Son expérience, acquise auprès des plus grands fournisseurs du trafic IPv6 dans le monde, motive Stonesoft à accompagner activement les organismes du secteur privé et du public vers une démarche IPv6 sécurisée et optimisée au niveau des coûts. La société met en avant 10 points clés qui aideront les DSI et RSSI à mieux appréhender la sécurité de l’IPv6 et à établir leurs priorités.
“Beaucoup de personnes croient qu’il y a peu de différences entre les façons de sécuriser l’IPV6 et l’IPv4 : c’est faux. Cette idée reçue est entretenue par le fait que l’on ignore comment il faut procéder et que, côté éditeur, on revendique des performances produits non-avérées dans un environnement réseau IPv6,” explique Laurent Boutet, expert avant-vente de Stonesoft.
Se servant de son vécu dans les déploiements IPv6 de grande envergure, Stonesoft préconise les actions suivantes pour assurer la sécurité :
- Réaménager votre réseau: Procédez à la restructuration de votre réseau IPv4 . Eliminez les fonctionnalités obsolètes et installez des mises à jour complètes en vérifiant que chaque composant du réseau est effectivement traité. Cette opération permet de commencer l’implémentation de l’IPv6 sur une base propre et permet d’éviter beaucoup de problèmes.
- Prévoir une introduction progressive: Inspirez-vous de la démarche de l’administration de la Sécurité Sociale aux US, qui travaille avec l’IPv6 depuis plus de 5 ans et planifie son implémentation complète sur une durée de six ans. Un processus déployé sur une durée définie vous permettra d’assurer le bon fonctionnement de l’IPv6 au sein de votre infrastructure, actuellement optimisée pour l’IPv4, et de maîtriser votre budget.
- Opter pour une solution à double pile : Le mode double pile est très avantageux, même s’il peut imposer des mises à jour de mémoire et de puissance au niveau routeur pour la gestion parallèle de l’IPv4 et l’IPv6. Le mode double pile est facile à mettre en place et assure le support des applications qui ne fonctionnent pas encore avec l’IPv6. Il permet aussi d’éliminer le besoin de tunnels qui sont associés aux problèmes de sécurité.
- Traiter correctement vos tunnels : Le guide publié par le NIST (The National Institute of Standards and Technology) nous conseille d’accorder le même traitement aux tunnels qu’aux liens externes : c’est-à-dire, d’y porter une attention particulière. Il faut inspecter chaque élément du trafic avant qu’il n’entre dans votre système ou ne le quitte. Cet examen implique de passer au crible tout le trafic IPv6, y compris celui qui est contenu dans les paquets IPv4. Pour mener cette inspection complète on a recours à des traitements anti-virus, des sondes de détection d’intrusions, le filtrage du trafic entrant, le filtrage des paquets et des proxies applicatives. Il faut aussi renforcer la sécurité en bout de tunnel avec des mesures comme l’authentification.
- Attention aux malfaiteurs: Des utilisateurs malveillants infiltrent déjà les réseaux IPV6 plus rapidement qu’ils n’ont frappé d’autres avancées. Les avertissements concernant les attaques connues sont plus que jamais d’actualité. Certaines attaques peuvent pénétrer votre réseau en profondeur avant que vous ne remarquiez la moindre anomalie, et deviennent ainsi plus dangereux. Ces attaques proviennent des scénarios qui sont presque trop faciles à utiliser. La mémorisation de chaque type d’attaque et une solution adaptée à chaque cas sont impossibles. Il faut être conscient du fait que si beaucoup circulent déjà, d’autres encore entreront en scène au fur et à mesure que le temps passe.
- Mise à jour avec un firewall certifié: Soyez prudent au niveau des revendications éditeur. S’ils ne sont pas vérifiés par un tiers, certains éditeurs se contentent de router un générateur de trafic vers leurs produits pour montrer qu’il fonctionne. Il ne faut prendre en compte que les produits certifiés. Les organismes de certification appliquent des méthodes d’évaluation connues et validées pour attester les capacités de votre firewall.
- Exiger l’authentification: L’authentification est d’une importance critique et devient de plus en plus facile à mettre en place. Stonesoft préconise l’utilisation d’un proxy HTTP/HTTPS pour se connecter à l’Internet. Si l’authentification est nécessaire ne serait-ce que pour se connecter au réseau, le risque de recevoir des visiteurs importuns est d’office réduit.
- Apprendre ses leçons : Il faut connaître la syntaxe IPv6. Même si elle ressemble à celle de l’IPv4, il y a des différences de base. La maîtrise de la syntaxe permet de mieux gérer des brèches de sécurité ou mettre en place des mesures nécessaires. Techniquement le protocole est connu depuis plus d’une décennie et il existe pléthore d’informations sur le sujet, dont un guide du gouvernement des Etats-Unis de 188 pages.
- Appuyer sur le bouton d’arrêt: Interrompre les capacités IPv6 lorsqu’elles ne sont pas utilisées peut paraître simple en théorie… mais en pratique, différentes configurations cohabitent, comme par exemple l’activation par défaut du protocole. Il ne faut pas hésiter à vérifier à plusieurs reprises votre environnement pour vous assurer que le protocole n’est activé que lorsqu’il est utilisé. Il peut être astucieux d’investir dans un outil qui a la capacité de désactiver l’IPv6 en masse
- Savoir détruire: Même si pour une partie conséquente de votre réseau l’IPv6 est inactif, des visiteurs importuns peuvent quand-même surgir. Vous devez donc savoir les détruire avant que d’autres parties liés à votre système soient infectées. La connaissance de la syntaxe IPv6, est indispensable dans ce cas, notamment pour la mise ne place de firewalls et de filtrage de trafic efficaces.
Publié par P.T
source : Stonesoft
A lire également :
- Des défis de sécurité apparaissent avec le lancement de l’IPv6
- Passage à IPV6, résistance au changement ?
- « Le passage à l’IPV6 n’est pas la fin du monde ! »
Dans l'actualité