[AfrICANN-discuss] Re: AfrICANN Digest, Vol 58, Issue 6

pikanza at gmail.com pikanza at gmail.com
Tue Dec 6 14:53:23 SAST 2011


Pikanza at newvision.co.ug
S e n t   f r o m   m y   B l a c k B e r r y ®   s m a r t p h o n e

-----Original Message-----
From: africann-request at afrinic.net
Sender: africann-bounces at afrinic.net
Date: Tue, 6 Dec 2011 14:50:30 
To: <africann at afrinic.net>
Reply-To: africann at afrinic.net
Subject: AfrICANN Digest, Vol 58, Issue 6

Send AfrICANN mailing list submissions to
	africann at afrinic.net

To subscribe or unsubscribe via the World Wide Web, visit
	https://lists.afrinic.net/mailman/listinfo.cgi/africann
or, via email, send a message with subject or body 'help' to
	africann-request at afrinic.net

You can reach the person managing the list at
	africann-owner at afrinic.net

When replying, please edit your Subject line so it is more specific
than "Re: Contents of AfrICANN digest..."


Today's Topics:

   1. Re: Hackers target IPv6 (Nacer Adamou Saidou)
   2. RE: Hackers target IPv6 (Jean-Robert Hountomey)
   3. RE: Hackers target IPv6 (ISOC Cameroon Chapter)


----------------------------------------------------------------------

Message: 1
Date: Mon, 05 Dec 2011 14:31:30 +0100
From: Nacer Adamou Saidou <adamou.nacer at gmail.com>
Subject: Re: [AfrICANN-discuss] Hackers target IPv6
To: africann at afrinic.net
Message-ID: <4EDCC7B2.1060402 at gmail.com>
Content-Type: text/plain; charset=windows-1252

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour,
ce message est franchement utile, mais je pense qu'il s'agit du résultat
d'une traduction automatique et le français qui en résulte est vraiment
difficile à déchiffrer.
Est ce possible d'avoir le lien original de l'article ou carrément la
version en anglais?
Amicalement

Le 05/12/2011 13:48, Joseph Mandjolo a écrit :
> Hackers target IPv6
> 
> Les entreprises ont besoin d'être conscient de la vulnérabilité cachée IPv6
> 
> Par Susan Perschke, Network World
> 28 novembre 2011 06:10 HE
> 
> Si votre stratégie IPv6 est de retarder la mise en œuvre aussi longtemps
> que vous le pouvez, vous devez toujours répondre aux préoccupations de
> sécurité IPv6 dès maintenant.
> 
> Si vous envisagez de déployer l'IPv6 dans une configuration dual-stack avec
> IPv4, vous n'êtes toujours pas décroché quand il s'agit de sécurité. Et si
> vous pensez que vous pouvez simplement désactiver l'IPv6, cela ne va pas
> voler non plus.
> 
> La plus grande menace imminente de sécurité réside dans le fait que les
> réseaux d'entreprise ont déjà des tonnes d'appareils compatibles IPv6, y
> compris tous les appareils fonctionnant sous Windows Vista ou Windows 7,
> Mac OS / X, tous les périphériques sous Linux et BSD.
> 
> Et contrairement à son prédécesseur, le protocole DHCP pour IPv4, IPv6 sans
> état ne nécessite pas de configuration manuelle. Cette auto-configuration
> sans fonction, activée par défaut dans la plupart des systèmes
> d'exploitation, signifie que «IPv6 appareils sont simplement en attente
> d'un annonce de routeur simple de s'identifier sur le réseau», explique
> Eric Vyncke, Distinguished Engineer chez Cisco Systems Systèmes et co -auteur
> du livre «La sécurité IPv6."
> 
> Il avertit que «IPv4 uniquement les routeurs et les commutateurs ne
> reconnaissent pas ou répondre aux annonces dispositif d'IPv6, mais un
> routeur IPv6 voyous pouvaient envoyer et d'interpréter ce trafic."
> 
> L'auto-configuration permet à tout appareil compatible IPv6 pour
> communiquer avec d'autres périphériques réseau et les services IPv6 sur le
> même LAN. Pour ce faire, l'appareil annonce sa présence et se trouve via
> l'IPv6 Neighbor Discovery Protocol (NPD).
> 
> Mais elle n'était pas maîtrisée, NPD peut être un peu trop de bon
> voisinage, éventuellement exposer les dispositifs d'attaquants désireux de
> glaner des informations sur ce qui se passe à l'intérieur du réseau, ou
> même en tenant l'appareil lui-même pour être repris et transformé en un
> "zombie".
> 
> Vyncke affirme que la menace est réelle. "Nous avons observé dans le monde
> entier que les robots sont d'accroître leur utilisation de l'IPv6 comme un
> canal caché pour communiquer avec leurs botmaster». Parmi ses nombreux
> déguisements, IPv6 logiciels malveillants peuvent prendre la forme d'une
> charge utile malveillante encapsulé dans un ou plusieurs messages IPv4. Sans
> mesures de sécurité IPv6 spécifiques telles que l'inspection approfondie
> des paquets, ce type de charge utile peut passer à travers le périmètre
> IPv4 et défenses DMZ inaperçue.
> 
> ENVOYER (Secure Neighbor Discovery) est la solution IETF pour Layer-2
> menaces telles que IPv6 voyous RA et l'usurpation du NPD, qui équivalent à
> IPv4 menaces appelé DHCP voyous et de l'ARP spoofing. Certains fournisseurs
> OS soutien envoient, tandis que d'autres, notamment Microsoft et Apple,
> n'en ont pas.
> 
> Cisco et l'IETF est en train de mettre en œuvre les mécanismes de sécurité
> de même pour IPv6 qui sont actuellement utilisés pour protéger contre ces
> menaces IPv4.
> 
> L'IETF a un. Groupe de travail SAVI (validation d'adresse source) et Cisco
> met en œuvre un plan en trois phases visant à moderniser son IOS qui a
> débuté en 2010 et seront entièrement mises en œuvre par quelque part en
> 2012, selon le type de commutateur
> 
> Vyncke note que certains des risques les plus communs de sécurité IPv6 sont
> accidentellement créé par une mauvaise configuration de l'utilisateur final
> périphérique sur le réseau, et que la configuration appropriée et de
> mesures de sécurité IPv6 permettrait d'éliminer nombre de ces risques.
> 
> "La réponse à ce type de problème est de déployer l'IPv6 natif, et de
> protéger le trafic IPv6 au même niveau et contre les mêmes types de menaces
> que vous avez déjà de défendre en IPv4», explique Vyncke.
> 
> Le mythe IPSec
> 
> Il ya une perception commune que l'IPv6 est nativement plus sécurisé que
> IPv4, car en charge IPSec est obligatoire dans IPv6. «C'est un mythe qui a
> besoin d'être démystifié», dit Vyncke.
> 
> Il souligne que, outre les difficultés pratiques liées à la mise en œuvre à
> grande échelle du protocole IPSec, le contenu de IPSec encapsulé le trafic
> devient invisible pour périphériques (routeurs / commutateurs / firewalls),
> interférant ainsi avec leurs fonctions de sécurité importantes.
> 
> Pour cette raison, Vyncke, qui est également un membre actif de l'IETF et
> l'auteur de la RFC 3585, rapporte qu'un groupe de travail IETF envisage une
> modification qui ferait en charge IPSec «recommandé» plutôt que
> «nécessaire» dans les implémentations d'IPv6.
> 
> En ce qui concerne IPv6 invalidante, Vyncke dit que c'est une mauvaise idée
> pour deux raisons. One, Microsoft a déclaré que la désactivation de l'IPv6
> sur Windows 2008 constitue une configuration non prise en charge. Et Vyncke
> dit essayer de désactiver l'IPv6 est une tête-de-sable-stratégie qui
> retarde l'inévitable et pourrait faire de la sécurité pire parce que les
> périphériques compatibles IPv6 vont être apparaître sur le réseau qu'il le
> veuille ou non.
> 
> Renforcer la dynamique
> 
> Les menaces de sécurité côté, il ya une analyse de rentabilisation
> croissante pour IPv6 qui devient plus difficile de balayer sous le tapis. Les
> banques et les courtiers en ligne font déjà face au défi de perdre la
> communication avec les clients internationaux dont les réseaux ne
> supportent plus l'IPv4.
> 
> Des entreprises comme Telefonica et T-Mobile IPv6 sont embrassant dans une
> grande manière, surtout pour leurs bases européennes. Et le gouvernement
> américain, qui n'a cessé de migrer vers l'IPv6, réclame à grands cris pour
> les prestataires et fournisseurs à fournir des produits plus IPv6 et des
> services.
> 
> «Vous ne voulez jamais être dans une position où vous ne pouvez pas
> interagir avec vos clients», affirme Keith Stewart, directeur des produits
> Brocade Communications Systems livraison Applications. Néanmoins, le
> partage de l'opinion la plus répandue parmi les fournisseurs de réseau,
> Stewart voit une migration progressive vers IPv6.
> 
> "Une mise à niveau de gros à travers l'Internet IPv6 n'est ni pratique ni
> efficace», dit Stewart. «Les clients ont besoin d'une approche équilibrée
> et pratique." Il note que les fournisseurs de services, qui consomment
> adresses plus vite que n'importe qui d'autre, sont en première ligne pour
> les mises à niveau IPv6, suivie par les hébergeurs de contenu (Google et
> Facebook), et enfin les utilisateurs finaux, dont la maison routeurs sont
> encore 99%, basé sur IPV4.
> 
> Lorsque Brocade nécessaire pour passer à l'IPv6, il a fallu les
> équilibreurs de charge existants et tourné sur la traduction IPv6 pour les
> services au public, la préservation de la connectivité IPv4 sur le réseau
> interne. "La pile du public est le plus important. Choisissez un petit
> projet où vous pouvez faire une analyse de rentabilisation pour communiquer
> avec les clients IPv6. Lors de la construction hors de votre prochaine
> série de services, la demande que ce double pile capable ou traduction
> capables d'anciens IPv4 architectures . Cela vous permet de bâtir une
> entreprise orientée ROI que vos équipes acquérir une compétence avec IPv6.
> Toute transition devrait être conçu pour être transparent pour
> l'utilisateur final », dit Stewart.
> 
> Juniper Networks rapporte que jusqu'à présent, la majorité de ses clients
> demandant des services IPv6 sont des secteurs de l'éducation et du
> gouvernement, plus précisément laboratoires de recherche universitaires et
> les unités gouvernementales qui cherchent à se conformer aux mandats
> fédéraux IPv6.
> 
> Juniper prévoit une activité accrue d'IPv6 pour 2012, notamment chez les
> fournisseurs de services. «IPv4 épuisement des adresses devient un problème
> important pour nos clients du monde entier», explique Alain Durand,
> directeur du génie logiciel, plate-forme et la Division des systèmes CTO du
> groupe. Même ainsi, Durand s'attend à ce que la plupart des déploiements
> IPv6 seront plus petits projets mis en œuvre avec le protocole IPv6 comme
> un «add-on» (dual-stack) pour IPv4 existante services au public. «Pour
> faire face à la pénurie croissante d'adresses IPv4, les clients ont
> toujours la possibilité d'ajouter une autre couche de NAT", explique Durand.
> 
> Bien qu'il n'y ait aucun moyen de prédire avec certitude combien de temps
> exactement il faudra attendre toutes les adresses IPv4 sont épuisés, les
> statistiques quotidiennes compilées par Geoff Huston, chief scientist chez
> APNIC, sont fréquemment citées comme une source fiable. Modèle de Huston,
> qui est basé sur les sources de données publiques tirées de données
> publiées par l'IANA et les Registres Internet Régionaux, prédit
> l'épuisement complet de tous les autres adresses IPv4 non attribuées en
> 2014.
> 
> Cependant, il est important de noter que le modèle de Huston ne tient pas
> compte des adresses qui peuvent être détenus par des organisations privées
> pour un usage futur ou de la vente. Par exemple, il ne serait pas facteur
> de plus de 600.000 adresses IPv4 récemment acquis par Microsoft en vertu de
> son acquisition d'actifs faillite de Nortel. Bien qu'il soit prudent de
> supposer que IPv4 suffisante adresses seront disponibles à court terme,
> beaucoup prédisent coûts augmenter à mesure que diminue l'offre.
> 
> Sans établir les meilleures pratiques pour l'IPv6, les gestionnaires de
> réseau de nombreux ont été réticents à agir. Mais avec l'augmentation des
> menaces de sécurité et les préoccupations concernant la perte de
> communication avec les clients qui sont déjà migrer vers IPv6 uniquement
> les systèmes, en attendant que d'autres vont d'abord et ne rien faire en
> attendant la position n'est pas la «position neutre» qu'il n'y paraît.
> 
> La phase de planification est un bon temps pour établir ou rétablir des
> liens avec un vendeur de réseau de confiance qui peut fournir
> l'architecture et les conseils de sécurité, avec des solutions évolutives
> pour un large éventail d'options de migration.
> 
> Perschke est co-propriétaire de deux sociétés de services informatiques
> spécialisée dans l'hébergement web, SaaS (nuage) le développement
> d'applications et la modélisation et l'intégration de SGBDR. Susan a
> également la responsabilité exécutive pour la gestion des risques et la
> sécurité du réseau au centre de ses entreprises »de données. Elle peut être
> atteint à susan at arcseven.com.
> 
> Avec nos meilleures salutations
> 
> 
> 
> 
> _______________________________________________
> AfrICANN mailing list
> AfrICANN at afrinic.net
> https://lists.afrinic.net/mailman/listinfo.cgi/africann

- -- 
Nacer Adamou Saïdou
LPC-1 Certified Engineer
Wave: nacerix at waveinabox.net
Blog: http://nacerix.blogspot.com
Twitter: nacerix
Identi.ca: nacerix
http://paper.li/nacerix
http://netvibes.net/nacerix
https://launchpad.net/~adamou-nacer
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJO3MeyAAoJELZpU0pKyeBuHE8IAJfRdSej3XkX4C95bQhaT+kC
yF0Ctraxkm6f4NIo6k74+o73UiXXgBZ/NeF1aXBbmte+sRaXWo8km79KS7WZayzt
YDx2X3lEs0uA3IjjWqO1cBYpr5MiEmURsTkyl+szW9q3YnOp/wLPICUBjaMeFbmN
nqrqb8Rs6zJiqm13Wo9FTTqmoZVSttyxVdaiFOPn+TwhOvUeazcjKAh1cFVf+NR2
5btKv7AEQy5zHOAdTWdG0ep6pS7a4PIFqeVSWf4PaG1xB+WH22a3Kh+7SeUowG8W
waOyCAiDcaib9Lj9z7lyDXYTjg8Bbkapv8VuucIYlenRJNgaYHu33tiPFxcnO8w=
=lT9v
-----END PGP SIGNATURE-----


------------------------------

Message: 2
Date: Mon, 5 Dec 2011 08:09:44 -0600
From: "Jean-Robert Hountomey" <hrobert at iservices.tg>
Subject: RE: [AfrICANN-discuss] Hackers target IPv6
To: <africann at afrinic.net>
Message-ID: <007a01ccb357$8bce6df0$a36b49d0$@iservices.tg>
Content-Type: text/plain;	charset="windows-1258"

http://www.networkworld.com/news/2011/112811-hackers-ipv6-253408.html

-----Message d'origine-----
De : africann-bounces at afrinic.net [mailto:africann-bounces at afrinic.net] De
la part de Nacer Adamou Saidou
Envoyé : Monday, December 05, 2011 7:32 AM
À : africann at afrinic.net
Objet : Re: [AfrICANN-discuss] Hackers target IPv6

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour,
ce message est franchement utile, mais je pense qu'il s'agit du résultat
d'une traduction automatique et le français qui en résulte est vraiment
difficile à déchiffrer.
Est ce possible d'avoir le lien original de l'article ou carrément la
version en anglais?
Amicalement

Le 05/12/2011 13:48, Joseph Mandjolo a écrit :
> Hackers target IPv6
> 
> Les entreprises ont besoin d'être conscient de la vulnérabilité cachée 
> IPv6
> 
> Par Susan Perschke, Network World
> 28 novembre 2011 06:10 HE
> 
> Si votre stratégie IPv6 est de retarder la mise en œuvre aussi 
> longtemps que vous le pouvez, vous devez toujours répondre aux 
> préoccupations de sécurité IPv6 dès maintenant.
> 
> Si vous envisagez de déployer l'IPv6 dans une configuration dual-stack 
> avec IPv4, vous n'êtes toujours pas décroché quand il s'agit de 
> sécurité. Et si vous pensez que vous pouvez simplement désactiver 
> l'IPv6, cela ne va pas voler non plus.
> 
> La plus grande menace imminente de sécurité réside dans le fait que 
> les réseaux d'entreprise ont déjà des tonnes d'appareils compatibles 
> IPv6, y compris tous les appareils fonctionnant sous Windows Vista ou 
> Windows 7, Mac OS / X, tous les périphériques sous Linux et BSD.
> 
> Et contrairement à son prédécesseur, le protocole DHCP pour IPv4, IPv6 
> sans état ne nécessite pas de configuration manuelle. Cette 
> auto-configuration sans fonction, activée par défaut dans la plupart 
> des systèmes d'exploitation, signifie que «IPv6 appareils sont 
> simplement en attente d'un annonce de routeur simple de s'identifier 
> sur le réseau», explique Eric Vyncke, Distinguished Engineer chez 
> Cisco Systems Systèmes et co -auteur du livre «La sécurité IPv6."
> 
> Il avertit que «IPv4 uniquement les routeurs et les commutateurs ne 
> reconnaissent pas ou répondre aux annonces dispositif d'IPv6, mais un 
> routeur IPv6 voyous pouvaient envoyer et d'interpréter ce trafic."
> 
> L'auto-configuration permet à tout appareil compatible IPv6 pour 
> communiquer avec d'autres périphériques réseau et les services IPv6 
> sur le même LAN. Pour ce faire, l'appareil annonce sa présence et se 
> trouve via
> l'IPv6 Neighbor Discovery Protocol (NPD).
> 
> Mais elle n'était pas maîtrisée, NPD peut être un peu trop de bon 
> voisinage, éventuellement exposer les dispositifs d'attaquants 
> désireux de glaner des informations sur ce qui se passe à l'intérieur 
> du réseau, ou même en tenant l'appareil lui-même pour être repris et 
> transformé en un "zombie".
> 
> Vyncke affirme que la menace est réelle. "Nous avons observé dans le 
> monde entier que les robots sont d'accroître leur utilisation de 
> l'IPv6 comme un canal caché pour communiquer avec leurs botmaster». 
> Parmi ses nombreux déguisements, IPv6 logiciels malveillants peuvent 
> prendre la forme d'une charge utile malveillante encapsulé dans un ou 
> plusieurs messages IPv4. Sans mesures de sécurité IPv6 spécifiques 
> telles que l'inspection approfondie des paquets, ce type de charge 
> utile peut passer à travers le périmètre
> IPv4 et défenses DMZ inaperçue.
> 
> ENVOYER (Secure Neighbor Discovery) est la solution IETF pour Layer-2 
> menaces telles que IPv6 voyous RA et l'usurpation du NPD, qui 
> équivalent à
> IPv4 menaces appelé DHCP voyous et de l'ARP spoofing. Certains 
> fournisseurs OS soutien envoient, tandis que d'autres, notamment 
> Microsoft et Apple, n'en ont pas.
> 
> Cisco et l'IETF est en train de mettre en œuvre les mécanismes de 
> sécurité de même pour IPv6 qui sont actuellement utilisés pour 
> protéger contre ces menaces IPv4.
> 
> L'IETF a un. Groupe de travail SAVI (validation d'adresse source) et 
> Cisco met en œuvre un plan en trois phases visant à moderniser son IOS 
> qui a débuté en 2010 et seront entièrement mises en œuvre par quelque 
> part en 2012, selon le type de commutateur
> 
> Vyncke note que certains des risques les plus communs de sécurité IPv6 
> sont accidentellement créé par une mauvaise configuration de 
> l'utilisateur final périphérique sur le réseau, et que la 
> configuration appropriée et de mesures de sécurité IPv6 permettrait
d'éliminer nombre de ces risques.
> 
> "La réponse à ce type de problème est de déployer l'IPv6 natif, et de 
> protéger le trafic IPv6 au même niveau et contre les mêmes types de 
> menaces que vous avez déjà de défendre en IPv4», explique Vyncke.
> 
> Le mythe IPSec
> 
> Il ya une perception commune que l'IPv6 est nativement plus sécurisé 
> que IPv4, car en charge IPSec est obligatoire dans IPv6. «C'est un 
> mythe qui a besoin d'être démystifié», dit Vyncke.
> 
> Il souligne que, outre les difficultés pratiques liées à la mise en 
> œuvre à grande échelle du protocole IPSec, le contenu de IPSec 
> encapsulé le trafic devient invisible pour périphériques (routeurs / 
> commutateurs / firewalls), interférant ainsi avec leurs fonctions de
sécurité importantes.
> 
> Pour cette raison, Vyncke, qui est également un membre actif de l'IETF 
> et l'auteur de la RFC 3585, rapporte qu'un groupe de travail IETF 
> envisage une modification qui ferait en charge IPSec «recommandé» 
> plutôt que «nécessaire» dans les implémentations d'IPv6.
> 
> En ce qui concerne IPv6 invalidante, Vyncke dit que c'est une mauvaise 
> idée pour deux raisons. One, Microsoft a déclaré que la désactivation 
> de l'IPv6 sur Windows 2008 constitue une configuration non prise en 
> charge. Et Vyncke dit essayer de désactiver l'IPv6 est une 
> tête-de-sable-stratégie qui retarde l'inévitable et pourrait faire de 
> la sécurité pire parce que les périphériques compatibles IPv6 vont 
> être apparaître sur le réseau qu'il le veuille ou non.
> 
> Renforcer la dynamique
> 
> Les menaces de sécurité côté, il ya une analyse de rentabilisation 
> croissante pour IPv6 qui devient plus difficile de balayer sous le 
> tapis. Les banques et les courtiers en ligne font déjà face au défi de 
> perdre la communication avec les clients internationaux dont les 
> réseaux ne supportent plus l'IPv4.
> 
> Des entreprises comme Telefonica et T-Mobile IPv6 sont embrassant dans 
> une grande manière, surtout pour leurs bases européennes. Et le 
> gouvernement américain, qui n'a cessé de migrer vers l'IPv6, réclame à 
> grands cris pour les prestataires et fournisseurs à fournir des 
> produits plus IPv6 et des services.
> 
> «Vous ne voulez jamais être dans une position où vous ne pouvez pas 
> interagir avec vos clients», affirme Keith Stewart, directeur des 
> produits Brocade Communications Systems livraison Applications. 
> Néanmoins, le partage de l'opinion la plus répandue parmi les 
> fournisseurs de réseau, Stewart voit une migration progressive vers IPv6.
> 
> "Une mise à niveau de gros à travers l'Internet IPv6 n'est ni pratique 
> ni efficace», dit Stewart. «Les clients ont besoin d'une approche 
> équilibrée et pratique." Il note que les fournisseurs de services, qui 
> consomment adresses plus vite que n'importe qui d'autre, sont en 
> première ligne pour les mises à niveau IPv6, suivie par les hébergeurs 
> de contenu (Google et Facebook), et enfin les utilisateurs finaux, 
> dont la maison routeurs sont encore 99%, basé sur IPV4.
> 
> Lorsque Brocade nécessaire pour passer à l'IPv6, il a fallu les 
> équilibreurs de charge existants et tourné sur la traduction IPv6 pour 
> les services au public, la préservation de la connectivité IPv4 sur le 
> réseau interne. "La pile du public est le plus important. Choisissez 
> un petit projet où vous pouvez faire une analyse de rentabilisation 
> pour communiquer avec les clients IPv6. Lors de la construction hors 
> de votre prochaine série de services, la demande que ce double pile 
> capable ou traduction capables d'anciens IPv4 architectures . Cela 
> vous permet de bâtir une entreprise orientée ROI que vos équipes acquérir
une compétence avec IPv6.
> Toute transition devrait être conçu pour être transparent pour 
> l'utilisateur final », dit Stewart.
> 
> Juniper Networks rapporte que jusqu'à présent, la majorité de ses 
> clients demandant des services IPv6 sont des secteurs de l'éducation 
> et du gouvernement, plus précisément laboratoires de recherche 
> universitaires et les unités gouvernementales qui cherchent à se 
> conformer aux mandats fédéraux IPv6.
> 
> Juniper prévoit une activité accrue d'IPv6 pour 2012, notamment chez 
> les fournisseurs de services. «IPv4 épuisement des adresses devient un 
> problème important pour nos clients du monde entier», explique Alain 
> Durand, directeur du génie logiciel, plate-forme et la Division des 
> systèmes CTO du groupe. Même ainsi, Durand s'attend à ce que la 
> plupart des déploiements
> IPv6 seront plus petits projets mis en œuvre avec le protocole IPv6 
> comme un «add-on» (dual-stack) pour IPv4 existante services au public. 
> «Pour faire face à la pénurie croissante d'adresses IPv4, les clients 
> ont toujours la possibilité d'ajouter une autre couche de NAT", explique
Durand.
> 
> Bien qu'il n'y ait aucun moyen de prédire avec certitude combien de 
> temps exactement il faudra attendre toutes les adresses IPv4 sont 
> épuisés, les statistiques quotidiennes compilées par Geoff Huston, 
> chief scientist chez APNIC, sont fréquemment citées comme une source 
> fiable. Modèle de Huston, qui est basé sur les sources de données 
> publiques tirées de données publiées par l'IANA et les Registres 
> Internet Régionaux, prédit l'épuisement complet de tous les autres 
> adresses IPv4 non attribuées en 2014.
> 
> Cependant, il est important de noter que le modèle de Huston ne tient 
> pas compte des adresses qui peuvent être détenus par des organisations 
> privées pour un usage futur ou de la vente. Par exemple, il ne serait 
> pas facteur de plus de 600.000 adresses IPv4 récemment acquis par 
> Microsoft en vertu de son acquisition d'actifs faillite de Nortel. 
> Bien qu'il soit prudent de supposer que IPv4 suffisante adresses 
> seront disponibles à court terme, beaucoup prédisent coûts augmenter à
mesure que diminue l'offre.
> 
> Sans établir les meilleures pratiques pour l'IPv6, les gestionnaires 
> de réseau de nombreux ont été réticents à agir. Mais avec 
> l'augmentation des menaces de sécurité et les préoccupations 
> concernant la perte de communication avec les clients qui sont déjà 
> migrer vers IPv6 uniquement les systèmes, en attendant que d'autres 
> vont d'abord et ne rien faire en attendant la position n'est pas la
«position neutre» qu'il n'y paraît.
> 
> La phase de planification est un bon temps pour établir ou rétablir 
> des liens avec un vendeur de réseau de confiance qui peut fournir 
> l'architecture et les conseils de sécurité, avec des solutions 
> évolutives pour un large éventail d'options de migration.
> 
> Perschke est co-propriétaire de deux sociétés de services 
> informatiques spécialisée dans l'hébergement web, SaaS (nuage) le 
> développement d'applications et la modélisation et l'intégration de 
> SGBDR. Susan a également la responsabilité exécutive pour la gestion 
> des risques et la sécurité du réseau au centre de ses entreprises »de 
> données. Elle peut être atteint à susan at arcseven.com.
> 
> Avec nos meilleures salutations
> 
> 
> 
> 
> _______________________________________________
> AfrICANN mailing list
> AfrICANN at afrinic.net
> https://lists.afrinic.net/mailman/listinfo.cgi/africann

- --
Nacer Adamou Saïdou
LPC-1 Certified Engineer
Wave: nacerix at waveinabox.net
Blog: http://nacerix.blogspot.com
Twitter: nacerix
Identi.ca: nacerix
http://paper.li/nacerix
http://netvibes.net/nacerix
https://launchpad.net/~adamou-nacer
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJO3MeyAAoJELZpU0pKyeBuHE8IAJfRdSej3XkX4C95bQhaT+kC
yF0Ctraxkm6f4NIo6k74+o73UiXXgBZ/NeF1aXBbmte+sRaXWo8km79KS7WZayzt
YDx2X3lEs0uA3IjjWqO1cBYpr5MiEmURsTkyl+szW9q3YnOp/wLPICUBjaMeFbmN
nqrqb8Rs6zJiqm13Wo9FTTqmoZVSttyxVdaiFOPn+TwhOvUeazcjKAh1cFVf+NR2
5btKv7AEQy5zHOAdTWdG0ep6pS7a4PIFqeVSWf4PaG1xB+WH22a3Kh+7SeUowG8W
waOyCAiDcaib9Lj9z7lyDXYTjg8Bbkapv8VuucIYlenRJNgaYHu33tiPFxcnO8w=
=lT9v
-----END PGP SIGNATURE-----
_______________________________________________
AfrICANN mailing list
AfrICANN at afrinic.net
https://lists.afrinic.net/mailman/listinfo.cgi/africann




------------------------------

Message: 3
Date: Tue, 6 Dec 2011 13:08:08 +0100
From: "ISOC Cameroon Chapter" <info at isoc-cameroon.org>
Subject: RE: [AfrICANN-discuss] Hackers target IPv6
To: <africann at afrinic.net>
Message-ID: <000601ccb40f$bc653440$352f9cc0$@org>
Content-Type: text/plain;	charset="windows-1258"

Merci Jean-Robert pour le lien original!

Tu avais raison Nacer, l'article en anglais est beaucoup plus
compréhensible. Cette faille de sécurité serait-elle un justificatif du
retard accusé dans le déploiement de l'IPv6?

Je me suis toujours demandé le pourquoi de cette lenteur dans l'adoption et
le déploiement de ce "nouveau-ancien" protocole qu'est l'IPv6. Il faut noté
qu'IPv6 est prêt et utilisable depuis 1999 quand même! 

L'une des raisons principales de ce retard est sans doute que l'IPv4 est là,
disponible et marche bien! Pourquoi investir dans le nouveau alors que
l'ancien est là disponible et fonctionnel? Et l'être humain est toujours
retissant et sceptique envers le changement. Alors un vrai travail
didactique de conduite du changement s'impose. 

Je profite de ce mail pour vous annoncer que le Projet "IMPACT IPv6" du
Chapitre Cameroun de l'Internet Society qui a été sélectionné par le
programme de subventions à la communauté de l'ISOC (prix de novembre 2011:
http://www.isoc.org/isoc/chapters/projects/awards.php?phase=14 ) vise à
accompagner la conduite du changement vers l'IPv6 au niveau du Cameroun. Je
vous en dirais plus dès que le projets sera effectivement lancé.
Cordialement,

Victor Ndonnang
SG
ISOC Cameroon Chapter

-----Message d'origine-----
De : africann-bounces at afrinic.net [mailto:africann-bounces at afrinic.net] De
la part de Jean-Robert Hountomey
Envoyé : lundi 5 décembre 2011 15:10
À : africann at afrinic.net
Objet : RE: [AfrICANN-discuss] Hackers target IPv6

http://www.networkworld.com/news/2011/112811-hackers-ipv6-253408.html 

-----Message d'origine-----
De : africann-bounces at afrinic.net [mailto:africann-bounces at afrinic.net] De
la part de Nacer Adamou Saidou
Envoyé : Monday, December 05, 2011 7:32 AM
À : africann at afrinic.net
Objet : Re: [AfrICANN-discuss] Hackers target IPv6

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour,
ce message est franchement utile, mais je pense qu'il s'agit du résultat
d'une traduction automatique et le français qui en résulte est vraiment
difficile à déchiffrer.
Est ce possible d'avoir le lien original de l'article ou carrément la
version en anglais?
Amicalement

Le 05/12/2011 13:48, Joseph Mandjolo a écrit :
> Hackers target IPv6
> 
> Les entreprises ont besoin d'être conscient de la vulnérabilité cachée 
> IPv6
> 
> Par Susan Perschke, Network World
> 28 novembre 2011 06:10 HE
> 
> Si votre stratégie IPv6 est de retarder la mise en œuvre aussi 
> longtemps que vous le pouvez, vous devez toujours répondre aux 
> préoccupations de sécurité IPv6 dès maintenant.
> 
> Si vous envisagez de déployer l'IPv6 dans une configuration dual-stack 
> avec IPv4, vous n'êtes toujours pas décroché quand il s'agit de 
> sécurité. Et si vous pensez que vous pouvez simplement désactiver 
> l'IPv6, cela ne va pas voler non plus.
> 
> La plus grande menace imminente de sécurité réside dans le fait que 
> les réseaux d'entreprise ont déjà des tonnes d'appareils compatibles 
> IPv6, y compris tous les appareils fonctionnant sous Windows Vista ou 
> Windows 7, Mac OS / X, tous les périphériques sous Linux et BSD.
> 
> Et contrairement à son prédécesseur, le protocole DHCP pour IPv4, IPv6 
> sans état ne nécessite pas de configuration manuelle. Cette 
> auto-configuration sans fonction, activée par défaut dans la plupart 
> des systèmes d'exploitation, signifie que «IPv6 appareils sont 
> simplement en attente d'un annonce de routeur simple de s'identifier 
> sur le réseau», explique Eric Vyncke, Distinguished Engineer chez 
> Cisco Systems Systèmes et co -auteur du livre «La sécurité IPv6."
> 
> Il avertit que «IPv4 uniquement les routeurs et les commutateurs ne 
> reconnaissent pas ou répondre aux annonces dispositif d'IPv6, mais un 
> routeur IPv6 voyous pouvaient envoyer et d'interpréter ce trafic."
> 
> L'auto-configuration permet à tout appareil compatible IPv6 pour 
> communiquer avec d'autres périphériques réseau et les services IPv6 
> sur le même LAN. Pour ce faire, l'appareil annonce sa présence et se 
> trouve via
> l'IPv6 Neighbor Discovery Protocol (NPD).
> 
> Mais elle n'était pas maîtrisée, NPD peut être un peu trop de bon 
> voisinage, éventuellement exposer les dispositifs d'attaquants 
> désireux de glaner des informations sur ce qui se passe à l'intérieur 
> du réseau, ou même en tenant l'appareil lui-même pour être repris et 
> transformé en un "zombie".
> 
> Vyncke affirme que la menace est réelle. "Nous avons observé dans le 
> monde entier que les robots sont d'accroître leur utilisation de 
> l'IPv6 comme un canal caché pour communiquer avec leurs botmaster». 
> Parmi ses nombreux déguisements, IPv6 logiciels malveillants peuvent 
> prendre la forme d'une charge utile malveillante encapsulé dans un ou 
> plusieurs messages IPv4. Sans mesures de sécurité IPv6 spécifiques 
> telles que l'inspection approfondie des paquets, ce type de charge 
> utile peut passer à travers le périmètre
> IPv4 et défenses DMZ inaperçue.
> 
> ENVOYER (Secure Neighbor Discovery) est la solution IETF pour Layer-2 
> menaces telles que IPv6 voyous RA et l'usurpation du NPD, qui 
> équivalent à
> IPv4 menaces appelé DHCP voyous et de l'ARP spoofing. Certains 
> fournisseurs OS soutien envoient, tandis que d'autres, notamment 
> Microsoft et Apple, n'en ont pas.
> 
> Cisco et l'IETF est en train de mettre en œuvre les mécanismes de 
> sécurité de même pour IPv6 qui sont actuellement utilisés pour 
> protéger contre ces menaces IPv4.
> 
> L'IETF a un. Groupe de travail SAVI (validation d'adresse source) et 
> Cisco met en œuvre un plan en trois phases visant à moderniser son IOS 
> qui a débuté en 2010 et seront entièrement mises en œuvre par quelque 
> part en 2012, selon le type de commutateur
> 
> Vyncke note que certains des risques les plus communs de sécurité IPv6 
> sont accidentellement créé par une mauvaise configuration de 
> l'utilisateur final périphérique sur le réseau, et que la 
> configuration appropriée et de mesures de sécurité IPv6 permettrait
d'éliminer nombre de ces risques.
> 
> "La réponse à ce type de problème est de déployer l'IPv6 natif, et de 
> protéger le trafic IPv6 au même niveau et contre les mêmes types de 
> menaces que vous avez déjà de défendre en IPv4», explique Vyncke.
> 
> Le mythe IPSec
> 
> Il ya une perception commune que l'IPv6 est nativement plus sécurisé 
> que IPv4, car en charge IPSec est obligatoire dans IPv6. «C'est un 
> mythe qui a besoin d'être démystifié», dit Vyncke.
> 
> Il souligne que, outre les difficultés pratiques liées à la mise en 
> œuvre à grande échelle du protocole IPSec, le contenu de IPSec 
> encapsulé le trafic devient invisible pour périphériques (routeurs / 
> commutateurs / firewalls), interférant ainsi avec leurs fonctions de
sécurité importantes.
> 
> Pour cette raison, Vyncke, qui est également un membre actif de l'IETF 
> et l'auteur de la RFC 3585, rapporte qu'un groupe de travail IETF 
> envisage une modification qui ferait en charge IPSec «recommandé» 
> plutôt que «nécessaire» dans les implémentations d'IPv6.
> 
> En ce qui concerne IPv6 invalidante, Vyncke dit que c'est une mauvaise 
> idée pour deux raisons. One, Microsoft a déclaré que la désactivation 
> de l'IPv6 sur Windows 2008 constitue une configuration non prise en 
> charge. Et Vyncke dit essayer de désactiver l'IPv6 est une 
> tête-de-sable-stratégie qui retarde l'inévitable et pourrait faire de 
> la sécurité pire parce que les périphériques compatibles IPv6 vont 
> être apparaître sur le réseau qu'il le veuille ou non.
> 
> Renforcer la dynamique
> 
> Les menaces de sécurité côté, il ya une analyse de rentabilisation 
> croissante pour IPv6 qui devient plus difficile de balayer sous le 
> tapis. Les banques et les courtiers en ligne font déjà face au défi de 
> perdre la communication avec les clients internationaux dont les 
> réseaux ne supportent plus l'IPv4.
> 
> Des entreprises comme Telefonica et T-Mobile IPv6 sont embrassant dans 
> une grande manière, surtout pour leurs bases européennes. Et le 
> gouvernement américain, qui n'a cessé de migrer vers l'IPv6, réclame à 
> grands cris pour les prestataires et fournisseurs à fournir des 
> produits plus IPv6 et des services.
> 
> «Vous ne voulez jamais être dans une position où vous ne pouvez pas 
> interagir avec vos clients», affirme Keith Stewart, directeur des 
> produits Brocade Communications Systems livraison Applications. 
> Néanmoins, le partage de l'opinion la plus répandue parmi les 
> fournisseurs de réseau, Stewart voit une migration progressive vers IPv6.
> 
> "Une mise à niveau de gros à travers l'Internet IPv6 n'est ni pratique 
> ni efficace», dit Stewart. «Les clients ont besoin d'une approche 
> équilibrée et pratique." Il note que les fournisseurs de services, qui 
> consomment adresses plus vite que n'importe qui d'autre, sont en 
> première ligne pour les mises à niveau IPv6, suivie par les hébergeurs 
> de contenu (Google et Facebook), et enfin les utilisateurs finaux, 
> dont la maison routeurs sont encore 99%, basé sur IPV4.
> 
> Lorsque Brocade nécessaire pour passer à l'IPv6, il a fallu les 
> équilibreurs de charge existants et tourné sur la traduction IPv6 pour 
> les services au public, la préservation de la connectivité IPv4 sur le 
> réseau interne. "La pile du public est le plus important. Choisissez 
> un petit projet où vous pouvez faire une analyse de rentabilisation 
> pour communiquer avec les clients IPv6. Lors de la construction hors 
> de votre prochaine série de services, la demande que ce double pile 
> capable ou traduction capables d'anciens IPv4 architectures . Cela 
> vous permet de bâtir une entreprise orientée ROI que vos équipes acquérir
une compétence avec IPv6.
> Toute transition devrait être conçu pour être transparent pour 
> l'utilisateur final », dit Stewart.
> 
> Juniper Networks rapporte que jusqu'à présent, la majorité de ses 
> clients demandant des services IPv6 sont des secteurs de l'éducation 
> et du gouvernement, plus précisément laboratoires de recherche 
> universitaires et les unités gouvernementales qui cherchent à se 
> conformer aux mandats fédéraux IPv6.
> 
> Juniper prévoit une activité accrue d'IPv6 pour 2012, notamment chez 
> les fournisseurs de services. «IPv4 épuisement des adresses devient un 
> problème important pour nos clients du monde entier», explique Alain 
> Durand, directeur du génie logiciel, plate-forme et la Division des 
> systèmes CTO du groupe. Même ainsi, Durand s'attend à ce que la 
> plupart des déploiements
> IPv6 seront plus petits projets mis en œuvre avec le protocole IPv6 
> comme un «add-on» (dual-stack) pour IPv4 existante services au public. 
> «Pour faire face à la pénurie croissante d'adresses IPv4, les clients 
> ont toujours la possibilité d'ajouter une autre couche de NAT", explique
Durand.
> 
> Bien qu'il n'y ait aucun moyen de prédire avec certitude combien de 
> temps exactement il faudra attendre toutes les adresses IPv4 sont 
> épuisés, les statistiques quotidiennes compilées par Geoff Huston, 
> chief scientist chez APNIC, sont fréquemment citées comme une source 
> fiable. Modèle de Huston, qui est basé sur les sources de données 
> publiques tirées de données publiées par l'IANA et les Registres 
> Internet Régionaux, prédit l'épuisement complet de tous les autres 
> adresses IPv4 non attribuées en 2014.
> 
> Cependant, il est important de noter que le modèle de Huston ne tient 
> pas compte des adresses qui peuvent être détenus par des organisations 
> privées pour un usage futur ou de la vente. Par exemple, il ne serait 
> pas facteur de plus de 600.000 adresses IPv4 récemment acquis par 
> Microsoft en vertu de son acquisition d'actifs faillite de Nortel. 
> Bien qu'il soit prudent de supposer que IPv4 suffisante adresses 
> seront disponibles à court terme, beaucoup prédisent coûts augmenter à
mesure que diminue l'offre.
> 
> Sans établir les meilleures pratiques pour l'IPv6, les gestionnaires 
> de réseau de nombreux ont été réticents à agir. Mais avec 
> l'augmentation des menaces de sécurité et les préoccupations 
> concernant la perte de communication avec les clients qui sont déjà 
> migrer vers IPv6 uniquement les systèmes, en attendant que d'autres 
> vont d'abord et ne rien faire en attendant la position n'est pas la
«position neutre» qu'il n'y paraît.
> 
> La phase de planification est un bon temps pour établir ou rétablir 
> des liens avec un vendeur de réseau de confiance qui peut fournir 
> l'architecture et les conseils de sécurité, avec des solutions 
> évolutives pour un large éventail d'options de migration.
> 
> Perschke est co-propriétaire de deux sociétés de services 
> informatiques spécialisée dans l'hébergement web, SaaS (nuage) le 
> développement d'applications et la modélisation et l'intégration de 
> SGBDR. Susan a également la responsabilité exécutive pour la gestion 
> des risques et la sécurité du réseau au centre de ses entreprises »de 
> données. Elle peut être atteint à susan at arcseven.com.
> 
> Avec nos meilleures salutations
> 
> 
> 
> 
> _______________________________________________
> AfrICANN mailing list
> AfrICANN at afrinic.net
> https://lists.afrinic.net/mailman/listinfo.cgi/africann

- --
Nacer Adamou Saïdou
LPC-1 Certified Engineer
Wave: nacerix at waveinabox.net
Blog: http://nacerix.blogspot.com
Twitter: nacerix
Identi.ca: nacerix
http://paper.li/nacerix
http://netvibes.net/nacerix
https://launchpad.net/~adamou-nacer
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJO3MeyAAoJELZpU0pKyeBuHE8IAJfRdSej3XkX4C95bQhaT+kC
yF0Ctraxkm6f4NIo6k74+o73UiXXgBZ/NeF1aXBbmte+sRaXWo8km79KS7WZayzt
YDx2X3lEs0uA3IjjWqO1cBYpr5MiEmURsTkyl+szW9q3YnOp/wLPICUBjaMeFbmN
nqrqb8Rs6zJiqm13Wo9FTTqmoZVSttyxVdaiFOPn+TwhOvUeazcjKAh1cFVf+NR2
5btKv7AEQy5zHOAdTWdG0ep6pS7a4PIFqeVSWf4PaG1xB+WH22a3Kh+7SeUowG8W
waOyCAiDcaib9Lj9z7lyDXYTjg8Bbkapv8VuucIYlenRJNgaYHu33tiPFxcnO8w=
=lT9v
-----END PGP SIGNATURE-----
_______________________________________________
AfrICANN mailing list
AfrICANN at afrinic.net
https://lists.afrinic.net/mailman/listinfo.cgi/africann


_______________________________________________
AfrICANN mailing list
AfrICANN at afrinic.net
https://lists.afrinic.net/mailman/listinfo.cgi/africann



------------------------------

_______________________________________________
AfrICANN mailing list
AfrICANN at afrinic.net
https://lists.afrinic.net/mailman/listinfo.cgi/africann


End of AfrICANN Digest, Vol 58, Issue 6
***************************************


More information about the AfrICANN mailing list