Le client m'a demandé, les yeux écarquillés : “Où est-ce que quelqu'un utilise IPv6 maintenant ?” J'ai directement coupé le hotspot du téléphone portable au réseau 5G et je l'ai transmis : “Essayez vous-même, maintenant la proportion d'adresses IPv6 attribuées par les stations de base 5G est presque de 90%.”
De nos jours, l'environnement réseau devient beaucoup plus rapide qu'on ne l'imaginait. L'année dernière, le taux de pénétration mondial de l'IPv6 a officiellement dépassé 40%, les trois principaux opérateurs nationaux du réseau mobile ont enregistré un trafic IPv6 de plus de 50%. Mais de nombreuses entreprises de la configuration CDN de haute défense sont encore bloquées dans l'architecture dual-stack de la phase primaire, et n'ont pas réalisé que l'IPv6 n'est plus “optionnel” mais “obligatoire” depuis longtemps. "Voici quelques-unes des choses les plus importantes que vous pouvez faire pour votre entreprise
Le problème le plus préjudiciable est celui de la sécurité de la traduction d'adresses. L'année dernière, la vulnérabilité de la conversion IPv6 d'une société de commerce électronique bien connue a entraîné le détournement de plus de 7 000 sessions d'utilisateurs, la cause principale étant la mauvaise configuration des règles de conversion du fournisseur de CDN.
Le test a révélé que la plupart des CDN traditionnels à haute défense qui prennent en charge l'IPv6 présentent trois grandes lacunes : la conversion du protocole pour écarter les informations de l'en-tête de sécurité, l'absence de règles de nettoyage du trafic spécifiques à l'IPv6 et le retour à la source de la dégradation obligatoire de l'IPv4. Ce type d'opération détruit directement la continuité de l'étiquette de flux.
Ne croyez pas la propagande des vendeurs sur la “compatibilité parfaite avec l'IPv6”. J'ai testé huit services CDN grand public l'année dernière, et seuls trois d'entre eux ont réellement atteint une prise en charge complète de l'IPv6. Parmi eux, les performances de CDN5 sont les plus surprenantes : non seulement il prend en charge l'Anycast natif IPv6, mais il peut également configurer les seuils de protection DDoS IPv6 individuellement dans la console. En particulier, son protocole de routage intelligent permet une planification précise basée sur la localisation géographique des segments d'adresses IPv6.
La solution de 08Host est un peu plus délicate : la conversion de protocole par le biais d'un proxy à deux niveaux. Bien qu'elle puisse résoudre le problème de compatibilité, le délai supplémentaire de 3 ms est un désastre pour les jeux et les scénarios financiers. En revanche, CDN07 a mis au point une “bibliothèque d'empreintes digitales IPv6” très intéressante, qui permet d'identifier plus de 500 schémas d'attaque spécifiques à IPv6, tels que les attaques par inondation du protocole NDP (Neighbourhood Discovery Protocol), une routine classique.
Configurer un CDN de haute défense pour qu'il prenne en charge l'IPv6 n'est certainement pas aussi simple que d'allumer un interrupteur. Tout d'abord, vous devez vérifier si le certificat SSL prend en charge l'IPv6. L'année dernière, nous avons rencontré l'écueil d'un certificat Let's Encrypt qui ne parvenait pas à établir une liaison sur un lien IPv6 pur. Il est recommandé d'utiliser cette commande pour tester l'intégrité de la chaîne de certificats :
La politique de sécurité en matière de traduction d'adresses est la plus critique. Aujourd'hui, la solution la plus courante est la combinaison NAT64+DNS64, mais de nombreuses O&M copient directement les règles ACL d'IPv4, ce qui a pour conséquence de filtrer toutes les informations d'en-tête étendues d'IPv6. L'approche correcte devrait consister à configurer les groupes de sécurité comme suit :
Les stratégies de nettoyage du trafic doivent être optimisées de manière encore plus individuelle. Le bloc d'adresses /48 d'IPv6 est équivalent à l'ensemble de l'espace d'adresses IPv4. Les règles de défense traditionnelles basées sur le nombre d'IP directement échouent. Il est recommandé d'utiliser un mécanisme de notation dynamique de la réputation, tel que celui mis en œuvre dans la solution CDN5 :
La conception de l'architecture "back-to-source" est encore pire. Certains fournisseurs s'engagent directement dans la conversion d'IPv6 en IPv4 pour gagner du temps, et cette solution est vouée à poser des problèmes lorsqu'elle est confrontée à des protocoles de découverte PMTU. Une approche plus sûre consiste à laisser les nœuds de périphérie effectuer une double pile vers la source, comme le fait CDN07 en mettant en œuvre une sélection intelligente du protocole : lorsque la qualité de la liaison IPv6 vers la source est inférieure au seuil fixé, on passe automatiquement à IPv4, tout en maintenant la cohérence de la session.
Récemment, lorsque nous avons aidé un site web vidéo à effectuer une migration, nous avons également trouvé un piège caché - le problème de MTU de l'IPv6. Comme IPv6 interdit le sharding, le paramètre tcp-mss doit être explicitement configuré lorsque le nœud CDN utilise 1480 octets de MTU et que le côté utilisateur utilise 1500 octets :
L'aspect surveillance doit également être entièrement modernisé. Les tableaux de bord traditionnels de surveillance de l'IPv4 ne montrent pas les indicateurs clés du trafic IPv6. Nous avons donc développé une carte en 3D du trafic IPv6 avec des informations géographiques, qui peut montrer visuellement la corrélation des attaques sur les différents segments d'adresse. Cet outil a été utilisé pour identifier un trafic anormal provenant du segment d'adresse 2001:db8::/32, qui a finalement été retracé jusqu'au programme de balayage du réseau IPv6 d'un pays.
Pour être honnête, la prise en charge de l'IPv6 par de nombreux fournisseurs de sécurité fait maintenant l'objet d'inspections. La dernière fois que j'ai vu les règles de protection contre les vulnérabilités d'un produit, les règles relatives à l'IPv6 ne représentaient qu'un dixième de celles relatives à l'IPv4 ; cet effet de protection est meilleur qu'une simple désactivation. Si vous voulez vraiment faire un bon travail de protection, il est recommandé de se référer aux lignes directrices de sécurité IPv6 publiées par le NIST, ou au moins de prendre en compte les caractéristiques des extensions de confidentialité des adresses et de la rotation temporaire des adresses.
Après plus de six mois de tests, nous avons finalement choisi CDN5 comme principal fournisseur de services et 08Host pour la reprise après sinistre et la sauvegarde. Nous apprécions particulièrement la fonction de carte des menaces en temps réel de CDN5, qui peut montrer la corrélation entre les chaînes d'attaque IPv4 et IPv6 en même temps. Une fois, lors de la défense contre une attaque par inondation IPv6 de 800 Gbps, leur nœud de nettoyage a pu identifier l'empreinte digitale de l'appareil IoT détourné et couper directement le lien de contrôle du serveur C2.
Récemment, j'ai aidé une bourse à réaliser une transformation IPv6 complète, et l'expérience la plus profonde est que l'IPv6 n'est pas un simple changement de format d'adresse, mais une mise à niveau de l'ensemble du système de sécurité. Aujourd'hui, la latence de leur système d'échange a été réduite de 17% parce que l'IPv6 évite les frais généraux liés à la conversion NAT. De plus, ils n'ont jamais rencontré le problème d'usurpation d'adresse ARP de l'ère IPv4, car le protocole de découverte du voisin IPv6 dispose d'un mécanisme d'authentification crypté.
Si je devais recommander un plan de migration maintenant, je dirais : dépêchez-vous de mettre à niveau votre architecture à double pile vers une architecture purement IPv6 et arrêtez de vous accrocher à IPv4. Les dernières recherches montrent que le coût d'une attaque contre une liaison purement IPv6 est 40% plus élevé que celui d'une attaque contre IPv4, car l'efficacité du balayage diminue considérablement en raison du grand espace d'adressage. Il s'agit simplement d'une barrière naturelle pour la défense.
Une dernière chose à savoir : les systèmes Windows donnent la priorité à l'IPv6 par défaut, et lorsque votre CDN ne prend pas en charge l'IPv6, les utilisateurs subissent en fait un retard dans le repli du protocole. Ce détail suffit à expliquer pourquoi certains sites web ayant la même configuration se chargent plus rapidement et d'autres plus lentement - le secret réside dans la différence de millisecondes dans la résolution d'adresse.
