Difference between revisions of "MOOC:Verb34"

From Livre IPv6

(Vulnérabilités sur trafic entrant)
(Vulnérabilités sur trafic entrant)
Line 27: Line 27:
 
Une politique de sécurité explicite les communications autorisées entre les réseaux. Sa mise en application dans les pare-feu qui isolent ces réseaux les uns des autres prévient de tout connexion illicite. Ceci est valable en IPv6 comme en IPv4.
 
Une politique de sécurité explicite les communications autorisées entre les réseaux. Sa mise en application dans les pare-feu qui isolent ces réseaux les uns des autres prévient de tout connexion illicite. Ceci est valable en IPv6 comme en IPv4.
  
== Vulnérabilités sur trafic entrant ==
+
== Vulnérabilités sur trafic sortant ==
  
 
=== Risques ===
 
=== Risques ===
* Usurpation et détournement d’adresses
+
 
 +
Pour atteindre de manière anonyme une cible ou tenter de contourner des règles de sécurité, un attaquant peut tenter de se forger une adresse IP. C'est à dire choisir une adresse d'un autre réseau et l'utiliser comme adresse source du paquet malveillant.
 +
 
 +
Comme pour IPv4, il est possible de forger l'adresse source d’un paquet IPv6. L’espace d’adressage IPv6 étant plus vaste qu’en IPv4, les adresses IPv6 qu'il est possible de forger sont plus nombreuses.
 +
 
 +
Lorsque l'adresse forgée est une adresse multicast, la cible peut répondre
 +
 
 
* Amplification
 
* Amplification
  

Revision as of 21:57, 21 September 2021


Introduction

Nous allons dans cette vidéo aborder la question de la sécurité d'un réseau IPv6. Et nous commencerons par ce constat : La sécurisation d'un réseau en IPv6 ne présentent pas de différence majeure avec la démarche adoptée en IPv4. L'ingénieur réseau retrouvera beaucoup de similarités entre les deux versions du protocole.

Pas de différences majeures, mais quelques différences subtiles quand même. Nous allons détailler dans la suite ces quelques points à considérer dans politiques de sécurité en IPv6.

Vulnérabilités sur trafic entrant

Risques

L'évolution apportée par IPv6 qui perturbe le plus les esprits soucieux de la sécurité des réseaux est l'utilisation généralisée de l'adressage globale.

Assigner des adresses globales à tous les équipements de son réseau peut en effet en augmenter sa surface d'attaque : un attaquant pourrait ainsi atteindre plusieurs cibles directement joignables en IPv6.

Ces machines, de plus, peuvent utiliser des implémentations logiciels vulnérables en IPv6. Le risque paraît donc élevé.

Mitigation

Pour mitiger ce risque, il faut d'abord rappeler que pour joindre directement une machine, l'attaquant a besoin de son adresse IP.

Pour trouver ces adresses joignables, il devra tester l'ensemble des adresses IP d'un réseau. En IPv4, cette énumération est facile : un réseau contient quelques centaines voir milliers d'adresses.

Mais en IPv6, il est très compliqué d'identifier les adresses joignables parmi des milliards d'adresses possibles sur un réseau.

A la manière du NAT en IPv4, qui, rappelons-le, n'est pas un dispositif de sécurité, il est possible en IPv6 d'interdire les connexions entrantes pour les machines n'hébergeant pas de services. Ce filtrage s'effectue dans un dispositif approprié, comme un pare-feu.

Une politique de sécurité explicite les communications autorisées entre les réseaux. Sa mise en application dans les pare-feu qui isolent ces réseaux les uns des autres prévient de tout connexion illicite. Ceci est valable en IPv6 comme en IPv4.

Vulnérabilités sur trafic sortant

Risques

Pour atteindre de manière anonyme une cible ou tenter de contourner des règles de sécurité, un attaquant peut tenter de se forger une adresse IP. C'est à dire choisir une adresse d'un autre réseau et l'utiliser comme adresse source du paquet malveillant.

Comme pour IPv4, il est possible de forger l'adresse source d’un paquet IPv6. L’espace d’adressage IPv6 étant plus vaste qu’en IPv4, les adresses IPv6 qu'il est possible de forger sont plus nombreuses.

Lorsque l'adresse forgée est une adresse multicast, la cible peut répondre

  • Amplification

Mitigation

  • Politiques d’accès aux services / Filtrage sortant
  • Isolation des réseaux internes

Vulnérabilités liées à la transition

Risques

  • Porte dérobée utilisant les mécanismes de transition vers IPv6

Mitigation

  • Filtrage des mécanismes de tunnels IPv6 dans IPv4

Vulnérabilités liées à l'auto-configuration

Risques

  • Activation illégitime de mécanismes d'auto-configuration

Mitigation

  • Contrôle de la source du trafic d'auto-configuration

Conclusion

Personal tools