IPv6 n'est pas un grave problème de sécurité à l'heure actuelle.

Il y a quelques arguments de sécurité contre l'IPv6. Je pense que les deux sont réfutable:

  1. Il y a des failles de sécurité dans les implémentations d'IPv6, donc nous devrions bloquer l'IPv6 et désactiver le code IPv6.
  2. Les utilisateurs peuvent installer des tunnels IPv6 et contourner les dispositifs de sécurité réseau (pare-feu, IDS, etc), de sorte que nous devons bloquer l'IPv6 et désactiver le code IPv6.

Parmi ceux-ci, je donne un peut de crédit au deuxième argument, mais alors aucun au premiers.

Pour le premier argument, oui, il y a eu des bugs de sécurité dans les stacks IPv6. Il y a des bugs de sécurité dans la plupart des logiciels, et on s'en occupe. On patch correctement les systèmes impactés. Il y a bien plus de bug dans les navigateurs web, clients de messageries, et PHP que dans la plupart des stacks IPv6. Par exemple, cette année, FreeBSD a publié 11 avis de sécurité, et seuls 2 était lié à IPv6. Il y a des résultats similaires pour les IOS (OS Cisco). Je mettrais ces stats en ligne pour les comparer au logiciels habituels. Et la plupart des vulnérabilités IPv6 sont bien loin d'être sérieux.

Si les utilisateurs étaient vraiment concernées sur la sécurité de leur systèmes, il serait plus judicieux d'éteindre le Flash que l'IPv6.

Je ne doute pas qu'au fur et a mesure qu'IPv6 est déployé que plus de bugs seront découverts. On s'en occupera comme pour tous bug de sécurité. Cependant , les bugs IPv6 font actuellement les gros titres, même s'ils sont mineurs comparés à d'autres bugs.

Le deuxième argument peut-être traité avec encore plus de facilité : ne laissez pas vos utilisateurs créer des tunnels IPv6, bloquer le tunneling de protocol sur votre firewall.C'est plutôt simple, mais la presse adore pimenter les potentiels dangers. (Au fait la plupart des inquiétudes de trous de sécurité entourent Teredo, qui est désactivé par défaut lorsque l'Active Directory est utilisé)

Et donc, les utilisateurs sont souvent demandé d'éteindre l'IPv6. C'est extrêmement frustrant, surtout que le plus d'endroit ou c'est désactivé, le plus dure (et biensur le plus cher) ce serait de le rallumer lorsque l'on aura plus d'adresse IPv4 de disponible, ce qui arrivera dans quelques années. Au lieu d'éteindre l'IPv6 (lire : mettre votre tête dans le sable), vous devriez mettre à jours vos logiciels de sécurité pour supporter l'IPv6. Il existe plusieurs normes pertinentes ici (en anglais):

ll y a eu des progrès de mise à jour des logiciels de sécurité pour gérer l'IPv6. La plupart des OS viennent avec un firewall compatible avec la pile IPv6 (et certains OS l'activent même par défaut). Snort a un support plutôt basique d'IPv6, mais les versions suivantes améliorerons cela. Nessus supporte aussi l'IPv6.

Biensur les toolkits d'attaque rajoute aussi le support d'IPv6.

Mais avec le logiciel, nous avons également besoin d'une campagne d'éducation pour informer les administrateurs sur IPv6. Bon nombre des questions de sécurité sont les mêmes que pour IPv4, mais il existe quelques différences notables. Je pense que ce sera la partie la plus difficile, l'évolution du logiciel est beaucoup plus facile que le changement des attitudes.

Permettez-moi d'illustrer cela par un exemple:

OS X est livré avec deux pare-feu (ip6fw et l'application pare-feu), les deux supportent l'IPv6. Le mois dernier, j'ai vu un article dans Macworld qui comparait des logiciels de pare-feu tiers pour Mac OS X. j'ai posté un commentaire demandant si quelqu'un avait vérifié si ces produits supportait IPv6. L'un des fournisseurs a affiché une réponse:

DoorStop X prend en charge IPv6 dans ce que nous pensons être la façon la plus sécuritaire possible - par défaut, il désactive entièrement tout accès à partir de machines IPv6. À l'heure actuelle, pour presque tous les utilisateurs, IPv6 est simplement un problème de sécurité potentiel, sans d'avantages réels....

C'est précisément l'attitude dont je parle. Ce vendeur a une histoire de blocage sur l'IPv6 sur des allégations de raisons de sécurité. Pourtant, étrangement, ils n'ont jamais recommandé aux utilisateurs de désinstaller Flash ou quitter l'aide de QuickTime, qui ont eu beaucoup plus de failles de sécurité que l'IPv6.

Du mieux que je puisse dire, leurs produits renvois juste à ipfw(8). Plutôt que de désactiver l'IPv6, pourquoi ne pas également renvoyer à ip6fw(8)? Cela ne serait pas parfait, mais c'est un premier pas raisonnable de support IPv6, et doit être trivial à mettre en œuvre.

Rien de tout cela ne veux dire qu'il n'existe pas d'attaques qui ont lieu sur IPv6. Elles existent. Mais pour le moment, l'IPv6 est une toute petite surface d'attaque par rapport à IPv4. Nous devrions tirer profit de cette situation pour mettre nos canards dans une rangée.

Cet article a été rédigé par Derek Morr.