Juillet 2011 - La fin annoncée d'une époque : le RIPE ne distribuera plus de nouveaux préfixes IPv4, ce qui signe donc l'arrêt de mort de ce cher bon vieux protocole qui a eu son heure de gloire, et son âge d'or.
IPv4 ( ou IP tout court ), dont la représentation la plus connue est l'adresse IP , si facile à comprendre car décimal, est en fin de vie. Le pauvre protocole est victime de son succès !
But why ? So simple ! Les adresses IPv4 sont encodées sur 32 bits, ce qui
permet d'avoir quelques 4 294 967 296, disons 4,3 milliard pour
faire simple. Sans rentrer dans des calculs farfelus, le Vulgum Pecus remarquera
tout de suite que 4,3 milliards d'IP possibles sur un protocole sensé permettre
à l'ensemble de l'humanité de communiquer (6 Milliards, +/-), ça pose un "
léger " soucis. Surtout qu'une personne n'a pas qu'une seule adresse !
Woops.
Trop peu d'adresse ou trop de gens. Soit on réduit le nombre de gens ( ce qui
est moralement inconcevable ), soit on augmente le nombre d'adresses
disponnibles. A prioris, augmenter le nombre d'adresse est la solution qui a
été retenue.
Un groupe d'ingénieurs, mathématiciens et autre gurus IT américain a donc
plancé sur la nouvelle mouture d'IP : v6 !
Alleluia. Quoi de neuf ? Tellement de choses ! Pour le fonctionnement global,
je vous conseil d'aller faire un tour sur Wikipedia, c'est bien expliqué. Les
bouquins O'Reilly sur le sujet sont aussi très bien faits, et très complets.
Je retiens cependant un point important : le bannissement du NAT, du fait de la
surabondance d'adresses IP.
Prenons un cas très courant, que l'on connait tous à la maison. Vous disposez
d'une MachinBox. Cette MachinBox est un modem-routeur avec un petit commutateur
quatre-ports intégré. L'interface modem ADSL porte l'IP publique qui vous est
assignée par votre fournisseur d'accès Internet. Vous branchez sur le
commutateur vos machines personnelles. Les machines ont des IP
"privées", c'est à dire conformes à la RFC1918 qui décrit les plages
non routables sur Internet, pour usage interne. La MachinBox vous assigne un
bail DHCP, via son service embarqué. Vous voilà avec une IP privée, capable de
surfer sur Internet sur plusieurs machines, et ce via une seule et unique IP
routable; Par quel miracle vous retrouvez vous ainsi protégé ? Par la
translation d'adresse !
La translation d'adresse, c'est une anomalie, une tache rouge et dégoulinant
sur une nappe blanche : c'est une hérésie dévoreuse de ressource et créatrice
de business pour vos chers consultants IT qui jouent avec depuis la maternelle.
:) La translation d'adresse permet de "forger" un paquet, c'est à
dire modifier les champs sources, destination, les ports utilisés, etc... Vous
modifiez votre horrible petit paquet 192.168.1.10 en une jolie IP tout aussi
unique que routable sur le web (91.121.156.20 ?). L'horrible paquet avec sa
source en IP RFC1918 ("IP privées") n'aurait pas eu de réponse de
l'IP avec laquelle il essayait en effet de communiquer : la dite IP ne sachant
pas où se trouve 192.168.1.10 sur le web. Rajoutez à ça que des 192.168.1.10,
yen a un paquet !
Ce système a permis à IPv4 de survivre tant bien que mal quelques années de plus,
en cachant les grands réseaux "privés" derrière des IP
"privées", un grand nombre d'IP privées pouvant ensuite sortir avec
un tout petit nombre d'IP publiques.
Génial. Superbe. Hum. A un bémol près. Quand vous avez un backbone trop gros,
que vous le concentrez, vous allez avoir un phénomène horrible : l'overlaping.
C'est-à-dire quand deux entités veulent communiquer entre elles, mais avec les
mêmes IP. "Oops". Ou plus communément, pour vos VPNs. « Oups, je
veux aller sur du 192.168.1.1, mais ici AUSSI je suis en 192.168.1.1 ».
Point ne marche.
Maintenant avec IPv6, tout ces problèmes sont résolus d'un coup, d'un seul : il
y a tellement d'adresses IP globales (routables), qu'il est possible d'en
mettre sur à peu près tout. Vous voulez pinger votre PC, pas de problème : on a
la route vers celui-ci.
Notez tout de même le problème de sécurité sous-jacent : vous avez IPv6, donc
tout le monde est à un clic de pouvoir entrer sur votre machine et faire tout
ce qu'il veut, et ce très facilement, c'est natif !
Il va donc falloir que tout le monde se munisse d'une passerelle filtrante pour
éviter le problème. Vous interdisez tous les flux entrants vers vos PC, et hop,
vous êtes aussi bien protégé qu'avec un NAT. Notez d'ailleurs que Cisco a
totalement revu l'ergonomie de ses ACL IPv6, et c'est pas mal du tout.
Attention cependant lors du déploiement de V6: les piles IPv6 actuelles ont été
très peu utilisées - elles sont dans le même état que les piles IPv4 il y a 15
ans -. Concrètement, il est très prévisible que quelques personnes
malintentionnées puissent avec un Ping faire rebooter votre cher Windows Vista,
voir même votre plateforme de filtrage. Il va falloir que les piles v6 soient
plus largement utilisées pour qu'elles puissent être débuggées et corrigées. Il
vaut donc mieux aller doucement sur le déploiement de V6 sur les populations à
sensibles.
Commentaires