[AfrICANN-discuss] Hackers target IPv6

Jean-Robert Hountomey hrobert at iservices.tg
Mon Dec 5 16:09:44 SAST 2011


http://www.networkworld.com/news/2011/112811-hackers-ipv6-253408.html

-----Message d'origine-----
De : africann-bounces at afrinic.net [mailto:africann-bounces at afrinic.net] De
la part de Nacer Adamou Saidou
Envoyé : Monday, December 05, 2011 7:32 AM
À : africann at afrinic.net
Objet : Re: [AfrICANN-discuss] Hackers target IPv6

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour,
ce message est franchement utile, mais je pense qu'il s'agit du résultat
d'une traduction automatique et le français qui en résulte est vraiment
difficile à déchiffrer.
Est ce possible d'avoir le lien original de l'article ou carrément la
version en anglais?
Amicalement

Le 05/12/2011 13:48, Joseph Mandjolo a écrit :
> Hackers target IPv6
> 
> Les entreprises ont besoin d'être conscient de la vulnérabilité cachée 
> IPv6
> 
> Par Susan Perschke, Network World
> 28 novembre 2011 06:10 HE
> 
> Si votre stratégie IPv6 est de retarder la mise en œuvre aussi 
> longtemps que vous le pouvez, vous devez toujours répondre aux 
> préoccupations de sécurité IPv6 dès maintenant.
> 
> Si vous envisagez de déployer l'IPv6 dans une configuration dual-stack 
> avec IPv4, vous n'êtes toujours pas décroché quand il s'agit de 
> sécurité. Et si vous pensez que vous pouvez simplement désactiver 
> l'IPv6, cela ne va pas voler non plus.
> 
> La plus grande menace imminente de sécurité réside dans le fait que 
> les réseaux d'entreprise ont déjà des tonnes d'appareils compatibles 
> IPv6, y compris tous les appareils fonctionnant sous Windows Vista ou 
> Windows 7, Mac OS / X, tous les périphériques sous Linux et BSD.
> 
> Et contrairement à son prédécesseur, le protocole DHCP pour IPv4, IPv6 
> sans état ne nécessite pas de configuration manuelle. Cette 
> auto-configuration sans fonction, activée par défaut dans la plupart 
> des systèmes d'exploitation, signifie que «IPv6 appareils sont 
> simplement en attente d'un annonce de routeur simple de s'identifier 
> sur le réseau», explique Eric Vyncke, Distinguished Engineer chez 
> Cisco Systems Systèmes et co -auteur du livre «La sécurité IPv6."
> 
> Il avertit que «IPv4 uniquement les routeurs et les commutateurs ne 
> reconnaissent pas ou répondre aux annonces dispositif d'IPv6, mais un 
> routeur IPv6 voyous pouvaient envoyer et d'interpréter ce trafic."
> 
> L'auto-configuration permet à tout appareil compatible IPv6 pour 
> communiquer avec d'autres périphériques réseau et les services IPv6 
> sur le même LAN. Pour ce faire, l'appareil annonce sa présence et se 
> trouve via
> l'IPv6 Neighbor Discovery Protocol (NPD).
> 
> Mais elle n'était pas maîtrisée, NPD peut être un peu trop de bon 
> voisinage, éventuellement exposer les dispositifs d'attaquants 
> désireux de glaner des informations sur ce qui se passe à l'intérieur 
> du réseau, ou même en tenant l'appareil lui-même pour être repris et 
> transformé en un "zombie".
> 
> Vyncke affirme que la menace est réelle. "Nous avons observé dans le 
> monde entier que les robots sont d'accroître leur utilisation de 
> l'IPv6 comme un canal caché pour communiquer avec leurs botmaster». 
> Parmi ses nombreux déguisements, IPv6 logiciels malveillants peuvent 
> prendre la forme d'une charge utile malveillante encapsulé dans un ou 
> plusieurs messages IPv4. Sans mesures de sécurité IPv6 spécifiques 
> telles que l'inspection approfondie des paquets, ce type de charge 
> utile peut passer à travers le périmètre
> IPv4 et défenses DMZ inaperçue.
> 
> ENVOYER (Secure Neighbor Discovery) est la solution IETF pour Layer-2 
> menaces telles que IPv6 voyous RA et l'usurpation du NPD, qui 
> équivalent à
> IPv4 menaces appelé DHCP voyous et de l'ARP spoofing. Certains 
> fournisseurs OS soutien envoient, tandis que d'autres, notamment 
> Microsoft et Apple, n'en ont pas.
> 
> Cisco et l'IETF est en train de mettre en œuvre les mécanismes de 
> sécurité de même pour IPv6 qui sont actuellement utilisés pour 
> protéger contre ces menaces IPv4.
> 
> L'IETF a un. Groupe de travail SAVI (validation d'adresse source) et 
> Cisco met en œuvre un plan en trois phases visant à moderniser son IOS 
> qui a débuté en 2010 et seront entièrement mises en œuvre par quelque 
> part en 2012, selon le type de commutateur
> 
> Vyncke note que certains des risques les plus communs de sécurité IPv6 
> sont accidentellement créé par une mauvaise configuration de 
> l'utilisateur final périphérique sur le réseau, et que la 
> configuration appropriée et de mesures de sécurité IPv6 permettrait
d'éliminer nombre de ces risques.
> 
> "La réponse à ce type de problème est de déployer l'IPv6 natif, et de 
> protéger le trafic IPv6 au même niveau et contre les mêmes types de 
> menaces que vous avez déjà de défendre en IPv4», explique Vyncke.
> 
> Le mythe IPSec
> 
> Il ya une perception commune que l'IPv6 est nativement plus sécurisé 
> que IPv4, car en charge IPSec est obligatoire dans IPv6. «C'est un 
> mythe qui a besoin d'être démystifié», dit Vyncke.
> 
> Il souligne que, outre les difficultés pratiques liées à la mise en 
> œuvre à grande échelle du protocole IPSec, le contenu de IPSec 
> encapsulé le trafic devient invisible pour périphériques (routeurs / 
> commutateurs / firewalls), interférant ainsi avec leurs fonctions de
sécurité importantes.
> 
> Pour cette raison, Vyncke, qui est également un membre actif de l'IETF 
> et l'auteur de la RFC 3585, rapporte qu'un groupe de travail IETF 
> envisage une modification qui ferait en charge IPSec «recommandé» 
> plutôt que «nécessaire» dans les implémentations d'IPv6.
> 
> En ce qui concerne IPv6 invalidante, Vyncke dit que c'est une mauvaise 
> idée pour deux raisons. One, Microsoft a déclaré que la désactivation 
> de l'IPv6 sur Windows 2008 constitue une configuration non prise en 
> charge. Et Vyncke dit essayer de désactiver l'IPv6 est une 
> tête-de-sable-stratégie qui retarde l'inévitable et pourrait faire de 
> la sécurité pire parce que les périphériques compatibles IPv6 vont 
> être apparaître sur le réseau qu'il le veuille ou non.
> 
> Renforcer la dynamique
> 
> Les menaces de sécurité côté, il ya une analyse de rentabilisation 
> croissante pour IPv6 qui devient plus difficile de balayer sous le 
> tapis. Les banques et les courtiers en ligne font déjà face au défi de 
> perdre la communication avec les clients internationaux dont les 
> réseaux ne supportent plus l'IPv4.
> 
> Des entreprises comme Telefonica et T-Mobile IPv6 sont embrassant dans 
> une grande manière, surtout pour leurs bases européennes. Et le 
> gouvernement américain, qui n'a cessé de migrer vers l'IPv6, réclame à 
> grands cris pour les prestataires et fournisseurs à fournir des 
> produits plus IPv6 et des services.
> 
> «Vous ne voulez jamais être dans une position où vous ne pouvez pas 
> interagir avec vos clients», affirme Keith Stewart, directeur des 
> produits Brocade Communications Systems livraison Applications. 
> Néanmoins, le partage de l'opinion la plus répandue parmi les 
> fournisseurs de réseau, Stewart voit une migration progressive vers IPv6.
> 
> "Une mise à niveau de gros à travers l'Internet IPv6 n'est ni pratique 
> ni efficace», dit Stewart. «Les clients ont besoin d'une approche 
> équilibrée et pratique." Il note que les fournisseurs de services, qui 
> consomment adresses plus vite que n'importe qui d'autre, sont en 
> première ligne pour les mises à niveau IPv6, suivie par les hébergeurs 
> de contenu (Google et Facebook), et enfin les utilisateurs finaux, 
> dont la maison routeurs sont encore 99%, basé sur IPV4.
> 
> Lorsque Brocade nécessaire pour passer à l'IPv6, il a fallu les 
> équilibreurs de charge existants et tourné sur la traduction IPv6 pour 
> les services au public, la préservation de la connectivité IPv4 sur le 
> réseau interne. "La pile du public est le plus important. Choisissez 
> un petit projet où vous pouvez faire une analyse de rentabilisation 
> pour communiquer avec les clients IPv6. Lors de la construction hors 
> de votre prochaine série de services, la demande que ce double pile 
> capable ou traduction capables d'anciens IPv4 architectures . Cela 
> vous permet de bâtir une entreprise orientée ROI que vos équipes acquérir
une compétence avec IPv6.
> Toute transition devrait être conçu pour être transparent pour 
> l'utilisateur final », dit Stewart.
> 
> Juniper Networks rapporte que jusqu'à présent, la majorité de ses 
> clients demandant des services IPv6 sont des secteurs de l'éducation 
> et du gouvernement, plus précisément laboratoires de recherche 
> universitaires et les unités gouvernementales qui cherchent à se 
> conformer aux mandats fédéraux IPv6.
> 
> Juniper prévoit une activité accrue d'IPv6 pour 2012, notamment chez 
> les fournisseurs de services. «IPv4 épuisement des adresses devient un 
> problème important pour nos clients du monde entier», explique Alain 
> Durand, directeur du génie logiciel, plate-forme et la Division des 
> systèmes CTO du groupe. Même ainsi, Durand s'attend à ce que la 
> plupart des déploiements
> IPv6 seront plus petits projets mis en œuvre avec le protocole IPv6 
> comme un «add-on» (dual-stack) pour IPv4 existante services au public. 
> «Pour faire face à la pénurie croissante d'adresses IPv4, les clients 
> ont toujours la possibilité d'ajouter une autre couche de NAT", explique
Durand.
> 
> Bien qu'il n'y ait aucun moyen de prédire avec certitude combien de 
> temps exactement il faudra attendre toutes les adresses IPv4 sont 
> épuisés, les statistiques quotidiennes compilées par Geoff Huston, 
> chief scientist chez APNIC, sont fréquemment citées comme une source 
> fiable. Modèle de Huston, qui est basé sur les sources de données 
> publiques tirées de données publiées par l'IANA et les Registres 
> Internet Régionaux, prédit l'épuisement complet de tous les autres 
> adresses IPv4 non attribuées en 2014.
> 
> Cependant, il est important de noter que le modèle de Huston ne tient 
> pas compte des adresses qui peuvent être détenus par des organisations 
> privées pour un usage futur ou de la vente. Par exemple, il ne serait 
> pas facteur de plus de 600.000 adresses IPv4 récemment acquis par 
> Microsoft en vertu de son acquisition d'actifs faillite de Nortel. 
> Bien qu'il soit prudent de supposer que IPv4 suffisante adresses 
> seront disponibles à court terme, beaucoup prédisent coûts augmenter à
mesure que diminue l'offre.
> 
> Sans établir les meilleures pratiques pour l'IPv6, les gestionnaires 
> de réseau de nombreux ont été réticents à agir. Mais avec 
> l'augmentation des menaces de sécurité et les préoccupations 
> concernant la perte de communication avec les clients qui sont déjà 
> migrer vers IPv6 uniquement les systèmes, en attendant que d'autres 
> vont d'abord et ne rien faire en attendant la position n'est pas la
«position neutre» qu'il n'y paraît.
> 
> La phase de planification est un bon temps pour établir ou rétablir 
> des liens avec un vendeur de réseau de confiance qui peut fournir 
> l'architecture et les conseils de sécurité, avec des solutions 
> évolutives pour un large éventail d'options de migration.
> 
> Perschke est co-propriétaire de deux sociétés de services 
> informatiques spécialisée dans l'hébergement web, SaaS (nuage) le 
> développement d'applications et la modélisation et l'intégration de 
> SGBDR. Susan a également la responsabilité exécutive pour la gestion 
> des risques et la sécurité du réseau au centre de ses entreprises »de 
> données. Elle peut être atteint à susan at arcseven.com.
> 
> Avec nos meilleures salutations
> 
> 
> 
> 
> _______________________________________________
> AfrICANN mailing list
> AfrICANN at afrinic.net
> https://lists.afrinic.net/mailman/listinfo.cgi/africann

- --
Nacer Adamou Saïdou
LPC-1 Certified Engineer
Wave: nacerix at waveinabox.net
Blog: http://nacerix.blogspot.com
Twitter: nacerix
Identi.ca: nacerix
http://paper.li/nacerix
http://netvibes.net/nacerix
https://launchpad.net/~adamou-nacer
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJO3MeyAAoJELZpU0pKyeBuHE8IAJfRdSej3XkX4C95bQhaT+kC
yF0Ctraxkm6f4NIo6k74+o73UiXXgBZ/NeF1aXBbmte+sRaXWo8km79KS7WZayzt
YDx2X3lEs0uA3IjjWqO1cBYpr5MiEmURsTkyl+szW9q3YnOp/wLPICUBjaMeFbmN
nqrqb8Rs6zJiqm13Wo9FTTqmoZVSttyxVdaiFOPn+TwhOvUeazcjKAh1cFVf+NR2
5btKv7AEQy5zHOAdTWdG0ep6pS7a4PIFqeVSWf4PaG1xB+WH22a3Kh+7SeUowG8W
waOyCAiDcaib9Lj9z7lyDXYTjg8Bbkapv8VuucIYlenRJNgaYHu33tiPFxcnO8w=
=lT9v
-----END PGP SIGNATURE-----
_______________________________________________
AfrICANN mailing list
AfrICANN at afrinic.net
https://lists.afrinic.net/mailman/listinfo.cgi/africann




More information about the AfrICANN mailing list