quelle approche pour les entreprises ? - LES FOCUS SOLUCOM ...

squaddinnerladyΛογισμικό & κατασκευή λογ/κού

2 Ιουλ 2012 (πριν από 5 χρόνια και 3 μήνες)

278 εμφανίσεις

IPv6 :
quelle approche pour les entreprises ?
LES FOCUS SOLUCOM
Juin 2010
The power of simplicity

« Ce qui est simple est fort »
2
« IPv6 » - Copyright Solucom
IPv6 :
quelle approche pour les entreprises ?
IPv6
Des articles de plus en plus
nombreux dans la presse
informatique mais aussi généraliste,
un ministre qui cite explicitement
IP version 6 comme une évolution
inéluctable d’internet nécessitant
un fort investissement de la part
des entreprises… Le thème est à la
mode. Mais pourquoi cette agitation
subite autour d’un sujet qui existe
depuis 10 ans ? Quel impact sur
les entreprises ? Quelles actions
concrètes doivent-elles mettre
en oeuvre pour ne pas se laisser
distancer ?
IPv6, pourquoi en (re)parle-t-on ?
La pénurie d’adresses internet, longtemps
annoncée, est enfin là
La presse s’agite depuis un an sur le sujet :
IPv4, normalisée en 1980 mais encore au
cœur de l’internet d’aujourd’hui, souffre d’un
défaut structurel : elle ne permet de définir
que 4 milliards d’adresses uniques environ.
Et après 15 ans de croissance massive de
l’internet fixe et maintenant mobile, il n’en
reste plus que quelques dizaines de millions
non attribuées, de quoi tenir au plus 18 mois.
Cette pénurie a été anticipée dès les années
1990, avec pour conséquence la naissance
en 1998 d’une nouvelle norme, IPv6, qui
peut générer un nombre quasi-illimité
d’adresses. Mais en l’absence de rétrocom-
patibilité et de besoins urgents, la migration
IPv6 ne s’est pas faite immédiatement.
Diverses mesures techniques ont par la suite
permis de repousser cette échéance, mais
elles ont aujourd’hui atteint leurs limites
sans pour autant juguler la consommation
d’adresses IP. Aujourd’hui, internet est au
pied du mur : une migration est obligatoire.
Les grands fournisseurs s’ouvrent à IPv6
En l’absence de contrainte forte, la migration
IPv6 a longtemps été confrontée au problème
de la poule et de l’œuf : sans contenus acces-
sibles en IPv6, les réseaux qui leur donnent
accès ne migraient pas, et vice-versa. Mais
depuis un an, un nouvel élan mené par de
grands fournisseurs de contenus permet de
briser ce cycle. Google, Yahoo, Microsoft,
Facebook, eBay et d’autres ont annoncé
voire achevé la mise à disposition de leurs
principaux sites webs en IPv6.
Parallèlement, les organismes gouvernemen-
taux, et notamment le Pentagone américain,
ont adopté des politiques volontaristes de
migration de leurs infrastructures internes,
ce qui a permis de faire mûrir les méthodes
de migration et les implémentations des
constructeurs et éditeurs, qui supportent
très largement IPv6 dans leurs produits
aujourd’hui. Dans bien des cas, les fonc-
tionnalités sont mêmes actives par défaut,
comme dans les derniers systèmes d’exploi-
tation Microsoft ou Apple.
Enfin, les opérateurs, longtemps hésitants,
ont entamé la mise en place de réseaux com-
patibles IPv6 et offrant les passerelles néces-
saires entre les deux mondes. Ils sont motivés
tant par le souhait de se doter d’une image
innovante (Free a déployé IPv6 sur son réseau
en moins d’un mois fin 2007) que par des
nécessités opérationnelles (Comcast, fournis-
seur d’accès internet aux USA, n’a plus assez
d’adresses IPv4 pour administrer ses millions
d’abonnés), mais l’essentiel est que l’offre est
enfin disponible. Dans le monde des réseaux
entreprises, Orange Business Services a ainsi
annoncé en 2009 la compatibilité IPv6 de
de ses services WAN.
Quel impact sur les entreprises ?
Une position plutôt attentiste
Le réseau WAN des entreprises ne présente
généralement pas d’urgence pour une migra-
tion vers IPv6.
Il utilise en effet le plus souvent un plan
d’adressage privé, isolé de l’adressage d’in-
ternet et donc non contraint par la pénurie
qui touche ce dernier. Ce plan d’adressage
est généralement suffisant pour traiter les
besoins actuels et à venir d’extension de
périmètre.
Par ailleurs, il n’y a pas de besoins fonction-
nels majeurs qui ne soient adressés par IPv4,
parfaitement maîtrisée après 20 ans d’utili-
sation. Dans ces conditions, il n’est guère
surprenant que les entreprises ne se préci-
pitent pas pour migrer, d’autant que la crise
n’encourage pas le financement de projets
perçus comme strictement d’infrastructure.
Plusieurs éléments de contexte peuvent
néanmoins justifier une réflexion IPv6, en
particulier chez les très grands comptes :
• le déploiement de la Téléphonie sur IP,
qui augmente l’utilisation d’adresses IP
et peut faire craindre une saturation des
plages d’adresses privées,
• les refontes de plans d’adressage IP
suite à une fusion ou acquisition : il
serait dommage aujourd’hui de lan-
cer un tel projet sans au moins mener
une première réflexion sur la politique
d’adressage IPv6, à défaut d’une implé-
mentation immédiate.
Qu’est-ce qu’une adresse IP v4 ou v6 ?

Une adresse IP permet d’identifier de
manière unique un terminal au sein d’un
réseau, afin de pouvoir lui transmettre des
informations, de la même manière qu’un
numéro de téléphone identifie un abonné
au réseau téléphonique. Les routeurs du
réseau utilisent ces adresses pour orienter
les données vers le bon destinataire.
Elle est constituée, dans sa version actuelle
(IPv4) de 4 octets, soit 4 nombres entre 0
et 255, ce qui permet de créer un peu plus
de 4 milliards d’adresses différentes.
La norme IPv4 a été publiée il y a 30 ans,
dans un monde bien différent d’au-
jourd’hui : des précurseurs d’internet
comptant quelques centaines d’utilisateurs,
aucun réseau mobile… et elle ne peut plus
faire face à la croissance massive du réseau.
La migration vers IPv6 est donc l’équivalent
technologique de la migration en France
vers des numéros téléphoniques à 10
chiffres en 1996, car la norme précédente à
8 chiffres ne permettait plus d’attribuer des
numéros à tous les usagers… à la différence
près que le réseau internet n’est pas sous
le contrôle d’une entité unique qui peut en
assurer une migration contrôlée.
« IPv6 » - Copyright Solucom
3

Mais une forte dépendance vis-à-vis d’internet
Si le réseau interne des entreprises est peu
touché aujourd’hui, il est relié en plusieurs
points à internet, et en particulier :
• sur la ou les plateformes d’accès
internet,
• sur la ou les plateformes d’hébergement
des sites web de l’entreprise,
• sur la ou les interconnexions avec les
réseaux mobiles (souvent via internet)
Ce sont d’abord sur ces points d’intercon-
nexion que la problématique va apparaître car
c’est là que se fera dans un premier temps la
croissance du trafic IPv6 :
• Soit par un passage vers IPv6 de
fournisseurs d’accès ne pouvant
plus se procurer assez d’adresses
IPv4 pour servir tous leurs clients.
C’est un mouvement qui a déjà com-
mencé, notamment en France avec
l’opérateur Free, qui propose un service
IPv6 depuis fin 2007. Des clients dis-
posant d’ordinateurs récents, dont les
fonctions IPv6 sont actives par défaut,
fonctionnent parfois déjà avec ce pro-
tocole sans même s’en rendre compte.
• soit par une évolution technologique
naturelle : ainsi l’opérateur mobile
américain Verizon a-t-il indiqué que
son futur réseau 4G utiliserait obliga-
toirement IPv6.
• soit par la mise à disposition de nou-
veaux services reposant sur IPv6, mou-
vement encore embryonnaire mais
qui se développe, par exemple avec
la solution de VPN Direct Access de
Microsoft qui s’appuie sur IPv6 pour
proposer un niveau fonctionnel plus
élevé que ce que ne permet IPv4.
Aujourd’hui, des solutions techniques
existent pour réaliser la conversion IPv4 /
IPv6, grâce à des plateformes de transla-
tion d’adresses au sein des réseaux. Mais la
conclusion à laquelle sont arrivés les grands
fournisseurs de contenu est que l’utilisation
de ces plateformes risquerait de dégrader
l’expérience utilisateur de leurs clients, avec
lesquels la liaison à travers internet se com-
plexifierait alors sensiblement.
Il faudra donc que les entreprises mènent une
réflexion pour intégrer à leurs plateformes
internet un support natif du nouveau proto-
cole, afin d’éviter d’être tributaires de ces
conversions protocolaires. Ces plateformes
étant conçues pour définir une frontière claire
entre l’entreprise et le monde extérieur, il
devrait être possible d’y intégrer IPv6 sans
trop impacter le reste du réseau.
Les applications métier : un périmètre qui
résistera
Le bilan aujourd’hui sur les infrastructures
est plutôt positif en matière d’IPv6 : les
réseaux opérateurs deviennent compatibles,
les équipements réseau le sont en majorité,
et avec les migrations progressives vers des
versions récentes de Windows, les parcs de
PCs et de serveurs le deviennent également.
Enfin, les applications récentes, majoritaire-
ment développées en mode « web », sont plus
indifférentes vis-à-vis des couches réseau et
ne posent pas de problèmes majeurs.
Il subsiste néanmoins un point de blocage :
de nombreuses applications métier ont été
développées il y a longtemps et présuppo-
sent l’existence unique d’IPv4. On retrouve
alors ce type d’adresse inscrit en dur dans
des fichiers de configuration, dans la
logique applicative, voire dans les processus
d’authentification.
Il est difficilement envisageable de recon-
vertir toutes ces applications vers IPv6, mais
est-ce pour autant indispensable ? Nous
l’avons dit, IPv4 et IPv6 peuvent cohabiter,
et la communication quasi-transparente entre
les deux mondes est possible. Ainsi, comme
en son temps le X.25 ou l’ATM, l’IPv4 pourra
continuer à subsister par « poches » dans les
datacenters bien après que le reste du réseau
sera passé en IPv6.
En revanche, il convient dès maintenant d’in-
tégrer aux processus de développement des
applications des normes visant à les rendre
indifférentes au type d’adressage utilisé pour
s’assurer que le parc d’applications incom-
patibles entre elles n’évolue plus.
De nouvelles habitudes à prendre dès
aujourd’hui
IPv4 est maintenant tellement enraciné que
l’on a tendance à oublier qu’il ait pu exis-
ter des alternatives. Au fil des ans se sont
construites des habitudes d’exploitation,
des procédures d’intégration et d’assistance,
des méthodes de conception qui intègrent
IPv4 et son environnement de normes et de
protocoles.
Le chantier le plus important pour le pas-
sage à IPv6 risque donc d’être non pas tech-
nique mais humain : former tous ceux qui
conçoivent, intègrent, exploitent et utilisent
des réseaux et les systèmes informatiques
en général pour leur donner de nouvelles
habitudes, de nouveaux réflexes de réso-
lution d’incidents, de nouveaux modes de
construction des solutions. Il faudra ainsi
maîtriser de nouvelles notations , de nou-
veaux concepts, et s’habituer à un niveau
d’automatisation supérieur à l’actuel, rendu
nécessaire par l’impossibilité de mémoriser
des adresses longues.
Sur le plan de la sécurité, IPv6 va poser des
problématiques différentes selon la phase
considérée.
Une fois la migration achevée, il faudra
réapprendre à traiter la sécurité dans un
monde IPv6 où certains concepts utilisés
pour sécuriser les réseaux vis-à-vis de l’exté-
rieur, comme le NAT (translation d’adresses),
auront disparu.
Pendant la migration, il faudra parvenir
à assurer la sécurité simultanée de deux
mondes différents sans que la nouveauté et
l’ouverture de l’un ne mette en péril la sécu-
rité établie de l’autre.
Mais dès à présent, avant toute migration,
le problème se pose déjà : de nombreux
« Le chantier le plus important pour le
passage à IPv6 risque d’être non pas
technique mais humain »
4
« IPv6 » - Copyright Solucom
IPv6
équipements activent par défaut des fonc-
tionnalités IPv6, et il est possible d’établir
au-dessus d’un réseau IPv4 des tunnels IPv6,
créant ainsi des connexions mal maîtrisées
et facilement détournées. Le CERTA
1
a ainsi
émis un ensemble de recommandations qui
s’appliquent dès aujourd’hui sur les réseaux
IPv4 pour garantir que ceux-ci ne servent
pas à leur insu de support à des activités
malveillantes. On y retrouve en particulier le
filtrage des technologies de tunnel, et même
la désactivation totale d’IPv6 sur les équipe-
ments si aucune migration n’est envisagée à
court terme.
Mais aussi des opportunités
IPv6 n’est pas qu’une évolution technolo-
gique inéluctable mais pas particulièrement
désirable. Au contraire, ce nouveau proto-
cole offre de nombreuses opportunités pour
améliorer les services ou en proposer de
nouveaux.
Nous avons déjà mentionné la simplifica-
tion des VPNs pour les nomades, pour qui la
connectivité peut devenir quasi-transparente,
ou encore la simplification des architectures
en éliminant le NAT, mais on pense aussi à
l’ensemble des applications de communica-
tions unifiées, dont l’interopérabilité avec des
systèmes externes (à travers internet) pourra
être simplifiée. Si « l’entreprise étendue »
est un chemin de croix sous IPv4, c’est une
réalité de fait sous IPv6.
Se lancer dans IPv6
Nous l’avons vu, il n’y a pas d’urgence à
migrer vers IPv6 pour les entreprises, mais
certains points peuvent être abordés dès à
présent, comme la sécurité ou encore les
accès internet.
Pour autant, comment se lancer si on sou-
haite expérimenter cette technologie d’ave-
nir ? Est-ce une initiative tout ou rien, un
choix imposé entre initier un important et
ruineux projet pour migrer massivement tout
le réseau, ou alors rester exclusivement sur
IPv4 en attendant que l’inertie du marché
oblige à migrer ?
Les opérateurs et les fournisseurs de contenu
ont largement communiqué sur l’aisance de
leurs migrations vers IPv6.
Ils n’ont bien sûr pas à faire face à toutes
les difficultés d’une entreprise : le réseau
c’est leur métier, leurs infrastructures sont
modernes et « propres »… mais est-ce pour
autant difficile ? Et est-ce coûteux ?

En pratique, sans doute moins qu’on ne le
pense, car les technologies de transition per-
mettent de faire cohabiter les deux mondes.
C’est même tellement vrai que l’on peut
craindre que cette cohabitation ne dure au-
delà du raisonnable, générant des difficultés
d’exploitation et donc des coûts. L’essentiel
des matériels étant compatible IPv6, il n’est
pas non plus nécessaire de faire un inves-
tissement matériel massif. Alors comment
procéder ?
• En partant d’abord de sites assez
simples, qui ne poseront pas de pro-
blèmes pour le débogage.
• En faisant activer à l’opérateur WAN
le Dual Stacking sur le routeur d’accès
du site, de manière à disposer d’une
connectivité IPv4 pour tous les services
classiques mais aussi d’IPv6 pour les
services ainsi disponibles.
• En migrant les services les mieux maî-
trisés, ceux de l’infrastructure locale :
le DNS, le serveur de fichier, le serveur
d’impression, le serveur de messagerie,
le proxy d’accès web… et en validant
que les équipements (les imprimantes
par exemple) supportent bien IPv6.
Une fois cette première étape accomplie et
fonctionnelle, il sera possible d’activer petit
à petit l’IPv6 sur des applications métier plus
complexes.
L’objectif doit être de réduire au maximum
les accès effectués en IPv4, car comme
dans toute migration, le fait de supporter
en parallèle deux technologies a un coût,
en termes d’exploitation en particulier. Par
ailleurs, cela permet de repérer rapidement
quels sont les points durs de la migration,
qui pourront nécessiter des mesures particu-
lières. Parallèlement, il faut lancer un chan-
tier pour activer IPv6 sur les accès internet,
surtout pour l’hébergement.
Conclusion : IPv6 arrive, il faut
s’y préparer, à défaut de migrer
immédiatement
IPv6 est un changement technologique
majeur, qui, après de longues années d’at-
tentisme de la part du marché, trouve enfin
une justification à travers le déclin rapide
du stock d’adresses publiques IPv4 encore
disponibles, et l’apparition, d’applications
nouvelles et de contenus qui reposent en
partie sur des fonctionnalités d’IPv6.
Avec l’élan qui se construit sur internet, il
n’est absolument pas trop tôt pour s’interro-
ger sur l’implémentation d’IPv6 au sein de
l’entreprise, d’autant que sa mise en œuvre
a été pensée dès le départ aux côtés d’IPv4.
Trois points sont à envisager à court terme :
• Former les équipes, notamment celles
chargées de l’architecture et des achats
pour qu’elles intègrent IPv6 à leurs
réflexions. Les projets à horizon 2 ou
3 ans doivent obligatoirement en tenir
compte.
• Penser à sécuriser les réseaux vis-à-vis
d’IPv6, qu’on l’adopte dans l’immédiat
ou non.
• Identifier et cadrer les opportunités de
rationalisations à mener conjointement :
revue des principes de sécurité, inter-
connexion des partenaires, refonte des
architectures d’accès internet.
• Lancer une expérimentation, qui ne
posera pas de difficultés majeures dès
lors que les réseaux d’interconnexion
(LAN/MAN/WAN) sont compatibles.
Jeremy Gibbons est consultant senior
au sein de la practice Télécoms &
innovation
A noter, IPv6 intègre directement
un certain nombre de fonctionnalités de
sécurité, dont l’IPSec pour le chiffre-
ment, ou encore la capacité de masquer
la topologie du réseau d’entreprise vis à
vis de l’extérieur. Les mécanismes équi-
valents en IPv4 avaient été greffés sur le
protocole au fil du temps et étaient de ce
fait moins bien intégrés et plus limités
fonctionnellement.
1

Centre d’expertise gouvernementale de réponse et de traitement des attaques informatiques