<div><span title="Hackers target IPv6">Hackers target IPv6</span></div><div><span title="Hackers target IPv6"><br></span><span title="Enterprises need to be aware of hidden IPv6 vulnerabilities">Les entreprises ont besoin d'être conscient de la vulnérabilité cachée IPv6<br>
<br></span><span title="By Susan Perschke, Network World">Par Susan Perschke, Network World<br></span><span title="November 28, 2011 06:10 AM ET">28 novembre 2011 06:10 HE<br><br></span><span title="If your IPv6 strategy is to delay implementation as long as you can, you still must address IPv6 security concerns right now.">Si votre stratégie IPv6 est de retarder la mise en œuvre aussi longtemps que vous le pouvez, vous devez toujours répondre aux préoccupations de sécurité IPv6 dès maintenant.<br>
<br></span><span title="If you plan to deploy IPv6 in a dual-stack configuration with IPv4, you're still not off the hook when it comes to security.">Si vous envisagez de déployer l'IPv6 dans une configuration dual-stack avec IPv4, vous n'êtes toujours pas décroché quand il s'agit de sécurité. </span><span title="And if you think you can simply turn off IPv6, that's not going to fly either.">Et si vous pensez que vous pouvez simplement désactiver l'IPv6, cela ne va pas voler non plus.<br>
<br></span><span title="The biggest looming security threat lies in the fact that enterprise networks already have tons of IPv6 enabled devices, including every device running Windows Vista or Windows 7, Mac OS/X, all Linux devices and BSD.">La plus grande menace imminente de sécurité réside dans le fait que les réseaux d'entreprise ont déjà des tonnes d'appareils compatibles IPv6, y compris tous les appareils fonctionnant sous Windows Vista ou Windows 7, Mac OS / X, tous les périphériques sous Linux et BSD.<br>
<br></span><span title="And unlike its predecessor, DHCP for IPv4, stateless IPv6 doesn't require manual configuration.">Et contrairement à son prédécesseur, le protocole DHCP pour IPv4, IPv6 sans état ne nécessite pas de configuration manuelle. </span><span title="This stateless auto-configuration feature, enabled by default in most operating systems, means that "IPv6-enabled devices are just waiting for a single router advertisement to identify themselves on the network," says Eric Vyncke, Distinguished Systems Engineer at Cisco Systems and co">Cette auto-configuration sans fonction, activée par défaut dans la plupart des systèmes d'exploitation, signifie que «IPv6 appareils sont simplement en attente d'un annonce de routeur simple de s'identifier sur le réseau», explique Eric Vyncke, Distinguished Engineer chez Cisco Systems Systèmes et co </span><span title="-author of the book “IPv6 Security."">-auteur du livre «La sécurité IPv6."<br>
<br></span><span title="He cautions that "IPv4-only routers and switches don't recognize or respond to IPv6 device announcements, but a rogue IPv6 router could send and interpret this traffic."">Il avertit que «IPv4 uniquement les routeurs et les commutateurs ne reconnaissent pas ou répondre aux annonces dispositif d'IPv6, mais un routeur IPv6 voyous pouvaient envoyer et d'interpréter ce trafic."<br>
<br></span><span title="Stateless auto-configuration allows any IPv6-enabled device to communicate with other IPv6 network devices and services on the same LAN.">L'auto-configuration permet à tout appareil compatible IPv6 pour communiquer avec d'autres périphériques réseau et les services IPv6 sur le même LAN. </span><span title="To do this, the device advertises its presence and is located via the IPv6 Neighbor Discovery Protocol (NDP).">Pour ce faire, l'appareil annonce sa présence et se trouve via l'IPv6 Neighbor Discovery Protocol (NPD).<br>
<br></span><span title="But left unmanaged, NDP may be a bit too neighborly, possibly exposing devices to attackers anxious to glean information about what's going on inside the network, or even allowing the device itself to be taken over and turned into a "zombie."">Mais elle n'était pas maîtrisée, NPD peut être un peu trop de bon voisinage, éventuellement exposer les dispositifs d'attaquants désireux de glaner des informations sur ce qui se passe à l'intérieur du réseau, ou même en tenant l'appareil lui-même pour être repris et transformé en un "zombie".<br>
<br></span><span title="Vyncke says the threat is real.">Vyncke affirme que la menace est réelle. </span><span title=""We have observed worldwide that bots are increasing their use of IPv6 as a covert channel to communicate with their botmaster."">"Nous avons observé dans le monde entier que les robots sont d'accroître leur utilisation de l'IPv6 comme un canal caché pour communiquer avec leurs botmaster». </span><span title="Among its many disguises, IPv6-enabled malware can take the form of a malicious payload encapsulated in one or more IPv4 messages.">Parmi ses nombreux déguisements, IPv6 logiciels malveillants peuvent prendre la forme d'une charge utile malveillante encapsulé dans un ou plusieurs messages IPv4. </span><span title="Without IPv6-specific security measures such as deep packet inspection, this type of payload may pass through the IPv4 perimeter and DMZ defenses undetected.">Sans mesures de sécurité IPv6 spécifiques telles que l'inspection approfondie des paquets, ce type de charge utile peut passer à travers le périmètre IPv4 et défenses DMZ inaperçue.<br>
<br></span><span title="SEND (SEcure Neighbor Discovery) is the IETF solution to Layer-2 IPv6 threats such as rogue RA and NDP spoofing, which equate to IPv4 threats named rogue DHCP and ARP spoofing.">ENVOYER (Secure Neighbor Discovery) est la solution IETF pour Layer-2 menaces telles que IPv6 voyous RA et l'usurpation du NPD, qui équivalent à IPv4 menaces appelé DHCP voyous et de l'ARP spoofing. </span><span title="Some OS vendors support SEND, while others, notably Microsoft and Apple, do not.">Certains fournisseurs OS soutien envoient, tandis que d'autres, notamment Microsoft et Apple, n'en ont pas.<br>
<br></span><span title="Cisco and the IETF are in the process of implementing the same security mechanisms for IPv6 that are currently used to protect IPv4 against these threats.">Cisco et l'IETF est en train de mettre en œuvre les mécanismes de sécurité de même pour IPv6 qui sont actuellement utilisés pour protéger contre ces menaces IPv4.<br>
<br></span><span title="The IETF has a working group SAVI (Source Address Validation) and Cisco is implementing a three-phase plan to upgrade its IOS that started in 2010 and will be fully implemented by sometime in 2012, depending upon the switch type.">L'IETF a un. Groupe de travail SAVI (validation d'adresse source) et Cisco met en œuvre un plan en trois phases visant à moderniser son IOS qui a débuté en 2010 et seront entièrement mises en œuvre par quelque part en 2012, selon le type de commutateur<br>
<br></span><span title="Vyncke notes that some of the more common IPv6 security risks are accidentally created by an improperly configured end-user device on the network, and that proper configuration and IPv6 security measures would eliminate many of these risks.">Vyncke note que certains des risques les plus communs de sécurité IPv6 sont accidentellement créé par une mauvaise configuration de l'utilisateur final périphérique sur le réseau, et que la configuration appropriée et de mesures de sécurité IPv6 permettrait d'éliminer nombre de ces risques.<br>
<br></span><span title=""The answer to this type of problem is to deploy native IPv6, and to protect IPv6 traffic at the same level and against the same kinds of threats you already defend in IPv4," Vyncke explains.">"La réponse à ce type de problème est de déployer l'IPv6 natif, et de protéger le trafic IPv6 au même niveau et contre les mêmes types de menaces que vous avez déjà de défendre en IPv4», explique Vyncke.<br>
<br></span><span title="The IPSec myth">Le mythe IPSec<br> <br></span><span title="There's a common perception that IPv6 is natively more secure than IPv4 because IPSec support is mandatory in IPv6.">Il ya une perception commune que l'IPv6 est nativement plus sécurisé que IPv4, car en charge IPSec est obligatoire dans IPv6. </span><span title=""This is a myth that needs to be debunked," Vyncke says.">«C'est un mythe qui a besoin d'être démystifié», dit Vyncke.<br>
<br></span><span title="He points out that, aside from the practical challenges associated with the broad-scale implementation of IPSec, the content of IPSec-encapsulated traffic becomes invisible to devices (routers/switches/firewalls), thereby interfering with their important security functions.">Il souligne que, outre les difficultés pratiques liées à la mise en œuvre à grande échelle du protocole IPSec, le contenu de IPSec encapsulé le trafic devient invisible pour périphériques (routeurs / commutateurs / firewalls), interférant ainsi avec leurs fonctions de sécurité importantes.<br>
<br></span><span title="For this reason, Vyncke, who is also an active member of the IETF and the author of RFC 3585, reports that an IETF working group is considering a change that would make IPSec support "recommended" rather than "required" in IPv6 implementations.">Pour cette raison, Vyncke, qui est également un membre actif de l'IETF et l'auteur de la RFC 3585, rapporte qu'un groupe de travail IETF envisage une modification qui ferait en charge IPSec «recommandé» plutôt que «nécessaire» dans les implémentations d'IPv6.<br>
<br></span><span title="Regarding disabling IPv6, Vyncke says it's a bad idea for two reasons.">En ce qui concerne IPv6 invalidante, Vyncke dit que c'est une mauvaise idée pour deux raisons. </span><span title="One, Microsoft has said that disabling IPv6 on Windows 2008 constitutes an unsupported configuration.">One, Microsoft a déclaré que la désactivation de l'IPv6 sur Windows 2008 constitue une configuration non prise en charge. </span><span title="And Vyncke says trying to disable IPv6 is a head-in-the-sand strategy that delays the inevitable and could make security worse because IPv6 enabled devices are going to be showing up on the network whether IT wants it or not.">Et Vyncke dit essayer de désactiver l'IPv6 est une tête-de-sable-stratégie qui retarde l'inévitable et pourrait faire de la sécurité pire parce que les périphériques compatibles IPv6 vont être apparaître sur le réseau qu'il le veuille ou non.<br>
<br></span><span title="Momentum building">Renforcer la dynamique<br> <br></span><span title="Security threats aside, there is a growing business case for IPv6 that is getting harder to sweep under the rug.">Les menaces de sécurité côté, il ya une analyse de rentabilisation croissante pour IPv6 qui devient plus difficile de balayer sous le tapis. </span><span title="Banks and online brokerages already face the challenge of losing communication with international customers whose networks no longer support IPv4.">Les banques et les courtiers en ligne font déjà face au défi de perdre la communication avec les clients internationaux dont les réseaux ne supportent plus l'IPv4.<br>
<br></span><span title="Companies like Telefonica and T-Mobile are embracing IPv6 in a big way, especially for their European bases.">Des entreprises comme Telefonica et T-Mobile IPv6 sont embrassant dans une grande manière, surtout pour leurs bases européennes. </span><span title="And the US government, which has been steadily migrating to IPv6, is clamoring for providers and vendors to deliver more IPv6 products and services.">Et le gouvernement américain, qui n'a cessé de migrer vers l'IPv6, réclame à grands cris pour les prestataires et fournisseurs à fournir des produits plus IPv6 et des services.<br>
<br></span><span title=""You never want to be in a position where you can't interact with your customers," says Keith Stewart, director of Brocade Communications Systems Applications Delivery Products.">«Vous ne voulez jamais être dans une position où vous ne pouvez pas interagir avec vos clients», affirme Keith Stewart, directeur des produits Brocade Communications Systems livraison Applications. </span><span title="Nevertheless, sharing the prevalent view among network vendors, Stewart sees a gradual migration to IPv6.">Néanmoins, le partage de l'opinion la plus répandue parmi les fournisseurs de réseau, Stewart voit une migration progressive vers IPv6.<br>
<br></span><span title=""A wholesale upgrade to IPv6 across the Internet is neither practical nor effective," Stewart says.">"Une mise à niveau de gros à travers l'Internet IPv6 n'est ni pratique ni efficace», dit Stewart. </span><span title=""Customers need a balanced, practical approach."">«Les clients ont besoin d'une approche équilibrée et pratique." </span><span title="He notes that service providers, who consume addresses faster than anyone else, are first in line for IPv6 upgrades, followed by content hosts (Google and Facebook), and finally end-users, whose home routers are still 99% IPv4-based.">Il note que les fournisseurs de services, qui consomment adresses plus vite que n'importe qui d'autre, sont en première ligne pour les mises à niveau IPv6, suivie par les hébergeurs de contenu (Google et Facebook), et enfin les utilisateurs finaux, dont la maison routeurs sont encore 99%, basé sur IPV4.<br>
<br></span><span title="When Brocade needed to move to IPv6, it took existing load balancers and turned on IPv6 translation to public-facing services, preserving IPv4 connectivity on the internal network.">Lorsque Brocade nécessaire pour passer à l'IPv6, il a fallu les équilibreurs de charge existants et tourné sur la traduction IPv6 pour les services au public, la préservation de la connectivité IPv4 sur le réseau interne. </span><span title=""The public stack is the most important. Pick a smaller project where you can make a business case to communicate with IPv6 customers. When building out your next set of services, demand that it's dual-stack capable or translation-capable for older IPv4 architectures">"La pile du public est le plus important. Choisissez un petit projet où vous pouvez faire une analyse de rentabilisation pour communiquer avec les clients IPv6. Lors de la construction hors de votre prochaine série de services, la demande que ce double pile capable ou traduction capables d'anciens IPv4 architectures </span><span title=". This allows you to build a business-facing ROI as your teams gain competence with IPv6. Any transition should be designed to be seamless for the end user," Stewart says.">. Cela vous permet de bâtir une entreprise orientée ROI que vos équipes acquérir une compétence avec IPv6. Toute transition devrait être conçu pour être transparent pour l'utilisateur final », dit Stewart.<br>
<br></span><span title="Juniper Networks reports that up to now the majority of its customers requesting IPv6 services are from the education and government sectors, specifically university research labs and governmental units seeking to comply with federal IPv6 mandates.">Juniper Networks rapporte que jusqu'à présent, la majorité de ses clients demandant des services IPv6 sont des secteurs de l'éducation et du gouvernement, plus précisément laboratoires de recherche universitaires et les unités gouvernementales qui cherchent à se conformer aux mandats fédéraux IPv6.<br>
<br></span><span title="Juniper predicts increased IPv6 activity for 2012, especially among service providers.">Juniper prévoit une activité accrue d'IPv6 pour 2012, notamment chez les fournisseurs de services. </span><span title=""IPv4 address exhaustion is becoming a significant problem for our customers around the world," says Alain Durand, director of software engineering, Platform and Systems Division CTO group.">«IPv4 épuisement des adresses devient un problème important pour nos clients du monde entier», explique Alain Durand, directeur du génie logiciel, plate-forme et la Division des systèmes CTO du groupe. </span><span title="Even so, Durand expects that most IPv6 deployments will be smaller projects with IPv6 implemented as an "add-on" (dual-stack) to existing IPv4 public-facing services.">Même ainsi, Durand s'attend à ce que la plupart des déploiements IPv6 seront plus petits projets mis en œuvre avec le protocole IPv6 comme un «add-on» (dual-stack) pour IPv4 existante services au public. </span><span title=""To deal with the growing shortage of IPv4 addresses, customers always have the option of adding another layer of NAT," Durand says.">«Pour faire face à la pénurie croissante d'adresses IPv4, les clients ont toujours la possibilité d'ajouter une autre couche de NAT", explique Durand.<br>
<br></span><span title="While there is no way to predict with certainty exactly how long it will take until all IPv4 addresses are exhausted, the daily statistics compiled by Geoff Huston, chief scientist at APNIC, are frequently cited as a reliable source.">Bien qu'il n'y ait aucun moyen de prédire avec certitude combien de temps exactement il faudra attendre toutes les adresses IPv4 sont épuisés, les statistiques quotidiennes compilées par Geoff Huston, chief scientist chez APNIC, sont fréquemment citées comme une source fiable. </span><span title="Huston's model, which is based on public data sources derived from data published by the IANA and the Regional Internet Registries, predicts full depletion of all remaining unallocated IPv4 addresses by 2014.">Modèle de Huston, qui est basé sur les sources de données publiques tirées de données publiées par l'IANA et les Registres Internet Régionaux, prédit l'épuisement complet de tous les autres adresses IPv4 non attribuées en 2014.<br>
<br></span><span title="However, it is important to note that Huston's model does not factor in addresses which may be held by private organizations for future use or sale.">Cependant, il est important de noter que le modèle de Huston ne tient pas compte des adresses qui peuvent être détenus par des organisations privées pour un usage futur ou de la vente. </span><span title="For example, it would not factor in the more than 600,000 IPv4 addresses recently acquired by Microsoft under its purchase of bankrupt Nortel's assets.">Par exemple, il ne serait pas facteur de plus de 600.000 adresses IPv4 récemment acquis par Microsoft en vertu de son acquisition d'actifs faillite de Nortel. </span><span title="While it may be safe to assume that sufficient IPv4 addresses will be available in the near term, many predict costs to rise as the supply dwindles.">Bien qu'il soit prudent de supposer que IPv4 suffisante adresses seront disponibles à court terme, beaucoup prédisent coûts augmenter à mesure que diminue l'offre.<br>
<br></span><span title="Without established best practices for IPv6, many network managers have been reluctant to act.">Sans établir les meilleures pratiques pour l'IPv6, les gestionnaires de réseau de nombreux ont été réticents à agir. </span><span title="But with increasing security threats and concerns about losing communication with customers who are already migrating to IPv6-only systems, waiting for others go first and doing nothing in the meantime isn't the 'position-neutral' stance that it might seem.">Mais avec l'augmentation des menaces de sécurité et les préoccupations concernant la perte de communication avec les clients qui sont déjà migrer vers IPv6 uniquement les systèmes, en attendant que d'autres vont d'abord et ne rien faire en attendant la position n'est pas la «position neutre» qu'il n'y paraît.<br>
<br></span><span title="The planning phase is a good time to establish or re-establish ties with a trusted network vendor who can provide architecture and security guidance, together with scalable solutions for a broad array of migration options.">La phase de planification est un bon temps pour établir ou rétablir des liens avec un vendeur de réseau de confiance qui peut fournir l'architecture et les conseils de sécurité, avec des solutions évolutives pour un large éventail d'options de migration.<br>
<br></span><span style="background-color: rgb(235, 239, 249);" title="Perschke is co-owner of two IT services firms specializing in web hosting, SaaS (cloud) application development and RDBMS modeling and integration.">Perschke est co-propriétaire de deux sociétés de services informatiques spécialisée dans l'hébergement web, SaaS (nuage) le développement d'applications et la modélisation et l'intégration de SGBDR. </span><span title="Susan also has executive responsibility for risk management and network security at her companies' data center.">Susan a également la responsabilité exécutive pour la gestion des risques et la sécurité du réseau au centre de ses entreprises »de données. </span><span title="She can be reached at susan@arcseven.com.">Elle peut être atteint à <a href="mailto:susan@arcseven.com">susan@arcseven.com</a>.<br>
<br></span><span title="With kind regards">Avec nos meilleures salutations</span><br clear="all"><br>-- <br><i><b><span style="color: rgb(0, 0, 153);">Joseph MANDJOLO MUSH</span></b></i><br><i style="color: rgb(0, 153, 0);"><b>Chef de Service Qualités des Services<br>
Assistant Technique et Maintenance <br>projet gestion nom de domaine .CD</b></i><br><i style="color: rgb(204, 0, 0);"><b>SCPT/DRC</b></i><br><i><span style="color: rgb(204, 51, 204);">Mobile: +243 9 98 42 91 25</span><br style="color: rgb(204, 51, 204);">
<span style="color: rgb(204, 51, 204);"> +243 89 80 86 263</span><br style="color: rgb(204, 51, 204);"><span style="color: rgb(204, 51, 204);">B.P. 1130 Kinshasa 1</span><br>e-mail: <a href="mailto:josemandjolo@ocpt.cd" target="_blank">josemandjolo@ocpt.cd</a><br>
<a href="mailto:josemandjolo@hotmail.com" target="_blank">josemandjolo@hotmail.com</a></i><br><br>
</div>