Les défis de sécurité avec IPv6

Le lancement du protocole IPv6 marque une nouvelle ère de l’infrastructure Internet dans le monde entier, à la fois en termes d’évolution et d’adoption généralisée. Mené par l’Internet Society, plus de 1 000 sites Internet, entreprises et FAI ont été encouragés récemment à passer collectivement à l’IPv6 afin de “tester” ce protocole et essayer d’anticiper les problèmes techniques qui pourraient se produire lors du lancement officiel. Le 6 Juin 2012, les principales organisations leaders du Web, telles que Google, Facebook et Yahoo!, basculeront vers le nouveau protocole Internet. Avec le lancement imminent du protocole mondial IPv6, les chercheurs et professionnels de l’IT anticipent certains défis, en particulier en matière de sécurité. L’aspect novateur et le manque de connaissances relatifs au protocole IPv6 apporteront des erreurs de configuration, des problèmes de compatibilité et autres maladresses de mises en œuvre. Le plus important défi en matière de sécurité réside dans le fait que de nombreux appareils de sécurité réseau sont capables de transférer le trafic IPv6 sans l’inspecter. La plupart de ces systèmes ont la capacité de contourner ce problème en encapsulant les paquets IPv6 d’en-têtes IPv4. Ils lisent l’en-tête, mais ne peuvent pas lire le contenu du paquet en lui-même. Il faut disposer d’une mise en œuvre en double pile de protocole (dual stack), pour pouvoir effectuer les fonctions de sécurité réseau et pouvoir inspecter les paquets provenant à la fois des protocoles IPv4 et IPv6. Plusieurs constructeurs de sécurité offrent cette fonctionnalité – mais pas tous − et c’est justement l’un des risques auxquels sont confrontés les professionnels de la sécurité réseau aujourd’hui. Ils doivent s’assurer que leurs produits de sécurité peuvent inspecter le trafic IPv6. S’ils peuvent seulement transférer le trafic IPv6, ces produits pourraient également transférer le contenu malveillant. La mise à jour de l’infrastructure de sécurité réseau pour permettre le transfert à l‘IPv6 n’est pas un projet simple et prendra probablement des années pour être complètement effectuée. Ceci explique pourquoi de nombreuses organisations n’ont pas prévues d’adopterl’IPv6 de suite. Lorsque l’IPv6 représentera 5 à 10 % de vos données, éviter les mises à jour nécessaires sera beaucoup plus difficile à justifier. Les DSI vont donc devoir se pencher sur ce problème rapidement.

www.fortinet.com

© 2015 Strategies Telecoms & Multimedia | Contact |  -