[AfrICANN-discuss] Hackers target IPv6

Nacer Adamou Saidou adamou.nacer at gmail.com
Mon Dec 5 15:31:30 SAST 2011


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour,
ce message est franchement utile, mais je pense qu'il s'agit du résultat
d'une traduction automatique et le français qui en résulte est vraiment
difficile à déchiffrer.
Est ce possible d'avoir le lien original de l'article ou carrément la
version en anglais?
Amicalement

Le 05/12/2011 13:48, Joseph Mandjolo a écrit :
> Hackers target IPv6
> 
> Les entreprises ont besoin d'être conscient de la vulnérabilité cachée IPv6
> 
> Par Susan Perschke, Network World
> 28 novembre 2011 06:10 HE
> 
> Si votre stratégie IPv6 est de retarder la mise en œuvre aussi longtemps
> que vous le pouvez, vous devez toujours répondre aux préoccupations de
> sécurité IPv6 dès maintenant.
> 
> Si vous envisagez de déployer l'IPv6 dans une configuration dual-stack avec
> IPv4, vous n'êtes toujours pas décroché quand il s'agit de sécurité. Et si
> vous pensez que vous pouvez simplement désactiver l'IPv6, cela ne va pas
> voler non plus.
> 
> La plus grande menace imminente de sécurité réside dans le fait que les
> réseaux d'entreprise ont déjà des tonnes d'appareils compatibles IPv6, y
> compris tous les appareils fonctionnant sous Windows Vista ou Windows 7,
> Mac OS / X, tous les périphériques sous Linux et BSD.
> 
> Et contrairement à son prédécesseur, le protocole DHCP pour IPv4, IPv6 sans
> état ne nécessite pas de configuration manuelle. Cette auto-configuration
> sans fonction, activée par défaut dans la plupart des systèmes
> d'exploitation, signifie que «IPv6 appareils sont simplement en attente
> d'un annonce de routeur simple de s'identifier sur le réseau», explique
> Eric Vyncke, Distinguished Engineer chez Cisco Systems Systèmes et co -auteur
> du livre «La sécurité IPv6."
> 
> Il avertit que «IPv4 uniquement les routeurs et les commutateurs ne
> reconnaissent pas ou répondre aux annonces dispositif d'IPv6, mais un
> routeur IPv6 voyous pouvaient envoyer et d'interpréter ce trafic."
> 
> L'auto-configuration permet à tout appareil compatible IPv6 pour
> communiquer avec d'autres périphériques réseau et les services IPv6 sur le
> même LAN. Pour ce faire, l'appareil annonce sa présence et se trouve via
> l'IPv6 Neighbor Discovery Protocol (NPD).
> 
> Mais elle n'était pas maîtrisée, NPD peut être un peu trop de bon
> voisinage, éventuellement exposer les dispositifs d'attaquants désireux de
> glaner des informations sur ce qui se passe à l'intérieur du réseau, ou
> même en tenant l'appareil lui-même pour être repris et transformé en un
> "zombie".
> 
> Vyncke affirme que la menace est réelle. "Nous avons observé dans le monde
> entier que les robots sont d'accroître leur utilisation de l'IPv6 comme un
> canal caché pour communiquer avec leurs botmaster». Parmi ses nombreux
> déguisements, IPv6 logiciels malveillants peuvent prendre la forme d'une
> charge utile malveillante encapsulé dans un ou plusieurs messages IPv4. Sans
> mesures de sécurité IPv6 spécifiques telles que l'inspection approfondie
> des paquets, ce type de charge utile peut passer à travers le périmètre
> IPv4 et défenses DMZ inaperçue.
> 
> ENVOYER (Secure Neighbor Discovery) est la solution IETF pour Layer-2
> menaces telles que IPv6 voyous RA et l'usurpation du NPD, qui équivalent à
> IPv4 menaces appelé DHCP voyous et de l'ARP spoofing. Certains fournisseurs
> OS soutien envoient, tandis que d'autres, notamment Microsoft et Apple,
> n'en ont pas.
> 
> Cisco et l'IETF est en train de mettre en œuvre les mécanismes de sécurité
> de même pour IPv6 qui sont actuellement utilisés pour protéger contre ces
> menaces IPv4.
> 
> L'IETF a un. Groupe de travail SAVI (validation d'adresse source) et Cisco
> met en œuvre un plan en trois phases visant à moderniser son IOS qui a
> débuté en 2010 et seront entièrement mises en œuvre par quelque part en
> 2012, selon le type de commutateur
> 
> Vyncke note que certains des risques les plus communs de sécurité IPv6 sont
> accidentellement créé par une mauvaise configuration de l'utilisateur final
> périphérique sur le réseau, et que la configuration appropriée et de
> mesures de sécurité IPv6 permettrait d'éliminer nombre de ces risques.
> 
> "La réponse à ce type de problème est de déployer l'IPv6 natif, et de
> protéger le trafic IPv6 au même niveau et contre les mêmes types de menaces
> que vous avez déjà de défendre en IPv4», explique Vyncke.
> 
> Le mythe IPSec
> 
> Il ya une perception commune que l'IPv6 est nativement plus sécurisé que
> IPv4, car en charge IPSec est obligatoire dans IPv6. «C'est un mythe qui a
> besoin d'être démystifié», dit Vyncke.
> 
> Il souligne que, outre les difficultés pratiques liées à la mise en œuvre à
> grande échelle du protocole IPSec, le contenu de IPSec encapsulé le trafic
> devient invisible pour périphériques (routeurs / commutateurs / firewalls),
> interférant ainsi avec leurs fonctions de sécurité importantes.
> 
> Pour cette raison, Vyncke, qui est également un membre actif de l'IETF et
> l'auteur de la RFC 3585, rapporte qu'un groupe de travail IETF envisage une
> modification qui ferait en charge IPSec «recommandé» plutôt que
> «nécessaire» dans les implémentations d'IPv6.
> 
> En ce qui concerne IPv6 invalidante, Vyncke dit que c'est une mauvaise idée
> pour deux raisons. One, Microsoft a déclaré que la désactivation de l'IPv6
> sur Windows 2008 constitue une configuration non prise en charge. Et Vyncke
> dit essayer de désactiver l'IPv6 est une tête-de-sable-stratégie qui
> retarde l'inévitable et pourrait faire de la sécurité pire parce que les
> périphériques compatibles IPv6 vont être apparaître sur le réseau qu'il le
> veuille ou non.
> 
> Renforcer la dynamique
> 
> Les menaces de sécurité côté, il ya une analyse de rentabilisation
> croissante pour IPv6 qui devient plus difficile de balayer sous le tapis. Les
> banques et les courtiers en ligne font déjà face au défi de perdre la
> communication avec les clients internationaux dont les réseaux ne
> supportent plus l'IPv4.
> 
> Des entreprises comme Telefonica et T-Mobile IPv6 sont embrassant dans une
> grande manière, surtout pour leurs bases européennes. Et le gouvernement
> américain, qui n'a cessé de migrer vers l'IPv6, réclame à grands cris pour
> les prestataires et fournisseurs à fournir des produits plus IPv6 et des
> services.
> 
> «Vous ne voulez jamais être dans une position où vous ne pouvez pas
> interagir avec vos clients», affirme Keith Stewart, directeur des produits
> Brocade Communications Systems livraison Applications. Néanmoins, le
> partage de l'opinion la plus répandue parmi les fournisseurs de réseau,
> Stewart voit une migration progressive vers IPv6.
> 
> "Une mise à niveau de gros à travers l'Internet IPv6 n'est ni pratique ni
> efficace», dit Stewart. «Les clients ont besoin d'une approche équilibrée
> et pratique." Il note que les fournisseurs de services, qui consomment
> adresses plus vite que n'importe qui d'autre, sont en première ligne pour
> les mises à niveau IPv6, suivie par les hébergeurs de contenu (Google et
> Facebook), et enfin les utilisateurs finaux, dont la maison routeurs sont
> encore 99%, basé sur IPV4.
> 
> Lorsque Brocade nécessaire pour passer à l'IPv6, il a fallu les
> équilibreurs de charge existants et tourné sur la traduction IPv6 pour les
> services au public, la préservation de la connectivité IPv4 sur le réseau
> interne. "La pile du public est le plus important. Choisissez un petit
> projet où vous pouvez faire une analyse de rentabilisation pour communiquer
> avec les clients IPv6. Lors de la construction hors de votre prochaine
> série de services, la demande que ce double pile capable ou traduction
> capables d'anciens IPv4 architectures . Cela vous permet de bâtir une
> entreprise orientée ROI que vos équipes acquérir une compétence avec IPv6.
> Toute transition devrait être conçu pour être transparent pour
> l'utilisateur final », dit Stewart.
> 
> Juniper Networks rapporte que jusqu'à présent, la majorité de ses clients
> demandant des services IPv6 sont des secteurs de l'éducation et du
> gouvernement, plus précisément laboratoires de recherche universitaires et
> les unités gouvernementales qui cherchent à se conformer aux mandats
> fédéraux IPv6.
> 
> Juniper prévoit une activité accrue d'IPv6 pour 2012, notamment chez les
> fournisseurs de services. «IPv4 épuisement des adresses devient un problème
> important pour nos clients du monde entier», explique Alain Durand,
> directeur du génie logiciel, plate-forme et la Division des systèmes CTO du
> groupe. Même ainsi, Durand s'attend à ce que la plupart des déploiements
> IPv6 seront plus petits projets mis en œuvre avec le protocole IPv6 comme
> un «add-on» (dual-stack) pour IPv4 existante services au public. «Pour
> faire face à la pénurie croissante d'adresses IPv4, les clients ont
> toujours la possibilité d'ajouter une autre couche de NAT", explique Durand.
> 
> Bien qu'il n'y ait aucun moyen de prédire avec certitude combien de temps
> exactement il faudra attendre toutes les adresses IPv4 sont épuisés, les
> statistiques quotidiennes compilées par Geoff Huston, chief scientist chez
> APNIC, sont fréquemment citées comme une source fiable. Modèle de Huston,
> qui est basé sur les sources de données publiques tirées de données
> publiées par l'IANA et les Registres Internet Régionaux, prédit
> l'épuisement complet de tous les autres adresses IPv4 non attribuées en
> 2014.
> 
> Cependant, il est important de noter que le modèle de Huston ne tient pas
> compte des adresses qui peuvent être détenus par des organisations privées
> pour un usage futur ou de la vente. Par exemple, il ne serait pas facteur
> de plus de 600.000 adresses IPv4 récemment acquis par Microsoft en vertu de
> son acquisition d'actifs faillite de Nortel. Bien qu'il soit prudent de
> supposer que IPv4 suffisante adresses seront disponibles à court terme,
> beaucoup prédisent coûts augmenter à mesure que diminue l'offre.
> 
> Sans établir les meilleures pratiques pour l'IPv6, les gestionnaires de
> réseau de nombreux ont été réticents à agir. Mais avec l'augmentation des
> menaces de sécurité et les préoccupations concernant la perte de
> communication avec les clients qui sont déjà migrer vers IPv6 uniquement
> les systèmes, en attendant que d'autres vont d'abord et ne rien faire en
> attendant la position n'est pas la «position neutre» qu'il n'y paraît.
> 
> La phase de planification est un bon temps pour établir ou rétablir des
> liens avec un vendeur de réseau de confiance qui peut fournir
> l'architecture et les conseils de sécurité, avec des solutions évolutives
> pour un large éventail d'options de migration.
> 
> Perschke est co-propriétaire de deux sociétés de services informatiques
> spécialisée dans l'hébergement web, SaaS (nuage) le développement
> d'applications et la modélisation et l'intégration de SGBDR. Susan a
> également la responsabilité exécutive pour la gestion des risques et la
> sécurité du réseau au centre de ses entreprises »de données. Elle peut être
> atteint à susan at arcseven.com.
> 
> Avec nos meilleures salutations
> 
> 
> 
> 
> _______________________________________________
> AfrICANN mailing list
> AfrICANN at afrinic.net
> https://lists.afrinic.net/mailman/listinfo.cgi/africann

- -- 
Nacer Adamou Saïdou
LPC-1 Certified Engineer
Wave: nacerix at waveinabox.net
Blog: http://nacerix.blogspot.com
Twitter: nacerix
Identi.ca: nacerix
http://paper.li/nacerix
http://netvibes.net/nacerix
https://launchpad.net/~adamou-nacer
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJO3MeyAAoJELZpU0pKyeBuHE8IAJfRdSej3XkX4C95bQhaT+kC
yF0Ctraxkm6f4NIo6k74+o73UiXXgBZ/NeF1aXBbmte+sRaXWo8km79KS7WZayzt
YDx2X3lEs0uA3IjjWqO1cBYpr5MiEmURsTkyl+szW9q3YnOp/wLPICUBjaMeFbmN
nqrqb8Rs6zJiqm13Wo9FTTqmoZVSttyxVdaiFOPn+TwhOvUeazcjKAh1cFVf+NR2
5btKv7AEQy5zHOAdTWdG0ep6pS7a4PIFqeVSWf4PaG1xB+WH22a3Kh+7SeUowG8W
waOyCAiDcaib9Lj9z7lyDXYTjg8Bbkapv8VuucIYlenRJNgaYHu33tiPFxcnO8w=
=lT9v
-----END PGP SIGNATURE-----


More information about the AfrICANN mailing list