IPv6 : fonctionnement et déploiement

59
IPv6 : fonctionnement et déploiement Olivier Togni Université de Bourgogne IEM/LIB o.togni.u-bourgogne.fr [email protected] modifié le 08/04/2020

Transcript of IPv6 : fonctionnement et déploiement

Page 1: IPv6 : fonctionnement et déploiement

IPv6 fonctionnement et deacuteploiement

Olivier Togni

Universiteacute de BourgogneIEMLIB

otogniu-bourgognefroliviertogniu-bourgognefr

modifieacute le 08042020

Plan

Bibliographie Historique Adressage format Protocoles associeacutes DNS mobiliteacute seacutecuriteacute Transition IPv4IPv6 Deacuteploiement

Ressources bibliographiques

IPv6 Theacuteorie et pratique 4ed G Cizault OReilly 2005 (version en ligne avec mises agrave jour sur le site du G6)

The Second Internet - Reinventing Computer Networking with Ipv6 2010 Lawrence E Hughes en ligne chez Info weapons

IPv6 Fundamentals A Straightforward Approach to Understanding IPv6 2nd ed R Graziani CISCO 2017

wwwurecfr Tutoriel IPv6 de B Tuy ietforg RFC 2460

Historique

En 1992 constat dendash Peacutenurie des adressesndash Augmentation des tables de routages

=gt Projet IP new generation (IPng) En 1995 RFC 1883 laquoInternet Protocol version 6raquo Depuis de nombreuses modifications et normes

compleacutementaires

Objectifs

Remeacutedier au problegravemes dadresses Ajouter de nombreuses fonctionnaliteacutes

optionnelles dIPv4ndash Autoconfigurationndash Mobiliteacutendash Diffusion Multicastndash Seacutecuriteacute (Authentification et confidentialiteacute)

Le 6bone

Reacuteseau expeacuterimental creacuteeacute pour tester le deacuteploiement de lIPv6 Il seacutetend en Asie Ameacuterique Australie et en Europe

Juin 1998 ouverture du 6bone adresses IPv6 utiliseacutees par ce reacuteseau sont regroupeacutees par leur preacutefixe commun 3ffe

Janvier 2004 arrecirct d attribution des adresses en 3ffe Deacutesormais on obtient des adresses deacutefinitives commenccedilant par 2001

Juin 2006 fermeture du 6bone

Source ianaorg

Gestion des adresses

ICANN (INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS) REMPLACE LE IANA (VOIR ianaorg)

+ 5 RIR (REGIONAL INTERNET REGISTRY)

AFRINIC (AFRICAN REGION)

APNIC (ASIAPACIFIC REGION)

ARIN (NORTH AMERICA AND SUB-SAHARA AFRICA)

LACNIC (LATIN AMERICA AND SOME CARIBBEAN ISLANDS) RIPE NCC (EUROPE THE MIDDLE EAST CENTRAL ASIA AND AFRICAN

COUNTRIES LOCATED NORTH OF THE EQUATOR)

+ NIR (NATIONAL) + LIRISP (LOCAL)

Adresses

Sur 128 bits 8 mots de 16 bits seacutepareacutes par des laquo raquo

Ex 3201001A12FF000000000000FFFE8ABC

=gt 2^128 = 3410^38 adresses disponibles

pour abreacuteger plusieurs mots nuls conseacutecutifs

Ex 32011A12FFFFFE8ABC

3 types dadresses unicast anycast multicast (plus de broadcast )

Utilisent notation CIDR adresselongueur_preacutefixe

Ex 2001660300348

Espace dadressage (ianaorg)

INTERNET PROTOCOL VERSION 6 ADDRESS SPACE (last updated 2008-05-13)

IPv6 Prefix Allocation Reference ----------- ---------- --------- 00008 Reserved by IETF [RFC4291] 01008 Reserved by IETF [RFC4291]02007 Reserved by IETF [RFC4048] 04006 Reserved by IETF [RFC4291]08005 Reserved by IETF [RFC4291]10004 Reserved by IETF [RFC4291]20003 Global Unicast [RFC4291] 40003 Reserved by IETF [RFC4291]60003 Reserved by IETF [RFC4291]80003 Reserved by IETF [RFC4291]A0003 Reserved by IETF [RFC4291]C0003 Reserved by IETF [RFC4291]E0004 Reserved by IETF [RFC4291]F0005 Reserved by IETF [RFC4291]F8006 Reserved by IETF [RFC4291]FC007 Unique Local Unicast [RFC4193]FE009 Reserved by IETF [RFC4291]FE8010 Link Local Unicast [RFC4291]FEC010 Reserved by IETF [RFC3879] FF008 Multicast [RFC4291]

Plan dadressage agreacutegeacute

TLA (Top Level Agregator) grand opeacuterateur internationalNLA (Next Level Agregator) opeacuterateur intermeacutediaireSLA (Site Level Agregator) site

=gt Plan abandonneacute au profit du plan dadressage globalutiliseacute pour tests au sein du 6bone avec TLA=1FFE

Adresse unicast globale construite ainsi (RFC 2374) 3 13 8 24 16 64

001 TLA Reserveacute NLA SLA Ident_interface

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 2: IPv6 : fonctionnement et déploiement

Plan

Bibliographie Historique Adressage format Protocoles associeacutes DNS mobiliteacute seacutecuriteacute Transition IPv4IPv6 Deacuteploiement

Ressources bibliographiques

IPv6 Theacuteorie et pratique 4ed G Cizault OReilly 2005 (version en ligne avec mises agrave jour sur le site du G6)

The Second Internet - Reinventing Computer Networking with Ipv6 2010 Lawrence E Hughes en ligne chez Info weapons

IPv6 Fundamentals A Straightforward Approach to Understanding IPv6 2nd ed R Graziani CISCO 2017

wwwurecfr Tutoriel IPv6 de B Tuy ietforg RFC 2460

Historique

En 1992 constat dendash Peacutenurie des adressesndash Augmentation des tables de routages

=gt Projet IP new generation (IPng) En 1995 RFC 1883 laquoInternet Protocol version 6raquo Depuis de nombreuses modifications et normes

compleacutementaires

Objectifs

Remeacutedier au problegravemes dadresses Ajouter de nombreuses fonctionnaliteacutes

optionnelles dIPv4ndash Autoconfigurationndash Mobiliteacutendash Diffusion Multicastndash Seacutecuriteacute (Authentification et confidentialiteacute)

Le 6bone

Reacuteseau expeacuterimental creacuteeacute pour tester le deacuteploiement de lIPv6 Il seacutetend en Asie Ameacuterique Australie et en Europe

Juin 1998 ouverture du 6bone adresses IPv6 utiliseacutees par ce reacuteseau sont regroupeacutees par leur preacutefixe commun 3ffe

Janvier 2004 arrecirct d attribution des adresses en 3ffe Deacutesormais on obtient des adresses deacutefinitives commenccedilant par 2001

Juin 2006 fermeture du 6bone

Source ianaorg

Gestion des adresses

ICANN (INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS) REMPLACE LE IANA (VOIR ianaorg)

+ 5 RIR (REGIONAL INTERNET REGISTRY)

AFRINIC (AFRICAN REGION)

APNIC (ASIAPACIFIC REGION)

ARIN (NORTH AMERICA AND SUB-SAHARA AFRICA)

LACNIC (LATIN AMERICA AND SOME CARIBBEAN ISLANDS) RIPE NCC (EUROPE THE MIDDLE EAST CENTRAL ASIA AND AFRICAN

COUNTRIES LOCATED NORTH OF THE EQUATOR)

+ NIR (NATIONAL) + LIRISP (LOCAL)

Adresses

Sur 128 bits 8 mots de 16 bits seacutepareacutes par des laquo raquo

Ex 3201001A12FF000000000000FFFE8ABC

=gt 2^128 = 3410^38 adresses disponibles

pour abreacuteger plusieurs mots nuls conseacutecutifs

Ex 32011A12FFFFFE8ABC

3 types dadresses unicast anycast multicast (plus de broadcast )

Utilisent notation CIDR adresselongueur_preacutefixe

Ex 2001660300348

Espace dadressage (ianaorg)

INTERNET PROTOCOL VERSION 6 ADDRESS SPACE (last updated 2008-05-13)

IPv6 Prefix Allocation Reference ----------- ---------- --------- 00008 Reserved by IETF [RFC4291] 01008 Reserved by IETF [RFC4291]02007 Reserved by IETF [RFC4048] 04006 Reserved by IETF [RFC4291]08005 Reserved by IETF [RFC4291]10004 Reserved by IETF [RFC4291]20003 Global Unicast [RFC4291] 40003 Reserved by IETF [RFC4291]60003 Reserved by IETF [RFC4291]80003 Reserved by IETF [RFC4291]A0003 Reserved by IETF [RFC4291]C0003 Reserved by IETF [RFC4291]E0004 Reserved by IETF [RFC4291]F0005 Reserved by IETF [RFC4291]F8006 Reserved by IETF [RFC4291]FC007 Unique Local Unicast [RFC4193]FE009 Reserved by IETF [RFC4291]FE8010 Link Local Unicast [RFC4291]FEC010 Reserved by IETF [RFC3879] FF008 Multicast [RFC4291]

Plan dadressage agreacutegeacute

TLA (Top Level Agregator) grand opeacuterateur internationalNLA (Next Level Agregator) opeacuterateur intermeacutediaireSLA (Site Level Agregator) site

=gt Plan abandonneacute au profit du plan dadressage globalutiliseacute pour tests au sein du 6bone avec TLA=1FFE

Adresse unicast globale construite ainsi (RFC 2374) 3 13 8 24 16 64

001 TLA Reserveacute NLA SLA Ident_interface

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 3: IPv6 : fonctionnement et déploiement

Ressources bibliographiques

IPv6 Theacuteorie et pratique 4ed G Cizault OReilly 2005 (version en ligne avec mises agrave jour sur le site du G6)

The Second Internet - Reinventing Computer Networking with Ipv6 2010 Lawrence E Hughes en ligne chez Info weapons

IPv6 Fundamentals A Straightforward Approach to Understanding IPv6 2nd ed R Graziani CISCO 2017

wwwurecfr Tutoriel IPv6 de B Tuy ietforg RFC 2460

Historique

En 1992 constat dendash Peacutenurie des adressesndash Augmentation des tables de routages

=gt Projet IP new generation (IPng) En 1995 RFC 1883 laquoInternet Protocol version 6raquo Depuis de nombreuses modifications et normes

compleacutementaires

Objectifs

Remeacutedier au problegravemes dadresses Ajouter de nombreuses fonctionnaliteacutes

optionnelles dIPv4ndash Autoconfigurationndash Mobiliteacutendash Diffusion Multicastndash Seacutecuriteacute (Authentification et confidentialiteacute)

Le 6bone

Reacuteseau expeacuterimental creacuteeacute pour tester le deacuteploiement de lIPv6 Il seacutetend en Asie Ameacuterique Australie et en Europe

Juin 1998 ouverture du 6bone adresses IPv6 utiliseacutees par ce reacuteseau sont regroupeacutees par leur preacutefixe commun 3ffe

Janvier 2004 arrecirct d attribution des adresses en 3ffe Deacutesormais on obtient des adresses deacutefinitives commenccedilant par 2001

Juin 2006 fermeture du 6bone

Source ianaorg

Gestion des adresses

ICANN (INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS) REMPLACE LE IANA (VOIR ianaorg)

+ 5 RIR (REGIONAL INTERNET REGISTRY)

AFRINIC (AFRICAN REGION)

APNIC (ASIAPACIFIC REGION)

ARIN (NORTH AMERICA AND SUB-SAHARA AFRICA)

LACNIC (LATIN AMERICA AND SOME CARIBBEAN ISLANDS) RIPE NCC (EUROPE THE MIDDLE EAST CENTRAL ASIA AND AFRICAN

COUNTRIES LOCATED NORTH OF THE EQUATOR)

+ NIR (NATIONAL) + LIRISP (LOCAL)

Adresses

Sur 128 bits 8 mots de 16 bits seacutepareacutes par des laquo raquo

Ex 3201001A12FF000000000000FFFE8ABC

=gt 2^128 = 3410^38 adresses disponibles

pour abreacuteger plusieurs mots nuls conseacutecutifs

Ex 32011A12FFFFFE8ABC

3 types dadresses unicast anycast multicast (plus de broadcast )

Utilisent notation CIDR adresselongueur_preacutefixe

Ex 2001660300348

Espace dadressage (ianaorg)

INTERNET PROTOCOL VERSION 6 ADDRESS SPACE (last updated 2008-05-13)

IPv6 Prefix Allocation Reference ----------- ---------- --------- 00008 Reserved by IETF [RFC4291] 01008 Reserved by IETF [RFC4291]02007 Reserved by IETF [RFC4048] 04006 Reserved by IETF [RFC4291]08005 Reserved by IETF [RFC4291]10004 Reserved by IETF [RFC4291]20003 Global Unicast [RFC4291] 40003 Reserved by IETF [RFC4291]60003 Reserved by IETF [RFC4291]80003 Reserved by IETF [RFC4291]A0003 Reserved by IETF [RFC4291]C0003 Reserved by IETF [RFC4291]E0004 Reserved by IETF [RFC4291]F0005 Reserved by IETF [RFC4291]F8006 Reserved by IETF [RFC4291]FC007 Unique Local Unicast [RFC4193]FE009 Reserved by IETF [RFC4291]FE8010 Link Local Unicast [RFC4291]FEC010 Reserved by IETF [RFC3879] FF008 Multicast [RFC4291]

Plan dadressage agreacutegeacute

TLA (Top Level Agregator) grand opeacuterateur internationalNLA (Next Level Agregator) opeacuterateur intermeacutediaireSLA (Site Level Agregator) site

=gt Plan abandonneacute au profit du plan dadressage globalutiliseacute pour tests au sein du 6bone avec TLA=1FFE

Adresse unicast globale construite ainsi (RFC 2374) 3 13 8 24 16 64

001 TLA Reserveacute NLA SLA Ident_interface

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 4: IPv6 : fonctionnement et déploiement

Historique

En 1992 constat dendash Peacutenurie des adressesndash Augmentation des tables de routages

=gt Projet IP new generation (IPng) En 1995 RFC 1883 laquoInternet Protocol version 6raquo Depuis de nombreuses modifications et normes

compleacutementaires

Objectifs

Remeacutedier au problegravemes dadresses Ajouter de nombreuses fonctionnaliteacutes

optionnelles dIPv4ndash Autoconfigurationndash Mobiliteacutendash Diffusion Multicastndash Seacutecuriteacute (Authentification et confidentialiteacute)

Le 6bone

Reacuteseau expeacuterimental creacuteeacute pour tester le deacuteploiement de lIPv6 Il seacutetend en Asie Ameacuterique Australie et en Europe

Juin 1998 ouverture du 6bone adresses IPv6 utiliseacutees par ce reacuteseau sont regroupeacutees par leur preacutefixe commun 3ffe

Janvier 2004 arrecirct d attribution des adresses en 3ffe Deacutesormais on obtient des adresses deacutefinitives commenccedilant par 2001

Juin 2006 fermeture du 6bone

Source ianaorg

Gestion des adresses

ICANN (INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS) REMPLACE LE IANA (VOIR ianaorg)

+ 5 RIR (REGIONAL INTERNET REGISTRY)

AFRINIC (AFRICAN REGION)

APNIC (ASIAPACIFIC REGION)

ARIN (NORTH AMERICA AND SUB-SAHARA AFRICA)

LACNIC (LATIN AMERICA AND SOME CARIBBEAN ISLANDS) RIPE NCC (EUROPE THE MIDDLE EAST CENTRAL ASIA AND AFRICAN

COUNTRIES LOCATED NORTH OF THE EQUATOR)

+ NIR (NATIONAL) + LIRISP (LOCAL)

Adresses

Sur 128 bits 8 mots de 16 bits seacutepareacutes par des laquo raquo

Ex 3201001A12FF000000000000FFFE8ABC

=gt 2^128 = 3410^38 adresses disponibles

pour abreacuteger plusieurs mots nuls conseacutecutifs

Ex 32011A12FFFFFE8ABC

3 types dadresses unicast anycast multicast (plus de broadcast )

Utilisent notation CIDR adresselongueur_preacutefixe

Ex 2001660300348

Espace dadressage (ianaorg)

INTERNET PROTOCOL VERSION 6 ADDRESS SPACE (last updated 2008-05-13)

IPv6 Prefix Allocation Reference ----------- ---------- --------- 00008 Reserved by IETF [RFC4291] 01008 Reserved by IETF [RFC4291]02007 Reserved by IETF [RFC4048] 04006 Reserved by IETF [RFC4291]08005 Reserved by IETF [RFC4291]10004 Reserved by IETF [RFC4291]20003 Global Unicast [RFC4291] 40003 Reserved by IETF [RFC4291]60003 Reserved by IETF [RFC4291]80003 Reserved by IETF [RFC4291]A0003 Reserved by IETF [RFC4291]C0003 Reserved by IETF [RFC4291]E0004 Reserved by IETF [RFC4291]F0005 Reserved by IETF [RFC4291]F8006 Reserved by IETF [RFC4291]FC007 Unique Local Unicast [RFC4193]FE009 Reserved by IETF [RFC4291]FE8010 Link Local Unicast [RFC4291]FEC010 Reserved by IETF [RFC3879] FF008 Multicast [RFC4291]

Plan dadressage agreacutegeacute

TLA (Top Level Agregator) grand opeacuterateur internationalNLA (Next Level Agregator) opeacuterateur intermeacutediaireSLA (Site Level Agregator) site

=gt Plan abandonneacute au profit du plan dadressage globalutiliseacute pour tests au sein du 6bone avec TLA=1FFE

Adresse unicast globale construite ainsi (RFC 2374) 3 13 8 24 16 64

001 TLA Reserveacute NLA SLA Ident_interface

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 5: IPv6 : fonctionnement et déploiement

Objectifs

Remeacutedier au problegravemes dadresses Ajouter de nombreuses fonctionnaliteacutes

optionnelles dIPv4ndash Autoconfigurationndash Mobiliteacutendash Diffusion Multicastndash Seacutecuriteacute (Authentification et confidentialiteacute)

Le 6bone

Reacuteseau expeacuterimental creacuteeacute pour tester le deacuteploiement de lIPv6 Il seacutetend en Asie Ameacuterique Australie et en Europe

Juin 1998 ouverture du 6bone adresses IPv6 utiliseacutees par ce reacuteseau sont regroupeacutees par leur preacutefixe commun 3ffe

Janvier 2004 arrecirct d attribution des adresses en 3ffe Deacutesormais on obtient des adresses deacutefinitives commenccedilant par 2001

Juin 2006 fermeture du 6bone

Source ianaorg

Gestion des adresses

ICANN (INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS) REMPLACE LE IANA (VOIR ianaorg)

+ 5 RIR (REGIONAL INTERNET REGISTRY)

AFRINIC (AFRICAN REGION)

APNIC (ASIAPACIFIC REGION)

ARIN (NORTH AMERICA AND SUB-SAHARA AFRICA)

LACNIC (LATIN AMERICA AND SOME CARIBBEAN ISLANDS) RIPE NCC (EUROPE THE MIDDLE EAST CENTRAL ASIA AND AFRICAN

COUNTRIES LOCATED NORTH OF THE EQUATOR)

+ NIR (NATIONAL) + LIRISP (LOCAL)

Adresses

Sur 128 bits 8 mots de 16 bits seacutepareacutes par des laquo raquo

Ex 3201001A12FF000000000000FFFE8ABC

=gt 2^128 = 3410^38 adresses disponibles

pour abreacuteger plusieurs mots nuls conseacutecutifs

Ex 32011A12FFFFFE8ABC

3 types dadresses unicast anycast multicast (plus de broadcast )

Utilisent notation CIDR adresselongueur_preacutefixe

Ex 2001660300348

Espace dadressage (ianaorg)

INTERNET PROTOCOL VERSION 6 ADDRESS SPACE (last updated 2008-05-13)

IPv6 Prefix Allocation Reference ----------- ---------- --------- 00008 Reserved by IETF [RFC4291] 01008 Reserved by IETF [RFC4291]02007 Reserved by IETF [RFC4048] 04006 Reserved by IETF [RFC4291]08005 Reserved by IETF [RFC4291]10004 Reserved by IETF [RFC4291]20003 Global Unicast [RFC4291] 40003 Reserved by IETF [RFC4291]60003 Reserved by IETF [RFC4291]80003 Reserved by IETF [RFC4291]A0003 Reserved by IETF [RFC4291]C0003 Reserved by IETF [RFC4291]E0004 Reserved by IETF [RFC4291]F0005 Reserved by IETF [RFC4291]F8006 Reserved by IETF [RFC4291]FC007 Unique Local Unicast [RFC4193]FE009 Reserved by IETF [RFC4291]FE8010 Link Local Unicast [RFC4291]FEC010 Reserved by IETF [RFC3879] FF008 Multicast [RFC4291]

Plan dadressage agreacutegeacute

TLA (Top Level Agregator) grand opeacuterateur internationalNLA (Next Level Agregator) opeacuterateur intermeacutediaireSLA (Site Level Agregator) site

=gt Plan abandonneacute au profit du plan dadressage globalutiliseacute pour tests au sein du 6bone avec TLA=1FFE

Adresse unicast globale construite ainsi (RFC 2374) 3 13 8 24 16 64

001 TLA Reserveacute NLA SLA Ident_interface

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 6: IPv6 : fonctionnement et déploiement

Le 6bone

Reacuteseau expeacuterimental creacuteeacute pour tester le deacuteploiement de lIPv6 Il seacutetend en Asie Ameacuterique Australie et en Europe

Juin 1998 ouverture du 6bone adresses IPv6 utiliseacutees par ce reacuteseau sont regroupeacutees par leur preacutefixe commun 3ffe

Janvier 2004 arrecirct d attribution des adresses en 3ffe Deacutesormais on obtient des adresses deacutefinitives commenccedilant par 2001

Juin 2006 fermeture du 6bone

Source ianaorg

Gestion des adresses

ICANN (INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS) REMPLACE LE IANA (VOIR ianaorg)

+ 5 RIR (REGIONAL INTERNET REGISTRY)

AFRINIC (AFRICAN REGION)

APNIC (ASIAPACIFIC REGION)

ARIN (NORTH AMERICA AND SUB-SAHARA AFRICA)

LACNIC (LATIN AMERICA AND SOME CARIBBEAN ISLANDS) RIPE NCC (EUROPE THE MIDDLE EAST CENTRAL ASIA AND AFRICAN

COUNTRIES LOCATED NORTH OF THE EQUATOR)

+ NIR (NATIONAL) + LIRISP (LOCAL)

Adresses

Sur 128 bits 8 mots de 16 bits seacutepareacutes par des laquo raquo

Ex 3201001A12FF000000000000FFFE8ABC

=gt 2^128 = 3410^38 adresses disponibles

pour abreacuteger plusieurs mots nuls conseacutecutifs

Ex 32011A12FFFFFE8ABC

3 types dadresses unicast anycast multicast (plus de broadcast )

Utilisent notation CIDR adresselongueur_preacutefixe

Ex 2001660300348

Espace dadressage (ianaorg)

INTERNET PROTOCOL VERSION 6 ADDRESS SPACE (last updated 2008-05-13)

IPv6 Prefix Allocation Reference ----------- ---------- --------- 00008 Reserved by IETF [RFC4291] 01008 Reserved by IETF [RFC4291]02007 Reserved by IETF [RFC4048] 04006 Reserved by IETF [RFC4291]08005 Reserved by IETF [RFC4291]10004 Reserved by IETF [RFC4291]20003 Global Unicast [RFC4291] 40003 Reserved by IETF [RFC4291]60003 Reserved by IETF [RFC4291]80003 Reserved by IETF [RFC4291]A0003 Reserved by IETF [RFC4291]C0003 Reserved by IETF [RFC4291]E0004 Reserved by IETF [RFC4291]F0005 Reserved by IETF [RFC4291]F8006 Reserved by IETF [RFC4291]FC007 Unique Local Unicast [RFC4193]FE009 Reserved by IETF [RFC4291]FE8010 Link Local Unicast [RFC4291]FEC010 Reserved by IETF [RFC3879] FF008 Multicast [RFC4291]

Plan dadressage agreacutegeacute

TLA (Top Level Agregator) grand opeacuterateur internationalNLA (Next Level Agregator) opeacuterateur intermeacutediaireSLA (Site Level Agregator) site

=gt Plan abandonneacute au profit du plan dadressage globalutiliseacute pour tests au sein du 6bone avec TLA=1FFE

Adresse unicast globale construite ainsi (RFC 2374) 3 13 8 24 16 64

001 TLA Reserveacute NLA SLA Ident_interface

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 7: IPv6 : fonctionnement et déploiement

Source ianaorg

Gestion des adresses

ICANN (INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS) REMPLACE LE IANA (VOIR ianaorg)

+ 5 RIR (REGIONAL INTERNET REGISTRY)

AFRINIC (AFRICAN REGION)

APNIC (ASIAPACIFIC REGION)

ARIN (NORTH AMERICA AND SUB-SAHARA AFRICA)

LACNIC (LATIN AMERICA AND SOME CARIBBEAN ISLANDS) RIPE NCC (EUROPE THE MIDDLE EAST CENTRAL ASIA AND AFRICAN

COUNTRIES LOCATED NORTH OF THE EQUATOR)

+ NIR (NATIONAL) + LIRISP (LOCAL)

Adresses

Sur 128 bits 8 mots de 16 bits seacutepareacutes par des laquo raquo

Ex 3201001A12FF000000000000FFFE8ABC

=gt 2^128 = 3410^38 adresses disponibles

pour abreacuteger plusieurs mots nuls conseacutecutifs

Ex 32011A12FFFFFE8ABC

3 types dadresses unicast anycast multicast (plus de broadcast )

Utilisent notation CIDR adresselongueur_preacutefixe

Ex 2001660300348

Espace dadressage (ianaorg)

INTERNET PROTOCOL VERSION 6 ADDRESS SPACE (last updated 2008-05-13)

IPv6 Prefix Allocation Reference ----------- ---------- --------- 00008 Reserved by IETF [RFC4291] 01008 Reserved by IETF [RFC4291]02007 Reserved by IETF [RFC4048] 04006 Reserved by IETF [RFC4291]08005 Reserved by IETF [RFC4291]10004 Reserved by IETF [RFC4291]20003 Global Unicast [RFC4291] 40003 Reserved by IETF [RFC4291]60003 Reserved by IETF [RFC4291]80003 Reserved by IETF [RFC4291]A0003 Reserved by IETF [RFC4291]C0003 Reserved by IETF [RFC4291]E0004 Reserved by IETF [RFC4291]F0005 Reserved by IETF [RFC4291]F8006 Reserved by IETF [RFC4291]FC007 Unique Local Unicast [RFC4193]FE009 Reserved by IETF [RFC4291]FE8010 Link Local Unicast [RFC4291]FEC010 Reserved by IETF [RFC3879] FF008 Multicast [RFC4291]

Plan dadressage agreacutegeacute

TLA (Top Level Agregator) grand opeacuterateur internationalNLA (Next Level Agregator) opeacuterateur intermeacutediaireSLA (Site Level Agregator) site

=gt Plan abandonneacute au profit du plan dadressage globalutiliseacute pour tests au sein du 6bone avec TLA=1FFE

Adresse unicast globale construite ainsi (RFC 2374) 3 13 8 24 16 64

001 TLA Reserveacute NLA SLA Ident_interface

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 8: IPv6 : fonctionnement et déploiement

Adresses

Sur 128 bits 8 mots de 16 bits seacutepareacutes par des laquo raquo

Ex 3201001A12FF000000000000FFFE8ABC

=gt 2^128 = 3410^38 adresses disponibles

pour abreacuteger plusieurs mots nuls conseacutecutifs

Ex 32011A12FFFFFE8ABC

3 types dadresses unicast anycast multicast (plus de broadcast )

Utilisent notation CIDR adresselongueur_preacutefixe

Ex 2001660300348

Espace dadressage (ianaorg)

INTERNET PROTOCOL VERSION 6 ADDRESS SPACE (last updated 2008-05-13)

IPv6 Prefix Allocation Reference ----------- ---------- --------- 00008 Reserved by IETF [RFC4291] 01008 Reserved by IETF [RFC4291]02007 Reserved by IETF [RFC4048] 04006 Reserved by IETF [RFC4291]08005 Reserved by IETF [RFC4291]10004 Reserved by IETF [RFC4291]20003 Global Unicast [RFC4291] 40003 Reserved by IETF [RFC4291]60003 Reserved by IETF [RFC4291]80003 Reserved by IETF [RFC4291]A0003 Reserved by IETF [RFC4291]C0003 Reserved by IETF [RFC4291]E0004 Reserved by IETF [RFC4291]F0005 Reserved by IETF [RFC4291]F8006 Reserved by IETF [RFC4291]FC007 Unique Local Unicast [RFC4193]FE009 Reserved by IETF [RFC4291]FE8010 Link Local Unicast [RFC4291]FEC010 Reserved by IETF [RFC3879] FF008 Multicast [RFC4291]

Plan dadressage agreacutegeacute

TLA (Top Level Agregator) grand opeacuterateur internationalNLA (Next Level Agregator) opeacuterateur intermeacutediaireSLA (Site Level Agregator) site

=gt Plan abandonneacute au profit du plan dadressage globalutiliseacute pour tests au sein du 6bone avec TLA=1FFE

Adresse unicast globale construite ainsi (RFC 2374) 3 13 8 24 16 64

001 TLA Reserveacute NLA SLA Ident_interface

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 9: IPv6 : fonctionnement et déploiement

Espace dadressage (ianaorg)

INTERNET PROTOCOL VERSION 6 ADDRESS SPACE (last updated 2008-05-13)

IPv6 Prefix Allocation Reference ----------- ---------- --------- 00008 Reserved by IETF [RFC4291] 01008 Reserved by IETF [RFC4291]02007 Reserved by IETF [RFC4048] 04006 Reserved by IETF [RFC4291]08005 Reserved by IETF [RFC4291]10004 Reserved by IETF [RFC4291]20003 Global Unicast [RFC4291] 40003 Reserved by IETF [RFC4291]60003 Reserved by IETF [RFC4291]80003 Reserved by IETF [RFC4291]A0003 Reserved by IETF [RFC4291]C0003 Reserved by IETF [RFC4291]E0004 Reserved by IETF [RFC4291]F0005 Reserved by IETF [RFC4291]F8006 Reserved by IETF [RFC4291]FC007 Unique Local Unicast [RFC4193]FE009 Reserved by IETF [RFC4291]FE8010 Link Local Unicast [RFC4291]FEC010 Reserved by IETF [RFC3879] FF008 Multicast [RFC4291]

Plan dadressage agreacutegeacute

TLA (Top Level Agregator) grand opeacuterateur internationalNLA (Next Level Agregator) opeacuterateur intermeacutediaireSLA (Site Level Agregator) site

=gt Plan abandonneacute au profit du plan dadressage globalutiliseacute pour tests au sein du 6bone avec TLA=1FFE

Adresse unicast globale construite ainsi (RFC 2374) 3 13 8 24 16 64

001 TLA Reserveacute NLA SLA Ident_interface

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 10: IPv6 : fonctionnement et déploiement

Plan dadressage agreacutegeacute

TLA (Top Level Agregator) grand opeacuterateur internationalNLA (Next Level Agregator) opeacuterateur intermeacutediaireSLA (Site Level Agregator) site

=gt Plan abandonneacute au profit du plan dadressage globalutiliseacute pour tests au sein du 6bone avec TLA=1FFE

Adresse unicast globale construite ainsi (RFC 2374) 3 13 8 24 16 64

001 TLA Reserveacute NLA SLA Ident_interface

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 11: IPv6 : fonctionnement et déploiement

Plan dadressage global

3 45 16 64001 preacutefixe Sous-reacuteseau Ident_interface

Topologie publique Topologie de site

Partie reacuteseau Partie hocircte

Par exemple

RFC 3587 rend obsolegravete ladressage agreacutegeacuten 64-n 64

Preacutefixe global Ident_ss-reacuteseau Ident_interface

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 12: IPv6 : fonctionnement et déploiement

Identifiant dinterface

Identifiant sur 64 bits pour deacutesigner une interface connecteacutee sur un lien

Peut ecirctre construit agrave partir de ladresse de niveau 2 de linterface reacuteseau EUI-64 (firewire 802154) inverser le 7iegraveme bitMAC-48 (Ethernet Wifi FDDI) ajout de FFFE au milieu et inversion du 7iegraveme bit =gt identifiant unique au niveau mondialSi pas dadresse de niveau 2=gt nombre au hasard ou saisie manuelle

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 13: IPv6 : fonctionnement et déploiement

Adresses unicast globalesIPV6 GLOBAL UNICAST ADDRESS ASSIGNMENTS [last updated 2019-11-06]

Global Unicast Prefix Assignment Date --------------------- ---------- ------ 2001000023 IANA 01 Jul 99 2001020023 APNIC 01 Jul 992001040023 ARIN 01 Jul 992001060023 RIPE NCC 01 Jul 992001080023 RIPE NCC 01 May 0220010A0023 RIPE NCC 02 Nov 0220010C0023 APNIC 01 May 02 20010E0023 APNIC 01 Jan 032001120023 LACNIC 01 Nov 022001140023 RIPE NCC 01 Feb 032001160023 RIPE NCC 01 Jul 032001180023 ARIN 01 Apr 0320011A0023 RIPE NCC 01 Jan 0420011C0022 RIPE NCC 01 May 0420013C0022 RESERVED 11 Jun 04 2001400023 RIPE NCC 11 Jun 042001420023 AfriNIC 01 Jun 042001440023 APNIC 11 Jun 042001460023 RIPE NCC 17 Aug 04

2001480023 ARIN 24 Aug 0420014A0023 RIPE NCC 15 Oct 0420014C0023 RIPE NCC 17 Dec 042001500020 RIPE NCC 10 Sep 042001800019 APNIC 30 Nov 042001A00020 APNIC 30 Nov 042001B00020 APNIC 08 Mar 062002000016 6to4 01 Feb 012003000018 RIPE NCC 12 Jan 052400000012 APNIC 03 Oct 06 2600000012 ARIN 03 Oct 062610000023 ARIN 17 Nov 052620000023 ARIN 12 Sep 062800000012 LACNIC 03 Oct 062A00000012 RIPE NCC 03 Oct 062C00000012 AfriNIC 03 Oct 062001200019 RIPE NCC 12 Mar 192630000012 ARIN 11 Jun 192a10000012 RIPE NCC 05 Jun 19

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 14: IPv6 : fonctionnement et déploiement

Adresses locales

Utiliseacutees par les protocoles de configuration dadresse globale de deacutecouverte de voisins (neighbor discovery) et de deacutecouverte de routeurs (router discovery)Le protocole de deacutetection de duplication dadresse (DaD) permet de sassurer de luniciteacute au niveau du lienPas forwardeacutees par les routeurs =gt usage local au lien

Adresses lien local (link local) adresses dont la validiteacute est restreinte agrave un lienForme FE80+ident_interface

1111111010 00 ident_interface 10 54 64

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 15: IPv6 : fonctionnement et déploiement

Adresses locales

Notion de site trop floue =gt ont eacuteteacute deacutepreacutecieacutees (RFC 3879)

Adresses site local (site local) adresses dont la validiteacute eacutetait restreinte agrave un site =gt geacuteneacuteralisait la notion dadresse priveacutee dIPv4

FEC0+ident_sous_reacuteseau+ident_interface

1111111011 ident_ss_reacutes ident_interface 10 54 64

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 16: IPv6 : fonctionnement et déploiement

Adresses locales

Ident_global geacuteneacutereacute pseudo-aleacuteatoirement

ident_global 64

11111101

Adresses unique local (ULA unique local address) Pour utilisation au sein dune zone limiteacutee (site ou entre un nombre limiteacute de sites)

FC007+bit agrave 1+ident_global+ident_sous_reacuteseau+ident_interface

ident_ss_reacutes ident_interface 8 40 16

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 17: IPv6 : fonctionnement et déploiement

Adresses multicast

Commencent par FF

11111111 flag ident_groupe 8 4 112

Flag bits 0 R P TT=0 =gt adresse permanente (geacutereacutee par IANA)T=1 adr temporaire

P=1 =gt deacuteriveacutee du preacutefixe unicastR=1 =gt point de rendez-vous

Scope (eacutetendue)0 reacuteserveacute1 noeud2 lien4 administration5 site8 organisationE globalF reacuteserveacute

4scope

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 18: IPv6 : fonctionnement et déploiement

Adresses preacutedeacutefinies

Adresses speacutecialesadr indeacutetermineacutee 00000000 ou bien adr de bouclage 1

Pour transition IPv4v6adr Ipv4 mappeacutees FFFFabcd ougrave abcd est une adr Ipv4adr Ipv4 compatibles abcd =gt deacutepreacutecieacutees (cf RFC 4291)

Adresses multicast preacutedeacutefiniesFF021 =gt tous les noeuds Ipv6 sur le mecircme lien localFF052 =gt tous les routeurs Ipv6 du siteFF0E101 =gt tous les serveurs NTP sur lInternet

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 19: IPv6 : fonctionnement et déploiement

Adresses anycast

Preacutefixe reacuteseau 111111011 Id anycast 64 57 7

Une adresse anycast identifie un ensemble dinterfaces un paquet agrave destination dune adr anycast doit ecirctre achemineacute par le reacuteseau vers lune des interfaces (la plus proche)=gt impleacutementation deacutelicate reacuteserveacutees pour les routeursEx serveurs FTP avec adresse geacuteneacuterique

Ne peut ecirctre distingueacutee dune adresse unicast (mecircme plage dadresses 2000 3)Adr anycast dun sous-reacuteseau preacutefixe reacuteseau+ 00=gt paquet transmis agrave cette adr doit ecirctre traiteacute par lun des routeurs du reacuteseau Adr anycast preacutedeacutefines (sur un reacuteseau) les 128 identifiants les plus grands

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 20: IPv6 : fonctionnement et déploiement

Exemple sous Linux

eth0 Link encapEthernet HWaddr 000D560113C9 inet addr1935223796 Bcast19352237255 Mask2552552550 inet6 addr 2001111120d56fffe0113c964 ScopeGlobal inet6 addr fe8020d56fffe0113c964 ScopeLink lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost sit0 Link encapIPv6-in-IPv4 NOARP MTU1480 Metric1

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 21: IPv6 : fonctionnement et déploiement

Rappel datagramme IPv4

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 22: IPv6 : fonctionnement et déploiement

Format des datagrammes IPv6

=gt 40 octets den-tecircte sans les options (5 mots de 64 bits)

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 23: IPv6 : fonctionnement et déploiement

Format des datagrammes IPv6

Version=6 (mecircme champs que Ipv4)

Classe de trafic = champs type de service dIPv4

Identificateur de flux pour qualiteacute de service reacutefeacuterence le contexte de la communication

Longueur des donneacutees taille des donneacutees sans len-tecircte

En-tecircte suivant = champs protocole dIPv4=soit protocole de niveau supeacuterieur soit numeacutero dextension les extensions contiennent ce champ pour chaicircnage

Nombre de sauts = TTL deacutecreacutementeacute agrave chaque noeud traverseacute Si 0 rejet et eacutemission dun message ICMP vers la source

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 24: IPv6 : fonctionnement et déploiement

Remarques

Plus de champs Checksum car devait ecirctre ajusteacute par chaque routeur en raison du champ TTL modifieacute =gt les protocoles de niveau sup doivent mettre en place un ctrl derreur sur len-tecircte (eacutetendue aux adr IP)

Champs aligneacutes sur mots de 64bits =gt optimiseacute pour architecture 64bits

Moins de champs que dans Ipv4 Entecircte de taille fixe =gt plus rapide Plus de souplesse dans les options

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 25: IPv6 : fonctionnement et déploiement

Extensions

Plus souples que les options dIPv4 elles peuvent ecirctre chaicircneacuteesentre elles et sont traiteacutees seulement par les noeuds concerneacutes5 types dextensions Proche en proche (hop-by-hop)

- toujours la premiegravere extension- remplace loption Ipv4- analyseacutee par chaque routeur

Destination (traiteacutee seulement par le destinataire) Routage Fragmentation Seacutecuriteacute

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 26: IPv6 : fonctionnement et déploiement

Chaicircnage dextensions

En-tecircte Ipv6Entecircte suivant =

routage

Entecircte RoutageEntecircte suivant =

fragment

En-tecircte FragmentEn-tecircte suivant =

TCP

En-tecircte TCP+

Donneacutees

Champ En-tecircte suivantProche en proche 0Routage 43Fragmentation 44Confidentialiteacute 50Authentification 51Fin des entecirctes 59Destination 60

TCP 6UDP 17IPv6 41ICMPv6 58SCTP 132Mobiliteacute 135UDP-Lite 136

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 27: IPv6 : fonctionnement et déploiement

Proche en proche

4 options diffeacuterencieacutees par le champ type (1 octet)- Pad1 (bourrage 1 octet) utile pour aligner sur 64bits- Padn (bourrage n octets) idem- router alert demande au routeur de prendre en compte les

donneacutees (utile pour ICMPv6 ou RSVP)- Jumbogramme (paquet de taille gt 64Ko) =gt taille preacuteciseacutee

dans loption

Les 2 bits de poids fort du type indiquent le comportement du routeur sil ne traite pas loption

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 28: IPv6 : fonctionnement et déploiement

Destination

Options - bourrage (Pad1 Padn) utile pour aligner sur 64bits- mobiliteacute- tunnelage dans paquet Ipv6 limite du niveau dencapsulation

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 29: IPv6 : fonctionnement et déploiement

Routage

Permet dimposer une route diffeacuterente de celle offerteRoutage libeacuteral (Loose source routing) on indique une liste de routeurs agrave traverser les tables de routage peuvent ecirctre utiliseacutees pour aller de routeur en routeur

A-gtR1Routage B

A R1

B

A-gtB

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 30: IPv6 : fonctionnement et déploiement

Fragmentation

En principe la taille du paquet est adapteacutee agrave leacutemission par un algorithme de deacutecouverte du PMTU (MTU du chemin)

En geacuteneacuteral il est preacutevu un MTU de 1280octets (pour tunnelage) Mais certains protocoles (NFS par ex) supposent que la fragmentation existe et produisent des messages de grande taille

Seule la source peut fragmenter un paquet (contrairement agrave IPv4)

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 31: IPv6 : fonctionnement et déploiement

PMTU

Le protocole Path MTU Discovery permet de calculer le MTU maximum disponible vers une destinationIl utilise les messages ICMPv6 ldquoPaquet trop grandrdquondash Un routeur creacuteeacute un tel message quand il reccediloit un paquettrop grand pour traverser le reacuteseau sur le chemin ndash Le nouveau MTU agrave utiliser est speacutecifieacute dans le message ICMP

Lhote envoi son paquet en utilisant le MTU du lien Sil reccediloit un message ICMPv6 ldquoPaquet trop grandrdquo il renvoie un paquet de la taille speacutecifieacutee dans le message et ainsi de suite

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 32: IPv6 : fonctionnement et déploiement

Protocoles associeacutes agrave IPv6

ND (Neighbor Discovery) deacutecouverte des voisins

MLD (Multicast Listener Discovery)- gestion des groupes multicast- baseacute sur IGMPv2- MLDv2 eacutequivalent de IGMPv3 dIPv4

ICMPv6 (Internet Control Message Protocol) laquosuperraquo protocole qui

- couvre les aspects dICMPv4 (ctrl erreurs )- Transporte les messages ND et MLD

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 33: IPv6 : fonctionnement et déploiement

ICMPv6

Deux classes de messages (suivant le champs laquo type raquo)bull de 0 agrave 127 Messages derreurbull de 128 agrave 255 Messages dinformation1048766 Messages derreur les plus courantsbull Destination inaccessible (1) bull Paquet trop grand (2) bull Temps deacutepasseacute (3)bull Paramegravetre non reconnu (4)

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 34: IPv6 : fonctionnement et déploiement

Neighbor Discovery

Les noeuds Ipv6 sur un mecircme lien utilisent ND pour- deacutecouvrir leur preacutesence mutuelle- deacuteterminer ladr de niveau liaison du voisin- trouver les routeurs- maintenir les infos sur laccessibiliteacute des voisins (NUD)

=gt pas applicable aux reacuteseaux NBMA (ATM Frame Relay ) car ND utilise le multicast

Synthegravese de ARP R-Disc ICMP redirect

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 35: IPv6 : fonctionnement et déploiement

Neighbor Discovery

5 types de paquets ICMP Router Advertisement (RA) annonce peacuteriodique qui contient

- liste des preacutefixes utiliseacutes sur le lien- valeur possible du laquo nombre de sauts raquo- valeur du MTU

Router Solicitation (RS) lhocircte veut un RA immeacutediatement

Neighbor Solicitation (NS) - pour deacuteterminer ladr liaison dun voisin- ou pour tester inaccessibiliteacute- aussi pour tester duplication dadr (DaD)

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 36: IPv6 : fonctionnement et déploiement

Neighbor Discovery Neighbor Advertisement (NA)

- reacuteponse agrave un paquet NS- avertir le changement dune adresse physique

Redirect utiliseacute par un routeur pour informer un hocircte dune meilleure route

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 37: IPv6 : fonctionnement et déploiement

Reacutesolution dadresse

Au boot lhocircte doit adheacuterer agrave 2 groupes multicastff021 lt=gt tous les noeuds sur le lienff021ffxxxxxx adr de multicast solliciteacute (xxxxxx=24bits de

poids faible de ladr IPv6)

Reacutesolution dadresse1 Envoi paquet NS en multicast solliciteacute2 Lhocircte concerneacute reacutepond par un message NA

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 38: IPv6 : fonctionnement et déploiement

Multicast solliciteacute

Concateacutenation du preacutefixe ff021ff000104 avec les 24 derniers bits de ladr IPv6

ExDST Ipv6 20010660010A4002442121FFFE2487C1

Mult sol FF0200000000000000000001FF2487C1

Ethernet 33-33-FF-24-87-C1

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 39: IPv6 : fonctionnement et déploiement

Auto-configuration

Seuls les routeurs doivent ecirctre configureacutes manuellement les hocirctes peuvent obtenir leurs adresses automatiquement- Configuration sans eacutetat la machine construit automatiquement ses adresses IPv6 en fonction dinformations quelle reccediloit des routeurs- Configuration avec eacutetat (controcircle de lattribution des adresses) DHCPv6 (inteacuterecirct)

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 40: IPv6 : fonctionnement et déploiement

Protocoles de transport

Modifications mineures de TCP et UDP

Checksum obligatoire et porte sur pseudo en-tecircte incluant des champs de len-tecircte du paquet IPv6

Prise en compte des jumbogrammes len-tecircte TCP ou UDP contient un champ longueur trop petit =gt =0 pour UDP mais problegraveme avec TCP ougrave plusieurs compteurs sont sur 16bits (longueurs des fenecirctres)

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 41: IPv6 : fonctionnement et déploiement

DNS Nommage direct du nom vers les adresses

Enregistrement AAAAns3nicfr IN AAAA 20016603006111

Nommage inverse de ladresse vers les nomsenregistrement PTR stockeacute sous larbre DNS inverse ip6arpa10001000000000001000600306601002ip6arpa IN PTR ns3nicfr

Logiciels DNSv6 BIND9 de lISCenregistrement AAAA PTR sous ip6arpa transport IPv6

Enregistrement A6 deacutecoupant ladresse en 2 parties agrave eacuteteacute finalement eacutecarteacute de la standardisation

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 42: IPv6 : fonctionnement et déploiement

Inteacutegration dIPv6 dans le DNS

Les deux aspects du DNS BDD et application clientserveur doivent supporter IPv6

Taille limiteacutee des messages DNS en UDP transport des messages DNS par UDP et TCP (port 53)ndash requecirctesreacuteponses DNS en UDP sauf si taille gt 512ndash transferts de zones en TCP et requecirctes trop longues

Adresses des serveurs racine publieacutees dans le DNS sont en IPv4 =gt utiliser un serveur forwarder en double pile IPv4IPv6

Adresses des TLD sont presque toutes en IPv4 (ICANN autorise depuis 2004 les laquo glues raquo IPv6 fr jp et kr ont eacuteteacute les premiers) Depuis 2008 6 des 13 serveurs racine ont une IPv6

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 43: IPv6 : fonctionnement et déploiement

Mobiliteacute IPv6

Baseacutee sur MobileIPv4 mais tire partie des meacutecanismes dIPv6 (configuration automatique extensions destination)ndash Plusieurs adresses IPv6 pour le mobilendash Noeud laquo agent megravere raquo dans chaque reacuteseau qui

relaie les donneacutees au mobilendash Meacutecanisme de table des associations pour permettre

communication directe

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 44: IPv6 : fonctionnement et déploiement

Seacutecuriteacute 13

IPsec meacutecanismes de seacutecuriteacute pour IP (v4 ou v6)optionnel pour IPv4 obligatoire pour IPv6

Lextension dauthentification (AH Authentication Header)- sassurer que leacutemetteur du msg est bien celui quil preacutetend ecirctre- controcircle dinteacutegriteacute pour garantir au reacutecepteur que personne na modifieacute le contenu dun message lors de son transfert sur le reacuteseau

Lextension ESP (Encapsulating Security Payload)- chiffrer lensemble des paquets ou leur partie transport et de garantir lauthentification et linteacutegriteacute de ces paquets - deacutetecter les rejeux - garantir (de faccedilon limiteacutee) la confidentialiteacute du flux

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 45: IPv6 : fonctionnement et déploiement

Seacutecuriteacute 23

IPv6 cest IP =gt 95 des problegravemes de seacutecuriteacute sont identiques agrave ceux dIPv4

Diffeacuterences transitoires ndash logiciels bogueacutes limiteacutes lents ndash administrateurs incompeacutetents (mais attaquants aussi) ndash techniques de transition complexes

Diffeacuterences de protocole ndash Les annonces de routeurs (RA) ne sont pas seacutecuriseacuteesauthentifieacutees =gt

solution SEND (secure ND)ndash Vie priveacutee (IPv6 deacuteriveacutee de lMAC) scan des adresses plus de NAT

Source blog de Steacutephane Bortzmeyer (AFNIC) httpwwwbortzmeyerorg

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 46: IPv6 : fonctionnement et déploiement

Seacutecuriteacute 33

Guides de seacutecuriteacute pour le deacuteploiement dIPv6

ndash Complet recommandations du NIST pour un deacuteploiement seacutecuriseacuteGuidelines for the Secure Deployment of IPv6 Special Publication 800-119 httpcsrcnistgovpublicationsnistpubs800-119sp800-119pdf

ndash De faccedilon plus pratique guide de lUREChttpsaresudsicnrsfrIMGpdfsecuarticlesArchiSecuriteIPv6pdf

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 47: IPv6 : fonctionnement et déploiement

Meacutecanismes de transition

A diffeacuterents niveaux Sur les hocirctes double pile Sur le reacuteseau tunnels

ndash Manuelsndash Configureacutes Tunnel Broker ndash Automatiques TEREDO 6to4 ISATAP 6over4

Par translation de protocolesndash NAT-PT traduire les en-tecirctes des paquets IPv6 en IPv4ndash Relais applicatifs pour applications courantes

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 48: IPv6 : fonctionnement et déploiement

Hocircte avec Double Pile

Lhocircte inclue les deux protocoles (IPv4 et IPv6) et chaque interface possegravede agrave la fois une adr IPv4 et une (ou plusieurs) adr IPv6

Les applications fonctionnant avec IPv4 seulement utilisent IPv4Les applications supportant IPv6 interrogent le DNS pour savoir si la destination possegravede une adr IPv6 si oui lhocircte communique en IPv6 si non IPv4 est utiliseacute

=gt Facile agrave mettre en place mais ne reacuteduit pas le besoin dadresses et les deux types de reacuteseaux sont complegravetement seacutepareacutes

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 49: IPv6 : fonctionnement et déploiement

Tunnel IPv6-dans-IPv4 Les paquets IPv6 encapsuleacutes dans des paquets IPv4 agrave lentreacutee du

tunnel en ajoutant un en-tecircte IPv4 (avec champ PROTOCOLE=41) et deacutecapsuleacutes et traiteacutes comme sils provenaient du reacuteseau IPv6 agrave la sortie du tunnel

Les routeurs (ou hocirctes) dentreacutee et sortie du tunnel doivent ecirctre double pile

Pour la couche v6 le tunnel est vu comme un une liaison v6 (un seul saut) et le reacuteseau v4 comme une couche de niveau 2

Paquet IPv6En-tecircte IPv4

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 50: IPv6 : fonctionnement et déploiement

Tunnel Broker Service web en IPv4 qui aide lutilisateur agrave creacuteer un tunnel v6v4

avec un de ses routeursndash Lutilisateur est identifieacutendash Le tunnel broker configure sa partie du tunnel et envoie les

paramegravetres agrave lutilisateur pour quil configure lautre partie du tunnel sur sa machine hocircte

Utilise le protocole TSP (Tunnel Setup Protocol) neacutegociation automatiseacutee des diffeacuterents paramegravetres du tunnel

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 51: IPv6 : fonctionnement et déploiement

TEREDO (12)

Protocole de tunnelage permettant agrave un hocircte derriegravere un NAT dacceacuteder agrave lInternet IPv6 par le biais dun serveur et de relais Teredo

Les paquets IPv6 sont encapsuleacutes dans des paquets UDP (eux-mecircme encapsuleacutes dans des paquets IPv4) pour traverser le reacuteseau IPv4 et les serveurs NAT

En-tecircte IPv4

En-tecircteUDP

Paquet IPv6En-tecircte UDP

En-tecircte IPv4

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 52: IPv6 : fonctionnement et déploiement

TEREDO (22)

Format des adresses

Limitationsndash Complexendash Ne fonctionne pas avec tous les types de NATndash Nombre limiteacute de relais Teredo dans lInternet

Preacutefixe teredo2001032

v4 serveur Flags v4 client Port

32 bits 32 bits 32 bits16 bits 16 bits

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 53: IPv6 : fonctionnement et déploiement

6to4 Le meacutecanisme 6to4 permet dinterconnecter entre eux des sites

IPv6 isoleacutes en creacuteant des tunnels automatiques IPv6 dans IPv4 en fonction du destinataire des donneacutees Utilise 2 entiteacutesndash le routeur de bordure encapsule les paquets IPv6 dans des

paquets IPv4 est connecteacute agrave IPv4 et IPv6ndash le relais 6to4 eacutequipement reacuteseau dont ladresse est bien connue

(adresse anycast) Il assure la connexion agrave lInternetv6 Format des adresses

200216 ss-reacutes ident_interface

16 bits 32 bits 64 bits16 bits IPv4 du routeur

de bordure

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 54: IPv6 : fonctionnement et déploiement

Deacuteploiement applications

Peu de modifications sont en geacuteneacuteral neacutecessaires (sauf si lapplication utilise les adresses)

- nouveau type de sockets en C AF_INET6 au lieu de AF_INET

- pas de modification en Java gracircce aux objets

Peu de services proposeacutes en Ipv6 actuellement (voir httpwwwworldipv6launchorgmeasurements)

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 55: IPv6 : fonctionnement et déploiement

Deacuteploiement systegravemes

Windows support de base depuis XPactivation par laquo ipv6 install raquo sous DOS activeacute par deacutefaut sous Vista

Linux inteacutegreacute depuis les noyaux 22les noyaux 26 gegraverent lIPsec

BSD IPv6 disponible depuis longtemps Les version reacutecentes proviennent de la souche KAME (japon)

Macintosh standard en MacOS X (103)

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 56: IPv6 : fonctionnement et déploiement

Deacuteploiement Reacuteseau

Routeurs (Cisco juniper 6wind ) OK depuis plusieurs anneacutees

ndash Apregraves mise agrave jour de lIOS pour certainsndash Preacutesence de bugs

Reacuteseau le coeur de lInternet est compatible IPv6SFINX point deacutechange Internet franccedilais geacutereacute par Renater integravegre IPv6 depuis 2002

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 57: IPv6 : fonctionnement et déploiement

Deacuteploiement PMI-PME ISP

Les plus frileux pour linstantndash Entreprises

Changements coucircteux Pas de plus-value immeacutediate

ndash ISP attendent la demande Nerim connexion ADSL IPv6 depuis 2003 Wanadoo expeacuterimentation depuis 2005 Free proposeacute depuis deacutecembre 2007 Orange mise en place depuis 2016 sur fibre et

VDSL

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 58: IPv6 : fonctionnement et déploiement

Conclusion

Peine agrave simposer mais la peacutenurie dadresses IPv4 est maintenant une reacutealiteacute

Incitations gouvernementales obligatoire pour les marcheacutes (CEE et USA)

Moyen dinterconnexion avec les mobiles en Asie

IPv6 est-elle la bonne solution RINA Recursive InterNetwork Architecture rarr baseacute sur IPC

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59
Page 59: IPv6 : fonctionnement et déploiement

Conclusion

hellip Quest-ce quon attend

Phases de deacuteploiements

Internet tout IPv4 Quelques reacuteseaux IPV6 dans oceacutean IPV4 Coexistence de grands reacuteseaux IPv4 et IPV6 Quelques reacuteseaux encore en IPv4 dans oceacutean IPv6 Internet tout IPv6

  • Diapo 1
  • Diapo 2
  • Diapo 3
  • Diapo 4
  • Diapo 5
  • Diapo 6
  • page 6
  • Diapo 8
  • Diapo 9
  • Diapo 10
  • Diapo 11
  • Diapo 12
  • Diapo 13
  • Diapo 14
  • Diapo 15
  • Diapo 16
  • Diapo 17
  • Diapo 18
  • Diapo 19
  • Diapo 20
  • Diapo 21
  • Diapo 22
  • Diapo 23
  • Diapo 24
  • Diapo 25
  • Diapo 26
  • Diapo 27
  • Diapo 28
  • Diapo 29
  • Diapo 30
  • Diapo 31
  • Diapo 32
  • Diapo 33
  • Diapo 34
  • Diapo 35
  • Diapo 36
  • Diapo 37
  • Diapo 38
  • Diapo 39
  • Diapo 40
  • Diapo 41
  • Diapo 42
  • Diapo 43
  • Diapo 44
  • Diapo 45
  • Diapo 46
  • Diapo 47
  • Diapo 48
  • Diapo 49
  • Diapo 50
  • Diapo 51
  • Diapo 52
  • Diapo 53
  • Diapo 54
  • Diapo 55
  • Diapo 56
  • Diapo 57
  • Diapo 58
  • Diapo 59

Mobile IPv6 (MIPv6)

Mobile IPv6 (MIPv6)

Diagnostiquer IPv6

Diagnostiquer IPv6

Conférence IPv6

Conférence IPv6

IPv6 stephane bortzmeyer

IPv6 stephane bortzmeyer

Document Compagnon Séquence 1 Les adresses IPv6 › 2019 › 08 › 08 › Adresses-IPV6 › sequence-1-v... · 2019-08-21 · MOOC IPv6 Séquence 1 : Les adresses IPv6 Les auteurs

Document Compagnon Séquence 1 Les adresses IPv6 › 2019 › 08 › 08 › Adresses-IPV6 › sequence-1-v... · 2019-08-21 · MOOC IPv6 Séquence 1 : Les adresses IPv6 Les auteurs

L'adressage IPV6 - Michel MARIEsitemm.michel-marie.net/network/Docs/CoursIPv6.pdf · adressage ipv6 – référence http ... 2.1 representation des adresses ipv6 3 ... 3 protocoles

L'adressage IPV6 - Michel MARIEsitemm.michel-marie.net/network/Docs/CoursIPv6.pdf · adressage ipv6 – référence http ... 2.1 representation des adresses ipv6 3 ... 3 protocoles

IPv6-Gene[1].. Chap7

IPv6-Gene[1].. Chap7

Rapport TP IPv6 rev4 - files.vivien.boistuaud.netfiles.vivien.boistuaud.net/public/ingenieurs2000/ir3-ipv6-tp... · Afin de découvrir la technologie IPv6 et d’être près à une

Rapport TP IPv6 rev4 - files.vivien.boistuaud.netfiles.vivien.boistuaud.net/public/ingenieurs2000/ir3-ipv6-tp... · Afin de découvrir la technologie IPv6 et d’être près à une

Rapport IPV6

Rapport IPV6

1. 1 – Généralités IPv6 Historique et fonctionnalités IPv6 IPv4/IPv6 Adressage IPv6 2 – Protocoles, services et commandes implémentés. Mise à jour des.

1. 1 – Généralités IPv6 Historique et fonctionnalités IPv6 IPv4/IPv6 Adressage IPv6 2 – Protocoles, services et commandes implémentés. Mise à jour des.

MS Word Template_102504 - cisco.com  · Web viewPrise en charge du protocole IPv6 pour le déploiement des applications de mise en réseau et des systèmes d'exploitation futurs

MS Word Template_102504 - cisco.com  · Web viewPrise en charge du protocole IPv6 pour le déploiement des applications de mise en réseau et des systèmes d'exploitation futurs

ICND1 0x0A Protocole IPv6

ICND1 0x0A Protocole IPv6

IPv6 et sécurité

IPv6 et sécurité

L’adressage IPv6

L’adressage IPv6

Cours Réseaux - IPv6 - Free

Cours Réseaux - IPv6 - Free

IPv6 Migration Overview and Solutions IPv6 CGN...6rd - Topology IPv4 access IPv6 Clients IPv4 Clients Native IPv6 Packets Native IPv4 Packets IPv6-in-IPv4 Tunneled Packets 6rd Gateway

IPv6 Migration Overview and Solutions IPv6 CGN...6rd - Topology IPv4 access IPv6 Clients IPv4 Clients Native IPv6 Packets Native IPv4 Packets IPv6-in-IPv4 Tunneled Packets 6rd Gateway

TP IPv6 : Déploiement et Intégrationc2.touta.in/.../uploads/2011/03/IPv6-catalyst-Le-wiki-des-TPs-RSM.pdf · Il est donc possible d'interconnecter deux commutateurs ou un commutateur

TP IPv6 : Déploiement et Intégrationc2.touta.in/.../uploads/2011/03/IPv6-catalyst-Le-wiki-des-TPs-RSM.pdf · Il est donc possible d'interconnecter deux commutateurs ou un commutateur

IPv6 0x0A Securite IPv6

IPv6 0x0A Securite IPv6

Configuration Basique IPv6

Configuration Basique IPv6

Observatoire IPv6 · L'internet IPv6 opérationnel ‽ • Caen • 12 juin 2013 Introduction (1/2) L’Observatoire IPv6 est une étude financée par la Commission Européenne dont

Observatoire IPv6 · L'internet IPv6 opérationnel ‽ • Caen • 12 juin 2013 Introduction (1/2) L’Observatoire IPv6 est une étude financée par la Commission Européenne dont