Présentation
EnglishRÉSUMÉ
Cet article présente les options permettant d’introduire IPv6 dans les infrastructures mobiles, tout en garantissant que les utilisateurs mobiles aient toujours accès aux applicatifs IPv4. En particulier les stratégies double pile et IPv6-only sont approfondies.
Les problématiques de sécurité associées à l’introduction d’IPv6 sont ensuite proposées. Elles se concentrent, d’une part, sur les principales menaces observées sur les infrastructures mobiles et, d’autre part, sur les vulnérabilités intrinsèques liées à la nouvelle version du protocole IP.
Quelques recommandations et techniques permettant à un opérateur mobile de se prémunir contre les principaux risques sont décrites pour conclure cet article.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
David BINET : Architecte réseaux IP – Orange
INTRODUCTION
Les services proposés sur réseaux mobiles reposent de plus en plus sur l'établissement de connexions IP. Cela s'explique par l'explosion des services de type data mais aussi le déploiement des architectures LTE/EPC, généralement appelées 4G, qui reposent uniquement sur un cœur réseau « paquets ». Cette évolution en termes de services et d'architecture des réseaux mobiles est à considérer dans un contexte où les adresses IPv4 dites « publiques », c'est-à-dire routables sur l'Internet, viennent à manquer. C'est notamment le cas dans les continents américain et asiatique, voire européen dans un futur très proche et de façon moins critique, en Afrique ou en Amérique Latine. La majeure partie des grands opérateurs travaille donc sur le déploiement de la nouvelle version du protocole IPv6, certains à travers des déploiements commerciaux (T-Mobile, Verizon, Orange Pologne pour ne citer qu'eux), d'autres à travers des expérimentations et pour certains d'entre eux par des contributions à des travaux de standardisation (IETF, 3GPP, GSMA).
L'intégration d'IPv6 dans les réseaux mobiles peut reposer sur différentes stratégies et notamment sur le choix de proposer une connectivité IPv6 en complément à une connectivité IPv4 ou bien de fournir aux clients une connectivité basée uniquement sur le protocole IPv6. Quelle que soit l'option retenue, une des conditions est naturellement de maintenir une qualité d'expérience indépendante du type de connectivité et l'opérateur doit notamment s'assurer que le client pourra accéder à tous les services, notamment ceux qui sont basés sur une pile protocolaire uniquement IPv4. L'intégration d'IPv6 dans les réseaux mobiles repose naturellement sur des briques standardisées, notamment à l'IETF, mais en prenant en compte quelques spécificités liées à l'environnement mobile et notamment aux ressources radio à préserver. Cet article présente ainsi les techniques d'introduction du protocole IPv6 dans les réseaux mobiles, ainsi que les spécificités liées au recours à une connectivité double pile ou uniquement IPv6.
L'introduction d'IPv6, si elle impacte le cœur de réseau, les terminaux et les applications, suppose également de mettre à jour les architectures de sécurité. Ces impacts sur la « sécurité » seront considérés de la façon suivante dans cet article. Les principales vulnérabilités des réseaux mobiles seront décrites dans le paragraphe 3. Ces vulnérabilités reposent d'une part sur les architectures des réseaux mobiles et notamment les différentes interconnexions avec d'autres réseaux, mais aussi sur des analyses des principales attaques dont sont victimes les opérateurs mobiles.
Dans le paragraphe 4, il s'agit de présenter les vulnérabilités intrinsèques du protocole IPv6, par rapport au contexte d'un déploiement dans un environnement mobile. Dans ce paragraphe, les solutions permettant de répondre aux problèmes liés au protocole seront également décrites.
Dans le paragraphe 5, l'objectif est de préciser les principaux problèmes de sécurité liés aux choix d'introduction du protocole IPv6, double pile ou IPv6-only, ainsi que les moyens d'y palier.
Dans le paragraphe 6, l'objectif est de proposer les recommandations permettant aux opérateurs de maintenir un niveau de sécurité de leurs services mobiles au moins comparable à ce qui est aujourd'hui mis en œuvre alors que seul le protocole IPv4 est utilisé pour assurer l'accès aux services de données.
Le glossaire ci-après s'appuie sur les définitions proposées dans l'article [TE 7 507].
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Introduction d'IPv6 dans les réseaux mobiles - Impacts sur la sécurité > Sécurisation des architectures mobiles
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Réseaux cellulaires et téléphonie > Introduction d'IPv6 dans les réseaux mobiles - Impacts sur la sécurité > Sécurisation des architectures mobiles
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
2. Sécurisation des architectures mobiles
Lorsqu'un opérateur déploie le protocole IPv6, son premier objectif est que cette évolution vers une nouvelle version de protocole IP soit transparente pour l'utilisateur final. À ce titre, le client doit pouvoir accéder aux services sans restriction et il ne doit pas subir de désagréments dus à une modification de son type de connectivité.
Cette évolution doit être transparente pour lui. Il est donc indispensable que l'opérateur garantisse que l'introduction d'IPv6 n'est pas à l'origine de problèmes dus à des absences de protection notamment. L'opérateur doit garantir que le niveau de sécurité de l'infrastructure mobile, une fois la nouvelle version de protocole IP introduite, soit au minimum équivalent à celui observé avant l'introduction d'IPv6. Cela nécessite pour l'opérateur, d'une part d'évaluer son architecture de sécurité des réseaux et services IPv4, et d'autre part de maitriser les nouvelles failles induites par le protocole IPv6 et d'en protéger son architecture et les clients.
2.1 Vulnérabilités des réseaux
Les réseaux mobiles s'appuient de plus en plus sur le protocole IP, aussi bien au niveau architecture d'accès où les réseaux IP/MPLS deviennent la norme pour satisfaire notamment les exigences concernant la montée en débit, que pour les connexions clients qui sont de plus en plus nombreuses et qui sont maintenues pour des durées de plus en plus longues. Le déploiement des réseaux de quatrième génération et leur architecture tout-IP ne font que renforcer cette tendance.
Le protocole IP est utilisé comme protocole de transport, pour la mise en œuvre des contextes PDP sur la base de tunnels GTP, voire PMIP (cf. encadré), dans les réseaux mobiles mais aussi naturellement comme protocole de connectivité pour les clients.
• GTP (GPRS Tunneling Protocol ) : ensemble de protocoles IP utilisés dans les réseaux mobiles pour le transport des données GPRS dans les réseaux GSM, UMTS, LTE.
• PMIP (Proxy Mobility IPv6 ) : protocole de mobilité réseau utilisé comme une alternative au protocole GTP dans les réseaux 3GPP ...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Sécurisation des architectures mobiles
BIBLIOGRAPHIE
-
(1) - POSTEL (J.) - Internet protocol. - STD 5, RFC 791, sept. 1981.
-
(2) - DEERING (S.), HINDEN (R.) - Internet protocol, version 6 (IPv6) specification. - RFC 2460, déc. 1998.
-
(3) - MOCKAPETRIS (P.) - Domain names – Concepts and facilities. - RFC 1034, nov. 1987.
-
(4) - KENT (S.), SEO (K.) - Security architecture for the Internet protocol. - RFC 4301, déc. 2005.
-
(5) - CONTA (A.), DEERING (S.) - Generic packet tunneling in IPv6 specification. - RFC 2473, déc. 1998.
-
(6) - TS23.003, 3GPP - Numbering addressing and identification. - 3GPP TS.23.003 10.5.0, mars 2012.
-
...
DANS NOS BASES DOCUMENTAIRES
ANNEXES
• World IPv6 launch – measurements http://www.worldipv6launch.org
• Arbor Special Report – Worldwide Infrastructure Security Report https://www.netscout.com/arbor-ddos
• Secure Works – Assess your risk from an advanced persistent threat http://www.secureworks.com
• GPRS Security Threats and Solution... – Juniper Networks http://www.yumpu.com/en/document/view/3550182/gprs-security-threats-and-solution-juniper-networks
• Security impacts of abusing IPv6 extension headers https://media.blackhat.com/ad-12/Atlasis/bh-ad-12-security-impacts-atlasis-slides.pdf
• DDOS & Security Reports – IPv6 Extension Headers https://www.netscout.com/arbor-ddos
• Alexa – The top 500 sites on the Web http://www.alexa.com
• Internet Society – There's no place like Home – CPE security challenges for broadband network operators http://www.internetsociety.org
• 3GPP (3rd Generation Partnership Project) – Coopération entre organismes de standardisation en télécomunications http://www.3gpp.org
HAUT DE PAGECet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive