La semaine dernière, j’étais invité à la présentation de RENATER 5. On m’a demandé de parler d’IPv6 après la très bonne intervention de Bernard Tuy  sur l’urgence où les signaux techniques et le signaux politiques sont listé. Pour ma présentation, j’ai voulu parler des BCP (Best Current Practice) qui est le nom pompeux que l’on peut donner aux habitutes (bonnes ou mauvaises) que l’on a pour exploiter les réseaux. Comme IPv6 introduit des modifications dans l’exploitation du réseau, cela peut remettre en cause des habitudes bien ancrées.

Après un avertissement, où j’indique sous forme de boutade que je m’intéresse qu’à ce qui ne marche pas, pour essayer de faire la part des choses entre IPv6 qui peut être déployé et les améliorations que l’on souhaiterait avoir et qui restent pour certaines du domaine de la recherche, je montre un exemple de changement de pratiques entre IPv4 et IPv6. La configuration automatique des adresses va modifier les procédures. La charte d’Eduroam s’applique mal aux login IPv6. Elle demande de garder une trace des logs de Radius, DHCP et NAT. Or avec IPv6 on n’a pas besoin de DHCP ni de NAT, la seule trace que l’on aura sera celle de Radius qui autorisera ou non un utilisateur, mais on ne connaîtra pas son adresse. Il faut donc définir d’autres procédures qui sont dans les … de la charte :-) .

Autre exemple, le fait d’enregistrer le nom des machines clients dans le DNS. C’est facile en IPv4, la machine demande une adresse au serveur DHCP et celui-ci en même temps qu’il la retourne l’enregistre dans le DNS. Est-ce nécessaire avec IPv6 si on utilise la configuration sans état ? est-ce que la machine ne doit pas rester anonyme ? En effet si on l’enregistre dans un DNS elle est plus facilement découvrable.

Finalement, quand on présente l’auto-configuration, on pense tout de suite à un trou de sécurité; n’importe quelle machine peut entrer dans mon réseau.  Or c’est aussi possible en v4, un « méchant » peut entrer aussi facilement. Avec l’auto-conf, il faut surtout se protéger des étourdits qui émettent sans le vouloir des RA. Un simple filtre sur le commutateur peut suffir, mais encore faut-il que le matériel le supporte.

Une des questions à la fin a été. Est-ce que je dois changer mes commutateurs pour faire de l’IPv6. La réponse est non, par contre si je veux plus de sécurité dans mon réseau que ce soit en IPv4 ou en IPv6 (mais IPv6 agit comme un révélateur du problème), la meilleure solution consiste à faire du IEEE 802.1X.

Dans un autre billet, il serait intéressant de définir le commutateur idéal pour IPv6, c’est-à-dire embarquant des gadgets qui faciliteront la tâche des ingénieurs réseaux…

Laurent

Trackback URI | Comments RSS

Laisser une réponse