Professional Documents
Culture Documents
Semestre : P12
Ce stage s'est droul dans l'entreprise 2SI, au sein du service infrastructure; les clients de 2SI sont des PME/PMI, petites industries et groupes nationaux. Les missions du service infrastructure sont la conception et le dploiement d'architectures systmes et rseaux, l'hbergement de serveurs et d'applications et l'infogrance. Ce stage a consist analyser IPv6, dterminer les enjeux de cette technologie et prparer son dploiement, il a galement consist amliorer la scurit rseau interne et capitaliser ces savoirs. Les tapes ont consist mettre en uvre IPv6 sur un site pilote, former l'quipe technique et commerciale et aider dfinir un plan d'action commercial. Au final, un grand travail dtude a mis en vidence la ncessit dIPv6, a propos et mis en uvre des solutions permettant de donner accs des postes utilisateurs lInternet IPv6 et de rendre disponible laccs des serveurs interne en IPv4 via IPv6.
Mots cls (CF Thsaurus) Entreprise : Lieu : Responsable : 2SI SYSTEMES Soissons Stphane CANIVET Nature de lactivit : Mise en place, mise en uvre Branche dactivit conomique : Services aux entreprises Domaines technologiques : Rseaux dordinateurs Application physique directe : machines
Remerciements
Je tiens remercier trs sincrement mon maitre de stage, Stphane Canivet, qui a su ds mon premier entretien mcouter et maider construire un droulement de stage passionnant et qui a continu maccompagner tout au long du stage. Je remercie mon parrain de stage, Daniel Doulbeau, qui ma form au quotidien et ma transmis son savoir faire et sa grande exprience dans le domaine des rseaux et des systmes, tout cela avec beaucoup de bonne humeur. Je remercie chaleureusement chaque collaborateur de 2SI pour leur aide prcieuse et leur confiance. Je remercie M. Alain Crmont pour mavoir accueilli dans son entreprise et mavoir fait confiance. Enfin je remercie lquipe ducative de lUTT qui assure une qualit de formation trs pointue.
Sommaire
1 2 3 4 5 2SI .................................................................................................................................................... 1 Contexte .......................................................................................................................................... 2 Quest-ce quIPv6 ............................................................................................................................ 3 Qui va avoir besoin dIPv6 ............................................................................................................... 7 Quelles diffrences par rapport IPv4............................................................................................ 8 5.1 5.2 5.3 5.4 5.5 5.6 5.7 Adressage et notation ............................................................................................................. 8 Types dadresses...................................................................................................................... 9 Rpartition des adresses par lIANA ........................................................................................ 9 Unicast : notion de scope/porte.......................................................................................... 11 Autres types dadresse .......................................................................................................... 13 Entte .................................................................................................................................... 13 ICMP v6.................................................................................................................................. 14 Auto configuration ........................................................................................................ 15
2SI et IPv6 ...................................................................................................................................... 19 Planning du projet ......................................................................................................................... 20 Comment mettre en uvre IPv6 .................................................................................................. 22 8.1 Techniques les plus utilises ................................................................................................. 22 La double pile ................................................................................................................ 22 La traduction dadresses NAT-PT, NAT-64 et DNS-64 ................................................ 23
Offre des FAI .......................................................................................................................... 26 Mthodes adaptes............................................................................................................... 27 Quel matriel ......................................................................................................................... 28 Les terminaux des utilisateurs ....................................................................................... 28 Les serveurs ................................................................................................................... 28 Equipements rseau de niveau 2 (commutation) ......................................................... 29 Pare feu et routeur ........................................................................................................ 29 Translation NAT 64 ........................................................................................................ 29
8.5.1 8.5.2
8.5.3 8.5.4 9
Ce qui a t mis en uvre ............................................................................................................. 34 9.1 9.2 Formation .............................................................................................................................. 34 Site pilote............................................................................................................................... 34 Etude de FAI proposant IPv6 ......................................................................................... 34 Etude du matriel ncessaire ........................................................................................ 35 Etapes de dploiement.................................................................................................. 35 Mise en uvre avec un tunnel IPv6 .............................................................................. 37
Critique de ce qui a t fait ....................................................................................................... 49 Conclusion ................................................................................................................................. 51 Bibliographie.............................................................................................................................. 52 Annexe ......................................................................................................................................... 1 Configuration du pare feu Cisco 1941 ..................................................................................... 1 Cisco VPN IPSec site site (sur routeur) ................................................................................. 6 Cisco NAT PT explication et mise en uvre ............................................................................ 9
Benot de Mianville
1 2SI
Le groupe 2SI est un intgrateur de nouvelles technologies la porte nationale. Lexpertise est apporte dans lingnierie informatique, le conseil, la communication interactive, le e-learning et la production audiovisuelle. 120 collaborateurs sont rpartis sur 6 sites dans la France, 2SI compte 2500 clients :
2 agences sont Soissons dont celle de 2SI Systmes qui comporte les services suivants : Service intgration de progiciels o Intgrateur des progiciels DIVALTO et SAGE, spcialiste des solutions pour les cabinets dexpertise comptable et dveloppement de logiciels sur mesure Service infrastructure o Conception et dploiement darchitectures systmes et rseaux o Dploiement de services rseaux (messagerie, annuaire, outils de travail collaboratif) o Hbergement de serveurs et dapplications o Infogrance
Cest dans le service infrastructure que jai effectu mon stage de fin dtude, dont je vais dcrire le contenu dans la partie suivante. 1
Benot de Mianville
2 Contexte
Mon sujet de stage tait IPv6 et la scurisation des rseaux, il consistait analyser le protocole Internet de nouvelle gnration, former lquipe technique compose de 13 personnes puis aider dployer un plan daction commerciale pour accompagner les clients dans lintroduction de cette technologie, je devais galement mintresser ltude et lamlioration de la scurit rseau au sein de linfrastructure technologique interne pour ensuite proposer ces solutions prouves aux clients. Concrtement le sujet initial a t suivi et dvelopp en profondeur puisque lquipe technique a t forme au cours dune sance qui abordait IPv6 par la thorie puis par des travaux pratiques, jai assist un sminaire concernant le lancement mondial dIPv6 organis par G6 associ Neo Telecoms, Cisco, lAFNIC et lInstitut Mines-Telecom, un site pilote a t dploy et lquipe commerciale a t forme ; concernant la scurisation des rseaux, une formation a t donne lquipe technique pour consolider les bases des rseaux et de la scurit. De plus, le renouvellement du pare feu de linfrastructure rseau interne est en cours la suite dune tude technique et financire. Ma place dans le service tait celle dun ingnieur rseau et systme en apprentissage avec les autres ingnieurs, jai particip des missions techniques de maintenance et de dploiement dinfrastructure rseau et systme virtualise haute disponibilit jusqu une chelle dun systme accueillant 400 utilisateurs.
Benot de Mianville
3 Quest-ce quIPv6
IPv6 Internet Protocol version 6 est un protocole qui permet deux machines de communiquer travers un rseau, en particulier le rseau Internet. Nous allons dcrire lhistoire de lancien protocole Internet puis la venue du nouveau protocole. Le berceau dInternet, Arpanet, a fait peu peu apparaitre le premier protocole Internet largement utilis en 1981 : IPv4, dcrit dans le RFC1 791. IP est un protocole de communication de bout en bout ou chaque pair est identifiable par une adresse, cette adresse est compose de quatre octets. A lorigine ces quatre octets pouvant thoriquement permettre dadresser jusqu 4 milliards dordinateurs paraissaient dmesurs tant donn que les ordinateurs pouvaient prendre lespace de pices entires et cotaient trs cher. Aujourdhui lInternet sest dmocratis en commenant par les communications inter universits puis le dveloppement de la bulle internet par les commerants, finalement lInternet est petit petit rentr dans nos foyers et depuis le dveloppement des appareils mobiles grand public pouvant accder Internet suivi de la rcente gnralisation de laccs Internet nomade par les oprateurs tlphoniques, on est arriv une moyenne de 5 priphriques connects par personne en 2010 et il est prvu en 2013 datteindre 140 priphriques connects par personne (source Forrester Research, Cisco IBSG), ce qui nous donnera raison de 7 milliards dindividus un besoin denviron 980 milliards dadresses pour les priphriques connects. Les limites du nombre dadresse IPv4 ont dj t atteintes et le dveloppement dune nouvelle version dIP (version 6) a t initie en 1992 ; la version 5 a t attribue un protocole exprimental. En attendant des palliatifs ont t mis en place notamment les masques longueur variable (VLSM) en 1993 pour arrter le gaspillage dadresses d aux masques longueur fixe, lautre palliatif utilis massivement aujourdhui est le systme de translation dadresses dont le RFC a t publi en 1994 ; la translation permet de nallouer quune adresse publique valide sur internet au routeur dune organisation, les terminaux internes tant cachs avec une adresse prive derrire le routeur. Le protocole Dynamic Host Configuration Protocol , DHCP, dont le RFC a t publi en 1993 permet dallouer dynamiquement une adresse un hte, cette technique permet aux FAI2 davoir moins dadresses IP que de clients en sachant que statistiquement tous leurs clients ne sont pas connects en mme temps. LIANA, Internet Assigned Numbers Authority est responsable de la rpartition de tous les blocs dadresses du protocole Internet, et notamment des blocs dadresses utilisables sur lInternet. LIANA nassigne pas des adresses directement aux utilisateurs mais elle assigne des blocs des registres rgionaux (RIR, Regional Internet Registry) qui eux, assignent des sous blocs dadresses aux oprateurs de tlcommunication. Ce systme de distribution est le mme pour IPv6 ; ci-dessous une carte gographique reprsentant les RIR et leurs zones gographiques.
RFC : cela signifie Request For Comments, ce sont des documents qui servent standardiser les protocoles de lInternet, ils sont accessibles ladresse suivante : http://www.ietf.org/rfc.html 2 Fournisseurs dAccs Internet
Benot de Mianville
Le 1er fvrier 2011, lIANA a assign son dernier bloc dadresse aux RIR, cela ne signifie pas quil nest plus possible de rserver une adresse IP puisque les registres rgionaux ont encore des blocs disponibles pour les assigner aux FAI mais cependant le compte rebours est visible pour la pnurie dadresses IPv4. Le graphique ci-dessous montre lvolution de la distribution des adresses IPv4.
Benot de Mianville
La pnurie totale dadresse IPv4 est prvue courant 2012 suivant le graphique ci-dessus cependant elle risque dtre quelque peu allonge. En effet, la plupart des entreprises ne sont pas encore prtes effectuer la transition vers IPv6 et des techniques sont prtes tre mises en place pour que les oprateurs aient besoin de moins dadresses IPv4 publiques grce au CGN Carrier Grade NAT. Ce dernier permet de distribuer des adresses prives v4 aux clients et deffectuer une translation chez loprateur pour que les clients puissent communiquer avec linternet ; cependant cette technique reste complexe grande chelle et non prenne. On peut voir ci-dessous un graphique reprsentant la rpartition des blocs dadresses IPv4 de lIANA ; on voit que lIANA a distribu toutes ses adresses ; noter que la partie Central Registry reprsente les adresses gres historiquement directement par lIANA et la partie not available reprsente principalement les adresses prives, les multicast et les exprimentales.
Ci-dessous on voit le nombre dassignation dadresses IPv6 par les registres rgionaux aux utilisateurs finaux.
Benot de Mianville
On peut constater que les 5 dernires annes ont t celles qui ont connu le plus grand nombre dassignations et que cela croit de manire trs importante car de 2009 2010 on a multipli par 3,3 le nombre dassignations et de 2010 2011 on a multipli par 1,9 le nombre dassignations en passant respectivement de 180 600 et de 600 1120 assignation dadresses IPv6 par les registres. LInternet Society (ISOC) a organis le lancement dIPv6 le 6 juin 2012 (http://www.worldipv6launch.org/), partir de cette date, les FAI, les quipementiers et fabricants de matriel rseau voulant bien participer ainsi que les autres fournisseurs auront activ IPv6 de manire permanente et dfinitive sur leurs quipements3 ; des grand acteurs de lInternet tels que Google et Facebook participent cette journe ainsi que la majorit des FAI aux Etats Unis mais aussi Free en France, entre autres.
http://linuxfr.org/news/activation-mondiale-de-l-ipv6-world-ipv6-launch
Benot de Mianville
Benot de Mianville
Dans le cas de plusieurs suites de zros non conscutives, le RFC 4038 prvoit dabrger la suite la plus longue et, dans le cas de longueurs gales, dabrger la premire suite de zros, voyons cela dans un exemple : Notation simple Abrviation des conscutifs 2000:0:2:0:0:0:0:1 zros 2000:0:2::1
Une adresse est dcompose principalement en deux parties : la partie rseau et la partie hte, comme sur le schma ci-dessous : Adresse rseau Adresse hte
Benot de Mianville
On attribue la moiti de ladresse pour le rseau et lautre moiti pour les htes, ce qui fait 64 bits pour chaque moiti. Il est aussi utile de dsigner des blocs dadresses, dans ce cas-l on donne la partie adresse rseau et un prfixe pour dire quel endroit sarrte la partie rseau. Notation du prfixe : on peut noter les prfixes des adresses IPv6 comme la notation CIDR utilise pour IPv4, cela se note de la faon suivante : adresse-ipv6/longueur-du-prfixe-en-bits. Par exemple on peut noter 2000::5:0:0:2001:1/64.
Lien Site
Les adresses multicast dsignent plusieurs interfaces qui peuvent tre situes nimporte o sur lInternet. Cest le rseau qui se charge dacheminer les paquets destins aux membres du groupe de ladresse multicast. Les adresses anycast, comme les multicast, dsignent plusieurs interfaces, la diffrence est que lorsque un paquet est destin une adresse anycast, il est achemin une seule des interfaces du groupe, le choix peut se baser sur la mtrique du protocole de routage. Il ny a plus dadresses de broadcast comme en IPv4, ceci allgeant du trafic inutile au sein dun segment, on se servira des adresses multicast.
Benot de Mianville
Ces adresses vont donc de 2000:: 200f:ffff:ffff:ffff:ffff:ffff:ffff:ffff. Ce bloc dadresses Global Unicast est ensuite rparti aux diffrents RIR, Regional Internet Registries. Nous voyons donc dans le tableau ci-dessous la rpartition des adresses Global Unicast pour les registres rgionaux :
10
Benot de Mianville
Tableau 5 : rpartition des adresses Global Unicast pour les registres rgionaux, http://www.iana.org/assignments/ipv6unicast-address-assignments/ipv6-unicast-address-assignments.xml
Benot de Mianville
une topologie publique alloue par le fournisseur daccs; une topologie de site. Ce champ permet de coder les numros de sous rseau du site; un identifiant d'interface distinguant les diffrentes machines sur le lien.
On parle alors de scope global, scope site et scope local. Une adresse unicast est ainsi compose de ces scopes, voir la reprsentation ci-dessous.
LIANA, Internet Assigned Numbers Authority assigne des blocs dadresses aux registres rgionaux et ceux-ci rpartissent des sous-blocs dadresses aux FAI, ce sont les FAI qui dterminent le scope global (global routing prefix). Le scope site (subnet ID) est lidentifiant du sous rseau du site et le scope local (interface ID) identifie les machines au sein dun segment ; ces 64 derniers bits dune adresse peuvent tre attribus de diffrentes manires : par le systme dexploitation en utilisant ladresse MAC de la carte rseau ou de manire alatoire, en DHCP ou manuellement. Attribution avec la mthode EUI-64 : Une adresse MAC est compose de 4 mots de 12 bits nots en hexadcimal, elle est compose au total de 48 bits : Mot 1 : mot 2 : mot 3 : mot 4 Remarque : sous Windows les adresses MAC sont affiches sous la forme de 6 mots de 8 bits. On aura galement besoin de sintresser au bit U/L de ladresse MAC, cest le 7 me bit du premier octet qui indique, sil est 1 que ladresse est administre localement et sil est 0 que ladresse est gre universellement (par le biais de lIEEE qui a assign un numro unique une organisation)4. Pour construire la dernire partie de ladresse IP avec la mthode EUI-64, on rajoute au milieu de ladresse MAC 16 bits qui ont la valeur fffe : Mot 1 : mot 2 : 0xfffe : mot 3 : mot 4 Puis, on effectue le complment un du bit U/L (si cest un 1 on met 0, si cest un 0 on met 1). La structure rsultante dune adresse unicast est donc la suivante :
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/enus/sag_ip_v6_imp_addr7.mspx?mfr=true
12
Benot de Mianville
Comme expliqu dans la partie prcdente, les adresses global unicast attribues pour linstant par lIANA sont dans le bloc 2000 ::/3, on va sintresser aux trois premiers bits de ladresse car le masque est /3, on met 0x2 en binaire, cela donne 0010 et on retient les 3 premiers bits : 001 ; maintenant on sait que les adresses unicast commencent par 001 en binaire.
Ladresse indtermine (unspecified address) est utilise comme adresse source par un nud du rseau pendant son initialisation, avant dacqurir une adresse. Sa valeur est 0:0:0:0:0:0:0:0 (en abrg ::). Cette adresse est utilise uniquement par des protocoles dinitialisation, elle ne doit jamais tre attribue un nud et ne doit jamais apparatre comme adresse destination dun paquetIPv6. Adresse de bouclage
Ladresse de bouclage (loopback address) vaut 0:0:0:0:0:0:0:1 (en abrg ::1). Cest lquivalent de ladresse 127.0.0.1 dIPv4. Elle est utilise par un nud pour senvoyer lui-mme des paquets IPv6. Un paquet IPv6 transitant sur le rseau ne peut avoir ladresse de bouclage comme adresse source ni comme adresse destination. Adresse ipv6 mappant adresse ipv4
Ce type dadresse est utilis pour que les applications puissent utiliser les adresses IPv6 comme des adresses IPv6 et les adresses IPv4 comme des adresses IPv6, cela simplifie les applications qui fonctionnent avec deux piles IP (v4 et v6). Le format de ces adresses implique que les premiers 80 bits soient fixs zro, les 16 suivants un, 5 alors que les 32 bits restants reprsentent une adresse IPv4 .
Exemple :
Ladresse IPv6 ::ffff:c000:280 reprsente ladresse IPv4 192.0.2.128 et peut aussi tre crit sous la forme ::ffff:192.0.2.128 o la partie reprsentant ladresse IPv4 est en dcimal tandis que le reste est en hexadcimal.
5.6 Entte
Voici ci-dessous le format de lentte des paquets IPv6.
http://fr.wikipedia.org/wiki/Adresse_IPv6_mappant_IPv4 13
Benot de Mianville
La taille de lentte atteint 40 octets, le double de celui dIPv4 cependant des mcanismes ont t mis en place afin de simplifier le traitement des enttes par les routeurs : La fragmentation nest plus assure par les routeurs, dans le cas dune MTU6 trop grande, le paquet nest pas rout (transmis par le routeur) et le routeur indique lmetteur la MTU appliquer par le biais dICMP. Les options sont mises dans le champ donnes. Lidentificateur de flux permet de ne regarder que ce champ pour router ds le deuxime paquet, cest trs efficace, ctait utilis de manire artisanale avec IPv4. Cependant la faon dont les constructeurs vont lutiliser na pas encore converg. La taille des enttes est fixe.
5.7 ICMP v6
Tout comme dans IPv4, le protocole de contrle ICMPv6 permet la dtection derreurs, les tests et la configuration automatique des quipements ; la diffrence avec ICMPv4 rside dans la meilleure structuration du protocole, lintgration dARP pour IPv4 et lajout de la dtection dinaccessibilit des voisins, de la dcouverte des prfixes et de la dcouverte des paramtres. Des nouveauts ont t galement apportes au niveau de la gestion de la mobilit et de la scurisation de lchange de certains messages dauto configuration (appel SEND). Parmi les fonctions de dtection derreurs et de configuration automatique, un groupe de fonctionnalits est appel dcouverte des voisins , il permet les sous fonctions suivantes :
6
MTU Maximum Transmission Unit est la taille maximale dun paquet IP cest--dire de lentte IP et de ses donnes, il peut varier sur chaque quipement qui traite les paquets IP.
14
IPv6 tude et mise en uvre la dcouverte des prfixes, la dtection des adresses dupliques, la dcouverte des paramtres, les indications de redirection
Benot de Mianville
5.7.1 Auto configuration Il est possible avec IPv6 que le routeur annonce aux terminaux le prfixe rseau utilis pour que ceux-ci sauto-configurent. Dans ce cas un serveur (qui peut tre le routeur mais pas exclusivement) va mettre rgulirement le prfixe du rseau via le message ICMP annonce du routeur , type 134 ; ce message va indiquer si les adresses doivent tre obtenues via DHCP, si ce nest pas le cas les machines vont concatner le prfixe annonc avec leur identifiant de machine (64 derniers bits de leur adresse locale). Le message dannonce du routeur va galement indiquer la dure de vie et la dure prfre de ladresse car une interface peut avoir plusieurs adresses et le paramtre dure prfre est utile dans le cas de la transition dune adresse vers une autre, le schma ci-dessous dcrit les tats successifs dune adresse sur une interface [CIZ, 2005] :
Par dfaut, Valid Lifetime (VT) = 30 jours et Prefered Lifetime (PT) = 7 jours [RFC2461]. En annexe sont prsents des exemples de configuration dauto configuration sur un routeur Cisco, une machine Linux et une machine Windows.
http://tools.ietf.org/html/draft-nward-ipv6-autoconfig-filtering-ethernet-00
15
Benot de Mianville
5.9 DHCP
DHCPv6 est un protocole client serveur qui permet de centraliser la distribution dinformations de configuration rseau des clients. Il faut retenir que ce nest pas DHCP, le protocole de configuration avec tat ou lauto configuration sans tat qui distribue les informations de routage, cest la procdure de dcouverte des routeurs dICMPv6 qui en a la charge. Dans les changes qui seront effectus, afin que le serveur DHCP puisse identifier le client, un identifiant nomm DUID propre au client sera utilis, il est gnr par le client, cet identifiant est propre au client et non pas une de ses interfaces. Voici ci-dessous un exemple dchange dinformations entre un client et un serveur :
Machine cliente DHCPv6 Serveur DHCPv6
Sollicitation DHCP
Annonce DHCP
Requte
Rponse
Le client envoie les requtes vers le port 547 et recevra les rponses par le port 546, les changes reposent sur UDP et la fiabilit est assure par le fait que le client rpte ses messages jusqu obtenir une rponse en attendant un timeout. Le client envoie en premier lieu une sollicitation vers ladresse FF02::1:2 qui est ladresse multicast de tous les agents DHCP, en effet dans le cas ou le serveur nest pas sur le mme segment que le client, on peut utiliser des relais, ladresse multicast FF02::1:2 concerne les serveurs et les relais. Le serveur rpond et le client peut faire une requte en spcifiant les options souhaites et enfin, le serveur rpond avec les options. Nous pouvons rflchir lutilit de DHCPv6 en nous basant sur le principe que IPv6 dispose de beaucoup dadresses, de tellement dadresses quil est ncessaire de changer compltement les habitudes prises avec IPv4 dconomiser des adresses, doptimiser au mieux le plan dadressage. DHCP pour IPv4 a t une des techniques utilise pour pallier la pnurie dIPv4 ; avec IPv6 lobjectif nest pas le mme, on a au sein dun plus petit sous rseau, /64 pas moins de 2^64 combinaisons dadresses possibles donc on peut envisager que les adresses distribues peuvent tre gardes de manire prenne par les clients. Si on na pas besoin de grer finement les baux dadresses, on a alors la possibilit de se dlester dun protocole avec tat comme DHCP au profit de lauto configuration sans tat ; celle-ci tait insuffisante jusqu 2010 car on ne pouvait distribuer les adresses IP des serveurs de nom de domaine, ce nest plus le cas avec le RFC 6106 qui le permet.
16
Benot de Mianville
Cependant et malgr lenthousiasme des chercheurs et des professionnels rdigeant les RFC, le plus important dans la vie dune norme nest pas sa cration mais son adoption, concernant le RFC 6106 qui permet de se passer dun serveur DHCP pour diffuser les adresses IP des serveurs DNS, il nest actuellement pas support par Microsoft Windows et nest malheureusement pas lordre du jour8, selon Christopher Palmer, un professionnel de Microsoft. En ce qui concerne les implmentations de DHCP, sur Linux on a isc-dhcp, pour Windows partir de Server 2008 un serveur DHCPv6 est intgr 9 , Une solution open source Linux/Windows est disponible : dibbler10.
5.10 Scurit
Etant donn que les communications en IPv6 se (re)font de pair pair, cela signifie que tous les terminaux sont directement exposs Internet, on peut alors adapter les rgles NAT des pare feu qui sont implicitement des rgles de filtrage des rgles pour IPv6 mais cest un travail de longue haleine, on peut alors sadapter IPv6 en adoptant des FW ayant un comportement nativement adapt IPv6. En terme de scurit les implmentations actuelles dIPv6 ne sont pas suffisamment utilises pour pouvoir y dtecter des failles de scurit et les modifier rapidement, en outre le groupe The Hackers Choice propose des outils11 trs aboutis pour tester la scurit dun rseau IPv6, voici un extrait de ces outils : - parasite6: icmp neighbor solitication/advertisement spoofer, puts you as man-in-the-middle, same as ARP mitm (and parasite) - alive6: an effective alive scanng, which will detect all systems listening to this address - dnsdict6: parallized dns ipv6 dictionary bruteforcer fake_router6: announce yourself as a router on the network, with the highest priority - redir6: redirect traffic to you intelligently (man-in-the-middle) with a clever icmp6 redirect spoofer - toobig6: mtu decreaser with the same intelligence as redir6 - detect-new-ip6: detect new ip6 devices which join the network, you can run a script to automatically scan these systems etc. - dos-new-ip6: detect new ip6 devices and tell them that their chosen IP collides on the network (DOS). - trace6: very fast traceroute6 with supports ICMP6 echo request and TCP-SYN
Tableau 6 : extrait des outils thc ipv6
Les attaques qui seront ou sont probablement effectues sont dans un premier temps les mme que pour IPv4, transposes, dans le cas o lattaquant accs au LAN, il est possible une machine de se faire passer pour un routeur en rpondant aux sollicitations de routeurs ou en envoyant des annonces de routeur. La solution ce dernier type dattaque est dutiliser la version scurise du protocole de dcouverte des voisins appele SEND Secure Neighbor Discovery, celui-ci utilise des principes de cryptographie dans les adresses IP pour que deux nuds puissent sauthentifier et avoir des changes chiffrs et
8 9
http://thc.org/thc-ipv6/ 17
Benot de Mianville
intgres entre eux ; malheureusement lheure actuelle ce protocole nest pas adopt largement par les constructeurs et les diteurs logiciels. Une autre solution consiste filtrer les messages indsirables sur les quipements de niveau 2, les switches, on peut par exemple ne pas autoriser les annonces de routeurs sur les ports daccs.
18
Benot de Mianville
6 2SI et IPv6
2SI gre les rseaux, les systmes et les systmes dinformations de ses clients, dans ce rle, il est concern par les volutions ncessaires au bon fonctionnement de ces installations et notamment par la manire dont IPv6 va devoir tre dploy. Avant le dmarrage du projet IPv6 il ny avait pas dtude spcifique dj ralise, la valeur ajoute prexistant de 2SI dans ce domaine est la forte exprience des installations en IPv4 de tailles diverses, de domaine et de criticit divers, ce qui permet de prparer au mieux les cas de figures du dploiement dIPv6. Les diffrentes structures des clients vont des cabinets de taille humaine, aux industries, et aux organisations multi sites sur toute la France, les services utiliss sont en majeur partie les accs au web, la tlphonie IP et laccs des applications en mode hberg ; les services chez les clients sont des serveurs web, des serveurs dapplications, de base de donnes. Les organisations multi sites sont relies par des tunnels scuriss. Ces diffrentes structures ncessitent une attention particulire afin dtudier limpact du dploiement dIPv6 au sein des rseaux locaux, des services hbergs et dlaborer des mthodes de dploiement. Afin de conseiller au mieux ses clients dans le dploiement dIPv6, 2SI doit tudier cette nouvelle technologie, la mettre en uvre au sein de son propre rseau dans un cas simple daccs aux services dInternet et dans des cas plus complexes dhbergement de services au sein dinfrastructures complexes faisant appel la redondance et la virtualisation.
19
Benot de Mianville
7 Planning du projet
IPv6 est une technologie nouvelle que ni moi ni 2SI navions dj mise en uvre dans un environnement de production, une premire phase danalyse t ncessaire pour pouvoir envisager le futur de ce projet, lobjectif court terme a donc t de me former moi-mme puis de former lquipe technique compose de 13 personnes et enfin sensibiliser lquipe commerciale. La phase danalyse ayant t concluante, nous avons pu voir plus long terme les impacts du dploiement dIPv6 et nous avons dcid de dployer un site pilote refltant les techniques ncessaires maitriser pour le dploiement dans les infrastructures des clients, ceci a conduit choisir de dployer dans une premire phase la partie rseau interne du rseau de 2SI Soissons cest--dire les postes qui ont accs Internet puis dans une seconde phase rendre accessible les services hbergs Soissons via IPv6 en commenant par un service simple comme DNS ou un site web. Le troisime temps sera consacr lutilisation des rsultats du site pilote pour mettre au point des outils de vente pour les commerciaux, des offres puis former les commerciaux. Le planning est reprsent au format Gant ci-dessous.
20
Benot de Mianville
21
Benot de Mianville
La copie dcran ci-dessus nous montre la configuration IP dune machine Windows, celle-ci a une couche IPv4 avec 2 adresses et une passerelle, et une adresse IPv6, elle peut tout a fait sur la mme interface, communiquer en mme temps avec un quipement en IPv4 et un autre en IPv6. Ce type de technique est assez frquent sur les quipements terminaux comme les ordinateurs, les tablettes et les smartphones mais aussi les imprimantes ; les quipements rseaux comme les routeurs et les pare feux ont aussi une pile IPv6 en plus de la couche IPv4 qui est en moyenne moins aboutie que la couche IPv4 ce jour. Lavantage de cette technique est la possibilit davoir les deux Internet en parallle et de ne pas prsenter de complexit mettre en uvre, en effet on laisse la couche IPv4 telle quelle et on dploie la couche IPv6 qui na pas de changement fondamental dans sa mise en uvre par rapport IPv4. Linconvnient de cette technique rside dans le fait quune adresse IPv4 publique est toujours ncessaire ds lors quun hte effectue une communication qui passe par Internet, cela ne rsout 22
Benot de Mianville
donc pas le problme de pnurie dadresses ; lautre inconvnient est la double charge de la configuration des routeurs la fois pour IPv4 et IPv6. 8.1.2 La traduction dadresses NAT-PT, NAT-64 et DNS-64 NAT-PT est un mcanisme qui permet un rseau uniquement IPv6 dinteragir avec des quipements IPv4 et vice versa. On utilise un boitier qui peut tre un routeur ou un ordinateur avec un logiciel spcifique, celui-ci fait correspondre des adresses IPv6 des adresses IPv4 lorsquun quipement v6 veut communiquer avec un v4. Les quipements raccords en v4 ou en v6 nont besoin daucun paramtrage particulier. Il devient donc possible de rendre accessible via IPv6 toute une infrastructure hbergeant des services bien que les services soient lorigine en IPv4 et le restent. Les communications depuis lextrieur vers linfrastructure peuvent se faire en IPv4 comme auparavant ou en IPv6 via la traduction dadresses. Il est noter que le protocole NAT-PT a t class comme dprci par le RFC 4966, dont voici les raisons : NAT-PT est considr comme un mcanisme de transition vers IPv6 et en aucun cas il ne doit limiter les possibilits de communications quoffre IPv6 ; les applications qui utilisent les adresses IP ne peuvent pas fonctionner ; dans le cas du NAT dynamique, on a moins dadresses IPv4 que dadresses IPv6 et sans une gestion fine des timeout on pourrait avoir un manque dadresses IPv4 ; il peut y avoir des pertes dinformations tant donn que des nouveaux champs sont apparus avec IPv6 comme flow label ou encore des extensions que lon ne peut pas translater comme les enttes de routage ou de mobilit ; concernant ICMPv6, il y a des nouvelles fonctionnalits, celles-ci ne sont pas rtro compatibles ; au niveau de la scurit il est possible de surcharger les mmoires qui font la correspondance avec les translations avec des attaques de dni de service ; enfin, des incompatibilits sont prsentes avec le mcanisme de DNS. Cest pour ces raisons que lIETF a choisi de classer comme dprci NAT-PT, pour viter de le dployer grande chelle en causant beaucoup dincompatibilit ; seulement il est dit que si NAT-PT est utilis dans des cas particuliers o les problmes cits ont t considrs et ne sont pas prsents, alors NAT-PT est une solution envisageable. Plus rcemment, en Avril 2011, a t publie la norme dcrivant ledit successeur de NAT-PT : NAT 64, RFC 6146. Pour mmoire, lIETF conseillait de ne pas utiliser la translation comme mcanisme de transition IPv6, la solution conseille tait dactiver IPv6 en laissant IPv4 et, petit petit, de dsactiver IPv4 ; seulement le dploiement dIPv6 a t repouss et il est maintenant trop tard pour faire une transition douce 12, la translation redevient une ncessit et NAT 64 apporte son lot de nouveauts pour corriger les dfauts de NAT-PT voqus prcdemment avec notamment DNS 64 qui apporte des nouvelles fonctionnalits et corrige des dfauts concernant le mcanisme DNS, cependant la translation reste toujours contraire lun des principes fondamentaux dIP : la communication directe de pair pair. Pour synthtiser nous avons une solution de translation qui permet des htes uniquement IPv6 de joindre des htes uniquement IPv4 et vice versa : NAT-PT. Nous avons une solution plus oriente,
12
http://www.bortzmeyer.org/6144.html
23
Benot de Mianville
NAT 64 couple DNS 64 qui permet des htes uniquement IPv6 sur un site donn de joindre des htes IPv4 lextrieur de ce site, ce mcanisme est expliqu dans la partie suivante. Il faut noter que NAT-PT a t class comme dprci pour le cas prcis o on veut rendre accessibles des serveurs IPv4 via IPv6 ; on note cependant que cest tout fait utilisable moyen terme, le temps que les mthodes, les solutions et les implmentations dIPv6 se peaufinent. DNS64 permet un hte uniquement en IPv6 de communiquer avec un serveur uniquement IPv4 ; le client IPv6 interroge un serveur DNS qui lui renvoie soit : Une adresse IPv6 si la requte DNS retourne un enregistrement IPv6 Une adresse IPv6 mappant IPv4 si la requte DNS retourne seulement un enregistrement IPv4 (cest ce qui est illustr par le point a dans la figure ci-dessous)
Dans le cas o ladresse IPv6 retourne est classique, le mcanisme de translation nest pas ncessaire et les paquets peuvent tre routs classiquement. Dans le cas o une adresse IPv6 mappant IPv4 est retourne, le routeur effectuant du NAT-64 qui a t paramtr en accord avec le serveur DNS 64 ralise une translation de ladresse IPv6 vers ladresse IPv4 contenue dans ladresse IPv6 mappant IPv4 ; cette adresse est un format reconnu avec le prfixe 64:ff9b::/96 dfinit dans le RFC 6052. Au retour lquipement de translation fait lopration inverse, un exemple simple de cette communication entre un client IPv6 et un serveur IPv4 est illustr ci-dessous.
IPv4
3
6 www.orange.fr 193.252.122.103
4 5
Nous avons donc deux solutions concrtes pour dployer IPv6 de manire rapide sans engendrer de problme grande chelle. Lavantage de ces solutions vient du fait quon na aucun paramtrage faire sur les postes clients ou sur les serveurs. 24
Voici la liste des systmes dans lesquels a t introduite la fonctionnalit NAT-PT constructeur Cisco :
Figure 16 : liste des systmes dans lesquels NAT-PT a t introduit pour le constructeur Cisco
13
On peut voir quon a en premier lieu une translation simple de 1 vers 1 (une adresse IPv4 vers une adresse IPv6) au niveau de la couche IP avec le NAT-PT et que lon a galement une translation de 1 vers n (une adresse IPv6 vers n adresses IPv4) avec la version Overload o lon fait galement de la translation de ports. On a galement un serveur DNS intgr avec la version DNS ALG puis un support pour le protocole de transfert de fichier FTP et un support pour les problmes de taille de donnes utiles et de fragmentation. En ce qui concerne la norme plus rcente NAT-64 et DNS-64, Cisco ne le propose que dans des solutions de hautes performances ddies aux oprateurs, les plateformes Cisco ASR 1000 et 1001, le tableau ci-dessous dtaille les deux fonctionnalits Stateless NAT-64 et stateful NAT-64.
13
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html#wp1057128
25
Benot de Mianville
Logiciel dans lequel la fonctionnalit a t Dtails introduite Stateless Network Cisco IOS XE Release 3.2S Dtails14 Address Translation 64 Stateful Network Cisco IOS XE Release 3.4S Voir Cisco Address Translation navigator15 64
Figure 17 : Disponibilit de NAT-64 sur les quipements Cisco
feature
Des solutions open source existent, deux exemples sont cits ci-dessous. Solution TAYGA Ecdysis Fonctionnalit Plateforme NAT-64 sans DNS, sans Linux translation de ports NAT-64 avec DNS-64 Linux Lien vers le site http://www.litech.org/tayga/ http://ecdysis.viagenie.ca/
Nous pouvons donc maintenant dresser un tableau comparatif des diffrentes solutions, jai rajout des autres solutions commerciales concurrentes Cisco. Solution Cisco ASR 100 et 1001 Cisco avec IOS 12.2(13)T et plus Equilibreur de charge A10 Networks Equilibreur de charge Big IP F5 TAYGA Ecdysis Tarif indicatif A partir de 10 000 A partir de 800 De 20 000 200 000 A partir de 1 500 Open source Open source Fonctions de translation NAT-64 stateless et stateful NAT-PT NAT-64 stateless et stateful NAT-64 stateless et stateful NAT-64 stateless NAT-64 stateless et stateful
8.2
A lheure actuelle la disponibilit du protocole IPv6 chez un FAI - Fournisseurs dAccs Internet nest pas un critre de premier plan, ce nest pas important pour les particuliers car le passage IPv6 sera transparent pour eux et a peut tre un critre de second plan pour des grandes organisations soucieuses de prparer progressivement le dploiement. Cependant il est crucial pour les FAI dtre prt fournir de la connectivit IPv6 leurs clients pour ne pas tre en retard lors du dbut de ladoption massive, cest pour cela quun FAI comme NERIM sest intress depuis 2002 cette technologie et fourni une connectivit IPv4 et IPv6 native avec un masque /48 permettant 2 16 combinaisons de sous rseaux possible : (65536), cela est inclus dans toutes ses offres DSL et fibre optique . Orange fournit galement la connectivit IPv6 pour les professionnels depuis fin 2011, le tarif est la demande et free fournit galement de la connectivit IPv6 mais noffre pas de services ddis aux professionnels comme des garanties de temps de rtablissement ou un support technique ddi. Le tableau ci-dessous prsente les offres de FAI slectionns pour leurs tarifs et leurs caractristiques diffrentes.
14 15
http://www.cisco.com/en/US/docs/ios/ios_xe/ipaddr/configuration/guide/iad_stateless_nat64_xe.html http://tools.cisco.com/ITDIT/CFN/jsp/by-feature.jsp
26
IPv6 tude et mise en uvre FAI Offre Nerim IPv4/IPv6 dans toutes ses offres Orange IPv4/IPv6 mais pas en collecte ADSL Surcot de 13 mensuel + 2000 linstallation pour une offre particulire avec un lien de secours16 Oui
Pas de surcot
Pas de surcot
Oui
Non
Ce tarif fait rfrence une tude de faisabilit et de cot ralise notre demande par Orange. La tendance il y a quelques annes tait la virtualisation des serveurs, les machines sont alors virtuelles et sont excutes sur un systme dexploitation que lon appelle hyperviseur ; cest aujourdhui une ralit et trs rpandu jusquaux petites infrastructures qui contiennent 4 6 serveurs. 18 SDSL : ce type de liaison assure le mme dbit dans les deux sens contrairement une ligne ADSL qui a gnralement un faible dbit montant pour privilgier le fort dbit descendant ; lorsquon dit montant, cela signifie vers le FAI.
27
Benot de Mianville
Pour un client ayant des moyens gros services hbergs, on peut toujours faire appel au service de traduction dadresses mutualis ou bien si on na pas envie de dpendre dun intermdiaire, on peut mettre en place une solution interne de translation NAT 64 grce un quipement ddi (routeur Cisco,), avec la translation en interne, on publiera des adresses IPv6 dsignant nos services et la situation la plus agrable de fonctionner est dobtenir des adresses IPv6 indpendantes dun FAI, cela est possible auprs du RIPE NCC comme expliqu prcdemment. La dernire variante serait de dployer intgralement IPv6 sur tous les services sans translation mais cette solution peut tre complexe et na pas t choisie par exemple par Facebook pour ses serveurs19.
En ce qui concerne les PC il faut savoir que les systmes dexploitation suivants sont compatibles IPv6 : Windows o compatible avec manipulation partir de Windows 2000/XP o compatible nativement partir de Windows Vista/7 Mac OS o A partir de Mac OS X 10.5 Linux o noyau 2.4 compatible o noyau 2.6 conseill en production
En ce qui concerne les Smartphone, les systmes suivants sont compatibles : iPhone o partir de liOS 4 BlackBerry et android o Suivant les modles
8.4.2 Les serveurs Si on suit la mthode de dploiement avec un boitier de translation, on spargne la ncessit de grer IPv6 nativement sur les serveurs, cependant si on a besoin de serveur DHCP ou de solutions
19
28
Benot de Mianville
spcifiques, la liste ci-dessous prsente les compatibilits IPv6 des systmes dexploitation rencontrs sur les serveurs. Windows o compatible avec manipulation partir de Windows 2000/2003 o compatible nativement partir de Windows Server 2008 Linux o Compatible nativement partir du noyau 2.4, noyau 2.6 recommand en production VMWare o ESX3.5 supporte les htes en IPv6 o ESX 4.0 est compatible IPv6 avec des restrictions20 : Stockage iSCSI et NFS exprimental Pas de support de TCP Segmentation Offload (TSO) Pas de support de la fonction haute disponibilit et tolrance aux pannes o vSphere 521 o Dautres informations concrtes22
8.4.3 Equipements rseau de niveau 2 (commutation) Il ny a pas de changement pour les Switch, ceux-ci vhiculent des trames Ethernet et ils restent compatibles. La seule raison dune incompatibilit serait dans le cas o la scurit exigerait un filtrage des annonces de routeurs par les ports daccs. Le changement ncessaire peut aussi tre prsent si les Switch sont administrables par le rseau (cest souvent le cas) mais tant donn que le but est la double pile dans un premier temps, il sera toujours possible dadministrer les Switch via IPv4 (pendant longtemps). Pour les bornes Wifi, il faudra vrifier la compatibilit au cas par cas. 8.4.4 Pare feu et routeur La plupart des grands constructeurs proposent des pare feu et des routeurs compatible IPv6, il nest cependant pas vident de dire aujourdhui quels sont les meilleurs modles et ceux viter tant donn quils nont pas encore t utiliss grande chelle. Il faudra donc vrifier que les fonctions de routage requises sont bien implmentes en IPv6, les fonctionnalits de qualit de service et les possibilits de filtrage, tous les produits ne sont pas galit et seul des lectures attentives et des tests permettront dvaluer ceux-ci. 8.4.5 Translation NAT 64 Dans le cas o une translation est ncessaire, on pourra utiliser un boitier routeur / pare feu dj existant pour raliser cette fonction ou bien utiliser un quipement ddi dans le cas de grosses infrastructures, voici des exemples de constructeurs :
20
29
Benot de Mianville
A10 Networks propose des boitiers dquilibrage de charge pour des serveurs et galement une translation NAT-64 ; Juniper et dautres constructeurs proposent galement des routeurs avec des fonctions de translation NAT 64
Le schma ci-dessous reprsente une architecture faisant intervenir un tunnel 6to4 pour permettre un site reli par son FAI en IPv4 daccder aux ressources internet IPv6 :
30
Benot de Mianville
6to4 IPv6
Internet IPv4
Internet IPv6
DNS
Routeur de bordure
FAI en v4
Relais IPv6
Internet v6
B (google.fr)
C (ipv6.google.com)
Un rseau configur en 6to4 nest pas directement reli linternet v6, en cela, en partie pour ne pas complexifier les tables de routage de linternet v6, un rseau en 6to4 doit avoir un plan dadressage en 2002 ::/16. Dans un rseau 6to4 on place ladresse IPv4 du routeur de bordure dans le prfixe de ladressage IPv6 du site, ainsi on peut donner comme exemple ladressage ci-dessous :
6to4 IPv6
Internet IPv4
Internet IPv6
2002:0f00:0001::/64 15.0.0.0/29 .1
DNS
.2
A 2002:0f00:0001::1
Routeur de bordure
FAI en v4
Relais IPv6
Internet v6
B (google.fr)
C (ipv6.google.com)
A peut maintenant communiquer avec des machines IPv6 ou IPv4, pour envoyer un paquet une machine IPv6, il lui suffit de mettre ladresse IPv6 de destination finale et le routeur de bordure 31
Benot de Mianville
encapsulera en IPv4 le paquet IPv6 et lenverra au relais IPv6. Pour envoyer un paquet une machine IPv4, A mettra ladresse IPv4 du destinataire dans ladresse IPv6 de la manire suivante :
Lorsque A envoie un paquet avec une adresse de destination commenant par 2002 ::/16, le routeur de bordure prend les donnes et les met dans un paquet IPv4 en prenant ladresse IPv4 contenue dans ladresse 6to4 du paquet de A. Linconvnient de tunnel est lintroduction de dlais suprieurs car dans le cas dune communication entre la machine dans le rseau 6to4 et une machine dans linternet v6, la communication doit passer par le relais, il est possible doptimiser la distance entre la machine dans le rseau 6to4 et le relais mais seulement la distance entre le relais et la machine dans linternet v6 nest pas contrlable. Cest pour cette raison quon peut utiliser plusieurs relais et que ceux-ci ont une adresse anycast. Toutefois cette technique nest pas la plus optimise dans le cas ou on veut avoir des machines uniquement en IPv6 qui communique avec lInternet IPv6 et IPv4, on prfrera la solution prcdemment explique NAT-64 et DNS-64 qui est plus native pour IPv6 et optimise car lquipement de translation est toujours sur le mme site que les machines. 8.5.1.2 Tunnel Broker Le systme tunnel broker permet un rseau ou un hte isol davoir un accs IPv6 travers un rseau IPv4, le protocole TSP Tunnel Setup Protocol permet de donner des mthodes de gestion des tunnels et il dfinit plusieurs composants :
Internet IPv4
4
Tunnel server
Internet IPv6
2 3 1 Tunnel broker
Dans un premier temps le client se connecte au serveur de tunnel (1), celui-ci configure le tunnel (2) puis envoie les paramtres au client (3), le client a alors ces paramtres :
32
Benot de Mianville
Adresse IPv6 du client : cest le tunnel server qui fait vivre cette adresse puisque le client na pas dinterface avec une adresse IPv6. Ladresse IPv4 du tunnel server : cest ladresse laquelle le client doit envoyer ses paquets IPv6, elle correspond la sortie du tunnel ; cette adresse est souvent de type anycast pour que le client puisse joindre le serveur le plus proche.
8.5.2 Fournisseurs de tunnel Des socits proposent des solutions commerciales de tunnel pour des particuliers ou des oprateurs, il existe galement des organismes qui proposent des solutions gratuites de tunnel pour que des sites isols en IPv4 puissent avoir accs IPv6, ces solutions existent pour la plupart car elles permettent des socits de tlcommunications de se faire connaitre, voici les solutions gratuites les plus connues : Solution Hurricane Electric, oprateur tlcom, Etats-Unis Sixxs, organisme priv, Suisse Gogo6, socit de services en rseaux, Canada Type Tunnel IPv6 dans IPv4 Site http://tunnelbroker.net/ Dtails Fournit un rseau /48 Fournit un rseau /48 Fournit un logiciel simple et un rseau /56
http://www.sixxs.net http://www.gogo6.com/
8.5.3 Autres tunnels Dautres tunnels existent notamment : ISATAP Intra-Site Automatic Tunneling Adressing Protocol qui permet de faire communiquer des machines double piles en IPv6 travers un rseau local IPv4. TEREDO - Tunneling IPv6 over UDP through NAT qui permet de fournir une connectivit IPv6 une machine isole dans un rseau IPv4 derrire un NAT et qui a un mcanisme qui permet que les flux du client TEREDO atteignent le relais TEREDO le plus proche au sens du routage. DSTM Dual Stack Transition Mechanism qui permet un rseau IPv6 daccder un rseau IPv4 suivant le modle vu pour les tunnels broker.
8.5.4 6PE (MPLS) 6PE sappuie sur MPLS Multi Protocol Label Switching pour permettre un cur de rseau MPLS dacheminer des paquets IPv6 sans en changer ses quipements. Le principe de MPLS est de commuter sur un label, si les routeurs de priphrie supportant IPv6 font correspondre une adresse IPv6 un label, le paquet avec ledit label pourra transiter via les routeurs internes qui ne regarderont que le label.
33
Benot de Mianville
9.1 Formation
Lquipe technique de 2SI est compose de 13 personnes, un des objectifs du projet tait de les former IPv6, concrtement chaque personne devait avoir une connaissance globale de cette technologie, savoir pourquoi elle tait importante, quelles taient les diffrences par rapport lancienne version, connaitre le matriel et les systmes compatibles et enfin utiliser le protocole dans divers cas pratiques quils pourraient tre amens rencontrer. Une formation dune journe durant laquelle lquipe technique sest spare en 2 groupes pour assister une partie thorique puis une partie pratique avec au programme : Prsentation thorique Dmonstration des mcanismes IPv6 avec capture de trames Manipulation des outils de configuration IPv6 de Windows Mise en place du service dauto configuration avec un pare feu Cisco Mise en place de DHCPv6 avec un pare feu Cisco Utilisation dun service de tunneling IPv6 dans IPv4 et tests de connectivit avec linternet IPv6
En ce qui concerne lquipe commerciale et lquipe dirigeante, une sensibilisation sur IPv6 de 30 minutes a t mene et a permis de prsenter les points suivants : Quest-ce-quIPv6, pourquoi on en a besoin Quelles sont les solutions de dploiement dIPv6 adaptes En quoi 2SI est concern par IPv6
Benot de Mianville
Les FAI de 2SI ont t consults, en premier lieu Orange qui propose une offre SDSL avec un lien de secours ADSL, loffre propose un accs Internet via la double pile IPv4/IPv6 sur le lien principal SDSL avec un nouveau routeur, ils indiquent que le lien de secours est sur une collecte ADSL et non compatible avec IPv6 de leur ct ; un surcot de 13 mensuel est factur pour IPv6 et un forfait de 2000 pour linstallation et le paramtrage du routeur pouvant utiliser soit IPv4/IPv6 sur le lien principal SDSL soit utiliser IPv4 sur le lien de secours est factur. Lautre FAI de 2SI, All Telecom qui propose une connexion ADSL ne propose actuellement pas de raccordement via IPv6. Comme prsent dans la partie prcdente, Nerim et Free sont deux candidats proposant IPv6 avec pour Nerim lavantage des services ddis aux professionnels et pour Free lavantage du faible cot. 9.2.2 Etude du matriel ncessaire Afin de dployer IPv6 sur le rseau des utilisateurs et le rseau des serveurs, le pare feu actuel ncessite dtre chang par un autre modle prsentant les caractristiques suivantes : 5 interfaces Gestion des VPN site site IPSec23 Gestion de 50 VPN IPSec pour utilisateurs nomades Filtrage simple sur les couches rseau et transport Gestion de lauthentification avec Microsoft Active Directory24 Rgle de routage de qualit de service : router les flux sur une interface en se basant sur la couche transport Support dIPv6 pour le routage et le filtrage et la translation NAT 64
Etant donn que le pare feu actuel tait vieillissant son remplacement devait tre effectu indpendamment du site pilote IPv6 ; pour des questions dhomognit du parc dquipement rseau, le constructeur Cisco tait privilgi, un modle de routeur avec une licence scurit rpondant aux critres ci-dessus a t choisi. 9.2.3 Etapes de dploiement Lobjectif du dploiement est de mettre en place IPv6 dans diffrents cas de figure pour capitaliser ce savoir-faire. La premire tape du dploiement consiste remplacer le pare feu actuel et vrifier quil ait le mme comportement que lancien ; la seconde tape consiste choisir un FAI proposant un accs IPv6 ADSL et donner une adresse IPv6 aux postes du LAN interne pour quils puissent aller sur Internet ; la troisime tape consiste rendre accessible via IPv6 les services bass Soissons (on pourra commencer par le service DNS par exemple). Le pare feu qui a t choisi est un Cisco 1941 il aura un systme Cisco IOS 15 M&T se basant sur lIOS 12.4 et 12.4T, dans cette partie nous allons dcrire larchitecture existante avec le pare feu du constructeur Clavister puis nous allons dcrire les tapes techniques de configuration du pare feu Cisco qui ont, dans un premier temps, t ralises dans un environnement de simulation avec loutil
23
VPN : Virtual Private Network, technique permettant dtendre deux sous rseaux via Internet de manire scurise 24 Microsoft Active Directory : systme dannuaire inclus dans les systmes dexploitation serveurs de Windows
35
Benot de Mianville
Cisco Packet Tracer sur un routeur Cisco 1841 avec un systme IOS 12.4(15)T1, les commandes sont compatibles. Le schma ci-dessous dcrit la topologie future, les plages dadresses IP sont arbitraires.
Laccs ADSL All Telecom est utilis pour la navigation web depuis le LAN interne ; laccs SDSL Orange est utilis pour des VPN IPSec site site et lhbergement de services rseaux. Avant dploiement, les fonctionnalits utilises par le pare feu Clavister sont les suivantes: La translation statique des serveurs des DMZ La translation dynamique des clients du LAN interne Les tunnels VPN IPSec site site Le policy based routing qui permet de router sur le WAN All Telecom le trafic Web du LAN interne Les rgles de filtrage Afin que le pare feu Cisco ait le mme comportement que le pare feu Clavister, les fonctions dcrites sont configurer, la configuration est dcrite tape par tape en annexe. 36
Benot de Mianville
Une fois la configuration du pare feu effectue, il faut tester les fonctions pralablement dcrites et valider au bout de quelques jours que le comportement est celui escompt. On peut alors louer les services dun FAI proposant IPv6 et commencer ltape suivante : donner aux postes des utilisateurs internes un accs IPv6. Pour cela il est ncessaire de configurer les fonctions suivantes du pare feu : Configurer les adresses IP des interfaces WAN et LAN interne, Configurer une route par dfaut, Il faudra aussi configurer un serveur DHCPv6 en lui donnant la plage dadresses IP utilisable, on choisira Windows Server 2008 pour assurer cette fonction. On testera alors la connectivit des services accessibles en IPv6 comme par exemple la version IPv6 de Google accessible ladresse ipv6.google.com. Ltape la plus intressante et la plus complexe est celle du dploiement dIPv6 pour la partie hbergement de services, on choisira la translation NAT-64 qui permet de laisser les serveurs uniquement en IPv4 et de laisser le boitier de translation se charger de rpondre aux requtes IPv6 en faisant lintermdiaire en IPv4 auprs du serveur ; la fonction de translation dans notre cas sera assure par le pare feu Cisco, on choisira de translater directement un serveur grce au NAT-64 dcrit prcdemment et les tapes techniques propres au matriel Cisco sont dcrites en annexe. Une fois la translation du serveur configure, on peut tester depuis des sites extrieurs laccs au service en IPv6 pour valider la configuration ; il ne faudra pas oublier de mettre en place des mthodes de surveillance pour garantir une qualit de service en IPv6 au moins gale la qualit de service en IPv4. 9.2.4 Mise en uvre avec un tunnel IPv6 Pour acclrer la mise en uvre dIPv6, une solution exprimentale a t mise en uvre pour utiliser de manire relle les fonctionnalits IPv6, savoir donner accs aux utilisateurs IPv6 et mettre un service IPv4 disponible en IPv6, je dcris ci-dessous cette exprimentation. Larchitecture a pour but de donner accs lInternet IPv6 aux postes utilisateurs et de translater un service IPv4 pour quil soit accessible en IPv6, jai choisi dutiliser un service de tunnel pour pouvoir tre raccord rellement lInternet IPv6 plutt que dutiliser des rseaux isols, en cela nous pouvons voir plus prcisment les comportements des machines et effectuer des tests grandeur nature. Larchitecture comprend donc un routeur qui est raccord au rseau utilisateurs et qui a accs lInternet IPv4, sur ce routeur, une carte tunnel IPv6 dans IPv4 via UDP est connecte lInternet IPv6. Une adresse IPv6 fixe est attribue au routeur et un bloc dadresse /56 est attribu galement, on diffusera un de ces sous rseaux sur le rseau utilisateurs grce au service dauto configuration sans tats. En ce qui concerne laccessibilit dun serveur IPv4 translat en IPv6, nous utiliserons un service de translation NAT-64 et un serveur pilote, un serveur Web a t choisi car il est simple mettre en uvre et trs prsent parmi la plupart des services actuellement dploys sur Internet. Le dessin ci-dessous prsente larchitecture logique qui est utilise. 37
Benot de Mianville
Internet IPv6
IPv6
Routeur NAT-64
IPv4
DMZ IPv4 pilote
Lgende
IPv4 IPv6
Voici les caractristiques des quipements utiliss : Equipement routeur donnant accs IPv6 Routeur NAT-64 Serveur Web Description -Ordinateur avec systme dexploitation Windows 7 -Logiciel de tunnel gogo625 -Ordinateur avec systme dexploitation Linux Debian 6 -Logiciel de translation TAYGA26 -Ordinateur avec systme dexploitation Linux Debian 6 -Serveur Web Apache
Configuration du tunnel
Pour le tunnel, nous utiliserons les services de la socit gogo6, cest une socit Canadienne pionnire qui fournit des services de conseils, de connectivit et du matriel afin de se raccorder au rseau IPv6. Ils fournissent un logiciel permettant de crer une carte rseau tunnel et offrent une adresse IPv6 publique et un bloc dadresses /56 (sachant quil y a 64 bits pour la partie rseau et 64 bits pour identifier les machines, il nous reste 8 bits dans la partie rseau ce qui laisse la possibilit de faire 256 sous rseaux), le logiciel est compatible Windows, Linux et Mac OS. La configuration du logiciel gogoclient consiste rentrer le nom dutilisateur obtenu sur le site du fournisseur, puis
25 26
http://www.gogo6.com/ http://www.litech.org/tayga/
38
Benot de Mianville
configurer le logiciel pour quil se comporte en tant que routeur et quil diffuse le prfixe obtenu (cela se fait dans le fichier de configuration du programme). Voici une capture dun paquet ICMPv6 diffusant le prfixe utiliser :
Au cas o lordinateur ne diffuserait pas le prfixe, on peut le configurer manuellement par exemple avec Windows en tapant les commandes suivantes : >netsh >interface ipv6 //activer les annonces de routage sur cette interface, par dfaut disabled set interface interface="Connexion au rseau local" advertise=enabled //ajout d'un prfixe et publication add route interface="Connexion au rseau local" prefix=2001:05c0:1517:7e00::/64 publish=yes //loption router discovery doit tre active set interface "Connexion au rseau local" advertise=enabled //Permettre cette interface de router sur dautres interfaces set interface 11 forwarding=enabled
39
Benot de Mianville
Internet IPv6
Internet IPv4
Les ordinateurs qui rcuprent ce prfixe gnrent une valeur alatoire pour les 64 bits restants (pour la majorit des systmes) et construisent leurs adresses IPv6. Ils utilisent le mcanisme Duplicate Address Detection DaD qui consiste envoyer une demande ladresse choisie pour savoir si une autre machine la dj prise. Ensuite la machine envoie un message ICMP pour connaitre la passerelle ; il manque encore ladresse du serveur DNS, on rentre donc manuellement celle dun des serveurs DNS publics de Google : 2001:4860:4860::8888, on peut galement paramtrer un serveur DHCP dans Windows Server 2008 en complment de lauto configuration pour donner ladresse du serveur DNS et le domaine de rsolution de noms ; cependant cela fonctionne quand mme pour les requtes DNS grce au serveur DNS actuel qui rpond aussi pour les enregistrements IPv6. On peut vrifier sur les ordinateurs quils sont bien configurs en regardant leur configuration IP et en allant sur un site uniquement accessible via IPv6 comme ipv6.google.com. La conclusion de ce dploiement dIPv6 pour les postes utilisateurs dmontre quaucune intervention nest ncessaire sur les postes et quils accdent directement linternet IPv6, cependant il nest pas possible de se passer dIPv4 car beaucoup de services sont uniquement accessibles via ce protocole, savoir : Les serveurs de lIntranet en IPv4 ; les imprimantes et autres priphriques non compatibles IPv6 ; tous les serveurs sur lInternet seulement accessibles en IPv4 (cest la majorit des cas actuellement). 40
Benot de Mianville
Une solution moyen terme est possible pour communiquer avec les serveurs de lInternet IPv4 en dsactivant lIPv4 sur les postes : on utilise le systme de translation NAT-64 coupl au DNS-64, grce cette solution les postes qui font une requte DNS vers un serveur IPv6 se voient rpondre ladresse IPv6 et les requtes pointant vers un serveur IPv4 se voient rpondre une adresse IPv6 mappant IPv4, ladresse IPv4 est inclue dans ladresse IPv6 en utilisant un prfixe particulier /96 qui se construit de cette manire : <prfixe de 96 bits> <adresse IPv4 de 32 bits> Grce ce systme, lorsquun poste voudra communiquer avec une adresse IPv4 inclue dans une adresse IPv6, lquipement de translation NAT-64 reconnaitra le prfixe et effectuera une translation des adresses en changeant les ports de niveau 4 si le mme couple adresse IP et ports sont dj utiliss. Voici un projet Open Source qui implmente ce systme dcrit dans le RFC 6146 : ecdysis27. On peut retrouver une explication28 dudit RFC.
27 28
http://ecdysis.viagenie.ca/ http://www.bortzmeyer.org/6146.html
41
Benot de Mianville
:2
.1 Routeur NAT-64
2001:5c0:1400:b::cc55 est ladresse attribue par le service de tunnel au routeur IPv6; 2001:5c0:1517:7e01::/64 est le premier sous rseau des 255 attribus par le service de tunnel, il est utilis pour linterconnexion entre le routeur IPv6 et le routeur NAT-64; 2001:5c0:1517:7eff::/64 est le dernier sous rseau attribu par le service de tunnel, il est utilis comme prfixe pour les adresses IPv6 mappant des adresses IPv4 par le routeur NAT64, on rduit ce prfixe /96 car on na seulement besoin des 32 derniers bits restants pour crire les adresses IPv4
Ci-dessous sont dcrites les tables de routages des routeurs et du serveur ainsi que la table de translation du routeur NAT-64. Destination Adresse rseau IPv4 interne
Figure 32 : Table de routage du routeur IPv6 (IPv4)
42
Benot de Mianville Via Directement connect Directement connect 2001:5c0:1400:b::cc54 2001:5c0:1517:7e01:2 Description Interconnexion vers Internet IPv6 Interconnexion avec routeur NAT-64 Passerelle par dfaut IPv6 Prfixe NAT-64
Description Interconnexion avec routeur IPv6 Passerelle par dfaut IPv6 Rcupration des requtes destination dune translation
Sur le dernier tableau ce nest pas vraiment une table de translation mais plutt les prfixes utiliss pour la translation, la table de translation se construira au fur et mesure des flux. Le logiciel open source TAYGA a t utilis pour la translation, il effectue une translation 1 vers 1 dune adresse IPv6 vers une adresse IPv4, il ncessite donc autant dadresses IPv4 disponibles que de requtes pouvant tre effectues dans le mme laps de temps, chelle relle il faudra combiner ce systme avec de la translation de ports pour pouvoir utiliser 1 adresse IPv4 pour n adresses IPv6, la 43
Benot de Mianville
documentation de TAYGA indique quon peut utiliser le systme de filtre intgr Linux iptables combin avec loption MASQUERADE, cependant ce nest pas lobjet de cette exprimentation et dautres solutions sont possibles. A prsent nous abordons la configuration des quipements, notamment le routeur NAT-64, et le routeur IPv6 ; des points dexclamation en dbut de ligne indiqueront des commentaires. !Addresse IP carte vers NAT-64 (fournisseur d'IPv6) 2001:5c0:1517:7e01::1/64 !Route vers NAT-64 lorsque un paquet a t translat route ADD 192.168.255.0 MASK 255.255.255.0 192.168.2.1 !Route vers NAT-64 pour le prfixe NAT-64 !en invite de commande administrateur netsh interface ipv6 add route 2001:5c0:1517:7eff::/96 22 2001:5c0:1517:7e01::2 !Activer le forwarding sur les cartes rseaux netsh interface ipv6 set interface 11 forwarding=enabled set interface 22 forwarding=enabled set interface 41 forwarding=enabled
Figure 37 : Configuration du routeur IPv6
44
IPv6 tude et mise en uvre !Suppression de la configuration IPv4 ifconfig eth0 down ifconfig eth0 up ifconfig eth1 down ifconfig eth1 up !eth0 : vers routeur IPv6 ip addr add 2001:05c0:1517:7e01::2/64 dev eth0 !eth1 : vers DMZ IPv4 ip addr add 192.168.2.1/24 dev eth1
Benot de Mianville
!Tlcharger les sources de TAYGA ladresse suivante : http://www.litech.org/tayga/ !Dcompresser larchive Tar xvf <nom de larchive> !Compiler et installer TAYGA (se placer dans le rpertoire dcompress) ./configure && make && make install !Crer le dossier qui va reccueillir les tables de translation mkdir -p /var/db/tayga !Crer le fichier de configuration de TAYGA (un exemple se trouve dans le mme rpertoire) cat >/usr/local/etc/tayga.conf <<EOD tun-device nat64 ipv4-addr 192.168.255.1 prefix 2001:5c0:1517:7eff::/96 dynamic-pool 192.168.255.0/24 data-dir /var/db/tayga EOD !Crer linterface nat-64 et la configurer tayga --mktun ip link set nat64 up ip addr add 192.168.2.1 dev nat64 ip addr add 2001:5c0:1517:7e01::2 dev nat64 ip route add 192.168.255.0/24 dev nat64 ip route add 2001:5c0:1517:7eff::/96 dev nat64 !Activer le routage IPv4 et IPv6 sysctl -w net.ipv4.conf.all.forwarding=1 sysctl -w net.ipv6.conf.all.forwarding=1 !Route par dfaut vers routeur IPv6 route --inet6 add default gw 2001:5c0:1517:7e01::1 dev eth0 !Lancer TAYGA en mode debug (ou sans en enlevant loption d) tayga -d
Figure 38 : Configuration du routeur NAT-64
45
Benot de Mianville
On peut maintenant faire des tests pour vrifier les communications dans chaque segment (des tests avec la commande ping), puis on peut regarder ce quaffiche le serveur Web en IPv4 depuis un navigateur, sa manire classique de fonctionner, voici une capture dcran :
On peut maintenant tester laccs au site depuis un pc qui a accs lInternet IPv6, voici une capture dcran :
On voit que ladresse IPv6 mappant IPv4 a automatiquement t convertie en hexadcimal par le navigateur Google chrome, elle tait lorigine 2001:5c0:1517:7eff::192.168.2.1 ; on peut noter ici que la mthode pour utiliser une adresse IPv6 dans un navigateur est de la mettre entre crochet pour viter toute confusion dans le cas de la spcification dun port non standard, par exemple 8080. Dans lexemple prsent, le site a t test depuis laccs IPv6 interne mais pas derrire le routeur du fournisseur du tunnel, on peut donc vrifier le bon fonctionnement du routage et de la translation via un test en ligne comme www.subnetonline.com, voici le rsultat concluant de ce test :
46
Benot de Mianville
On remarque que la table de translation a t remplie par 4 requtes, les machines lorigine de ces requtes correspondent au routeur NAT-64 au routeur IPv6, ainsi qua un testeur de connectivit IPv6 fourni par Hurricane Electric et SubnetOnline.com. Il ne faut pas oublier de scuriser ce systme NAT-64, lexemple ci-dessous nautorise que les flux destination dune translation pour les adresses 192.168.2.1 et 192.168.2.2 avec le pare feu ip6tables ; sinon on pourrait utiliser le routeur NAT-64 pour accder aux ressources IPv4 qui lui sont visibles.
# ip6tables -A FORWARD s ::/0 -d 2001:5c0:1517:7eff::192.168.2.1/128 -j ACCEPT # ip6tables -A FORWARD s ::/0 -d 2001:5c0:1517:7eff::192.168.2.2/128 -j ACCEPT # ip6tables -A FORWARD -d 2001:5c0:1517:7eff::/96 -j DROP
47
Benot de Mianville
Pour conclure on peut dire quune architecture et des mcanismes permettant de rendre accessible un serveur uniquement IPv4 par des utilisateurs de lInternet uniquement IPv6 a t mise au point, on rajoutera pour le service comme le site web une entre DNS pointant vers ladresse IPv6 de translation. Lavantage de cette solution une fois quelle est mise en place est la rapidit de mise en service de nouvelles translations : on peut rajouter une entre DNS IPv6 pour un site et autoriser la translation dans le routeur NAT-64, on peut reproduire ce systme facilement sur un nouveau site avec la mthode prcdemment dcrite. Une mthode judicieuse qui peut tre trs intressante pour une socit de service consiste mutualiser le service de translation pour mettre en service des serveur IPv4 via IPv6 mme sils ne se trouvent pas sur le mme site gographique : en effet le routeur NAT-64 sil a accs lInternet IPv4 peut faire lintermdiaire entre un client IPv6 de lInternet et un serveur IPv4 de lInternet ; il suffit de rentrer dans le serveur DNS ladresse IPv6 de translation construite avec le prfixe de translation et ladresse IPv4 : <prfixe de translation> ::<adresse IPv4>. Par exemple si on veut rendre accessible le site www.utt.fr avec ladresse IP 193.50.230.230 pour les utilisateurs dInternet en IPv6, il suffira dindiquer dans le serveur DNS de lUTT un enregistrement IPv6 pour www.utt.fr avec comme adresse <prefixe de translation> :: 193.50.230.230. Il est possible de construire une solution passable en production grande chelle se basant sur les mmes mcanismes que ceux dcrits ci-dessus, on pourra donc prendre un routeur implmentant la fonctionnalit NAT-64.
48
Benot de Mianville
Le sujet de dpart prvoyait galement de former lquipe technique IPv6 et de concevoir des mthodes de dploiement. Enfin, le sujet comportait une partie scurit renforce dont lobjectif tait damliorer la scurit rseau interne lentreprise pour pouvoir capitaliser cette expertise et la dployer chez les clients. Aprs 4 mois de stage le projet concernant IPv6 a t un succs, un document complet dcrivant de manire pdagogique IPv6 a t remis lquipe technique lissue dune formation thorique et pratique ; une formation de lquipe dirigeante et de lquipe commerciale a expliqu IPv6, ses enjeux et des mthodes concrtes de dploiement adaptes ; une procdure de dploiement dcrivant dune part de manire globale le dploiement du site pilote IPv6 et dautre part les tapes prcises de configuration dun pare feu pour illustrer dans diffrentes situations le dploiement dIPv6 a t ralise.
Etant en soutenance avance, la date de rdaction de ce rapport, le pare feu ncessaire au droulement de dploiement dIPv6 au sein du site pilote na pas encore t reu. Concernant le projet de scurit renforce, une formation dune partie de lquipe technique a t ralise pour renforcer les bases des architectures et de la scurit des rseaux dentreprise, les points suivants ont t abords : architectures rseau de niveau 2 : Ethernet et VLAN ; routage IP ; backbone de niveaux 2 et 3 ; attaques rseaux et techniques de filtrage rseau ; liaisons intersites scurises avec des VPN.
Cette formation a pu aborder de manire thorique les points suscits puis leur mise en uvre. Pour continuer sur la scurit rseau, des tudes concernant des choix de pare feu mont t confies, jai donc tudi et fourni des comparatifs de fonctionnalits et de cot en partenariat avec les fournisseurs de 2SI ; ces tudes mont permis de mettre en application le savoir faire mayant t transmis lors de mon anne en filire intgration de rseau et on t possibles grce une grande communication et beaucoup dchanges de conseils avec les ingnieurs rseau et systme de 2SI ; les conseils des experts rseau des fournisseurs de 2SI ont aussi t trs prcieux. 49
Benot de Mianville
Le planning a t suivi dans ses grand axes et le grand changement a t dans la partie communication puisque les prsentations ont eu du succs et jai donc prsent IPv6 non seulement lquipe technique, lquipe commerciale et lquipe dirigeante mais aussi lquipe du service consultant en progiciel et lquipe technique de lagence communication Soissons, autre entit de 2SI. Le site pilote au quatrime mois en est son dpart dans la mise en uvre, une dmarche prventive a largement t dploye quant aux nouvelles solutions qui intgrent le support dIPv6, autant pour larchitecture interne de 2SI comme le pare feu, les bornes Wifi que pour les solutions des clients qui intgrent le critre de support dIPv6 ; cependant ltablissement dun plan daction commerciale et la formation des commerciaux nest pas entame car la demande en IPv6 nest qua son dbut puisque il est tout fait possible dignorer court terme cette technologie, les dbouchs commerciaux sont prvoir de manire significative dans les 5 ans venir. Des autre projets qui ntaient pas forcement prvus au dpart sont venus agrmenter le contenu du stage, tant donn que jai t principalement aux cts dun ingnieur jai donc particip avec lui un projet de migration darchitecture systme (annuaire, systme de fichiers, gestion des droits) Novell vers Microsoft avec une couche de virtualisation VMWare dans le nouveau systme, les points suivants ont t dvelopps : participation la conception dune architecture systme redondante ; participation la mise en uvre de systmes de sauvegarde des machines virtuelles et des donnes ; mise en place dun outil de transfert des utilisateurs de Novell vers Active Directory ; mise au point dune solution dautomatisation de lintgration des machines utilisateurs dans le nouveau systme.
Dautres projets mont galement t confis, notamment lanalyse et la rsolution dun problme de liaison VPN non fiable au cours duquel la solution existante de supervision rseau a t mise profit pour voir lvolution de la disponibilit de la liaison, finalement la configuration dun nouveau pare feu et le remplacement du matriel a t requise. Un autre projet a consist concevoir une maquette dune grappe de serveurs applicatifs puis une procdure de mise en uvre ; jai pu participer aussi la mise en production de ce systme cela ma permis dtudier les solutions de systmes haute disponibilit de Microsoft et la mise en place dune solution adapte plus de 400 utilisateurs.
50
Benot de Mianville
11 Conclusion
La pnurie dadresses IPv4 de lIANA a t atteinte en 2011, cest la diffrence par rapport lan 2000 ou on parlait dj dIPv6 car lpoque on avait encore quelques annes de rpit, en 2012, lAPNIC (en Asie) est le RIR qui a le moins dadresses IPv4, ensuite cest le RIPE NCC (en Europe), donc dans les 5 ans venir nous allons avoir une utilisation croissante historique dIPv6, on a dj pu le constater ces trois dernires annes. Cest donc naturellement quIPv6 simpose comme nouveau protocole pour pouvoir faire face la croissance de lutilisation dInternet. Aujourdhui on ne se pose plus la question du besoin dIPv6 mais plutt de la faon dont on va le dployer. Une tude a donc t mene pour comprendre prcisment le besoin de ce nouveau protocole, ensuite les diffrentes mthodes de dploiement dIPv6 ont t analyses puis une mise en uvre a t effectue sur un site pilote pour donner accs Internet IPv6 des postes utilisateurs puis pour rendre disponible sur lInternet IPv6 un serveur IPv4. Une tude a mis en vidence de manire concrte comment dployer IPv6 en concordance avec le matriel, les solutions logicielles et les fournisseurs daccs Internet actuels, et des mthodes adaptes ont t dcrites. Concernant la capitalisation de ces travaux, plusieurs formations ont t effectues, la formation avance des 13 personnes constituant lquipe technique, une sensibilisation de lquipe commerciale puis de lquipe dirigeante et enfin la formation du service consultant et de lentit agence de communication de 2SI. Le travail a t effectu dans les temps, jai pu assister un sminaire prparation au lancement mondial dIPv6 organis par lAfnic, Cisco, Telecom Bretagne et Neo Telecom, ainsi qua un sminaire web organis Cisco. Jai galement pu participer des projets de dploiement dagent pour la supervision de systmes, de migration dune ferme de serveurs applicatifs et de migration dun systme informatique au service de plus de 400 utilisateurs. Finalement cest un stage trs enrichissant qui me permet de complter ma formation dingnieur rseau avec des dimensions supplmentaires dans les relations internes lentreprise et avec ses interlocuteurs, avec de la veille technologique accrue ; je remercie trs chaleureusement chaque collaborateur de 2SI et galement certains clients mais aussi les fournisseurs et autres interlocuteurs, sans qui ce stage naurait pu se drouler aussi bien.
51
Benot de Mianville
12 Bibliographie
Livres
[ARC, 2012], IPv6 Principes et mise en uvre, Jean-Paul Archier, eni, 2012, 396 pages [CIZ, 2005], IPv6 Thorie et pratique, Gizle Cizault, OREILLY, 2005, 467 pages
Sites Internet
http://c2.touta.in/?p=222, Cours et exercices IPv6 en vido, Telecom Bretagne, consult le 10/06/2012 [CIZ, 2005], http://livre.g6.asso.fr, IPv6 Thorie et pratique, G6 Association, consult le 01/06/2012, version en ligne du livre [CIZ, 2005] http://technet.microsoft.com, documentation technique des outils Microsoft, consult le 01/06/2012 http://www.debian.org/doc, documentation technique du systme dexploitation Linux Debian, consult le 01/06/2012 http://www.cisco.com/, documentation technique des quipements Cisco, consult le 01/06/2012 http://www.bortzmeyer.org/, synthse et commentaire des normes RFC, consult le 01/06/2012
52
Benot de Mianville
13 Annexe
13.1 Configuration du pare feu Cisco 1941
Le pare feu Cisco a un systme IOS 15 M&T se basant sur lIOS 12.4 et 12.4T. Le paramtrage suivant a t fait sur un routeur Cisco 1841 IOS 12.4(15)T1 dans Packet Tracer dont les commandes sont compatibles ; ci-dessous est prsent le schma physique de la simulation :
Sur le schma ci-dessus, une interface est utilise pour plusieurs rseaux, on la divisera en sous interfaces avec des VLAN (car au total on naura que 2 interfaces physiques). On sintresse donc la configuration du pare feu nomm sur le schma RT1.
Protocole IP
On commence par configurer le protocole IP des interfaces : ! !--On met en route linterface physique interface FastEthernet0/0 no ip address duplex auto speed auto !--seule cette ligne est intressante no shutdown ! 1
Benot de Mianville
!--On cre la sous interface 0/0.20 et on dit quon va utiliser le protocole 802.1q et que les trames seront taggues avec le numro de VLAN 20 interface FastEthernet0/0.20 description VERS ALL TELECOM encapsulation dot1Q 20 ip address 200.0.0.1 255.255.255.0 ! interface FastEthernet0/0.30 description VERS LAN INTERNE encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 ! interface FastEthernet0/0.40 description VERS DMZ MAIL encapsulation dot1Q 40 ip address 192.168.40.1 255.255.255.0 ! interface FastEthernet0/0.50 description VERS DMZ WEB encapsulation dot1Q 50 ip address 192.168.50.1 255.255.255.0 ! interface FastEthernet0/1 description VERS ORANGE ip address 100.0.0.1 255.255.255.0 !
Routage statique
Maintenant on peut configurer le routage statique:
IPv6 tude et mise en uvre ! !--Route par dfaut vers All Telecom !--On le configurera plus tard avec le policy based routing !
Benot de Mianville
Translations
On configure les translations :
Translation statique du serveur WEB de DMZ Web pour que les clients dInternet puissent y accder.
! interface FastEthernet0/0.50 !--ct du serveur web on met inside ip nat inside ! interface FastEthernet0/1 !--ct de linternet (Orange) on met outside ip nat outside ! ! ! !--Seul le port 80 du serveur web est translat ip nat inside source static tcp 192.168.50.2 80 100.0.0.1 80
! interface FastEthernet0/0.40 ip nat inside ! !-- Par contre on met le port SMTP 25 3
IPv6 tude et mise en uvre ip nat inside source static tcp 192.168.40.2 25 100.0.0.1 25 ! !-- Puis le port POP3 110 ip nat inside source static tcp 192.168.40.2 110 100.0.0.1 110
Benot de Mianville
Maintenant on va configurer la translation dynamique du LAN interne vers All Telecom Remarque : on pourrait aussi configurer une translation dynamique vers le WAN orange pour les flux autres que le web.
Interface fa0/0.30 !-L'interface LAN interne est "inside" ip nat inside ! interface FastEthernet0/0.20 !--ct de linternet (All telecom) on met outside ip nat outside ! !--Les flux du LAN interne seront translats sils passent par l'interface vers All Telecom !--Overload indique qu'on fait du PAT : si plusieurs flux ont le mme identifiant de connexion!---alors on change le port source ip nat inside source list 1 interface fa0/0.20 overload ! !--On dsigne les flux provenant du LAN interne access-list 1 permit 192.168.30.0 0.0.0.255
29
http://www.cisco.com/en/US/docs/ios/12_0/qos/configuration/guide/qcpolicy.html
Benot de Mianville
Policy based routing est une fonctionnalit de qualit de service non prsente dans le logiciel de simulation packet tracer, nous allons cependant dcrire les tapes la mise en uvre sans les tester : Attention ! Les flux web doivent passer en priorit par le WAN ADSL All Telecom mais si celui est en panne, ils doivent passer par le lien WAN SDSL Orange.
!--On met le routeur en mode de configuration route map route map flux-web permit 10 ! !-Le routage se basera sur les flux web (dcrit plus bas dans l'acl) match ip address 101 ! !--On met l'interface de sortie, ici vers All Telecom set interface fa0/0.20 ! Interface fa0/0.30 !--On indique que le routage est appliquer sur l'interface LAN interne ip policy route-map flux-web ! !--Access List qui dsigne les flux Web du LAN interne vers n'importe quel serveur web !--Attention, cela peut poser problme si le LAN interne veut accder un serveur web de la DMZ access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq www
Pour continuer quand mme notre simulation, on va ajouter une route vers un seul serveur web qui est accessible via la ligne All Telecom : !--Pour atteindre le rseau du serveur Web connect All Telecom, on passe par le routeur de All Telecom ip route 200.10.0.0 255.255.255.0 200.0.0.2
Benot de Mianville
De plus, les flux allant du LAN interne vers Orange (le flux chiffr du VPN); passent dune interface inside une interface outside (pour la translation dynamique et statique on a d faire comme a); ce qui a pour consquence que le routeur effectue une translation dynamique des flux devant aller dans le VPN. On va donc modifier laccess-list de la translation dynamique pour quelle ne matche pas les flux du VPN et matche les autres flux : On supprime lacl 1: no access-list 1 On cre lacl tendue 102 : access-list 102 deny ip 192.168.30.0 0.0.0.255 192.168.60.0 0.0.0.255 access-list 102 permit ip 192.168.30.0 0.0.0.255 any On modifie la translation dynamique pour lui dire de se baser sur lacl 102 et non plus la 1 : no ip nat inside source list 1 interface FastEthernet0/0.20 overload ip nat inside source list 102 interface FastEthernet0/0.20 overload A prsent les flux devant passer dans le VPN le sont (on peut voir en mode simulation ltablissement des tunnels ISAKMP puis IPSec) et la translation dynamique est effective.
Exemple
Nous utiliserons le logiciel de simulation Packet Tracer avec des routeurs Cisco 2811 IOS 12.4(15)T1; on pourra trs bien reprendre cet exemple pour des autres routeurs. Le schma rseau est prsent ci-dessous.
Benot de Mianville
Pr-requis : Il faut que les routeurs puissent communiquer entre eux, ici cest directement, a peut aussi tre via Internet. Sur chaque routeur, tapez les commandes suivantes :
crypto isakmp policy 1 authentication pre-share hash sha encryption aes 128 group 2 lifetime 86400 exit
access-list 101 permit ip SRC MASK DST MASK crypto map mymap 10 ipsec-isakmp set peer <rt distant> 7
IPv6 tude et mise en uvre match address 101 set transform-set myset exit int faxxx crypto map mymap
Benot de Mianville
! crypto isakmp policy 1 encr aes 128 authentication pre-share group 2 ! crypto isakmp key cisco address 11.0.0.2 ! ! crypto ipsec transform-set myset esp-aes esp-sha-hmac ! crypto map mymap 10 ipsec-isakmp set peer 11.0.0.2 set transform-set myset match address 101 ! ! ! ! ! ! 8
IPv6 tude et mise en uvre ! ! ! interface FastEthernet0/0 ip address 10.0.0.1 255.0.0.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 11.0.0.1 255.0.0.0 duplex auto speed auto crypto map mymap ! ip classless ip route 12.0.0.0 255.0.0.0 11.0.0.2 ! ! access-list 101 permit ip 10.0.0.0 0.255.255.255 12.0.0.0 0.255.255.255 ! ! end
Benot de Mianville
Sources
http://www.youtube.com/watch?v=Ug1yD8Ov_00&feature=related https://learningnetwork.cisco.com/docs/DOC-10756
Benot de Mianville
Static NAT-PT
Static NAT-PT est utile lorsquun hte en IPv4 communique avec un autre hte accessible en IPv6 ou vice versa, cest statique car il faudra configurer une nouvelle translation pour chaque nouvel hte qui voudra communiquer.
Dynamic NAT-PT
Avec Dynamic NAT-PT, on peut faire des translations de N machines IPv4 only vers une machine IPv6 only ou linverse, les N machines auront alors aprs translation une adresse translate choisie dans un pool, ce pool est configurer et on aura autant de sessions concurrentes possibles quil y aura dadresses dans le pool.
10
Benot de Mianville
__________________ RT1 ! !------COTE IPv4 (DMZ)-----interface FastEthernet0/0 ! !--adresse ipv4 ip address 192.168.30.9 255.255.255.0 duplex auto speed auto ! !--On doit mettre obligatoirement ipv6 nat sur les interfaces inbound et outbound ipv6 nat ! 11
Benot de Mianville
!------COTE IPv6 (FAI/INTERNET)-----interface FastEthernet0/1 no ip address duplex auto speed auto ! !--adresse ipv6 ipv6 address 2001:DB8:BBBB:1::9/64
!--ipv6 enable : juste pour activer ipv6 ipv6 enable ! !--On doit mettre obligatoirement ipv6 nat sur les interfaces inbound et outbound ipv6 nat ! !--Allumer l'interface! no sh ! !------TRANSLATIONS-----!--Route par dfaut pour renvoyer vers RT0 ipv6 route ::/0 2001:db8:bbbb:1::8 ! !--On rend disponible le serveur DNS avec une adresse ipv6 ipv6 nat v4v6 source 192.168.30.1 2001:DB8::2 ! !--On dfinit un pool (en lien avec la ligne suivante) ipv6 nat v6v4 pool v4pool 10.21.8.1 10.21.8.10 prefix-length 24 12
Benot de Mianville
!--On dit que les connexions entrantes en ipv6 dcrites par l'acl ci-dessous seront translates vers un pool d'adresses ipv4 ipv6 nat v6v4 source list pt-list1 pool v4pool ! !--On spcifie que si une adresse destination correspond au prfixe ci-dessous, on fait!--la translation ipv6 nat prefix 2001:DB8::/96 ! !--Ca dsigne toutes les connexions entrantes de l'internet qui vont vers l'adresse IPv6 du serveur DNS ipv6 access-list pt-list1 permit ipv6 any host 2001:DB8::2 !
____________ RT0 ! int fa0/0 ipv6 address 2001:db8:bbbb:1::8/64 ipv6 enable no sh int fa0/1 ipv6 address 2010:db8:bbbb:1::9/64 ipv6 enable no sh ! ipv6 route ::/0 2001:db8:bbbb:1::9
13