1. Matériel de sécurité non conforme

La plupart des fournisseurs affirment aujourd’hui proposer des produits de sécurité compatibles IPv6. Le sont-ils vraiment ? La majorité de ces fournisseurs proposent une version spécifique qui prend en charge IPv6 ou qui nécessite une licence pour l’exécuter. Cependant, même si la prise en charge du protocole IPv6 est activée, il est nécessaire d’apprendre avec soin leur mode de fonctionnement. Exemple :
– Les pare-feux peuvent tout simplement rediriger le trafic IPv6 sans le vérifier (au lieu de l’extraire à l’image de la version précédente à IPv6) ;
– Le trafic IPv6 peut contourner les moteurs d’inspection en profondeur des paquets, des éléments matériels qui ne prennent pas nécessairement en charge le trafic IPv6, permettant aux hackers d’utiliser des attaques par subterfuge ;
– Les en-têtes IPv6 sont quatre fois plus volumineux que ceux du protocole IPv4, ce qui peut ralentir le traitement du trafic de manière significative.

2. La gestion du protocole IPv6 est complexe

Avez-vous déjà observé une adresse IPv6 ? Disposez-vous de l’expérience nécessaire pour configurer des règles de pare-feu qui autorisent ou bloquent le trafic IPv6 ? Comment traitez-vous le trafic IPv6 diffusé par tunnel sur le protocole IPv4 ? Savez-vous que le protocole ICMP (Internet Control Message Protocol) est désormais intégré au protocole IPv6 ? Voilà les quelques questions qui peuvent déterminer la capacité d’une entreprise à protéger de manière efficace ses serveurs réseau.

3. Vulnérabilité du protocole IPv6

Les responsables de réseaux IPv6 doivent être conscients des vulnérabilités de ce protocole. Les concepteurs de l’IPv6 ont compris la nécessité d’une sécurité réseau et ont intégré le protocole IPSec obligatoire dans la définition basique du protocole. Cependant, de récentes expériences d’attaques réseau ont montré que le protocole IPSec ne résout pas toutes les vulnérabilités d’un réseau IPv6. Bogues, fluctuations de conception et faiblesses de protocole sont inhérents à l’IPv6, qui s’avère bien plus complexe que l’IPv4. Les éditeurs d’applications auront besoin de temps pour résoudre et corriger les vulnérabilités de l’IPv6 ; il est ainsi nécessaire de faire appel à un éditeur de solutions de prévention des intrusions prenant en charge la redirection du trafic IPv6 et comprenant également un ensemble de signatures sans état pour corriger les systèmes basés sur IPv6.

4. Tunnels IPv6

Le trafic IPv6 peut être diffusé par tunnel sur le protocole IPv4 en utilisant différents types de tunnels (Teredo, 6to4, ISATAP). Les hackers peuvent exploiter les tunnels IPv6 pour infiltrer des attaques masquées, en sachant que les paquets IPv6 par tunnel ressemblent au trafic IPv4 standard. Il est nécessaire de vérifier explicitement auprès des fournisseurs de pare-feux et de solutions de prévention des intrusions qu’ils peuvent exécuter une inspection en profondeur des paquets (DPI, Deep Packet Inspection) au sein du trafic IPv6 par tunnel pour examiner son contenu. Il existe un écart important entre les solutions de prévention des intrusions et les pare-feux : ceux qui « prennent en charge IPV6 » et ceux qui exécutent réellement une DPI d’IPv6.

5. Périphériques IPv6 indésirables

Les fonctionnalités d’auto-configuration sans état intégrées au protocole IPv6 permettent à un hacker de définir un périphérique indésirable qui attribue les adresses IP à tous les autres périphériques d’un réseau. Les hackers intelligents peuvent installer un périphérique réseau indésirable agissant comme un routeur Ipv6 pour détecter, modifier ou extraire le trafic, sans même que l’administrateur système ne s’en aperçoive.

6. Chiffrement IPv6

De même que le chiffrement SSL, le protocole IPv6 comprend un mécanisme de chiffrement intégré. Le chiffrement fut conçu pour assurer authentification et confidentialité des communications entre clients et serveurs, mais il permet également aux hackers d’utiliser des tunnels chiffrés pour attaquer directement le serveur, en contournant la vérification effectuée par les pare-feux et les solutions de prévention des intrusions, qui ne peuvent vérifier le contenu chiffré.

7. Attaques par déni de service distribué (DDoS)

Les attaques réseau DDoS sont conçues pour submerger les serveurs et le matériel réseau avec des volumes de trafic qu’ils ne peuvent gérer. L’en-tête IPv6 est quatre fois plus important que celui d’IPv4. Filtrer le trafic selon les en-têtes et adresses IPv6 accroît l’utilisation du processeur par le matériel de sécurité et diriger le trafic selon les en-têtes IPv6 accroît l’utilisation du processeur par le matériel réseau. Cela engendre alors un volume de trafic réduit pouvant saturer les réseaux.