Un monde IPv6

Vous avez peut-être entendu parler ces derniers jours de la proposition de l’ITU : devenir RIR alternatif pour créer plus de “compétition” et/ou “équité” dans la distribution des adresses IPv6, notamment aux pays en voie de développement.

Cette proposition n’est pas tout à fait récente, puisqu’elle trouve ses origines aussi loin que novembre 2004 (http://www.itu.int/ITU-T/tsb-director/tut-wsis/files/zhao-netgov02.doc). À l’époque, il y a eu pas mal de débat à ce sujet et on peut citer par exemple l’analyse suivante de Geoff Huston et de Paul Wilson (APNIC) qui ne sont plus à présenter : http://www.potaroo.net/ispcol/2005-04/compete.html

Mais cette proposition est revenue tout récemment sur la scène publique après avoir été un l’objet de discussions internes à ITU.

L’APNIC, membre de l’ITU-D, a saisi sa dernière rencontre (1-5 mars) pour appeler à une consultation de sa communauté et débattre de l’opportunité d’une telle  proposition :

http://meetings.apnic.net/29/program/consultation

La réunion qui s’est tenue le 3 mars a débouché sur un consensus au sein de la communauté APNIC : rien ne justifie le besoin d’un RIR alternatif. L’ITU est invitée à expliquer en quoi le système existant serait insatisfaisant, non équitable ou inefficace et à démontrer à la fois la valeur ajoutée de cette proposition.

Transcriptions et rapport de clôture disponibles ici :

http://meetings.apnic.net/29/program/consultation

Parmi les points marquants du débat, on peut noter le témoignage d’Adiel
Akplogan (CEO AfriNIC, et Chairman du NRO) qui dit en gros que les pays en voie de développement, ça le connaît et qui explique en quelque sorte que le vrai problème dans ces pays en voie de développement (en tout cas ceux d’Afrique) est la prise de conscience et la compréhension des systèmes de gestion des adresses IP. Voir transcription de son discours et des autres ici :

http://meetings.apnic.net/29/program/consultation/transcript

Alors que se passera-t-il aux prochaines étapes (mars en réunion ouverte à l’ITU puis avril en réunion fermée [seulement les membres votants]). L’ITU va-t-elle abandonner cette “fausse bonne idée” ou va-t-elle poursuivre ?

Une nouvelle enquête initiée par le SSAC pour faire un état des lieux du déploiement de la sécurité IPv6 dans les pare-feux commerciaux.

 ”ICANN’s Security and Stability Advisory Committee (SSAC) is conducting a survey of the commercial firewall market to obtain information relating to IPv6 security service availability. The purpose of this survey is to update and compare the results against a similar survey SSAC conducted in October 2007, see Survey of IPv6 Support Among Commercial Firewalls [SAC 021] [PDF, 236 KB].

The initial survey invited vendors of commercial firewalls to answer certain questions:

• How broadly is IPv6 transport supported by commercial firewalls?
• Is IPv6 support available from commercial firewalls for all market segments?
• Which commonly used security enforcement features can be deployed from commercial firewalls when IPv6 transport is used?
• Can an organization enforce a security policy from commercial firewalls when using IPv6 that is commensurate to a policy currently supported when IPv4 is used?

SSAC invites vendors to assist in updating that survey for 2010.

Unlike the 2007 survey, SSAC will also invite business users of commercial firewalls to answer a similar set of questions:

• Are user organizations that have adopted IPv6 using commercial firewalls to protect their networks?
• What features are user organizations employing when they deploy firewalls in IPv6 networks?
• Are user organizations finding that the security services they used at IPv4 firewalls are available for IPv6 transport as well?
• Are user organizations satisfied that commercial firewalls can enforce the same security policy whether IPv6 or IPv4 transport is used?”

Pour en savoir plus et pour participer à l’enquête :

http://www.icann.org/en/announcements/announcement-2-01mar10-en.htm

Vient de paraître (pdf en téléchargement) : http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-119

Résumé court : “NIST announces the public comment release of Special Publication (SP) 800-119, Guidelines for the Secure Deployment of IPv6. IPv6 (Internet Protocol version 6) is the next generation Internet Protocol, accommodating vastly increased address space. This document describes and analyzes IPv6’s new and expanded protocols, services, and capabilities, including addressing, DNS, routing, mobility, quality of service, multihoming, and IPsec. For each component, there is a detailed analysis of the differences between IPv4 and IPv6, the security ramifications and any unknown aspects. It characterizes new security threats posed by the transition to IPv6 and provides guidelines on IPv6 deployment, including transition, integration, configuration, and testing. It also addresses more recent significant changes in the approach to IPv6 transition.”

Audience : “This document is intended primarily for network engineers and administrators who are responsible forplanning, building, and operating IP networks, as well as security engineers and administrators who areresponsible for providing Information Assurance support.  Anyone interested in deploying IPv6technologies and related security implications may also find the document useful.  It is assumed thatreaders are already familiar with basic IPv4, data networking, and network security concepts. “

Commentaires :

À la lecture du résumé (executive summary, pages ES-1-ES-3) et de la table des matières, le document a l’air très intéressant et instructif.Le document semble assez équilibré : reconnaissance des avancées en matière de maturité d’IPv6 mais sans complaisance (il reste encore du chemin à faire).On y trouve des recommandations pratiques pour tous : ceux qui ont déjà déployé, ceux qui déploient et ceux qui déploieront un jour (certain). Les recommandations sont transposables bien au-delà du contexte “agences fédérales”…

Enfin, c’est un draft et vous pouvez donc envoyer vos commentaires :“NIST requests comments on Draft SP 800-119 by April 23, 2010. Please submit comments to draft-sp800-119-comments@nist.gov with “Comments SP 800-119″ in the subject line.”

A chaque fois qu’une nouvelle technologie pointe le bout de son nez, il est bon de montrer à ses clients et prospects qu’on la supporte, d’autant plus lorsque cette dernière permet l’accès aux services et produits que l’on propose.

Dans ce contexte d’intégration d’IPv6, pourquoi ne pas montrer que votre site web peut être accédé avec cette version du protocole IP (si tel est le cas bien sûr) ? Vous pouvez alors soit l’indiquer simplement, soit obtenir de l’IPv6 Forum un logo certifiant que votre site est accessible en IPv6 : il faut pour cela suivre cette procédure. Vous obtiendrez alors un bout de code HTML à insérer sur votre site tel celui présent sur le site du G6 (en bas de page).

IPv6 est là, à vous de montrer au monde que votre infrastructure est à jour. Vous avez dit “un monde IPv6″ ?

Un nouveau signe qui montre la progression d’IPv6 : la dernière newsletter du site InfoQ propose un article complet sur la pénurie d’adresses IPv4. Il fait le point sur l’état d’IPv4 et les avantages à passer à IPv6. Un bon point car trop peu de revues/sites spécialisées dans le domaine du logiciel d’entreprise évoque IPv6.

Cependant, on aurait aimé qu’il sensibilise les concepteurs/développeurs à IPv6 en ne se limitant pas au simple problème d’adressage. Il aurait pu être indiqué par exemple combien il est plus facile de faire du point à point entre deux hôtes sans passer par un serveur intermédiaire. De même, InfoQ étant également lu par des décideurs, l’accent aurait pu être mis sur la nécessité pour les entreprises d’intégrer dès maintenant IPv6.  Mais ne soyons pas trop gourmand, un article entier est déjà consacré à IPv6, et c’est bien.

Pour plus de lecture, l’article se trouve ici : http://www.infoq.com/news/2010/01/ipv4-exhaustion.

À l’occasion d’une interview récente sur les évolutions de l’Internet, je citais IPv6 comme exemple illustrant la difficulté à faire évoluer les infrastructures de l’Internet en abordant les deux questions suivantes :

• Comment expliquer la réticence des acteurs à adopter IPv6 ?
• Qu’entraînerait une adoption massive d’IPv6 ?

Pour en savoir plus, article en ligne, paru le 22/01/2010 :
http://www.innovationlejournal.fr/spip.php?article5167

L’ENISA (European Network and Information Security Agency) vient de déployer IPv6 sur son site Web (voir le communiqué de presse). Elle est ainsi la première agence européenne à suivre le plan d’action IPv6 de la Commission Européenne. Bien d’autres à venir on espère !

L’IETF vient de publier le RFC5571, standardisant une méthode d’accès à IPv6 à travers des tunnels utilisant la technologie PPP/L2TP. Cette méthode a été proposée par L. Toutain et B. Stévant, 2 membres du G6, et retenue par le groupe de travail Softwires. Télécom Bretagne, en association avec RENATER, propose un service de connectivité à IPv6 basé sur cette technologie: la Point6Box. Ce service est ouvert pour expérimentation aux particuliers et aux entreprises en faisant la demande.

Suite à la consultation publique sur l’Internet du futur * Nathalie Kosciusko-Morizet (secrétaire d’État à la Prospective et au Développement de l’Economie numérique) est interviewée par le ZDNet (”On est en train de construire un vrai écosystème de l’innovation”) et s’exprime à propos d’IPv6 (le lien entre IPv6 et l’Internet du Futur ne coule par forcément de source quand on lit les questions de la consultation qui sont orientées de manière non explicite). C’est très bon signe d’entendre Nathalie Kosciusko-Morizet s’exprimer sur ce sujet et de mettre en avant les enjeux liés à la transition d’IPv4 à IPv6 (qui dit-elle est inévitable) et le coût croissant de cette transition plus la migration est tardive. On note que le gouvernement marie utilement IPv6 et l’Internet du Futur ce qui ne transparait d’ordinaire pas sur tout ce qu’on peut lire sur la question. Elle dit bien que “l”Internet du Futur commence aujourd’hui”. Plus d’info sur les autres communiqués institutionnels portant sur IPv6 sur le site de la TFF .  Read the rest of this entry »

La société de conseil américaine ScandiNode, qui se spécialise sur IPv6, vient de rendre disponible le site ipv4depletion.com. Sur ce site, on  retrouve comme outils intéressants :

• un tableau de bord permettant de rendre compte des différents indicateurs de la consommation des adresses IPv4 et de l’utilisation d’IPv6
• un outil de simulation qui à partir de différents paramètres (estimation de consommation par RIR, réservation de certains blocs) permet d’obtenir différents scénarios menant à la saturation des adresses IPv4 disponibles.

A vous d’essayer de trouver le scénario le plus optimiste