Bonjour,
 
Avec le soucis de me préparer d'ici 2012 à une migration en IPv6 je me pose plusieurs questions..  
 
Bien sûr, toutes mes questions n'ont raison d'être que si on considère que le web est en IPv6..    
 
1) Une fois l'IPv6 mis en oeuvre, qu'en devient-il du NAT? Il avait été initialement conçu pour contourner la saturation de IPv4 et n'a donc plus aucune utilité avec l'IPv6. 128 bits dans une adresse, ça fait plusieurs millions de milliard.. Du coup, si il n'y a plus de NAT la sécurité s'en trouve (logiquement ?) amoindrie.. (Si chaque personne d'une entreprise sort sur le net son adresse IPv6, ça peut ouvrir de nombreuses portes...) à moins bien sûr qu'il existe des routeur NAT IPv6, mais la notion de publique et privée n'étant plus d'actualité en IPv6, je peine à bien visualiser la chose..
 
2) Je sais qu'il existe des routeurs avec un système d'encapsulation 6to4. Et qu'un système semblable est déjà mis en place pour les abonnés de chez free qui ont activé l'IPv6 (Le 6rd). Je comprends d'ailleurs théoriquement qu'une IPv6 puisse se "faire passer" pour de l'IPv4 bien qu'il reste quand même en IPv6. Mais question porte sur le contraire, à savoir le 4to6. Dans un soucis de devoir renouvellement tout le matériel réseau non compatible IPv6, je m'étais d'abord dis qu'il suffirait d'acheter un routeur capable de faire du 4to6, puis en y réfléchissant .. ça me parait techniquement impossible car en gardant la logique du 6to4, l'IPv4 restera IPv4 même si il arriverait hypothétiquement à se faire passer pour du Ipv6..
 
Ma deuxième question est donc: Le 4to6 est-il possible ? Si non, Pourquoi ?
 
-------------
 
Ma principale crainte repose sur la sécurité en cas d'absence du NAT ou d'un système similaire...

1/ Pas de nat, les firewall existent et sont fait pour ça. C'était comme ça aussi avant l'invention du nat
 
2/ l'ipv6 se fait pas passer pour de l'ipv4, c'est de l'encapsulation et l'ipv6 (le préfixe) est calculé à partir de l'ipv4. Le contraire me parait pas facilement possible ... (va contenir 128 bit dans 32 ...). Par contre des tunnels 4over6 existeront surement pour qq applications

Merci pour ta réponse.. !
 
Le firewall d'accord, mais l'utilisation d'un firewall + nat, c'est tout de même mieux qu'une simple utilisation d'un firewall.. (Surtout que pour les particuliers, le firewall + IPv6 risque de devenir un vrai casse-tête et au final de ne pas avoir des règles optimisées)
 
Pour le terme d'encapsulation oui, j'avais compris mais j'ai du mal à l'expliquer à l'écrit  
 
Donc le 4to6, tu as mis le doigt ce que je cherchais depuis longtemps .. du 128 dans du 32! ça parait bête mais cette quantification banale m'éclaire beaucoup.. c'était pourtant pas dur à "trouver".. Mais quand tu parles de tunnels 4over6 pour quelques applications, tu penses à quoi exactement ?
 
ll ne sera donc pas possible de faire un nat de v4 à v6 pour les réseaux privés..

 
Pas forcément, il faut juste configurer le pare-feu correctement.
Le monde de la sécurité informatique nous prouve que le NAT ne constitue pas une protection en soi.
 

 
Fais une recherche sur NAT66, c'est encore un draft mais ça prouve que quelqu'un travaille dans ce sens.
 

 
Il existe un préfixe non-routable (adresses locales : fe80:: /10) qui peut donc être apparenté aux adresses privées.
 

 
C'est quelque chose comme les passerelles SixXS (http://www.sixxs.net/tools/gateway/) que tu cherches ? L'intérêt n'est vraiment pas immédiat...
 

 
NAT = pare-feu à état + bricolage pour changement d'IP source.
Donc tu auras un pare-feu à état sur ton réseau, c'est un faux problème.
 

 
Mais c'est le job des constructeurs de faire quelque chose d'utilisable par le lambda. Ils ont bien réussi à faire croire que le NAT c'est cool, y a pas de raison qu'il n'arrive pas à faire quelque chose de plus simple.

Surtout que c'est pas très dur.
Au lieu d'avoir du nat tu mets une règle de firewall "toute connexion entrante à l'état new ==> drop".
 
Au lieu de donner à l'utilisateur des règles nat, tu auras des règles pour autoriser tel port sur telle ip (avec l'ipv6 calculé à partir de l'adresse mac dans le cas de l'ethernet/wifi)

comme ça, ça à l'air facile ...  
 
J'attends de voir en pratique, c'est toujours une autre paire de manche! ^^
 
Ma seule crainte pour la NAT et la "sécurité", c'est de sortir avec l'ipv6 du poste et non pas du routeur, mais apparemment y'a plein de choses en développement ..

 
Est-ce que tu peux être plus précis sur ce point ? Quel est ta crainte ?

Bah, dans un cas extrême de se faire attaquer directement sur le poste, et non sur le routeur.. Mais encore une fois, c'est difficile de visualiser quelque chose qui n'a encore jamais été mis en oeuvre ..  
 
Ce sont justes des craintes, d'ici 2 ans, des centaines de solutions seront peut-être là pour sortir avec l'ip du routeur ..
 
Même au niveau des FAI, ils n'auront plus à gérer les IP.. Du coup, pour des services genre Direct Access, c'est le bazar!
 
Aussi, une petite chose: l'ipv6 est générée à partir de l'adresse mac, est-ce que ça veut dire qu'une ipv6 sera fixe ? où est-ce qu'une seule partie de l'adresse ip sera fixe ?

Ca sert surtout à rien de sortir avec l'ip du routeur au contraire c'est une plaie.
 
Vaut mieux assurer la sécu de bout en bout, fw sur le poste, sur le routeur de sortie etc.
 
Et direct access je vois pas en quoi se serait le bazar

 
 
faut pas faire d'édit qd qqn répond entre temps .
 
Tu auras une ipv6 statique générée à partir de ton adresse mac oui, utilisée pour tous les softs type serveurs et une ipv6 temporaire utilisée pour les connexions sortantes pdt xx heures.
 
Tant qu'un socket existe sur cette ip elle reste sinon elle est obsolète

Disons que je préfère que chaque poste sorte sur internet avec l'adresse IP du routeur plutôt qu'avec leur propre ip.. ça évite de divulger l'ip de son propre poste sur internet, mais oui avec un fw, il n'y aura aucun problème..  
Seulement en administration avec 1200 postes, réparti sur plus de 50 sites, c'est une autre paire de manche et un travail considérable..
 
en ipv4, j'ai un fw sur un gros routeur (je vulgarise la chose).. en ipv6 ça implique de le mettre sur chaque poste
 
 

En faite, le truc qui me chiffone, c'est ce système d'adresse générée grace à l'adresse MAC..  
Pour DA il faut 2 ip qui se suivent, dans la même dizaine et qui sont donc fournies par le FAI.
Avec l'ipv6, il n'y aura plus d'adresse IP fournie par les FAI (je me trompe ?) => car générée avec @mac    
 
Donc est-ce que les ipv6 sont bien générées par adresse MAC?  
Sont-elles fixes (je ne pense pas, mais si générées par adresses mac ça implique qu'il y a une partie de l'ip qui sera fixe) ?
Y aura t-il encore cette notion d'achat d'adresse IP (par exemple pour un service comme DA) ?
Les FAI's ne s'occuperont plus de la partie IP? ou alors est-ce qu'ils auraient une plage d'ip qui consiste à completer la seconde partie de l'adresse IP ? La première étant définie par notre adresse MAC ?  
 
Désolé de poser toutes ces questions, mais il existe pas grand chose de concis sur internet, je veux pas être pris de cour^t  
 

 
Ahh, d'accord... Donc un poste n'aura pas une mais deux adresse ip en quelque sorte? Une pour sortir, et une autre pour "se faire contacter" ? /:

 
Le NAT n'a pas empêché les attaques de postes.
 

 
Il y a une partie fixe (préfixe qui assigné par le FAI) suivie de l'identifiant : fixe (si configurée manuellement/attribuée par DHCP ou dérivée de l'adresse MAC) ou dynamique (depuis Vista, les adresses IPv6 sont générées aléatoirement)

[quotemsg=66767,11,796218]ça évite de divulger l'ip de son propre poste sur internet[/quote]
 
Un point en faveur du NAT qui n'a aucun intérêt à part donner un faux sentiment d'intimité.
(sauf à utiliser frauduleusement un accès mais c'est une autre histoire)
 
[quotemsg=66767,11,796218]en ipv4, j'ai un fw sur un gros routeur (je vulgarise la chose).. en ipv6 ça implique de le mettre sur chaque poste [/quote]
 
Même chose en v6, un routeur de tête qui filtre les accès. Le filtrage sur chaque poste est de toute façon une "bonne pratique".

oui maintenant que j'ai appris qu'il y a 2 adresses ip à proprement dit, c'est déjà plus clair...
 
Quid pour les services comme DA ?

DA permet justement de donner une connectivité bout à bout entre les pc n'importe où qu'ils soient.
 
IPv6 proposant ça nativement, il devient inutile. DA permet jsutement de fournir une connectivité aux ordi en IPv4.

Han bah voila.. l'ipv6 c'est bien en faite, j'ai juste mis des trucs en place qui seront obselète dans 2 ans.

 
Pas sûr que dans 2 ans tout le réseau soit IPv6-ready, ça servira toujours

+1

Oui enfin bon, le but c'est que en 2012 on soit passé en ipv6 ^^ donc bon, mes craintes sur les réseaux privés sont un petit peu estompé, étant donné que la plupart de nos serveurs IBM sont déjà compatible IPv6, financièrement ça serait pas trop lourd ..
 
on va aller se casser la tête avec les plan d'adressages, c'est tout!
 
Pis de toute façon, le 6to4 étant moins compliqué que le 4to6, il est préférable de passer en v6 avant que le net commence à migrer en V6 lui aussi ^^

En 2012 non on sera pas en IPv6.
 
Ca fait presque 10 ans que j'en entends parler, 8 ans que j'utilise mais toujours rien vu.
 
Même si on est proche de la fin d'ip disponible au RIR, il y en a pour qq temps encore

j'obéis au conseil d'admnistration..  
 
Il reste - de 8% d'ip, 10% il y a trois mois. Avec la téléphonie par ip et autre, ça peut malheureusement allez très vite!

Chez les ISP IPv6 ça explose cette année.
 
En entreprise tout le monde s'en fout.

 
Normal, le NAT c'est bien  

En entreprise peut-être, en administration où il y a 1200 postes, 500 imprimantes, 300 pda ... un peu moins!

 
 
Jamais vu de téléphones ip en ip publique pour l'instant

Les plages privées IPV4 c'est bien

 
C'est bien tant que ce n'est pas gênant d'être isolé du réseau.  

je parlais de l'ipv4 en général, et donc le fait qu'il va y avoir 2000 appareils à passer en v6 à un moment donnée, donc autant prendre de l'avance!

 
A voir si tous les équipements supportent IPv6... Avec un peu de chance, il n'y aura que très peu de travail

 
J'ai pas bien compris

 
IP privée == pas routable == isolé du reste du monde

Si le métier de la boite c'est hébergeur de sites web, effectivement les ips publiques sont les bienvenues, sinon tu peux router des plages privées entre sites à travers des vpn ... quelques serveurs en DMZ, il y a moyen de s'en sortir avec un bloc de 8 ou 16 adresses publiques même pour une grosse boite, genre administration de plusieurs milliers de postes et serveurs à usage interne.

 
Oui ça fait justement 2 ans que la compatibilité IPv6 est un critère très importants dans le renouvellement de nos équipements.. on vient de recevoir une vingtaine de serveur IBM ça serait dommage qu'ils ne servent que 2 ans!

TCP/IP est géré par les OS des serveurs, le seul truc qui pourrait poser problème c'est un éventuel module kvm sur ip qui ne gère pas le IPV6.

 
En IPV4 publique, j'en ai déjà vu (certaines grosses boites qui ont tout un /8).
En IPV6, il faut déjà que le matériel le supporte. C'est rarement gagné.

ouais dans les boites oui. Je pensais plus à la téléphonie IP gd public

faisant un travail de diplome sur differents aspects liés a IPv6, je peux vous affirmer que le réseau mondial est en net progression. certe pas comparable a celui IPv4, mais consequent.
 
Pour un administrateur réseau les avantages apportés peuvent ne pas etre negligeables.

cool

Bon j'arrive un peu en retard mais j'ai depuis plusieurs années un préfixe IPv6 chez tunnelbroker et comme je vient de me doter d'un vrai routeur j'ai eu affaire à  la "configuration qu'on devra faire en 2012"  :pt1cable:  
 

Pas forcement (mais même en IPv4 il a toujours été conseillé de faire un double filtrage au niveau du routeur + au niveau de l'hôte), le routeur ne dois plus faire du NAT mais il dois toujours router les paquets vers les bons postes, y'a donc toujours moyen de faire du filtrage dessus, exemple (tiré de ma conf) :

 
Ces lignes définissent ce que l'hôte "frost" va recevoir et ce qui va être bloqué, ces règles sont placées sur le routeur et non sur frost d'où l'utilisation de la chaine FORWARD d'ip6tables.
 
À noter que les lignes :

Donnent exactement la même "protection" qu'un NAT (et même plus grâce au statut INVALID du module state ) !
 

Bah comme tu le vois, non, ce n'est pas une autre paire de manche, ça se permet même plus simple qu'en IPv4 car il fallait rediriger les paquets (NAT) et autoriser le FORWARD, en IPv6 seule la dernière est utile.
 
Y'a quand-même quelques aspects plus délicats comme la protection "interne" du réseau local, faut gérer le préfixe "routable", le lien-local (fe80::/10), le multicast ff0::/8 et surtout les communications entre ces catégories d'adresses alors qu'en IPv4 y'avais qu'un seul réseau avec son masque et son adresse de diffusion, là c'est beaucoup de lignes, assez casse-tête si on veut faire un truc "secure", mais comme pour le routage de l'IPv6-mobile ou du multicast global l'utilisateur final ne verra jamais ces règles, cachées dans sa box ou son routeur, il se contentera d'autoriser des ports pour X ou Y machine via une belle interface web comme il le fait maintenant avec le NAT.
 
Et ce qu'il faut retenir c'est que cette complexité n'est pas vaine : mobilité, différentes portée d'adresses multicast (lien, site, compagny, public)... Comme le dit the_exorcist y'a des avantages non négligeables !

 
Il marche bien ton réseau avec uniquement ces règles ?
Parce que les bonnes pratiques (et mon expérience également) indiquent qu'il est utile de laisser passer l'ICMP neighbor-sol/neighbor-ad ou packet-too-big.