lundi 4 juillet 2011

IPv6 : une migration entre promesses et craintes

par Thierry Lévy-Abégnoli, ZDNet France. Publié le 14 avr 2011
Tags: IPv6, Réseaux, Sécurité, Qualité de service,
Technologie - Solution à la pénurie d'adresses, IPv6 annonce aussi une simplification des réseaux, une meilleure gestion de la sécurité et de la qualité de service, et de nouvelles applications. Ces promesses font toutefois l'objet de vifs débats.
Vers une simplification des infrastructures
Pour éviter la pénurie d’adresses IPv4, opérateurs et entreprises utilisent depuis plus de dix ans des mécanismes de translation entre des adresses privées et publiques. C’est la technologie NAT (Network Adress Translation). « Les opérateurs mobiles doivent garder en rétention toutes les translations afin d'archiver les connexions des utilisateurs, c'est un véritable casse-tête », note ainsi Nicolas Fischbach, directeur en charge de la stratégie et de l'architecture réseau chez Colt.
Cela vaut aussi pour les entreprises multisites, contraintes de gérer différents plans d’adressage. En théorie, IPv6 promet la suppression du NAT, donc la simplification des infrastructures qui deviendront plus faciles à faire évoluer et à administrer. En fait, il existe encore un débat, certains défendant l’idée que le NAT sera conservé grâce à sa capacité à segmenter réseaux privés et publiques à des fins de sécurité.
Sécurité : entre réalité et quiproquo
« Le NAT apporte autant de sécurité que la ligne Maginot en 1940, la solution est dans la mise en œuvre de systèmes fiables », lance Alexandre Cassen, directeur R&D et nouvelles technologies chez Free. Les échos sont les mêmes dans les rares entreprises ayant déployé IPv6.
TBS-Internet, qui propose des services d'infogérance, a ainsi supprimé le NAT mais a installé deux firewalls par PC, respectivement pour IPv4 et IPv6. « L'argument selon lequel NAT est une protection est faux car cela ne dispense pas de mettre sur les PC des firewalls, dont l’efficacité est suffisante », explique Jean-Philippe Donnio, PDG de TBS-Internet.
Chez France Telecom, on est du même avis, d’autant que la translation pose des problèmes justement liés à la sécurité. « IP-Sec traversant mal le NAT, nous devons allouer des adresses IPv4 publiques pour nos offres 3G destinées aux entreprises », explique Christian Jacquenet, directeur du programme IPv6 pour le groupe France Telecom. Le NAT est d’autant moins nécessaire qu’IPv6 implémente des mécanismes alternatifs comme les adresses locales non routables. « Elles seront utilisées pour les systèmes les plus critiques », affirme Nicolas Scheffer, responsable marché, infrastructures et développement IPv6 chez Cisco.
IPv6 introduira de nouvelles vulnérabilités
Il existe en outre un quiproquo sur la sécurité que procurerait l'intégration dans IPv6 du protocole de chiffrement IP-Sec. En fait, il faudra toujours activer ce chiffrement et mettre en place des mécanismes d’échanges de clés. « Ce sera juste plus facile à administrer », affirme Jean-Marc Chartres, consultant chez Telindus. Les éditeurs seront toutefois plus enclins à intégrer le chiffrement dans leurs logiciels. « Un service comme Skype chiffrera sans imposer l’installation d’un client VPN », cite Dimitri Desmidt, technical marketing engineer chez A10 Networks.
Parallèlement, IPv6 réduira certaines vulnérabilités mais en introduira d’autres. Ainsi, il résistera mieux à des attaques reposant sur des bases de scanning car il y aura bien plus d'adresses à scanner. A l’inverse, les systèmes de sécurité basés sur la réputation seront à revoir car les spammeurs changeront facilement d'adresse. Et comme pour IPv4, de nouvelles vulnérabilités apparaîtront. « Il faudra les prendre en compte en amont dans les politiques de sécurité », conseille Christian Pétrus, chef de produits IPv6 chez OBS. En somme, la cohabitation des deux protocoles doublera l’effort de gestion de la sécurité.
Qualité de service : une amélioration induite
La suppression du NAT devrait réduire la latence, voire augmenter un peu les débits. Mais IPv6 n’entraîne pas en soi d’amélioration de la qualité de service, qui relèvera toujours du « best effort ». Avec IPv4, il est déjà possible de mettre en œuvre des mécanismes de priorisation des flux. Même si les labels de flux sont intégrés dans l'en-tête IPv6, ces mécanismes ne changent pas et devront toujours être pris en compte par les applications.
La possibilité de conserver la même adresse permettra une généralisation d'applications bidirectionnelles ou à l'initiative des serveurs, en mode push. Les applications mobiles seront les premières concernées. « L'auto-configuration sera totale et on pourra conserver le contexte et les communications n’importe où sur Terre », précise Nicolas Scheffer.
Support de nouvelles applications
De plus, IPv4 n'a pas été écrit pour les communications temps réel de bout en bout. Même entre des sites fixes, IPv6 sera donc largement déployé dans le cadre de communications unifiées, surtout dans de grands projets internationaux. « Le processus sera lent car peu d'applications sont écrites nativement en IPv6 », regrette toutefois Jean-Marc Chartres.
De même, les offres cloud auront besoin de nombreuses adresses que seul IPv6 fournira. On en revient à une question d’espace d’adressage dont l’immensité ouvrira la voie à la connexion tous azimuts de terminaux et objets variés, accompagnée de leur cortège d’applications, notamment machine to machine (M2M).

http://www.zdnet.fr/actualites/ipv6-une-migration-entre-promesses-et-craintes-39759642.htm

Aucun commentaire:

Enregistrer un commentaire