Est-ce que l'IPv6 infiltre votre réseau ? Cela est très certainement le cas. Ce qu'il faut savoir | NETSCOUT

Est-ce que l'IPv6 infiltre votre réseau ? Cela est très certainement le cas. Ce qu'il faut savoir.

Par Mark Mullins

La croissance explosive des périphériques capables de naviguer sur Internet entraîne la diminution rapide du nombre d'adresses IPv4 disponibles. En plus des ordinateurs, serveurs, routeurs, etc, les adresses sont attribuées à l'« Internet des objets », y compris les caméras, contrôles CVC, systèmes d'alarme et un nombre grandissant de capteurs connectés. En conséquence, en 2011 le centre d'informations réseau de l'Asie et du Pacifique a commencé à rationner son dernier bloc d'adresse 8 IPv4. D'autres registres régionaux vont probablement bientôt emboîter le pas.

Comme si cela ne suffisait pas, l'utilisation généralisée de la traduction d'adresse réseau IPv4 (NAT), qui associe plusieurs adresses privées vers une adresse IPv4 publique unique, pourrait finalement entraver l'utilisation de services de communications basés sur IP comme la VoIP et même dégrader la performance de routeurs fédérateurs Internet dans leur lutte pour faire face à des tables de routage de plus en plus massives.

Il n'est donc pas surprenant que les systèmes d'exploitation plus modernes prennent désormais en charge les architectures IPv4 et IPv6 double pile ; Windows 8, Windows Vista et Mac OS X 10,3 et les versions ultérieures ont l'IPv6 activé par défaut. Les appareils IPv6 vont configurer automatiquement une adresse locale de liaison pour chacune de leurs interfaces et utiliser la détection de routeur pour déterminer les adresses des routeurs IPv6, les paramètres de configuration de l'accès et les préfixes d'adresses globales. Même sans un protocole de configuration dynamique comme le DHCPv6, un appareil compatible IPv6 peut configurer une adresse IPv6 pour chacune de ses interfaces.

Même si vous n'acheminez pas de trafic IPv6 sur votre réseau, vous devez toujours vous préoccuper des terminaux compatibles IPv6. La tunnellisation (qui est prise en charge dans chaque système d'exploitation et activée automatiquement avec la pile IPv6) permet le transport IPv6 sur ​​des connexions IPv4 et vice versa. Le transport IPv6 peut être chiffré et utilisé sans type explicite (adressage privé), mais il n'utilise pas l'identifiant d'interface EIU-64 qui vous permettra de le retracer vers l'adresse MAC de l'hôte. Il y a un certain nombre de mécanismes de tunnellisation (consultez : le livre blanc de NETSCOUT sur l'IPv6 pour un exposé plus complet de ces mécanismes). En résumé, si vous avez un tunnel local sur votre intranet, vous n'avez pas besoin de vous en soucier. Mais si vous avez un dispositif local avec un point de terminaison de tunnel en dehors de votre réseau, cela pourrait permettre l'accès à votre réseau interne qui pourrait ne pas être protégé par des pare-feu ou des dispositifs de détection d'intrusion.

Il existe d'autres vulnérabilités potentielles inhérentes à l'IPv6, notamment :
 

  • Annonces de la présence de routeur malveillant : Les appareils qui ne sont pas des routeurs peuvent annoncer les adresses de sous-réseau qui ne devraient pas exister sur votre réseau. Cela pourrait être simplement le résultat d'erreurs de routeur IPv6 ou de configuration de l'hôte ou, ce qui est plus inquiétant, une indication de la présence d'activités malveillantes. En envoyant des annonces d'un faux routeur, un attaquant pourrait tromper les autres hôtes du sous-réseau et les obliger à envoyer le trafic (une attaque « de l'homme du milieu »). L'usurpation de DHCPv6 fonctionne de manière similaire. Il est donc important de détecter les dispositifs offrant des adresses IPv6 avec état.

 

  • Ports ouverts : Comme il est moins mature que l'IPv4, les systèmes d'exploitation ont tendance à laisser plus de ports IPv6 ouverts. Il est conseillé d'effectuer un scan de port IPv6 pour localiser les ports ouverts. Gardez à l'esprit que la prise en charge de l'IPSec est standard dans n'importe quelle pile IPv6, ceci permet aux périphériques de plus facilement crypter le trafic de bout à bout tout en empêchant les pare-feux de détecter le contenu des paquets.


L'utilisation de trafic malveillant pour attaquer un réseau n'est pas quelque chose de nouveau, les périphériques compatibles IPv6 peuvent permettre à un pirate de pénétrer dans votre réseau et d'extraire des données sans être détecté à l'aide de méthodes traditionnelles par le biais de l'IPv6.

Il y a OptiView XG pour cela

Alors, maintenant que vous êtes suffisamment terrifiée, que pouvez-vous faire pour minimiser les risques provenant de périphériques IPv6 sur votre réseau ? Heureusement, nous sommes là pour vous protéger de ces risques.

La tablette portable d'analyse de réseau OptiView XG de NETSCOUT a une capacité intégrée de détection passive et active des dispositifs et services IPv6 Tandis qu'autres appareils d'analyse de réseau disposent seulement d'une détection passive de surveillance du trafic IPv6 et de capture des adresses IP et MAC, ils ne peuvent pas classer les appareils en se basant sur les protocoles définis. OptiView XG, en revanche, transmet les demandes de sollicitation de routeur afin d'identifier tous les préfixes IPv6 pour le sous-réseau et transmet les demandes voisines afin de fournir des informations sur d'autres appareils IPv6. Il fournit également une visibilité sur les tables de routeur IPv6 Net-to-Media (l'équivalent d'une table ARP IPv4) pour détecter les adresses locales de la liaison hors du sous-réseau auquel il est rattaché. Et il peut accéder aux tables de préfixe de routeurs Cisco qui fournissent des informations sur d'autres sous-réseaux.

Bien sûr, OptiView XG offre également de nombreuses autres fonctionnalités avancées pour détecter et diagnostiquer les problèmes de sécurité potentiels, tels que les téléchargements de fichiers et de documents à diffusion restreinte, l'utilisation des applications interdites et le trafic P2P risqué. Il peut également aider à identifier et localiser les périphériques indésirables ou non sécurisés. Cliquez ici pour voir tout ce qu'OptiView XG offre.

Que vous soyez prêts ou non, l'IPv6 arrive

Tandis qu'il est difficile de dire exactement quand l'IPv6 supplantera l'IPv4, c'est seulement une question de temps. Mais à l'heure actuelle, vous devez être conscient des risques de sécurité potentiels que posent les appareils compatibles IPv6 sur votre réseau et être à même de détecter leur présence. Répondre à ces risques aujourd'hui vous aidera à être prêt lors de la migration inévitable de l'ensemble de votre réseau vers l'IPv6.

Ressources relatives de gestion des réseaux informatiques

Consultez nos conseils d'initiés dans le blog « The Decoder » pour plus d'informations sur le dépannage de réseau

 
 
Powered By OneLink