• +32 474 17 99 45

Projet de migration IPv4 to IPv6: réseau, sécurité et application

Projet de migration IPv4 to IPv6: stack réseau, sécurité et application

IPv6 migration

Projet de migration IPv4-to-IPv6

OFEP assiste votre entreprise dans le cadre de migration IPv6.

Le déploiement IPv6 présente un défit majeur pour les sociétés et organisations qui veulent faire preuve d’innovation: accéder à l’Internet (trafic sortant) et présenter leurs sites et services (trafic entrant) en IPv6.

Le défi de l’IoT, du déploiement des mobiles, le manque d’IPv4 (surtout dans les pays émergents) représentent des opportunités pour le déploiement global de l’IPv6 à travers Internet.

 

Il faut souligner à côté de la case innovation, un problème de taille peut également être facilité par l’IPv6: le plan d’adressage de l’entreprise. Ce dernier se révèle particulièrement compliqué dans le monde des multinationales où les acquisitions et fusions d’entreprises sont courantes. Chaque fusion ou acquisition entraîne le routage de nouveaux segments ip (réseau MPLS, site-to-site VPN,..). Comme chaque entité utilise de manière historique les mêmes ranges d’ip (typiquement les ip’s définies dans la RFC1918), ceci entraîne des conflits d’ip: les mêmes ranges d’ips sont utilisées par des filières ou entêtées différentes.

La solution est souvent l’utilisation de NAT, ce qui entraîne des limitations (VoIP, protocoles legacy, difficultés au niveau DNS, mixe d’ip nattées et non nattées..). Une alternative consiste à migrer les ip’s en conflit ‘en clash’ vers des ip’s libres. Ces migrations sont souvent fastidieuses et risquées. De plus, ces migrations n’assurent aucune pérennité dans le réseau de l’entreprise. Un range libre aujourd’hui risque d’être en conflit avec les ranges d’un futur réseau à intégrer.

 

 

Le cloud et les problèmes de conflits d’adresse IPv4

L’utilisation du cloud n’a pas solutionné ce problème de conflits d’ip. Bien au contraire, les ranges de la RFC 1918 sont utilisés à l’intérieur des VPC’s ou VNET. En cas de VPC peering ou dans communication avec le datacenter « on-premise » (VPN ou Direct Connect), l’utilisation d’ips uniques est primordiale.

Le problème est même amplifié: vous souhaitez , par exemple, interconnecter votre environnement cloud avec l’environnement cloud d’une partenaire ou d’une filiale. L’utilisation d’un VPC peering ou d’un « Transit VPC » s’offre à vous. Ceci nécessite le routage des paquets d’un VPC vers un autre.

Grâce à l’IPv6, le plan d’adressage est simplifié. Chaque équipement aura une ip unique qui va lui permettre de communiquer sans la complexité superficielle introduite par le NATting.
 

 

IPv6 en Belgique


Début 20419, la Belgique fait figure de bon élève et d précurseur dans le domaine du déploiement IPv6, avec une adoption de 52.16% en mars 2019 (selon les statistiques de Google).

Le site d’OFEP est d’ailleurs accessible en IPv6.
 

 

Les étapes d’un projet de migration IPv6

Un projet IPv6 implique de travailler sur différents aspects de l’organisation:

    1. La technologie
  • Analyser le réseau existant, les services et applications connectées, vérifier la compatibilité des équipements, du réseau
  • Analyser les protocoles de routage, l’impact sur les équipements de routing et switching, sur les équipements sécurité (par exemple les règles firewall), les DNS,…
  • Considérer la présence d’un réseau de test
  • Architecture et design
  • Implémentation et configuration
  • Le choix des adresses IPv6 (provider dependent ou provider independent)

2. Les procédures

  • Adapter les procédures pour IPv6 (création DNS, règles firewall, changement de routing,..)

3. Les personnes

  • Fournir des formations et du support au personnel ICT concerné
  • Fournir une méthodologie de migration IPv6 qui a fait ses preuves

 

 

Les solutions de migration « IPv4 to IPv6 »

Plusieurs solutions sont envisageables, dépendant de la configuration du client et de ses objectifs:

  • Mise en place d’un CDN dual stack IPv4/IPv6
  • Dual Stack sur les équipements d’intermédiation entrants (reverse proxy, load balancer,..)
  • Équipement de traduction NAT64 translation
  • Full Dual Stack jusqu’aux serveurs applicatifs
  • Dual Stack sur les équipements d’intermédiation sortants (forward proxy,..)
  • Dual Stack à partir des workstations
  • Réseau IPv6 only avec de la compatibilité IPv4 (NAT64/DNS64)

Chaque environnement a ses spécificités et le choix d’un ou plusieurs scénarios nécessite une analyse au préalable.
 

 

Les aspects sécurité IPv6

IPv6 introduit une nouvelle technologie, souvent méconnue des ingénieurs opérant l’infrastructure actuelle. Ceci implique des risques accrus en terme de fautes humaines (erreurs de configuration, erreurs de design, absence de mitigations,..).

Une fois de plus, IPv6 introduit également de nouveaux challenges d’un point de vue sécurité tels que:

  • IPv6 NDP exhaustion attack
  • Reconnaissance attacks
  • DHCPv6 – Rogue devices
  • Neighbor Discovery Issue – Rogue RA
  • Potential DoS on poor IPv6 stack implementations
  • IPv6 and privacy

Des contre-mesures sont disponibles mais encore nécessitent d’être implémentées rigoureusement.