IPv6 : Quel intérêt ?

Jereck

Jereck

Α & Ω
Staff
On parle beaucoup de l'IPv6 maintenant, mais je me demande quel est l'intérêt réel pour un utilisateur lambda.

D'après ce que je comprends, on met surtout en avant le fait qu'on a plus d'adresses IP et qu'on peut donc "publier" tous ses devices directement sur Internet, sans passer par des routeurs.

Mais quid de la sécurité ? Va-t-on devoir réinstaller des firewall sur toutes nos machines ?

Bref, à part jouer à "qui a la plus grosse IP", à quoi ça sert ?
 
F

farfelu

Elite
ba ca va surtout servir que on arrive a la limite de la disponibilité d'adresse ipv4 publique
 
F

farfelu

Elite
puit moin de chipotage ip publique pour tout le monde ...
 
Sebulba

Sebulba

Dieu
Staff
C'est un débat énorme... Ya plusieurs aspects.

Tu demandes a quoi ca sert pour le user de base : à rien. Le stack que tu utilises devrait être transparent pour toi, et que tu surfes en V6 ou en V4 tu taperas toujours "google.com" et rien ne change.

Le surfeur lambda n'a plus aucun contact avec la notion d'IP. Le DNS cache tout.
Quakenet ne devrait meme pas dire qu'ils ont un serveur IPV6 : il tapent un AAAA record et ceux qui ont une IPV6 iront dessus en priorité, et voilà. C'est comme ca que ca marche IPV6 : un beau jour tu surferas sur google en ipv6 et tu n'en sauras rien. Transparent.
Mais comme ils veulent en faire un "club" de l33t" alors ils en font la pub et donne un nom spécifique au serveur pour le "club des gens en IPV6".

Comme relevé ci dessus, c'est un changement devenu nécessaire suite au "manque" d'IPV4. A vrai dire, c'est comme le pétrole, les IPV4 ; plus on en cherche plus on en trouve. Depuis que OVH fait payer les IPs, appliquant ainsi le fait que le RIPE (qui les attribue) les fait payer depuis peu aussi : ils ont rendu au RIPE plus de 90% de leurs adresses IPs. Si tous les hébergeurs font pareil, on recule de plusieurs années le manque total d'ipV4. Mais passons, la version "simple et officielle" est qu'il y a un manque.

En IPV6 comme on dit, on peut attribuer une IP à chaque particule de l'univers. Va t'on donner pour autant une IPV6 routable a tout le monde : pas certain. C'est vraiment un problème de haut niveau entre le modem chez toi et l'infra de l'ISP, ou ton GSM et les antennes.

Ensuite l'IPV4 a toujours eu des problèmes : le protocole n'est pas crypté (en tout cas pas cryptable), il est facile de router de faux paquets, etc. Bref c'est des évolutions de "fond" nécessaires.


En résumé
- évolution nécessaire point de vue ISP et telcos
- invisible si bien fait des utilisateurs
- qui n'apportera absolument rien.
 
Sebulba

Sebulba

Dieu
Staff
Concernant la sécurité, ta dernière question; tout dépends déjà si tu es dual stack, ou ipv6 natif. Si tu es dual stack, l'ipv6 est une backdoor potentielle s'il y a des différences entre le firewall V4 et V6. Ca n'est généralement pas le cas mais bon, tout est possible. C'est deux façons de rentrer, en tout cas. Donc risque accru ; théoriquement oui. En pratique, bof...

Si tu es en ipv6 natif et sans "plus rien" d'ipv4; il n'y a pas de gros problème de securité, les devices ont deja tous un stack ipv6 et des ptits "firewalls" amplement testés par tous les chinois du monde... Le monde du hacking et du spam est le fer de lance de l'IPV6. S'il y avait des trous dans le stack V6 des android ou iphone ca se saurait déja, donc pas trop de panique. L'un dans l'autre : tu es surement plus safe en V6 natif qu'en V4.

Cependant un tel surfeur "natif" se coupe actuellement de 90% du web. Donc ca n'existe quasiment pas.

Il ne faut pas oublier que dans le monde actuel, plus personne ne se fait hacker suite a des scans ou autre trucs "émanant" du réseau, on se fait hacker en installant une merde ou en surfant sur une merde. En clair le trafic n'est plus entrant ; vous l'avez initié (télécharger une merde) et puis lancée en local. Que ce soit en V4 ou en V6, généralement tout le trafic entrant est bloqué.
 
vegeta

vegeta

Fais tes prières !
[Sebulba] a dit:
S'il y avait des trous dans le stack V6 des android ou iphone ca se saurait déja, donc pas trop de panique. L'un dans l'autre : tu es surement plus safe en V6 natif qu'en V4.
Cliquez pour agrandir...
Si tu savais Seb.

Ipv6, c'est de la merde, oui je le dis haut et fort, c'est une crasse au point de vue sécuritaire. Les failles, il y en a. Certaines sont rendues publiques d'autres non. De plus, notre cher Microsoft refuse de patcher une vulnérabilité qui existe dans sa stack ipv6 depuis Vista. Conséquence, ton réseau Windows ipv6 est down en 30 secondes :-D

Donc, ipv6 oui pour les pros (hébergement, etc) à condition d'en maitriser l'effet (ex. bonne gestion des fw) mais à éviter pour l'user lambda qui n'en a que faire.
 
Sebulba

Sebulba

Dieu
Staff
Ah mais mon cher vegeta ; je n'ai jamais dis que c'était pas de la merde :) Maintenant faudrait peut etre un peu développer. Concernant les failles "pas fixées" il ne faut pas non plus s'estimer plus malin que 350 experts réseaux qui écrivent des stacks utilisés par des milliards de personnes. S'ils ne fixent pas certaines choses, c'est surement qu'ils ont leur raisons. IPV6 n'est pas parfait ( http://www.thc.org/thc-ipv6/ ). En fait, il est dépassé.
 
vegeta

vegeta

Fais tes prières !
Je vais pas développer tous les problèmes de sécurité liés à ipv6. Des gars ayant écrit des RFC ont déjà fait ça mais en gros, IPV6 c'est IP, ça veut dire que plus de 90 % des problèmes de sécurité sont les mêmes en v4 et v6. A quoi je fais allusion ?
Au spoofing d'ip source triviale ou bien au fait qu'il n'y ait pas de chiffrement par défaut (IPSec était théoriquement obligatoire mais ne l'est pas en pratique, d'ailleurs ce n'est même plus le cas en théorie depuis la RFC dont j'ai oublié le nom), il y a également les attaques par déni de service volumétrique ainsi que les attaques TCP SYN flood, de plus NDP a les mêmes problèmes que ARP.

Ensuite, au niveau des différences entre Ip et Ipv6 au niveau sécuritaire je rappelle, on peut d'abord citer les compétences des admin, bon avec le temps ça devrait s'améliorer mais ça n'est pas le cas actuellement. Au niveau logiciel, certains pare-feux gèrent très bien ipv4 mais ce n'est pas le cas pour ipv6 ou ils sont tout simplement bugués car ils n'ont jamais été testé en ipv6 (cf. les DoS avec l'envoi de RA contenant plein de préfixes).
Tu as aussi un problème au niveau vie privé à cause du mix préfixe/MAC qui fait que tu peux être pisté. Bon, tu vas me sortir la RFC qui fixe ça ok mais ça n'est pas forcément activé par défaut dans tous les OS.
Un autre problème est le même que ipv4, la fragmentation. Grosso modo, un attaquant peut t'envoyer un datagramme incomplet fragmenté, ton pc va le stocker dans l'attente de recevoir la suite, ce qui t'empêchera de réceptionner les vrais datagrammes. T'as aussi des DoS sur la fragmentation par exemple.
Il y en a encore mais je ne les connais pas toutes de tête (d'ailleurs il y en a surement que je ne connais tout simplement pas).

De toute façon, saches que des RFC concernant ipv6 sont toujours en cours de rédaction, ce qui prouve ironiquement que ipv6 n'est pas totalement finalisé.

Allez pour te faire plaisir, le point positif d'ipv6 est que si tu mets un pot de miel en v6, t'as très peu d'abeilles autour alors qu'en v4 elles pullulent mais à part ça... Un déploiement ipv6 se fait avec un regard particulièrement attentif sur la sécurité ( mais tu vas me lâcher que c'est la même chose pour IP haha ^^). Bref, ipv6/ipv4 éternel débat mais on sera bien forcé de tous y passer un jour ou l'autre du moins pour les professionnels (Mme Michu, elle s'en fout, d'ailleurs elle ne sait même pas qu'elle utilise ipv6 :p)
 
Connectez-vous pour réagir !
Haut