Comprendre IPv6 et sa problématique

Alors qu’on parle d’IPv6 depuis plus de 15 ans dans les milieux plus ou moins autorisés, on n’en voit toujours pas vraiment “les bits”. Si quelques acteurs du marché essayent, tant bien que mal, de promouvoir cette technologie, la route est encore longue pour voir son adoption globalisée. Le but de ce dossier n’est pas de vous permettre de mettre en place IPv6 à la maison (ça a peu d’intérêt et ça présente certains risques), mais de vous donner les clés pour comprendre, dans les grandes lignes, ce que c’est. Et appréhender au passage pourquoi nous sommes toujours en IPv4, ainsi que les défis à relever pour en sortir. D’ailleurs, on va commencer par ce gros morceau, qui a déjà plus de 35 ans ! L’histoire avec un grand H et en avance rapide, c’est parti !

IPv6 Banner

Tout le monde connaît l’histoire des militaires qui ont besoin d’un réseau résistant aux attaques nucléaires et qui demandent à des hippies hackers (dans le sens “bidouilleur de l’extrême”) de leur faire le “network du futur”. Après plein de péripéties funky, on obtient IPv4 au début des années 80. Un protocole encore utilisé aujourd’hui. Oui, je schématise à mort, mais c’est pour que vous soyez concentré pour la suite. On est là pour l’aspect technique de la chose, moins pour l’Histoire.

2 puissance 32, on sera large

IPv4 permet la création de plus de 4 milliards d’adresses IP. On se dit qu’on va être peinard pour un moment. C’est le début des années 80, le temps de l’innocence et de la frugalité : les ordinateurs de l’époque n’ont pas (encore) des Gigas octets de RAM en standard (c’est plutôt du genre 4Ko). Du coup, 4 octets pour stocker l’adresse de l’ordinateur, c’est déjà beaucoup ! Et on n’imagine pas qu’un jour tout le monde aura besoin d’une ou plusieurs IP. Surtout pas pour un téléphone et encore moins pour une télévision ou un amplificateur audio !

Et la lumière fut…

Avance rapide au début des années 90, et l’arrivée d’Internet chez les particuliers. Quelques personnes ayant participé au développement d’IPv4 se disent que ça ne va pas suffire longtemps cette histoire… Si on fait des maths super basiques, on comprend vite qu’avec déjà plus de 5 milliards d’humains à l’époque, rester bloqué sur nos 4 milliards d’adresses IP ne semble pas vraiment être une solution d’avenir. Surtout quand on sait que dans les années 80, c’était un peu la fête à la distribution des sous-réseaux IP (on va y revenir). Résultat, une gueule de bois “technique” carabinée :

Euh dis donc René, tu sais hier soir, quand on était bourré, je t’ai filé quasi gratos 16 millions d’IP, tu ne voudrais pas m’en refiler quelques-unes ?

Va mourir. Donner c’est donner, reprendre c’est voler !

Et merde…

Du coup, il s’est passé deux choses :

  • Un groupe a bossé sur une bidouille assez impressionnante pour qu’IPv4 continue à fonctionner et donné naissance au NAT (Network Address Translation – on va y revenir aussi).
  • Un autre groupe, nommé Internet Engineering Task Force (IETF), a travaillé sur l’avenir du réseau et a pondu un nouveau protocole, le fameux IPv6 dont il est question dans ce dossier.

Dans le cas du NAT, il faut savoir que ce genre de développement “à l’arrache” et avec offrandes aux dieux de la bidouille était très courant à cette époque. C’est encore un peu le cas maintenant, côté Internet en tout cas. Pour vous donner un autre exemple concret, prenez le protocole SMTP qui sert à envoyer vos emails. Sa première implémentation imposait une limite de 4 Ko pour les messages. Puis, en forçant un peu, elle passa à 64 Ko. Et là, un mec s’est dit “Pourquoi ne pas envoyer d’image (fichier binaire) par email ?” et d’un coup, on complexifie le jeu. Le protocole n’étant absolument pas prévu pour transporter autre chose que du texte, y glisser un fichier binaire est a priori impossible.

Sauf pour un bidouilleur avisé. Ou pire, un groupe de bidouilleurs têtus. Plutôt que de réfléchir à un nouveau protocole pour les emails, ils ont préféré inventer un algorithme qui mouline un fichier binaire pour le mettre au format texte. Une transformation qui fait gonfler la taille de votre fichier de 20 a 30 %… Du coup, il sera en prime difficile de faire comprendre à Madame Michu pourquoi une limite de 10 Mo ne permet que d’envoyer des fichiers binaires de 6 ou 7 Mo max, qui sont rajoutés bêtement à la fin du mail sous forme d’encodage texte bien moche…

Mais pour revenir à notre sujet et comprendre pourquoi nous en sommes arrivés à IPv6 (et à toutes les bidouilles d’IPv4), il va falloir définir les choses et faire (un peu) de technique. Non restez, ce n’est pas (trop) compliqué, promis !

Dis Papa, c’est quoi cette bouteille de lait adresse IP ?

Je pense que les lecteurs de Geekzone savent à quoi ressemble une adresse IP, genre 195.242.12.87. En revanche, si je vous demande ce que ça signifie, comment l’IP est utilisé par les ordinateurs, ça se complique un peu plus. Et comme souvent en vulgarisation, on va utiliser une analogie.

Si l’IP est une adresse, par essence informatique, les humains ont utilisé depuis des siècles ce concept, mais avec un formalisme qui parle à presque tout le monde : vous avez deviné, on va parler adresse postale.

Imaginons un instant celle (imaginaire) de Caféine :

Mr Cafeine
42 rue Geekzone
92600 Asnières
France

Pour faire une analogie avec une adresse IP, il faut réécrire un peu tout ca :
France, 92600 Asnières, rue Geekzone, 42, Mr Cafeine

Et histoire que ça fasse encore plus IP :
France.92600 Asnières.rue Geekzone.42.Mr Cafeine

Ce qui donne :
Pays.Ville.Rue.Numero.Nom

J’avoue, ce n’est pas super lisible, mais ça simplifie ce qu’on appelle le routage. Terme qui existe aussi bien à la poste qu’en informatique vu que c’est exactement la même chose. Si je fais une lettre à Cafeine et que je la poste, quel que soit l’endroit où je suis dans le monde, le “facteur” va déjà regarder la première donnée, le pays. Si je suis à Tokyo, le gars du tri postal se moque de savoir où est Asnières ou la rue Geekzone. Si je suis en France en revanche, le facteur va directement regarder la ville une fois qu’il voit que l’adresse concerne la France. Et ainsi de suite.

On peut résumer ça avec un petit schéma :

IPv6_1

Illustration 1 : pour aller chez Caféine, tournez à droite…

Mais en fait, c’est la version simple. En réalité, c’est plutôt un truc comme ça :

IPv6_2

Illustration 2 : oui, j’ai eu la flemme après la ville…

 

Le sous-réseau

Pour une adresse classique, on comprend instinctivement ce qu’est le “sous-réseau”. “France” devient le sous-réseau “Pays” par exemple, mais évidemment, pour un ordinateur, ça n’a pas de sens.

On va donc définir des sous-réseaux avec un format particulier : France/1
ou encore : France.92600 Asnieres/2

Dans le premier cas, le code de fin nous indique de ne prendre en compte que le pays. Si on écrit l’adresse complète :
France.92600 Asnières.rue Geekzone.42.Mr Caféine/1

Les données significatives ne sont plus que :
France

Si je suis au Japon et que j’envoie une carte postale à Caféine, l’adresse complète est donc :
France.92600 Asnières.rue Geekzone.42.Mr Caféine

Mais le postier fait automatiquement :
France.92600 Asnières.rue Geekzone.42.Mr Caféine/1

Et donc ne voit que “France” et la met dans un carton “France”.

Si je suis à Paris, j’aurais :
France.92600 Asnières.rue Geekzone.42.Mr Caféine/2

Soit :

France 92600 Asnières rue Geekzone 42 Mr Cafeine
1 1 0 0 0
France 92600 Asnières 0 0 0

Pour calculer le chiffre /XX, c’est simple, on compte le nombre de 1 de ce que l’on veut garder, qui correspondent aux informations significatives. Ce paramètre s’appelle le Classless Inter-Domain Routing côté IP et vous allez voir, il est essentiel.

Dans le monde de Tron, c’est pareil

L’ordinateur va faire la même chose avec une IP, mais sur un tableau de 32 colonnes. Parce que si votre adresse IPv4 est 195.123.12.45, l’ordinateur, lui, ne pige que les 0 et les 1. Mais personne n’a envie de taper une adresse constituée de trente-deux 0 et 1 ! Du coup, tout a été regroupé en 4 nombres de 8 bits pour simplifier la chose. (8×4 = 32, jusqu’ici vous devriez suivre).

195.123.12.45/16 devient donc ➜

IPv6_3

On écrira au final 195.123.0.0/16 (parce que les informaticiens sont fainéants) si on n’est intéressé que par les deux premiers blocs d’infos, ce fameux /16 nous indiquant qu’on se moque des deux derniers blocs de 8 bits.

Le routage, version IP

Si je reprends l’illustration 2, on obtient la même chose, mais compréhensible en IP :

IPv6_4

Pour voir ce cheminement en live (mais avec des adresses différentes), utilisez les commandes suivante :

tracert google.fr (sous Windows)
traceroute google.Fr (sous Linux / OS X)

En IPv6, c’est pareil, mais avec… 128 colonnes.

Ouaip. Cent vingt-huit. Et la notion de masque (Classless Inter-Domain Routing) (qui devient ici /XXX) est primordiale, car elle fait désormais partie de la définition même d’une adresse IPv6. Et finesse supplémentaire, on passe de la base 10 (le décimal que tout le monde connait) à la base 16. Et clairement, beaucoup moins de gens parlent l’hexadécimal couramment… On n’écrit plus de 0 à 9 mais de 0 à F. Résultat, une adresse IP en IPv6 n’est pas :
195.123.12.45.195.123.12.45.195.123.12.45.195.123.12.45

Mais devient :
2001:0db8:0000:85a3:0000:0000:ac1f:8001

C’est plus court, mais ça va en choquer plus d’un…

Vu la longueur de l’adresse, le /XXX est primordial, car celui-ci permet d’être un gros flemmard (oui, encore) et d’écrire une adresse sous la forme 2001:0db8:1f89:0000:/48 par exemple.

Et si on optimise vraiment, on peut aussi écrire 2001:db8:1f89::/48

Les yeux plus gros que le ventre ?

Pourquoi vous raconter tout ça ? Car ces notions sont indispensables pour comprendre IPv6. Ce système d’adressage est né d’une idée très simple : IPv4 est trop limité pour donner suffisamment d’adresses à tous, il faut un nouveau système qui permet d’être “large”. Tellement large que la norme actuelle n’utilise qu’une fraction des adresses possibles :
2000::/3 soit les adresses de 2000:0:0:0:0:0:0:0 à 3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Chaque FAI dispose d’une plage /32 (donc 296 adresses pour un seul FAI), et ces mêmes FAI proposent à chacun de leur client une plage /64 (soit 264 adresses). Les pros peuvent avoir une plage plus grande (genre /48). C’est donc beaucoup plus qu’IPv4 et ses 4 milliards de possibilités !

On a tellement de place avec IPv6 que dans sa première version, l’idée était de simplifier au maximum l’attribution d’une IP. Dans IPv4, votre ordinateur va faire “coucou, je veux une IP” sur le sous-réseau et le chef du sous-réseau en question (généralement le FAI, voire votre box) va vous répondre “OK, voilà ton adresse”. C’est le principe du serveur DHCP. Sauf que le nombre d’IPv4 étant limité, ça peut coincer et le chef vous sortir un désagréable “ah ben non, apu !”.

À la base, IPv6 a été créé avec cette même notion de demande d’IP (DHCPv6), mais certains ont décidé de tout simplifier. En considérant que chaque ordinateur a un identifiant unique (l’adresse MAC, lié à toute carte réseau, qu’elle soit filaire ou non), on utilise cet identifiant pour en faire une adresse IPv6. Le protocole se nomme SLAAC pour Stateless address autoconfiguration et est censé simplifier au maximum l’utilisation de IPv6.

Sauf que cette simplicité pose un “petit” problème de vie privée : une adresse MAC est censée être unique, et donc permet d’identifier chaque individu sur le réseau. De plus, de nombreux appareils n’ont pas été développés avec la sécurité en tête des priorités, et une connexion directe peut être problématique. Tout ça n’était pas très grave avec la première bidouille dont je parlais en début de dossier, le NAT. Je vous avais dit qu’on allait y revenir…

Pour vivre heureux sur Internet, vivons masqués

Rappel pour ceux qui ne suivent pas / plus : suite à la prévision de la pénurie d’adresse IPv4, une technologie a été mise en place avant la création d’IPv6 : le NAT. L’idée est d’utiliser une seule IP publique pour N appareils sur le réseau local. Toute box française sait faire ça.

On reprend notre exemple d’adresse de Caf :
France. 92600 Asnières. rue Geekzone. 42. Mr Caféine

Ça, c’est l’IP publique, accessible depuis Internet. Dans cette maison, il y a :

  • PC-de-caf
  • mac1-de-caf
  • mac2-de-caf
  • iphone-de-caf

Quatre machines pour une adresse ? Ça va être un problème ! Surtout que dans la réalité, c’est souvent beaucoup plus chez le moindre geek !

Pour pallier à ce problème, le routeur de la box de Caféine conserve une correspondance entre les accès de chaque machine et leur nom. Et elle “masque” ce nom avec l’adresse publique. De l’extérieur, on voit uniquement “France. 92600 Asnières. rue Geekzone. 42. Mr Caféine”, mais la box est capable de rediriger les accès aux ordinateurs concernés. Les paquets de données de votre partie de Starcraft II n’iront donc pas s’échouer bêtement sur votre smartphone.

Ce système a un effet de bord majeur : de l’extérieur, il est impossible de contacter une des machines de Caféine (sauf à utiliser une redirection, mais aucune n’est configurée par défaut). Il faut qu’une machine de l’intérieur contacte l’extérieur pour avoir une réponse. Ça signifie que les ordinateurs sont de facto protégés des attaques réseau. Cette protection de base fait que de nombreux appareils prévus pour fonctionner sur votre réseau local ne sont pas spécialement protégés, car il n’a jamais été envisagé qu’ils puissent être accessibles directement depuis Internet.

Une 3eme techno IPv6 à la rescousse

Pour se passer de la “protection” du NAT, on va régler le problème de la vie privée avec une énième solution technique. L’idée est de générer une adresse aléatoire. On prend le réseau en /64 fourni par le FAI et on génère les 64 derniers bits au pif, pour éviter d’être tracé. Une solution intéressante, mais qui ne simplifie par le routage…

Malgré la taille de ce dossier, je n’ai fait qu’effleurer certains principes d’IPv6 et j’ai pris quelques vilains raccourcis, mais vous avez assez d’infos pour commencer à comprendre pourquoi son adoption est compliquée :

  • Pour Internet dans sa globalité, passer d’une adresse 32 bits à une adresse 128 bits n’est pas simple, car il faut que tous les routeurs de la planète gèrent IPv4 et IPv6, au moins pendant la période de transition.
  • Les logiciels doivent eux aussi gérer les deux technologies.
  • Le fait d’avoir plusieurs solutions d’attribution d’IP est complexe. Sachant que les solutions de conversion IPv4/IPv6 ne sont pas forcement compatibles (l’essai d’IPv6 avec la freebox V5 était funky).
  • Le besoin est moins pressant que prévu. Beaucoup de problèmes se résolvent avec le NAT. Par exemple, votre smartphone utilise très probablement du NAT pour accéder au Net en 3 ou 4G. On appelle ça le CGN, ou Carrier-grade NAT.
  • La protection automatique liée à l’utilisation du NAT a rendu les développeurs trop confiants. La majorité des appareils dédiés à une utilisation locale ne sont pas protégés des attaques extérieures, ce qui les rend problématiques à utiliser via IPv6. On imagine aisément un pirate s’amusant à changer la chaîne de votre télévision connectée, mais ça peut avoir des conséquences bien plus graves.
  • En plus de la transition IPv4 vers IPv6, il faut prévoir un système v6 vers v4 pour les vieux trucs qui ne marchent pas (et ne marcheront jamais) avec IPv6. Un cout supplémentaire pour les acteurs du secteur.

Vous l’aurez compris, l’argent est, comme souvent, le principal frein de cette évolution vers IPv6. Car il faut réaliser que pour harmoniser tous les réseaux de la planète sur ce standard, il va falloir que les entreprises et les particuliers un peu équipés remplacent tout leur matériel non compatible, sans parler des formations pour les gestionnaires du réseau chez les pros. Rajoutez à ça les développements nécessaires pour sécuriser tous les “smartbidules” (TV, imprimantes, etc.) de la planète et vous comprendrez pourquoi la transition IPv4 vers IPv6 est si lente et compliquée. Tout le monde se dit que cette nouvelle technologie est inévitable et serait plus confortable, mais personne n’a réellement envie de la financer. Surtout avec une solution d’attente (le NAT) qui se révèle si pratique par certains aspects !

 


Note : cet article est l’équivalent de 6 à 8 pages de magazine. Il n’est possible de rédiger (ou plutôt écrire / réécrire / corriger / intégrer) des papiers de cette taille que grâce à nos soutiens Paypal, mais surtout à nos patrons. Oui, on sait, ce n’est pas le bon terme. Mais nous, ça nous fait rire. Et quand on reçoit des sous aussi, d’ailleurs. Du coup, merci à vous, qui mettez la main à la poche pour nous inciter à bien bosser ! Et si vous n’avez pas encore franchi le pas, pensez à soutenir Geekzone pour que nous puissions augmenter la cadence !

Commentaires
  1. Yay merci @Cafeine pour la réécriture, c'est la magie du professionnel :slight_smile:

    J'ai oublié de préciser (après avoir relu 3 fois la version publiée :wink:) qu'il manque aussi une "killer app" qui ne marcherait que sur IPv6. Mais vu le public très faible pouvant utiliser IPv6, ca motive pas une société a en faire une qui soit rentable et pire, IPv6 étant finalement assez proche d'IPv4, il n'est pas dit qu'il soit possible de faire quelque chose d'exploitable qu'avec IPv6...

    En espérant que vous ayez appris des trucs avec ce dossier :slight_smile:

  2. J'ai voulu mettre en place une infra Cloud Dédié chez OVH avec de l'IPv6 car le bloc RIPE IPv4 était à acheter séparément, à 16€ HT/mois pour 16 IP dont 5 réservées à OVH, alors qu'un bon gros bloc IPv6 était alloué dans le tarif de base. Problème, les gérants d'infra chez OVH ne savent pas configurer les gateways par défaut pour router de l'IPv6 vers Internet. Malgré plusieurs aller-retours avec le support (payé en mode VIP pour le coup par le client pour lequel je bosse), rien à faire. J'ai eu l'impression d'être le premier mec à leur avoir loué l'infra en demandant à réellement utiliser les IPv6 incluses, tellement les mecs ont eu du mal à me répondre et à comprendre mon problème...

    Bilan : si LE leader français (et un des gros mondiaux) en infra Cloud ne sait même pas faire de l'IPv6 (et a même l'air de découvrir que c'est quelque chose qui existe), c'est encore pas l'heure de vérité pour la techno...

  3. Super article.
    Un petit truc peut-être à corriger, au dernier paragraphe : smartbibules ? ne serait pas plutôt smartbidules ?

  4. J'en ai pas parlé mais le sous réseau perso a un nom, c'est les sous réseau non routable.
    A ma connaissance, toutes les box utilisent le même type de sous réseau non routable de classe C, à savoir la plage 192.168.
    L’idée est la suivante: tu utilises le NAT avec une IP au pif, genre 193.12.18.2. Ca marchera assez bien en fait, sauf dans un cas précis: Si tu essayes d’accéder a un service qui utilise déjà l'IP 193.12.18.2, bah ça marchera plus.
    Il existe donc des sous réseaux spéciaux, appelés réseau non routable, qui n'ont pas de sens sur le réseau Internet.
    Tu as ce type de réseau dans les 3 classes:
    10.0.0.0/8
    172.16.0.0/12
    192.168.0.0/16

    Dans ton cas, tu vas utiliser dans la majorité des cas une fraction de la zone 192.168.0.0/16 et dans ce cas, le masque utilisé est 255.255.255.0.

    c'est exactement ca.

    L’évolution d'Internet a été, est, et sera toujours empirique. En gros, tout le monde roule sur les autoroutes de l'information et quand on sera trop prêt du mur, il faudra trouver une échappatoire.
    La majorité des bidules (appareils et logiciels) IPv4 only sont a 99% du temps obsolètes et pas indispensables.
    Il va y avoir forcement du vieux matos industriel qui ne marchera que sous IPv4 mais ce genre de matériel n'a pas besoin, en général, d'internet. Donc on peut imaginer que les sociétés continueront a faire vivre un réseau IPv4 a coté ou par dessus un réseau IPv6. Et en imaginant que la société peine a sécuriser son réseau IPv6, bah IPv4 ne sera pas impacté car n'existant plus sur le réseau (on peut imaginer que les pirates trouvent des solutions pour péter IPv4 via un pc en double stack, mais bon).
    En fait, les problèmes techniques existent mais sont surmontables.

    Cette remarque me permet de continuer ce que je disais juste avant: Techniquement, c'est pas super compliqué, mais le problème est de faire évoluer les mentalités.
    Je vais donner un exemple informatique mais simple pour illustrer.
    Quand MS a sorti windows XP, il a fait un système exploitant au mieux (par rapport a win98...) les plateformes 5/686 (pentium I et supérieur), en ayant accru la sécurité utilisateur (un peu comme sous Unix) : Un utilisateur lambda sous XP peut pas faire grand chose et doit lancer pas mal de logiciel en mode administrateur pour que celui ci fonctionne. Ce genre de chose n'existait pas avec win98.
    Du coup, MS a sorti des "guideline" de développement en expliquant que, si un logiciel doit effectivement être installé en mode admin, il doit pouvoir utiliser le logiciel sans être administrateur... C’était en 2002 (a peu près)
    On est maintenant en 2016, avec Windows 10: est ce que vous pouvez utilisez TOUS vos logiciels sans être admin?
    Pour le joueur, la réponse est non, dans le monde de l'entreprise, la réponse est "ça dépend, mais presque". Si vous faites que de la bureautique, ça passe crème, mais des que vous utilisez des outils pro (certains compilateurs, outils 3D, etc), ca marche pas ou mal. 15 ans.
    J'appelle ça le momentum technique: Les développeurs, les ingénieurs, etc, ont appris certaines techniques qu'ils maîtrisent et qui marchent, et pour des raisons de coût (formation etc) ou de flemme (eh ouais), ils ne sont pas forcement formé a l’état de l'art actuel. Et surtout dans un logiciel qui existent depuis 20 ans et qui est remis au gout du jour tous les ans (pour justifier une maintenance annuelle), on évite de faire des grosses modifs de structures - sauf quand on a plus le choix... Faire évoluer les mentalités des gens est difficile, changer les habitudes est ULTRA DIFFICILE. Genre Over 9000.

    Du coup, pour IPv6, les premiers développement coûteront plus cher car il faut former les gens a une nouvelle techno, des nouvelles habitudes de programmation lié a la techno et aux conséquences de cette techno (genre la sécurité), mais aussi la résistance aux changement des personnes développant le produit: "ça marchait très bien avant, pourquoi changer?". Et je parle même pas de trouver un bon formateur sur une techno naissante.

    Il n'y a pas vraiment de solution miracle en fait, on déplace juste le problème. Et c'est peut être une bonne chose, quand tu réfléchis autrement:
    Tu parlais de domotique, genre commander le chauffage de sa maison a distance. En IPv4, le constructeur du système doit prévoir un serveur pour faire le lien entre la centrale de commande, dans la maison, et le téléphone du client. En effet, a cause du NAT, le téléphone ne peut pas se connecter directement a la centrale (enfin c'est possible, mais difficile a faire pour le commun des mortels). Donc le téléphone configure virtuellement son chauffage sur le serveur et la centrale de commande, de temps en temps, va contacter le serveur pour savoir s'ils y a de nouveaux ordres.
    Imaginons qu'un pirate trouve une faille sur le serveur et obtienne l’accès, du coup, a l’intégralité des centrales des clients du constructeur. Et pour le "LOLZ", configure toutes les centrales en "full power" ou au contraire "froid sibérien".
    Pretty scary huh?

    Imaginons le même scénario en IPv6: On a pas de NAT, donc le phone peut se connecter directement a la centrale. Premier point positif, il n'y a pas de latence et la commande est directe. En revanche, l’accès a la centrale est direct et n'importe qui peut se connecter. On imagine quand même que, comme pour le serveur en IPv4, il y a une sécurité avec un mot de passe. Malgre tout, si la centrale contient un trou de sécurité, le pirate pourra se connecter et mettre full power ou froid sibérien. Ouaip. Mais la différence, c'est qu'il pourra le faire que pour une seule maison a la fois. Et qu'il va en chier de ouf pour trouver toutes les centrales de chauffage en IPv6 de la terre, limitant ainsi les risques de surconsommation globaux (pour le mec qui s'est fait powned son chauffage, ca reste pas cool)

    C'est toujours une bonne chose, le NAT? :wink:

    IPv6, la mort du minitel 2.0 ? :slight_smile:

  5. J'avais déjà plus ou moins fait l'état de l'art sur les méthodes de hole punching en 2005 ... (projet de M1, on appelais pas ca comme ca à l'époque) et la conclusion c'était que IPv6 était la meilleure solution :slight_smile: . Le fait étant que le comportement des NATS vis a vis de l'UDP diffère (pas standardisé). Des protocoles dédiés ont du êtres créés pour
    * Détecter le comportement (ainsi que tenter de "deviner" les entrées de la table du NAT ) => STUN
    * Proposer un réflecteur UDP quand la mise en relation directe n'est pas possible => TURN
    * Détecter la meilleure solution pour l'établissement de la comm (flux audio/video) => ICE

    L'idée aujourd'hui, en résidentiel/grand public (bref, sur réseaux non-managés) est que la protection doit du coup se faire au niveau de la machine finale, et non pas par un dispositif en entrée de réseau. L'inclusion d'un pare-feu dans windows allait déjà en ce sens. Ce n'est d'ailleurs pas stupide dans le sens que de plus en plus de devices sont mobiles et amenés à ce connecter a divers réseaux plus ou moins publics. Le firewalling dans la box obligerais à remettre une couche type UPnP/IGD ou équivalent pour que les applis demandent l'ouverture de la porte... bref, hérésie.
    NAT pour IPv6 n'a pas d'interet pour la sécurité. Par contre, l'interet est pour le ré-adressage : j'ai changé d'adresse, mais je veux pas reconfigurer mon réseau, ou pour du multihoming. Ca pose d'autres soucis, par contre...

    Non, il ne stocke en général pas le premier paquet, ni même l'ID. (la fonction pare-feu peu le faire, mais pour des optiques de filtrage spécifiques ... ). Par contre, comme les entêtes sont réécrites, il doit aussi recalculer les checksums correspondants. Et ca, c'est couteux en temps.

    Les gros défaut du NAT sont d'ailleurs là : Ca coute en CPU (calcul du checksum), et en RAM (table d'état : une connexion = une entrée). Et ca se sent : prenez une box un peu vieille, lancez un client bittorent avec le protocole DHT actif. Plantage, voire reboot de la box assuré (saturation de la table NAT) !

    Sinon, une petite précision sur IPv6 : Une addresse v6, c'est 128bits : les 64 derniers bits sont réservés pour les machines du même segment réseau. Ce qui laisse possible 2^64 machines par segment réseau. Je vous laisse imaginer le temps nécessaire pour parcourir l'ensemble des machines d'un unique réseau. Après, le découpage des réseaux sur les 64 premiers bits est fonction de l'opérateur. La préco est de distribuer un /48. Free, pour des raisons techniques (encapsulation 6to4rd) distribue des /56.

    A ce sujet : jusque là, l'opérateur n'avait besoin que de distribuer une adresse publique IPv4 a la box. Il doit maintenant être en mesure de distribuer un, voire plusieurs préfixe IPv6 => pour celà DHCP à été étendu en DHCPv6-PD (prefix delegation).

38 autre(s) commentaires