Conférence IPv6, un second souffle pour l'internet

Posté par  (site Web personnel) . Modéré par Bruno Michel.
Étiquettes :
-1
25
juin
2008
Technologie
La 13ème conférence « Intellicore Tech Talks » sur les technologies relatives au Web se déroulera le 1er juillet sur le thème « IPv6, un second souffle pour l'Internet ».

Ces conférences hebdomadaires ont pour but de partager nos connaissances en français et les partager sur Internet avec les vidéos et diaporamas disponibles gratuitement. Elles se déroulent à Sophia Antipolis (Alpes-Maritimes - France) au CICA (Centre International de Communication Avancée) le mardi de 13h à 13h45. Les informations et vidéos sont diffusées sur le site web des conférences[1]. La vidéo et les diaporamas de la conférence seront disponibles en Ogg/Theora/Vorbis et PDF ainsi que sur Dailymotion et peut-être Slidecast.

Si vous êtes sur la région, vous êtes invités à assister aux conférences et peut-être proposer un sujet et le présenter[2]. Aujourd'hui l'Internet va bientôt atteindre les limites d'une technologie prévue à l'origine pour connecter quelques machines.
Depuis 1993 un groupe travaille afin de mettre en place une nouvelle technologie flexible et innovante pour combler les failles et les défauts d'IPv4, le protocole réseau le plus utilisé aujourd'hui.

Seront présentés lors de cette conférence :
  • Les faiblesses d'IPv4 ;
  • Les évolutions proposées par IPv6 ;
  • La nécessité du changement ;
  • Qui propose IPv6 et comment.

Aller plus loin

  • # .

    Posté par  . Évalué à 2.

    Et rien sur les faiblesses d'IPv6 ? Le fait que ce soit très (trop ?) facile de foutre le bordel sur un réseau géré par autoconfiguration par exemple.
    • [^] # Re: .

      Posté par  . Évalué à 8.

      Et rien sur les faiblesse d'IPv4 ? Le fait que ce soit très (trop ?) facile de foutre le bordel sur un réseau géré par DHCP par exemple.

      Je sais pas, mettre un second DHCP, voler des adresses. De toute façon, si tu veux foutre en l'air un réseau, et que t'es dans le subnet, un peu rien peut t'en empêcher.
      • [^] # Re: .

        Posté par  . Évalué à 7.

        Sauf qu'il faut être mal intentionné. La c'est juste ce boulet de windows qui balance des prefixes et des routes sur le reseau, et tout les ordis se les prennent.

        Et on voit ça sur tous les réseaux. C'est juste que les gens sous windows qui rentrent chez eux avec leur portable, ils cochent la case "Partage de connexion" et quand ils reviennent sur ton réseau ils vont surtout pas penser à la décocher, et vu que Vista est IPv6-ready, le partage de connexion c'est pas juste du NAT, c'est aussi du 6to4 avec RouterAdvertisement dans tous les sens (et j'ai l'impression que les gens ont en plus un firewall qui empeche windows de se rendre compte qu'il fout la merde).

        Au final tu te retrouves avec 5-6 routes par defaut vers des Vista mal-configurés et autant d'adresses qui viennent d'autoconf. Du coup tu envisages assez rapidement de désactiver l'autoconf IPv6 dans ton kernel.


        (Et oui sinon je suis super fan d'IPv6, c'est juste que j'ai l'impresssion que dans certains cas, il suffit d'être mal configuré pour foutre la merde, alors qu'en IPv4 il faut être mal intentionné).
        • [^] # Re: .

          Posté par  . Évalué à 3.

          Vous avez tenté d'envoyer un lionceau sauvage chez MS pour régler le problème ?

          Ça m'est arrivé aussi. J'ai du débrancher les ordis un par un, jusqu'à ce que la route n'apparaisse plus...
    • [^] # Re: .

      Posté par  . Évalué à 4.

      Pourrais-tu donner plus d'informations sur le sujet car ce n'est pas la première fois que j'entends parler de ce problème d'autoconfiguration. En synthèse de mes recherches, j'en déduis pourtant que :
      --> l'allocation d'adresse avec état (DHCPv6) est sécurisée autant qu'avec DHCP sous IPv4. Je veux dire qu'il y a possibilité d'utiliser de l'authentification (RFC 3118) mais que si personne ne le fait, ce n'est pas la faute à la technique.
      --> la définition d'une adresse locale se fait en fonction de sa propre adresse MAC (pour un LAN ethernet) et ensuite on regarde si une autre machine dispose de cette adresse sur le LAN. Là effectivement, un attaquant pourrait répondre à toutes ces requêtes en disant que cette adresse est prise (et donc nous ne pourrions l'utiliser). De toute façon en régime stabilisé, nous ne devons pas utiliser cette adresse pour communiquer.
      --> l'allocation d'adresse sans état : lorsque l'on cherche à connaître le préfixe du réseau (c'est le routeur qui doit répondre) et autres, on utilise de l'ICMPv6 qui apparemment propose également de l'authentification.

      Dans la logique d'IPv6 où le nombre d'adresses allouables est tel que nous n'aurons pas de pénurie avant longtemps, DHCP n'est pas utilisé pour optimiser l'adressage (donc réallouer les adresses dès qu'elles ne sont plus utilisées) mais plus pour faciliter le déploiement d'ordinateurs ou la migration d'un réseau existant vers une nouvelle plage IP. Ainsi, le principe d'attribution d'adressage IP ne doit être utilisé que rarement (baux très longs), exception faite des cas de mobilité.

      Bref, je ne vois que peu de failles dans l'autoconfiguration d'IPv6. Qu'est-ce que j'ai loupé ?
      • [^] # Re: .

        Posté par  . Évalué à 1.

        Les attaques en DHCP, ça ne dépend que de l'architecture du réseau.
        Si t'es sur du switché, avec les bonnes acl, logiquement le switch (par mac learning ou config manuelle) ne répond plus qu'a 1 seule @ mac et/ou port et supprime certains broadcasts. Pas de serveur dhcp installable sur un port non autorisé donc.
        C'est plus long, plus complexe, et c'est plus cher.
      • [^] # Re: .

        Posté par  . Évalué à 2.

        N'importe qui peut envoyer des préfixes, c'est surtout ça mon problème. En IPv4 il faut configurer un serveur DHCP, en IPv6 il faut cliquer dans la mauvaise case sur Vista. C'est *beaucoup* trop facile à changer. (cf mon post au dessus pour les détails)
        • [^] # Re: .

          Posté par  . Évalué à 1.

          Quel est donc le moyen de se protéger de ces postes qui viendraient polluer le réseau ?
          • [^] # Re: .

            Posté par  . Évalué à 2.

            Il y a je crois une RFC qui veut introduire un filtrage de ICMPv6 sur les switches, mais ca implique la plupart du temps de renouveller son équipement (hors de question, et de toute manière un tel matos n'existe pas encore).
  • # Camp IPv6 sur Rennes

    Posté par  . Évalué à 4.

    Pour information, toujours sur le sujet de l'IPv6 et la semaine prochaine (30 juin au 4 juillet), il y a un "Camp IPv6" sur Rennes (locaux de Telecom Bretagne) avec le G6 et l'IPv6 Task Force France.
    C'est sûr ce n'est pas Sophia mais on annonce du beau temps aussi en Bretagne.
    Tous les détails sont ici http://www.g6.asso.fr/index.php/Camp_IPv6

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.