[AfrICANN-discuss] Hackers target IPv6

nabil benamar benamar73 at gmail.com
Tue Dec 6 15:07:50 SAST 2011


Bonjour à tous,

Je me demande aussi pourquoi IPv6 accuse un retard par rapport à son
déploiement? J'ai essayé d'écrire des articles de vulgarisation au Maroc
pour débattre des différents aspects relatifs à IPv6. J'ai même préparé un
atelier de formation qui est maintenant certifié par l'ipv6forum. Voir le
lien nabilbenamar.com

Merci

Le 6 décembre 2011 12:08, ISOC Cameroon Chapter <info at isoc-cameroon.org> a
écrit :

> Merci Jean-Robert pour le lien original!
>
> Tu avais raison Nacer, l'article en anglais est beaucoup plus
> compréhensible. Cette faille de sécurité serait-elle un justificatif du
> retard accusé dans le déploiement de l'IPv6?
>
> Je me suis toujours demandé le pourquoi de cette lenteur dans l'adoption et
> le déploiement de ce "nouveau-ancien" protocole qu'est l'IPv6. Il faut noté
> qu'IPv6 est prêt et utilisable depuis 1999 quand même!
>
> L'une des raisons principales de ce retard est sans doute que l'IPv4 est
> là,
> disponible et marche bien! Pourquoi investir dans le nouveau alors que
> l'ancien est là disponible et fonctionnel? Et l'être humain est toujours
> retissant et sceptique envers le changement. Alors un vrai travail
> didactique de conduite du changement s'impose.
>
> Je profite de ce mail pour vous annoncer que le Projet "IMPACT IPv6" du
> Chapitre Cameroun de l'Internet Society qui a été sélectionné par le
> programme de subventions à la communauté de l'ISOC (prix de novembre 2011:
> http://www.isoc.org/isoc/chapters/projects/awards.php?phase=14 ) vise à
> accompagner la conduite du changement vers l'IPv6 au niveau du Cameroun. Je
> vous en dirais plus dès que le projets sera effectivement lancé.
> Cordialement,
>
> Victor Ndonnang
> SG
> ISOC Cameroon Chapter
>
> -----Message d'origine-----
> De : africann-bounces at afrinic.net [mailto:africann-bounces at afrinic.net] De
> la part de Jean-Robert Hountomey
> Envoyé : lundi 5 décembre 2011 15:10
> À : africann at afrinic.net
> Objet : RE: [AfrICANN-discuss] Hackers target IPv6
>
> http://www.networkworld.com/news/2011/112811-hackers-ipv6-253408.html
>
> -----Message d'origine-----
> De : africann-bounces at afrinic.net [mailto:africann-bounces at afrinic.net] De
> la part de Nacer Adamou Saidou
> Envoyé : Monday, December 05, 2011 7:32 AM
> À : africann at afrinic.net
> Objet : Re: [AfrICANN-discuss] Hackers target IPv6
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Bonjour,
> ce message est franchement utile, mais je pense qu'il s'agit du résultat
> d'une traduction automatique et le français qui en résulte est vraiment
> difficile à déchiffrer.
> Est ce possible d'avoir le lien original de l'article ou carrément la
> version en anglais?
> Amicalement
>
> Le 05/12/2011 13:48, Joseph Mandjolo a écrit :
> > Hackers target IPv6
> >
> > Les entreprises ont besoin d'être conscient de la vulnérabilité cachée
> > IPv6
> >
> > Par Susan Perschke, Network World
> > 28 novembre 2011 06:10 HE
> >
> > Si votre stratégie IPv6 est de retarder la mise en œuvre aussi
> > longtemps que vous le pouvez, vous devez toujours répondre aux
> > préoccupations de sécurité IPv6 dès maintenant.
> >
> > Si vous envisagez de déployer l'IPv6 dans une configuration dual-stack
> > avec IPv4, vous n'êtes toujours pas décroché quand il s'agit de
> > sécurité. Et si vous pensez que vous pouvez simplement désactiver
> > l'IPv6, cela ne va pas voler non plus.
> >
> > La plus grande menace imminente de sécurité réside dans le fait que
> > les réseaux d'entreprise ont déjà des tonnes d'appareils compatibles
> > IPv6, y compris tous les appareils fonctionnant sous Windows Vista ou
> > Windows 7, Mac OS / X, tous les périphériques sous Linux et BSD.
> >
> > Et contrairement à son prédécesseur, le protocole DHCP pour IPv4, IPv6
> > sans état ne nécessite pas de configuration manuelle. Cette
> > auto-configuration sans fonction, activée par défaut dans la plupart
> > des systèmes d'exploitation, signifie que «IPv6 appareils sont
> > simplement en attente d'un annonce de routeur simple de s'identifier
> > sur le réseau», explique Eric Vyncke, Distinguished Engineer chez
> > Cisco Systems Systèmes et co -auteur du livre «La sécurité IPv6."
> >
> > Il avertit que «IPv4 uniquement les routeurs et les commutateurs ne
> > reconnaissent pas ou répondre aux annonces dispositif d'IPv6, mais un
> > routeur IPv6 voyous pouvaient envoyer et d'interpréter ce trafic."
> >
> > L'auto-configuration permet à tout appareil compatible IPv6 pour
> > communiquer avec d'autres périphériques réseau et les services IPv6
> > sur le même LAN. Pour ce faire, l'appareil annonce sa présence et se
> > trouve via
> > l'IPv6 Neighbor Discovery Protocol (NPD).
> >
> > Mais elle n'était pas maîtrisée, NPD peut être un peu trop de bon
> > voisinage, éventuellement exposer les dispositifs d'attaquants
> > désireux de glaner des informations sur ce qui se passe à l'intérieur
> > du réseau, ou même en tenant l'appareil lui-même pour être repris et
> > transformé en un "zombie".
> >
> > Vyncke affirme que la menace est réelle. "Nous avons observé dans le
> > monde entier que les robots sont d'accroître leur utilisation de
> > l'IPv6 comme un canal caché pour communiquer avec leurs botmaster».
> > Parmi ses nombreux déguisements, IPv6 logiciels malveillants peuvent
> > prendre la forme d'une charge utile malveillante encapsulé dans un ou
> > plusieurs messages IPv4. Sans mesures de sécurité IPv6 spécifiques
> > telles que l'inspection approfondie des paquets, ce type de charge
> > utile peut passer à travers le périmètre
> > IPv4 et défenses DMZ inaperçue.
> >
> > ENVOYER (Secure Neighbor Discovery) est la solution IETF pour Layer-2
> > menaces telles que IPv6 voyous RA et l'usurpation du NPD, qui
> > équivalent à
> > IPv4 menaces appelé DHCP voyous et de l'ARP spoofing. Certains
> > fournisseurs OS soutien envoient, tandis que d'autres, notamment
> > Microsoft et Apple, n'en ont pas.
> >
> > Cisco et l'IETF est en train de mettre en œuvre les mécanismes de
> > sécurité de même pour IPv6 qui sont actuellement utilisés pour
> > protéger contre ces menaces IPv4.
> >
> > L'IETF a un. Groupe de travail SAVI (validation d'adresse source) et
> > Cisco met en œuvre un plan en trois phases visant à moderniser son IOS
> > qui a débuté en 2010 et seront entièrement mises en œuvre par quelque
> > part en 2012, selon le type de commutateur
> >
> > Vyncke note que certains des risques les plus communs de sécurité IPv6
> > sont accidentellement créé par une mauvaise configuration de
> > l'utilisateur final périphérique sur le réseau, et que la
> > configuration appropriée et de mesures de sécurité IPv6 permettrait
> d'éliminer nombre de ces risques.
> >
> > "La réponse à ce type de problème est de déployer l'IPv6 natif, et de
> > protéger le trafic IPv6 au même niveau et contre les mêmes types de
> > menaces que vous avez déjà de défendre en IPv4», explique Vyncke.
> >
> > Le mythe IPSec
> >
> > Il ya une perception commune que l'IPv6 est nativement plus sécurisé
> > que IPv4, car en charge IPSec est obligatoire dans IPv6. «C'est un
> > mythe qui a besoin d'être démystifié», dit Vyncke.
> >
> > Il souligne que, outre les difficultés pratiques liées à la mise en
> > œuvre à grande échelle du protocole IPSec, le contenu de IPSec
> > encapsulé le trafic devient invisible pour périphériques (routeurs /
> > commutateurs / firewalls), interférant ainsi avec leurs fonctions de
> sécurité importantes.
> >
> > Pour cette raison, Vyncke, qui est également un membre actif de l'IETF
> > et l'auteur de la RFC 3585, rapporte qu'un groupe de travail IETF
> > envisage une modification qui ferait en charge IPSec «recommandé»
> > plutôt que «nécessaire» dans les implémentations d'IPv6.
> >
> > En ce qui concerne IPv6 invalidante, Vyncke dit que c'est une mauvaise
> > idée pour deux raisons. One, Microsoft a déclaré que la désactivation
> > de l'IPv6 sur Windows 2008 constitue une configuration non prise en
> > charge. Et Vyncke dit essayer de désactiver l'IPv6 est une
> > tête-de-sable-stratégie qui retarde l'inévitable et pourrait faire de
> > la sécurité pire parce que les périphériques compatibles IPv6 vont
> > être apparaître sur le réseau qu'il le veuille ou non.
> >
> > Renforcer la dynamique
> >
> > Les menaces de sécurité côté, il ya une analyse de rentabilisation
> > croissante pour IPv6 qui devient plus difficile de balayer sous le
> > tapis. Les banques et les courtiers en ligne font déjà face au défi de
> > perdre la communication avec les clients internationaux dont les
> > réseaux ne supportent plus l'IPv4.
> >
> > Des entreprises comme Telefonica et T-Mobile IPv6 sont embrassant dans
> > une grande manière, surtout pour leurs bases européennes. Et le
> > gouvernement américain, qui n'a cessé de migrer vers l'IPv6, réclame à
> > grands cris pour les prestataires et fournisseurs à fournir des
> > produits plus IPv6 et des services.
> >
> > «Vous ne voulez jamais être dans une position où vous ne pouvez pas
> > interagir avec vos clients», affirme Keith Stewart, directeur des
> > produits Brocade Communications Systems livraison Applications.
> > Néanmoins, le partage de l'opinion la plus répandue parmi les
> > fournisseurs de réseau, Stewart voit une migration progressive vers IPv6.
> >
> > "Une mise à niveau de gros à travers l'Internet IPv6 n'est ni pratique
> > ni efficace», dit Stewart. «Les clients ont besoin d'une approche
> > équilibrée et pratique." Il note que les fournisseurs de services, qui
> > consomment adresses plus vite que n'importe qui d'autre, sont en
> > première ligne pour les mises à niveau IPv6, suivie par les hébergeurs
> > de contenu (Google et Facebook), et enfin les utilisateurs finaux,
> > dont la maison routeurs sont encore 99%, basé sur IPV4.
> >
> > Lorsque Brocade nécessaire pour passer à l'IPv6, il a fallu les
> > équilibreurs de charge existants et tourné sur la traduction IPv6 pour
> > les services au public, la préservation de la connectivité IPv4 sur le
> > réseau interne. "La pile du public est le plus important. Choisissez
> > un petit projet où vous pouvez faire une analyse de rentabilisation
> > pour communiquer avec les clients IPv6. Lors de la construction hors
> > de votre prochaine série de services, la demande que ce double pile
> > capable ou traduction capables d'anciens IPv4 architectures . Cela
> > vous permet de bâtir une entreprise orientée ROI que vos équipes acquérir
> une compétence avec IPv6.
> > Toute transition devrait être conçu pour être transparent pour
> > l'utilisateur final », dit Stewart.
> >
> > Juniper Networks rapporte que jusqu'à présent, la majorité de ses
> > clients demandant des services IPv6 sont des secteurs de l'éducation
> > et du gouvernement, plus précisément laboratoires de recherche
> > universitaires et les unités gouvernementales qui cherchent à se
> > conformer aux mandats fédéraux IPv6.
> >
> > Juniper prévoit une activité accrue d'IPv6 pour 2012, notamment chez
> > les fournisseurs de services. «IPv4 épuisement des adresses devient un
> > problème important pour nos clients du monde entier», explique Alain
> > Durand, directeur du génie logiciel, plate-forme et la Division des
> > systèmes CTO du groupe. Même ainsi, Durand s'attend à ce que la
> > plupart des déploiements
> > IPv6 seront plus petits projets mis en œuvre avec le protocole IPv6
> > comme un «add-on» (dual-stack) pour IPv4 existante services au public.
> > «Pour faire face à la pénurie croissante d'adresses IPv4, les clients
> > ont toujours la possibilité d'ajouter une autre couche de NAT", explique
> Durand.
> >
> > Bien qu'il n'y ait aucun moyen de prédire avec certitude combien de
> > temps exactement il faudra attendre toutes les adresses IPv4 sont
> > épuisés, les statistiques quotidiennes compilées par Geoff Huston,
> > chief scientist chez APNIC, sont fréquemment citées comme une source
> > fiable. Modèle de Huston, qui est basé sur les sources de données
> > publiques tirées de données publiées par l'IANA et les Registres
> > Internet Régionaux, prédit l'épuisement complet de tous les autres
> > adresses IPv4 non attribuées en 2014.
> >
> > Cependant, il est important de noter que le modèle de Huston ne tient
> > pas compte des adresses qui peuvent être détenus par des organisations
> > privées pour un usage futur ou de la vente. Par exemple, il ne serait
> > pas facteur de plus de 600.000 adresses IPv4 récemment acquis par
> > Microsoft en vertu de son acquisition d'actifs faillite de Nortel.
> > Bien qu'il soit prudent de supposer que IPv4 suffisante adresses
> > seront disponibles à court terme, beaucoup prédisent coûts augmenter à
> mesure que diminue l'offre.
> >
> > Sans établir les meilleures pratiques pour l'IPv6, les gestionnaires
> > de réseau de nombreux ont été réticents à agir. Mais avec
> > l'augmentation des menaces de sécurité et les préoccupations
> > concernant la perte de communication avec les clients qui sont déjà
> > migrer vers IPv6 uniquement les systèmes, en attendant que d'autres
> > vont d'abord et ne rien faire en attendant la position n'est pas la
> «position neutre» qu'il n'y paraît.
> >
> > La phase de planification est un bon temps pour établir ou rétablir
> > des liens avec un vendeur de réseau de confiance qui peut fournir
> > l'architecture et les conseils de sécurité, avec des solutions
> > évolutives pour un large éventail d'options de migration.
> >
> > Perschke est co-propriétaire de deux sociétés de services
> > informatiques spécialisée dans l'hébergement web, SaaS (nuage) le
> > développement d'applications et la modélisation et l'intégration de
> > SGBDR. Susan a également la responsabilité exécutive pour la gestion
> > des risques et la sécurité du réseau au centre de ses entreprises »de
> > données. Elle peut être atteint à susan at arcseven.com.
> >
> > Avec nos meilleures salutations
> >
> >
> >
> >
> > _______________________________________________
> > AfrICANN mailing list
> > AfrICANN at afrinic.net
> > https://lists.afrinic.net/mailman/listinfo.cgi/africann
>
> - --
> Nacer Adamou Saïdou
> LPC-1 Certified Engineer
> Wave: nacerix at waveinabox.net
> Blog: http://nacerix.blogspot.com
> Twitter: nacerix
> Identi.ca: nacerix
> http://paper.li/nacerix
> http://netvibes.net/nacerix
> https://launchpad.net/~adamou-nacer
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.10 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iQEcBAEBAgAGBQJO3MeyAAoJELZpU0pKyeBuHE8IAJfRdSej3XkX4C95bQhaT+kC
> yF0Ctraxkm6f4NIo6k74+o73UiXXgBZ/NeF1aXBbmte+sRaXWo8km79KS7WZayzt
> YDx2X3lEs0uA3IjjWqO1cBYpr5MiEmURsTkyl+szW9q3YnOp/wLPICUBjaMeFbmN
> nqrqb8Rs6zJiqm13Wo9FTTqmoZVSttyxVdaiFOPn+TwhOvUeazcjKAh1cFVf+NR2
> 5btKv7AEQy5zHOAdTWdG0ep6pS7a4PIFqeVSWf4PaG1xB+WH22a3Kh+7SeUowG8W
> waOyCAiDcaib9Lj9z7lyDXYTjg8Bbkapv8VuucIYlenRJNgaYHu33tiPFxcnO8w=
> =lT9v
> -----END PGP SIGNATURE-----
> _______________________________________________
> AfrICANN mailing list
> AfrICANN at afrinic.net
> https://lists.afrinic.net/mailman/listinfo.cgi/africann
>
>
> _______________________________________________
> AfrICANN mailing list
> AfrICANN at afrinic.net
> https://lists.afrinic.net/mailman/listinfo.cgi/africann
>
> _______________________________________________
> AfrICANN mailing list
> AfrICANN at afrinic.net
> https://lists.afrinic.net/mailman/listinfo.cgi/africann
>



-- 
*
*
*تحياتي ، **Cordialement, Regards*
*
*
*
*
*نبيل بنعمرو Nabil Benamar*
Enseignant-chercheur en Informatique
Faculté des Lettres et Sciences Humaines
Université Moulay Ismail*
Meknes
Morocco
*GSM: * *+ 212 6 70832236
http://nabilbenamar.com/

*
--------------------------------------------------------------------------------
*
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.afrinic.net/pipermail/africann/attachments/20111206/9d686ae2/attachment-0001.htm


More information about the AfrICANN mailing list