BYOD = IPv6
Ca y est vous avez franchi un premier cap, vous avez décidé de laisser les personnels utiliser leurs propres terminaux dans votre entreprise (c’est le BYOD – Bring Your Own Device). Vous avez retenu la leçon ça permet d’être plus productifs, plus heureux, etc. Mais saviez-vous que bon nombre de ces joujoux ont IPv6 activé par défaut et qu’il n’est pas possible de le désactiver? (enfin du moins pas toujours simplement) Prenez par exemple vos iphones et ipads qui représentent une bonne partie de ces terminaux et vous constaterez qu’ils ont une adresse IPv6 (le soft ip6config permet de visualiser tout cela très bien)
Vous avez donc géré toute une politique de sécurité sur votre réseau IPv4 avec des manières très élégantes, et permis aussi que chacun puisse enregistrer ses propres devices sur le réseau d’entreprise mais vous vous retrouvez maintenant avec des terminaux IPv6 qui peuvent très simplement mettre un peu la zizanie dans votre réseau à votre insu. Rien de plus simple en effet que de se faire passer pour un routeur IPv6, d’envoyer un message Router Advertisement et de devenir la passerelle IPv6 par défaut de tous ces nouveaux équipements sur le réseau. Ainsi vous pourrez au choix faire un déni de service ou mieux laisser passer le trafic vers sa destination finale et de récupérer toutes les données qui transitent.
Rassurez-vous depuis quelques mois maintenant et la version 7.2 de notre Wireless LAN Controller on a intégré de nombreux mécanismes de sécurité IPv6 à l’accès (IPv6 FHS – First Hop Security). Par exemple on a la possibilité de filtrer ces messages RA depuis les hosts (seuls les routeurs sont sensés en envoyer). Idem on sait éviter le vol d’adresses avec une table de binding IPv6 <-> MAC qui se construit dynamiquement en snoopant les échanges sur le réseau (équivalent de notre bon vieux Dynamic ARP Inspection pour IPv4). Côté switchs ca progresse également: RA guard supporté sur le 4k depuis la dernière release (voir mon post sur reseauxblog) et des nouveautés sont attendues pour très bientôt sur catalyst 3k-X et 2960-S. Pour ceux qui auraient du cat6k à l’accès vous êtes aujourd’hui les mieux lotis. N’oubliez pas qu’il y a des solutions simples:Private VLANs ou des ACLs comme je le décris ici.
Que retenir? Si l’on insiste généralement sur la nécessité de déployer IPv6 en priorité sur la présence internet (web, mail, DNS…) il faut peut-être également intégrer une composante IPv6 dans ses projets BYOD avec une reflexion autour de la sécurisation IPv6 à l’accès. Pas de panique surtout, on a des solutions 🙂
Tags:
3 commentaires