vie privée Cohabitation : un réseau IPv4 sécurisé Eviter le Routing Header, filtrer le protocole ICMPv6. 13
Sécurité IPv6 architecture sécurisée SÉCURITÉ D IPV6 SUR LES RÉSEAUX LOCAUX 14
Faiblesses d IPv6 sur les réseaux locaux Configuration sur réseaux locaux SLAAC : Neighbor Discovery Protocol sur ICMPv6 Découverte des voisins (NS et NA) Découverte des routeurs (RS et RA) Détection des adresses déjà utilisées (DAD) Redirection (ICMPv6 Redirect) DHCPv6 : équivalent à DHCP pour IPv4 (configuration avec état) Comme pour IPv4/Arp, ces protocoles sont vulnérables Attaques DOS NS/NA poisoning DAD spoofing Router Advertisement spoofing ICMPv6 ECHO smurfing Attaque MITM RA malicieux NA et NS malicieux ICMPv6 Redirect DHCPv6 spoofing : même attaque qu en IPv4 15
SEcure Neighbor Discovery Limitations Protocole spécifique pour la sécurisation de NDP Sécurité en trois axes : Utilisation d adresse cryptographique CGA empêche le vol d adresse Messages ICMPv6 signés, chaque nœud possède une biclef certifie que le message est bien envoyé par le propriétaire de la CGA) Routeurs authentifiés grâce à des certificats Émettre de fausses annonces devient impossible Des protections contre les attaques par rejeu sont implantées Protège contre les attaques DOS et MITM vues précédemment Techniques : Ne fournit pas la confidentialité N empêche pas l usurpation d adresse de niveau 2 Adresses CGA & vie privée Déploiement : Déploiement de certificats sur les postes clients Pas d autorité de certification centralisée, mobilité entre réseaux réduite Implémentation : Les routeurs commencent à implanter ce standard (Cisco, Juniper) Windows et OS/X ne l implantent pas, les OS mobiles non plus Le déploiement de SEND est difficilement envisageable aujourd hui et reste complexe 16
Protection contre le vol d adresse et intégrité des messages NDP grâce à SEND 17
Autres mécanismes de mitigation sur réseau local Configuration manuelle Mais qui a envie de le faire aujourd hui? Filtrage au niveau 2 : Autoriser seulement les routeurs légitimes Encore à l état de brouillon N adresse pas toutes les attaques Utiliser les mécanismes d authentification de niveau 2 802.1X, 802.11 Authentification n est pas autorisation VPN/SSL Authentification avec DHCPv6 Même principe que pour DHCP Comme pour SEND, il faut déployer des certificats Pas implanté dans Windows et OS/X, expérimental sous UNIX VLAN (802.1Q) Isolation des réseaux Solution sécurisée et simple Implantable si les hôtes n ont pas besoin de communiquer entre eux L importance du monitoring Permet de détecter les attaques et remonter les alertes NDPMon pour IPv6/ICMPv6 18
Sécurité IPv6 architecture sécurisée CONCLUSION 19
QUESTIONS? 20