Inside Out - Blog CyberSécurité Blog   /  

Sécurité du protocole IPv6 : avez-vous vérifié vos angles morts ?

Sécurité du protocole IPv6 : avez-vous vérifié vos angles morts ? | Varonis

La nouvelle génération de l’Internet Protocol aura également des conséquences massives en matière de sécurité réseau. IPv4 et IPv6 co-existeront au cours des années à venir, mais il n’est jamais trop tôt pour se pencher sur la sécurité du protocole IPv6. C’est justement ce point qu’aborde notre article, tout au long des sections suivantes :

Résumé de l’histoire des protocoles IPv4 et IPv6

comparaison entre IPv4 et IPv6 Le protocole IPv4 constitue la base d’Internet depuis des décennies, mais nous savons depuis la fin des années 1980 qu’il n’est pas adapté à un monde totalement connecté. Avec seulement 4,3 milliards d’adresses, il ne peut en effet offrir que 2 adresses uniques par personne. À une époque où le consommateur moyen possède plusieurs dizaines d’appareils, chacun ayant besoin de sa propre adresse, cette limitation pose un vrai problème. Des technologies comme la traduction d’adresse réseau (NAT) ont permis de prolonger de manière considérable sa durée de vie, mais la véritable solution réside dans la mise en place d’une toute nouvelle suite de protocoles. L’organisme de normalisation chargé de l’Internet Protocol, l’Internet Engineering Task Force (IETF), aurait très bien pu résoudre le problème en créant simplement un espace d’adressage plus vaste. Toutefois, il a choisi d’aller un peu plus loin. La nouvelle suite de protocoles n’allait pas seulement prendre en charge un nombre quasi illimité d’adresses, mais aussi adopter un fonctionnement de base différent. Par exemple, au lieu d’associer une adresse unique à chaque interface comme le fait IPv4, IPv6 associe souvent plusieurs adresses ayant des objectifs différents. Ces évolutions ont des conséquences non négligeables en matière de sécurité. Dans cet article, nous allons nous pencher sur les plus importantes.

Problématiques de sécurité liées aux protocoles IPv4 et IPv6

Commençons par la bonne nouvelle : la suite de protocoles IPv6 n’est pas intrinsèquement plus ou moins sécurisée que la version précédente. Comme avec IPv4, la vaste majorité des incidents de sécurité est liée à des problèmes de conception et de mise en œuvre plutôt qu’à des faiblesses de la technologie sous-jacente. En d’autres termes, les défaillances de sécurité sont principalement dues à des erreurs humaines. Le facteur humain joue ainsi un rôle central dans la sécurité d’IPv6. Nous possédons des décennies de connaissances et d’expérience en lien avec IPv4, et nombre d’entre nous avons pris l’habitude de considérer nos réseaux du point de vue de ce protocole uniquement. Pourtant, cet état d’esprit est dangereux, car la totalité des systèmes d’exploitation et des appareils modernes active IPv4 ET IPv6 par défaut. Notre partialité peut donner naissance à des angles morts, par exemple en sécurisant la surface d’attaque IPv4 d’un serveur tout en ouvrant les ports IPv6 à tout vent. Ces habitudes ne concernent pas uniquement les ingénieurs réseau et les administrateurs système. Les outils de sécurité et les équipes d’opérations de sécurité tendent aussi à négliger le trafic IPv6. Les hackers peuvent saisir cette opportunité de bien des façons, notamment en utilisant un serveur proxy IPv6 pour se déplacer latéralement dans le réseau d’une entreprise ou exfiltrer des données en limitant les risques de détection.

Idées reçues fréquentes concernant la sécurité du protocole IPv6

liste de 5 bonnes pratiques liées à la sécurité IPv6

1. La sécurité du protocole IPv6 peut être dissociée de celle du protocole IPv4

Comme nous l’avons déjà vu, tous les appareils et systèmes d’exploitation modernes activent IPv6 par défaut. Ainsi, à moins de le désactiver explicitement sur chaque nœud de votre réseau, vous disposez probablement d’un environnement à deux piles. Conséquence : vous ne devez pas comparer la sécurité de ces deux protocoles. Les deux sont probablement actifs et vous devez donc penser aux risques de sécurité de chacun d’eux. Quels que soient les mécanismes de défense et d’atténuation que vous appliquez à vos hôtes et routeurs IPv4, vous devez également en faire bénéficier la partie IPv6 de votre réseau. Cela ne veut toutefois pas dire que la sécurisation IPv6 ne nécessitera pas une configuration supplémentaire. Bien souvent, vous devrez configurer de manière explicite vos paramètres IPv6 sur vos pare-feu, ACL, etc. Il est également crucial de garder à l’esprit que de nombreuses attaques interviennent au-delà de la couche réseau. Un e-mail de phishing intégrant un ransomware, par exemple, constitue une menace identique que le lien soit associé à une adresse IPv4 ou IPv6.

2. IPSec résout tous les problèmes

Une des modifications fondamentales apportées par l’IETF avec IPv6 réside dans l’inclusion de la prise en charge d’IPSec. Chiffrement et authentification sont ainsi disponibles directement depuis la suite de protocoles et non ajoutés sous forme de surcouche comme pour IPv4. L’idée était que cette prise en charge au niveau du protocole permettrait de renforcer la sécurité d’IPv6. En pratique, elle ne change pas grand-chose, et ce pour plusieurs raisons. Tout d’abord, IPSec est déjà largement employé dans les réseaux IPv4. Ensuite, les versions initiales d’IPv6 imposaient la prise en charge d’IPSec, mais pas son utilisation. Cette fonctionnalité devait donc encore être activée explicitement. Enfin, l’IETF a fini par alléger encore cette exigence en 2011, en expliquant que les implémentations d’IPv6 DEVRAIENT prendre en charge IPSec, mais resteraient conformes à la norme si elles ne le faisaient pas.

3. La reconnaissance des réseaux n’est pas possible sur les subnets IPv6

Les sous-réseaux IPv4 d’un réseau d’entreprise englobent tout au plus de quelques centaines à quelques milliers d’adresses possibles. Les attaquants peuvent rapidement analyser l’ensemble de cet espace et déterminer quelles adresses sont associées à des hôtes actifs. Un subnet IPv6 standard compte 264 hôtes. En d’autres termes, chaque subnet contient environ 4 milliards de fois plus d’adresses qu’un espace d’adressage IPv4 entier. L’analyse de toutes ces adresses prendrait des centaines d’années. Les attaques de reconnaissance classiquement utilisées sur les réseaux IPv4 ne sont donc pas envisageables avec des adresses IPv6. Les hackers ne sont toutefois pas du genre à se complaire dans la nostalgie et ont rapidement mis de côté leurs vieilles habitudes de ping en faveur de techniques adaptées aux 128 bits des adresses IPv6. De nouveaux outils comme scan6 adoptent une approche ciblée en s’appuyant sur des études ayant montré que les adresses IPv6 sont souvent attribuées sur la base de schémas prévisibles. Pour les serveurs, ils utilisent volontiers des recherches DNS inverses. Les chercheurs en sécurité comme les acteurs malveillants travaillent à l’élaboration de nouvelles techniques plus efficaces pour analyser les réseaux IPv6.

4. L’usurpation est de l’histoire ancienne

La pile IPv6 actuelle inclut diverses fonctionnalités conçues pour bloquer les attaques par usurpation touchant les couches 2 et 3, mais elles ne sont que peu utilisées ou prises en charge. Le protocole Secure Neighbor Discovery (SEND), par exemple, a été introduit en 2005 pour sécuriser la découverte des hôtes voisins dans les réseaux IPv6. Les systèmes d’exploitation hôtes mettent toutefois du temps à l’adopter, et le protocole Neighbor Discovery Protocol (NDP), plus ancien et moins sécurisé, reste majoritaire. Ce protocole est vulnérable à diverses attaques similaires dans l’esprit à l’usurpation ou à l’empoisonnement ARP, que l’on retrouve sur les réseaux IPv4. Les en-têtes d’authentification IPSec peuvent être utilisés pour prouver l’authenticité d’une adresse IPv6, mais la prise en charge d’IPSec doit être explicitement activée. En leur absence, l’usurpation d’une adresse IPv6 ne présente pas plus de difficulté que celle d’une adresse IPv4. Par chance, de nombreuses techniques utilisées depuis longtemps pour protéger les réseaux IPv4 sont tout aussi efficaces pour renforcer la sécurité du protocole IPv6. Tous les grands constructeurs de routeurs prennent en charge une fonctionnalité de filtrage similaire au DHCP Snooping et au Dynamic ARP Inspection pour les attaques par découverte des voisins. Le filtrage Bogon et les vérifications Unicast Reverse Path Forwarding fonctionnent tout aussi bien pour le trafic IPv4 et IPv6.

5. Le NAT rend le protocole IPv4 plus sûr

Il est vrai que la traduction d’adresse réseau (NAT) permet de masquer la structure interne d’un réseau, mais cela n’a jamais été son but. En réalité, le NAT va même à l’encontre de l’un des objectifs d’origine du protocole IP : l’accessibilité des hôtes de bout en bout. Les adresses uniques globales (GUA) du protocole IPv6 restaurent cette fonctionnalité, mais sans risque en matière de sécurité et de confidentialité. Les multiples types d’adresses disponibles grâce à ce protocole offrent plus de flexibilité dans la conception des réseaux. Les adresses link-local, par exemple, sont seulement valides dans un domaine de diffusion et ne sont pas routables. Lorsque vous avez besoin d’une adresse routable, les pare-feu compatibles IPv6 offrent les mêmes avantages que le NAT.

Bonnes pratiques de sécurité en lien avec le protocole IPv6

5 idées reçues autour de la sécurité IPv6

1. Apprenez comment fonctionne IPv6

Le plus important pour renforcer la sécurité IPv6 de votre entreprise est d’apprendre comment fonctionne le protocole. IPv4 et IPv6 diffèrent sur de nombreux points. Pour réussir à protéger votre réseau, vous devez disposer a minima de connaissances de base sur leur fonctionnement et leurs différences. IPv6 change tout, de la syntaxe des adresses à leur mode d’attribution. Il est important de comprendre comment fonctionne ce protocole, mais aussi comment il est mis en œuvre sur les différents systèmes. Sur les systèmes Linux, par exemple, l’omniprésent pare-feu iptables ne filtre pas automatiquement le trafic IPv6. C’est aux utilisateurs de configurer explicitement le programme ip6tables compagnon pour protéger leurs machines. S’ils l’ignorent, ils risquent de laisser grandes ouvertes des portes dérobées pouvant être exploitées par les hackers.

2. Identifiez votre surface d’attaque

Avec ses multiples types d’adresses, le protocole IPv6 peut présenter une surface d’attaque plus importante qu’IPv4. À la différence d’IPv4, IPv6 offre une large prise en charge de la configuration automatique des adresses. Il est ainsi possible que vos terminaux acceptent du trafic IPv4 sans même que vous en ayez conscience. Les adresses link-local sont également souvent configurées sur tout terminal ayant activé IPv6. Il est très probable que le protocole IPv6 soit utilisé dans votre réseau, même si vous l’ignorez. La recherche et la sécurisation de vos terminaux IPv6 sont aussi importantes que la recherche et la sécurisation des hôtes IPv4. Vous pouvez utiliser les mêmes outils que les attaquants, par exemple scan6, pour détecter des hôtes insoupçonnés.

3. Soyez vigilant vis-à-vis des tunnels

IPv4 et IPv6 ne sont pas compatibles nativement. Par conséquent, divers mécanismes ont été imaginés pour permettre leur interopérabilité. Les tunnels en font partie : ils permettent au trafic IPv6 d’emprunter un réseau IPv4 natif. Toutefois, les tunnels présentent des inconvénients en matière de sécurité, car ils réduisent la visibilité sur le trafic et contournent les pare-feu. Il est également possible pour un attaquant de tromper les mécanismes de création automatique de tunnels pour manipuler le flux du trafic. Pour toutes ces raisons, il est recommandé d’utiliser les tunnels avec précaution. Les tunnels statiques sont généralement préférés aux tunnels dynamiques, et ils ne doivent être activés que lorsque nécessaire. Le filtrage au niveau du pare-feu peut également fournir un contrôle granulaire sur les hôtes pouvant endosser le rôle de terminaux de tunnel.

4. N’utilisez pas un modèle d’adressage prévisible

Comme nous l’avons vu, les attaques de reconnaissance contre les subnets IPv6 réussissent en grande partie, car les hôtes tendent à utiliser des adresses prévisibles. Certes, cette stratégie facilite l’administration réseau, mais elle nuit aussi à la sécurité d’IPv6. L’utilisation dans la mesure du possible d’adresses aléatoires, en particulier pour les attributions statiques, permet de limiter la portée de ces attaques. Si vous vous appuyez sur la configuration automatique, sachez que pendant un temps, les systèmes d’exploitation dérivaient souvent une partie de l’adresse IPv6 (couche 3) de l’adresse MAC (couche 2). Ce mécanisme simplifie la détection des hôtes pour les attaquants. La plupart des systèmes d’exploitation sont désormais capables de générer des adresses aléatoires ou pseudo-aléatoires. Pensez à vérifier que cette fonction est activée sur vos terminaux si vous utilisez la configuration automatique.

5. Ne vous débarrassez pas de ce qui fonctionne

De nombreuses bonnes pratiques liées aux réseaux IPv4 ont leurs équivalents IPv6. L’activation de l’authentification pour les protocoles de routage et du filtrage Bogon, et la configuration des pare-feu sur les hôtes pour éviter les déplacements latéraux au sein de votre réseau sont ainsi recommandées dans les environnements IPv4 comme IPv6.  Les routeurs IPv6 prennent par ailleurs souvent en charge diverses fonctionnalités de sécurité First Hop semblables à celles des environnements IPv4. On peut notamment citer RA Guard, ND Inspection et Source Guard. 3 recommandations de sécurité pour IPv4 applicables à IPv6 Comme toujours, il est important de réfléchir à la sécurité IPv6 dans le cadre d’un programme global de sécurité de l’information. Comme tout expert en intrusions vous le dira, chaque réseau comporte des défauts et des faiblesses. Une bonne cyberhygiène et le recours judicieux à des pare-feu, des antivirus et une solution comme la plateforme de protection des données Varonis, peuvent aider votre entreprise à limiter les risques et y répondre.

Nous sommes Varonis.

Depuis 2005, nous protégeons les données les plus précieuses du monde des mains de vos ennemis grâce à notre plateforme de sécurité des données, leader sur le marché.

Comment fonctionne Varonis ?