Sécurité & IPv6 : on s'était donné rendez-vous dans 10 ans

Magazine
Marque
MISC
Numéro
83
Mois de parution
janvier 2016
Domaines


Résumé

La première série d'articles dédiée au protocole IPv6 a été publiée dans MISC n°27 à la rentrée 2006. Depuis, IPv6 n'est toujours pas omniprésent, comme certains l'avaient prédit, mais beaucoup de choses ont changé. Ainsi, la plupart des OS modernes prennent en charge IPv6, et l'activent par défaut, et de nombreux fournisseurs d'accès le propose à leurs clients [ORANGE-IPV6-NOVEMBRE-2015]. Côté serveurs, IPv6 a été largement adopté pour le DNS [IPV6-PROGRESS-REPORT]. Concernant le Web, la situation est plus mitigée, et seuls 10 % des sites les plus fréquentés, d'après la société américaine Alexa, l'ont configuré. À titre indicatif, environ 10 % des utilisateurs de Google utilisent IPv6 [GOOGLE-IPV6-STATISTICS]. Cet article présente tout d'abord les changements structurels et fonctionnels du protocole IPv6. Fort de ces descriptions théoriques nécessaires, l'objectif de cet article est de s'attarder sur cinq éléments distincts, qui 10 ans plus tard, semblent les plus pertinents pour appréhender le protocole IPv6 sous l'angle de la sécurité. Il s'agit de l'espace d'adressage, du mécanisme de découverte de voisins, de la question du respect de la vie privée, des entêtes d'extension, et de l'énumération de réseaux. Afin d'illustrer le contenu, les fonctions et messages de Scapy relatifs à IPv6 sont également discutés.


1. Le protocole IPv6

1.1 Les fonctionnalités

Comparé à l'entête IPv4, l'entête IPv6, défini dans la RFC2460, a doublé de taille passant de 20 octets à 40 octets. Cependant, en termes de nombre de champs, l'entête IPv6 semble avoir subi une cure d'amaigrissement : 13 champs en IPv4 contre 8 en IPv6. Pour arriver à ce résultat, les fonctionnalités peu utilisées comme le source routing, et dans une certaine mesure, la fragmentation, ont été déplacées dans des entêtes d'extension placés après l'entête IPv6. L'enchaînement de ces entêtes se fait via le champ Next Header qui indique le type du protocole suivant. Grâce à ce mécanisme, l'entête IPv6 a une taille fixe ce qui facilite le travail des routeurs. Ces extensions ont cependant des implications importantes pour la sécurité, car elles font l'objet de multiples vulnérabilités qui seront décrites dans la section 6. Le champ checksum a également disparu pour diminuer les traitements effectués par...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[ORANGE-IPV6-NOVEMBRE-2015] IPv6 chez Orange : 100 000 clients concernés avant un déploiement progressif, http://www.nextinpact.com/news/97253-ipv6-chez-orange-100-000-clients-concernes-avant-deploiement-progressif.htm

[IPV6-PROGRESS-REPORT] Global IPv6 Deployment Progress Report, http://bgp.he.net/ipv6-progress-report.cgi

[GOOGLE-IPV6-STATISTICS] Google IPv6 statistics, https://www.google.com/intl/en/ipv6/statistics.html

[IANA-IPV6-ADDRESS-SPACE] Internet Protocol Version 6 Address Space, http://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml

[CISCO-IPV6-SNOOPING] IPv6 Snooping, http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipv6_fhsec/configuration/15-s/ip6f-15-s-book/ip6-snooping.html

[RAFIXD] KAME's rafixd, https://github.com/gws/rafixd/

[NDPROTECTOR] A CGA & SEND Linux userland implementation, http://amnesiak.org/NDprotector/

[IPV6-VPN-LEAKS] A Glance through the VPN Looking Glass: IPv6 Leakage and DNS Hijacking in Commercial VPN clients, http://www.eecs.qmul.ac.uk/~hamed/papers/PETS2015VPN.pdf

[DRAFT-PREDICTABLE-FRAGMENT] Security Implications of Predictable Fragment Identification Values, https://tools.ietf.org/html/draft-ietf-6man-predictable-fragment-id-10

[IPV6-FRAGMENTATION-ATTACK] Fragmentation (Overlapping) Attacks One Year Later…, https://www.troopers.de/wp-content/uploads/2013/01/TROOPERS13-Fragmentation_Overlapping_Attacks_Against_IPv6_One_Year_Later-Antonios_Atlasis.pdf

[IPV6-ROUTING-HEADER-SECURITY] Links on the "IPv6 Type 0 Routing Header issue" following CanSecWest/core07 talk, http://natisbad.org/RH0

[IPV6-EXTENSION-HEADERS-CONSIDERATIONS] IPv6 Extension Headers Review and Considerations, http://:www.cisco.com/en/US/technologies/tk648/tk872/technologies_white_paper0900aecd8054d37d.html

[IANA-IPV6-MULTICAST-ADDRESS-SPACE] IPv6 Multicast Address Space, http://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtml

[IP6-ARPA-SCAN] ip6.arpa scanner, https://github.com/habbie/ip6-arpa-scan/



Articles qui pourraient vous intéresser...

Avec le Spanning Tree Protocol, suis-je en sécurité dans mon réseau ?

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Dans le cadre des hors-séries sur les retours aux fondamentaux, cet article aura comme sujet le protocole STP (Spanning Tree Protocol). Inventé en 1985 par Radia Perlman, il permet principalement d’assurer une liaison réseau redondante et sans boucle. Ce protocole étant primordial au sein d’un réseau de moyenne à grande envergure, s’il n’est pas correctement configuré, cela pourra alors permettre à des attaquants de compromettre le réseau.

Surveillance des accès de production en télétravail

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Il est courant de protéger l'accès aux infrastructures de production au travers de VPN ou de bastions SSH, et beaucoup d’organisations limitent encore ces points d'entrée à leur infrastructure interne. Lorsque l'organisation passe en mode télétravail à 100%, il faut forcément permettre l'accès depuis des adresses IP arbitraires, et se pose alors la question de surveiller ces accès pour détecter et bloquer rapidement une tentative d'accès malveillante.

Détection d'anomalies par ACP

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Retour de vacances. L’analyse du SIEM après un mois d’absence montre que dix incidents ont été déclenchés sur la base des alertes automatiques et ont pu être gérés convenablement par la chaîne de traitement d’incidents. Tout est-il sous contrôle ? Un analyste aimerait rapidement s’en assurer en complétant cette supervision par sa propre analyse du mois écoulé. Mais par où commencer ? Il est inenvisageable de regarder un mois de logs « rapidement » et d’autant plus quand on ne sait pas précisément ce que l’on cherche… Une solution possible est de recourir à des outils statistiques qui permettent d’identifier des périodes d’activité atypiques sur lesquelles concentrer son analyse. L’analyse en composantes principales (ACP ou PCA en anglais) est une méthode statistique qui peut répondre relativement efficacement à cette problématique. L’article présente cette méthode et son apport dans la détection d’anomalies, en prenant comme exemple l’analyse de flux réseaux.