Présentation

Article

1 - À PROPOS D'IPV6 DANS LES RÉSEAUX MOBILES

2 - SÉCURISATION DES ARCHITECTURES MOBILES

3 - PROTOCOLE IPV6 : SES VULNÉRABILITÉS

  • 3.1 - Adresses IPv6
  • 3.2 - Extensions d'en-tête
  • 3.3 - Protocole Neighbor Discovery
  • 3.4 - Protocole ICMPv6
  • 3.5 - Fragmentation

4 - SÉCURITÉ LIÉE AUX SOLUTIONS DE TRANSITION EN ENVIRONNEMENTS MOBILES

  • 4.1 - Stratégie double pile
  • 4.2 - Stratégie IPv6-only

5 - RECOMMANDATIONS EN TERME DE SÉCURITÉ

  • 5.1 - Monitoring/analyse de trafic
  • 5.2 - Analyse des menaces
  • 5.3 - Mise à jour des infrastructures et formation
  • 5.4 - Nouveaux services, enjeux et impacts (4G, M2M, Convergence...)

6 - CONCLUSIONS ET PERSPECTIVES

Article de référence | Réf : TE7514 v1

Recommandations en terme de sécurité
Introduction d'IPv6 dans les réseaux mobiles - Impacts sur la sécurité

Auteur(s) : David BINET

Date de publication : 10 nov. 2014

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Cet article présente les options permettant d’introduire IPv6 dans les infrastructures mobiles, tout en garantissant que les utilisateurs mobiles aient toujours accès aux applicatifs IPv4. En particulier les stratégies double pile et IPv6-only sont approfondies.

Les problématiques de sécurité associées à l’introduction d’IPv6 sont ensuite proposées. Elles se concentrent, d’une part, sur les principales menaces observées sur les infrastructures mobiles et, d’autre part, sur les vulnérabilités intrinsèques liées à la nouvelle version du protocole IP.

Quelques recommandations et techniques permettant à un opérateur mobile de se prémunir contre les principaux risques sont décrites pour conclure cet article. 

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

IPv6 Transition and Security in mobile networks

This paper provides some description of IPv6 deployment strategies in mobile environment taking into account that IPv4-only applications must still be reachable by mobile users. In particular, double stack and IPv6-only strategies are described in-depth.

Then impacts of these strategies on security architectures are considered. These impacts are structured as follows: First, some analysis of main threats is carried out and then some inherent IPv6 protocol vulnerabilities are given.

Finally some first recommendations are provided so that mobile operators can protect their infrastructure and services against main risks conclude this paper.      

Auteur(s)

INTRODUCTION

Les services proposés sur réseaux mobiles reposent de plus en plus sur l'établissement de connexions IP. Cela s'explique par l'explosion des services de type data mais aussi le déploiement des architectures LTE/EPC, généralement appelées 4G, qui reposent uniquement sur un cœur réseau « paquets ». Cette évolution en termes de services et d'architecture des réseaux mobiles est à considérer dans un contexte où les adresses IPv4 dites « publiques », c'est-à-dire routables sur l'Internet, viennent à manquer. C'est notamment le cas dans les continents américain et asiatique, voire européen dans un futur très proche et de façon moins critique, en Afrique ou en Amérique Latine. La majeure partie des grands opérateurs travaille donc sur le déploiement de la nouvelle version du protocole IPv6, certains à travers des déploiements commerciaux (T-Mobile, Verizon, Orange Pologne pour ne citer qu'eux), d'autres à travers des expérimentations et pour certains d'entre eux par des contributions à des travaux de standardisation (IETF, 3GPP, GSMA).

L'intégration d'IPv6 dans les réseaux mobiles peut reposer sur différentes stratégies et notamment sur le choix de proposer une connectivité IPv6 en complément à une connectivité IPv4 ou bien de fournir aux clients une connectivité basée uniquement sur le protocole IPv6. Quelle que soit l'option retenue, une des conditions est naturellement de maintenir une qualité d'expérience indépendante du type de connectivité et l'opérateur doit notamment s'assurer que le client pourra accéder à tous les services, notamment ceux qui sont basés sur une pile protocolaire uniquement IPv4. L'intégration d'IPv6 dans les réseaux mobiles repose naturellement sur des briques standardisées, notamment à l'IETF, mais en prenant en compte quelques spécificités liées à l'environnement mobile et notamment aux ressources radio à préserver. Cet article présente ainsi les techniques d'introduction du protocole IPv6 dans les réseaux mobiles, ainsi que les spécificités liées au recours à une connectivité double pile ou uniquement IPv6.

L'introduction d'IPv6, si elle impacte le cœur de réseau, les terminaux et les applications, suppose également de mettre à jour les architectures de sécurité. Ces impacts sur la « sécurité » seront considérés de la façon suivante dans cet article. Les principales vulnérabilités des réseaux mobiles seront décrites dans le paragraphe 3. Ces vulnérabilités reposent d'une part sur les architectures des réseaux mobiles et notamment les différentes interconnexions avec d'autres réseaux, mais aussi sur des analyses des principales attaques dont sont victimes les opérateurs mobiles.

Dans le paragraphe 4, il s'agit de présenter les vulnérabilités intrinsèques du protocole IPv6, par rapport au contexte d'un déploiement dans un environnement mobile. Dans ce paragraphe, les solutions permettant de répondre aux problèmes liés au protocole seront également décrites.

Dans le paragraphe 5, l'objectif est de préciser les principaux problèmes de sécurité liés aux choix d'introduction du protocole IPv6, double pile ou IPv6-only, ainsi que les moyens d'y palier.

Dans le paragraphe 6, l'objectif est de proposer les recommandations permettant aux opérateurs de maintenir un niveau de sécurité de leurs services mobiles au moins comparable à ce qui est aujourd'hui mis en œuvre alors que seul le protocole IPv4 est utilisé pour assurer l'accès aux services de données.

Le glossaire ci-après s'appuie sur les définitions proposées dans l'article [TE 7 507].

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

vulnerability   |   IP/MPLS networks   |   mobility   |   risk   |   mobile networks   |   IP networks

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7514


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

5. Recommandations en terme de sécurité

5.1 Monitoring/analyse de trafic

Une des premières recommandations pour les opérateurs consiste, si ce n'est pas fait, à mettre en place des moyens permettant d'analyser les trafics transitant sur le réseau mobile. Comme indiqué dans Arbor, une majorité des opérateurs mobiles ne connaît pas réellement et en détail le trafic traité par l'infrastructure mobile et n'a donc pas de moyen de détecter les trafics suspects, pouvant être à l'origine de dégradation de qualité de service, voire d'indisponibilité dans les cas les plus sévères. Des informations issues d'équipements divers (passerelles, firewalls, équipements de translation,..) doivent être traitées et analysées. Des fonctions spécifiques, par exemple des sondes, sont également nécessaires pour analyser le trafic de contrôle et utilisateur.

Pour les opérateurs ayant déjà mis en place de tels moyens, il est nécessaire de vérifier leur capacité à assurer un service équivalent pour le trafic IPv6. Pour l'instant, et sans doute parce que le trafic IPv6 est encore limité, les analyses et les recommandations émanant des organismes de standardisation sur la sécurisation des infrastructures et services IPv6 dans les environnements mobiles sont peu nombreux mais il est prévisible qu'un partage des expériences et solutions entre opérateurs fera sens, notamment parce que les fonctions de roaming intrinsèques des réseaux mobiles fragilisent l'ensemble de l'écosystème en cas de problème majeur.

HAUT DE PAGE

5.2 Analyse des menaces

Une protection adaptée signifie nécessairement une connaissance approfondie des risques et des cibles pouvant mettre en péril les réseaux et services IPv6. Des menaces ou attaques génériques existent et doivent être naturellement prises en compte par tout opérateur mobile. D'autres risques, plus liés à un contexte local sont également à prendre en compte par l'opérateur.

Ces risques peuvent être liés au fait que les terminaux utilisés sont plus diversifiés et moins « packagés » par l'opérateur, que les applications utilisées par les clients ouvrent plus de risques, que l'infrastructure elle-même est moins protégée, et ces disparités entre opérateurs mobiles induisent une mise...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Recommandations en terme de sécurité
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - POSTEL (J.) -   Internet protocol.  -  STD 5, RFC 791, sept. 1981.

  • (2) - DEERING (S.), HINDEN (R.) -   Internet protocol, version 6 (IPv6) specification.  -  RFC 2460, déc. 1998.

  • (3) - MOCKAPETRIS (P.) -   Domain names – Concepts and facilities.  -  RFC 1034, nov. 1987.

  • (4) - KENT (S.), SEO (K.) -   Security architecture for the Internet protocol.  -  RFC 4301, déc. 2005.

  • (5) - CONTA (A.), DEERING (S.) -   Generic packet tunneling in IPv6 specification.  -  RFC 2473, déc. 1998.

  • (6) - TS23.003, 3GPP -   Numbering addressing and identification.  -  3GPP TS.23.003 10.5.0, mars 2012.

  • ...

1 Sites Internet

• World IPv6 launch – measurements http://www.worldipv6launch.org

•  Arbor Special Report – Worldwide Infrastructure Security Report https://www.netscout.com/arbor-ddos

•  Secure Works – Assess your risk from an advanced persistent threat http://www.secureworks.com

•  GPRS Security Threats and Solution... – Juniper Networks http://www.yumpu.com/en/document/view/3550182/gprs-security-threats-and-solution-juniper-networks

• Security impacts of abusing IPv6 extension headers https://media.blackhat.com/ad-12/Atlasis/bh-ad-12-security-impacts-atlasis-slides.pdf

•  DDOS & Security Reports – IPv6 Extension Headers https://www.netscout.com/arbor-ddos

•  Alexa – The top 500 sites on the Web http://www.alexa.com

• Internet Society – There's no place like Home – CPE security challenges for broadband network operators http://www.internetsociety.org

• 3GPP (3rd Generation Partnership Project) – Coopération entre organismes de standardisation en télécomunications http://www.3gpp.org

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS