La sécurité de votre réseau professionnel en IPv6 vs IPv4

Ou pourquoi je recommande fortement de ne pas activer IPv6 ?

L'IP (pour Internet Protocol), c'est le protocole qui permet (entre autres) à Internet de fonctionner. La version la plus utilisée est IPv4. Mais principalement en raison d'un manque d'adresse, on a inventé IPv6 pour le remplacer à terme. En attendant, elles coexistent et fonctionnent en parallèle.

A titre informatif, une adresse IPv4 ressemble à ça :

192.168.32.24

Et une adresse IPv6, à ça :

2a01:e37:8b3f:47a0:afbc:33ff:feb5:efa7

Pour vous connecter à Internet, en IPv4 en général votre FAI ne vous fourni qu'une seule adresse. Avec plusieurs appareils (PC, portable, tablette, etc) et en ne disposant que d'une seule adresse IP, votre box, qui fait office de routeur, utilise le NAT (pour Network Address Translation) et possède donc deux adresses IP, une publique et une privée. Les appareils, eux, n'ont qu'une adresse privée.

nat-1

Ainsi, de manière imagée, lorsque vous demandez, par exemple, une page Internet à votre navigateur, en fait vous demandez à votre routeur de le faire en votre nom et de vous transmettre la réponse.

Cependant le NAT présente un petit inconvénient. Les connexions ne peuvent être initiées que depuis le réseau privé :

nat-2

De ce fait, tous les services proposés par vos appareils (partage de fichiers, caméra, etc) ne sont disponibles que depuis votre réseau local. Pour qu'un service soit accessible depuis Internet, il faut faire une redirection de port. Ça n'est pas quelque chose qu'on met en place par hasard et cet inconvénient se transforme en fait, en avantage considérable en terme de sécurité.

En IPv6, votre FAI fourni une plage d'adresses de manière à ce que chaque appareil dispose de sa propre adresse publique. Ainsi, les connexions peuvent être initiées dans les deux sens :

notnat

Ainsi, après avoir activé l'IPv6 sur ma connexion, depuis une autre connexion IPv6, j'ai pu pinger mon serveur, pourtant habituellement "caché" derrière ma box ADSL en IPv4 :

ping6 _@IPv6_

ping

On peut faire un petit nmap pour voir ce qui est accessible :

nmap -6 _@IPv6_

nmap

Et on a accès en ssh et aux serveurs http :

ssh user@_@IPv6_

ssh

wget -6 http://_@IPv6_

wget

Et bien évidement tous les autres services sont aussi accessibles...

Vous n'avez pas d'enregistrement « AAAA » dans votre configuration DNS, donc vous avez peu de chance qu'on tombe, par hasard, sur votre adresse IPv6. Par hasard, non ! Mais maxmind fourni une base et on trouve également des sites qui donnent des adresses pour un service particulier. Par exemple voici les nœuds IPv6 du réseau bitcoin : http://btcnodes.org/ipv6. Enfin, chaque site que vous visitez enregistre votre adresse.

Pour résumer, en IPv4, vos services (partage de fichiers, caméra, etc) sont cachés derrière votre box ADSL et donc inaccessibles depuis Internet alors qu'en IPv6, tous vos services sont directement accessibles depuis Internet.

C'est pourquoi, à moins que cela ne soit nécessaire et si c'est possible, je recommande fortement de ne pas activer IPv6.