C&ESAR 2011 - Mobilité et IPV6 : panorama de la technologie

g4l4drim

29 nov. 2011 — 2 min read

par Arnaud Ebalard – ANSSI

En introduction, un état des lieux du déploiement d’IPv6. IPv4 c’est has-been, ça a été patché par NAT, et maintenant on galère pour avoir de la connectivité de bout en bout.
IPv6 c’est pas tout jeune – 1998 – et la blague, c’est que le déploiement d’IPv6 c’est pour l’année prochaine. Google, Facebook, Akamaï, etc ont déjà leur solutions IPv6 prêtes au déploiement. IPv6 est globalement routable, ce qui re-ouvre la connectivité de bout en bout dont dépendent pas mal d’opérateurs mobiles, et la problématique de routage est déporté vers les clients pour soulager les routeurs (mais ça présente un risque).

Mobilité Ipv6

La mobilité IPv6, MIPv6, c’est un peu comme le téléphone mobile, vous êtes joignable sur un n° fixe, disponible partout ou vous avez du réseau, et vous pouvez envoyer des SMS et passer des appels n’importe ou (ou presque).

Rester joignable à la même adresse IPv6, c’est un défi, vu qu’il faut être indépendant du lien physique (wifi, gsm, wimax, ethernet etc…), et ce, sans rupture de service en toute transparence pour les applications. Tout ceci sans remettre en cause l’infrastructure de routage existante, que ce soit aujourd’hui ou dans 10 ans.

La sécurité est prise en compte dès la conception du protocole, et ça, c’est bien :).

la mobilité IPv6 se base sur 3 acteurs:
– le noeud mobile : votre téléphone / tablette / pc en itinérance
– le home agent : un routeur du réseau mère qui fait office de « gateway vpn »
– le correspondent node : le client qui vient communiquer avec le noeud mobile.

Si le correspondant de supporte pas MIPv6, c’est le Home Agent qui va tunneler le trafic entre le noeud mobile et le noeud correspondant. On appelle ça le routage triangulaire (forcément, ils sont 3 🙂 ).

Si le correspondant node est aussi un noeud MIPv6 (un noeud mobile), dans ce cas, il est possible via un échange avec le HA de mettre en place un routage de proche en proche et donc d’optimiser la communication.

Coté sécurité, il faut réussir à empêcher quelqu’un d’usurper votre ip, et protéger les données de signalisation pour éviter toute forme de hijacking. C’est pourquoi IPSec est intégré dans la norme IPv6 afin d’authentifier et de chiffrer vers le Home Agent. Quand au tunneling des données, il peut être fait en IPSec en option (la norme est souple de ce coté là).

Finalement IPv6 mobile, c’est bien ;), ça fonctionne.

BotConf 2024

Quelques notes publiables en passant :) tous les talks n'étant pas TLP:CLEAR⚪ pour l'instant, voici les quelques Talks partageables 😄. Cette année la BotConf à lieu à Nice, sous un soleil brillant. Unplugging PlugX: Sinkholing the PlugX USB worm botnet Lors d'une investigation, ils ont

SSTIC 2023 - J3

Analyse statique de code avec Semgrep SemGrep est un outil d’analyse de code source capable de tourner sur n’importe quel langage. Le parsing est basé sur tree-sitter, le parser produit un AST, et l’outil travaille directement sur l’AST. On peut faire du pattern matching et de

SSTIC 2023 - J2

Vulnérabilités dans le protocole RemotePlay Steam est l’application de jeu la plus populaire sur PC, avec une très grosse surface d’attaque. Elle fait l’objet d’un BugBounty sur HackerOne. Le RemotePlay est un protocole non documenté sans rapports de vulns publics. Il permet dans son mode « together

SSTIC 2023 - J1

20 ans de SSTIC ! ça ne nous rajeunit pas… 15 years of oss-security @solardiz L’orateur est l’un des premiers à publier sur le re15 years of oss-security @solardizturn-into-libc et un des contributeurs à John the ripper, et le fondateur de la communauté openwall. Le vulnerability disclosure à fait

Read more

BotConf 2024

SSTIC 2023 - J3

SSTIC 2023 - J2

SSTIC 2023 - J1