Pourquoi vaut-il mieux désactiver le protocole IPv6 de l’ordinateur si on ne l’utilise pas ?
IPv6 implique de nombreux changements et améliorations dans tous les domaines, vitesse, sécurité, etc. Des protocoles comme ARP disparaissent, de nouveaux comme ICMPv6, DHCPv6, NDP apparaissent et la façon dont nous travaillons au niveau de la couche réseau change. Auparavant dans RedesZone, nous avons parlé des principaux changements à venir avant la mise en œuvre d’IPv6 dans tous les systèmes d’information, les opérateurs ont déjà tout prêt pour un déploiement de masse, bien qu’il y aura une coexistence avec les deux protocoles.
Curieusement, la plupart des techniciens avec qui j’ai discuté de ce problème pensent que c’est quelque chose dont nous ne devrions pas nous inquiéter, car cela affecte particulièrement les IP publiques et, par conséquent, les appareils connectés à Internet, et non aux réseaux locaux de entreprises pour lesquelles il n’y a pas de problème en raison de l’épuisement des adresses IP de la version 4.
En réalité, ce n’est pas le cas, actuellement, et en raison de l’utilisation rapide de ce nouveau protocole, IPv6 est implémenté dans de nombreux systèmes d’exploitation actuels : Windows XP depuis le Service Pack 2, (bien qu’il doive être activé manuellement), Windows Vista et supérieur les versions telles que Windows 7, 8 ont IPv6 activé par défaut, les versions Server de Windows sont également livrées avec IPv6 activé par défaut. Sous Linux à partir du noyau 2.6, IPv6 est activé par défaut, à l’exception de certaines distributions spéciales. C’est-à-dire que ce qui fonctionne vraiment dans les connexions SMB , DNS ou même web de l’ Intranet , c’est le protocole IPv6.
IPv6 dans notre système d’exploitation
Pour vérifier que IPv6 est installé sur notre ordinateur, entrez simplement dans la fenêtre des propriétés TCP / IP et nous verrons comment il apparaît à côté des propriétés TCP / IP.
Accessible depuis le bouton «Démarrer / Panneau de configuration / Centre réseau et partage».
Et en cliquant sur « Connexion au réseau local » puis en cliquant sur le bouton « Propriétés ». Un autre moyen simple de vérifier est d’ouvrir une fenêtre d’invite de commande MS-DOS et de taper la commande « ipconfig ».
Cette adresse qui apparaît à côté de « Lien : adresse IPv6 locale » est notre adresse IP Link-Local ou le lien local que l’interface s’attribue afin de commencer à travailler avec le protocole IPv6.
Mais pas seulement dans le domaine des systèmes d’exploitation de bureau, les autres appareils qui se connectent au réseau envisagent également la possibilité d’utiliser IPv6, par exemple les appareils Cisco prennent entièrement en charge IPv6 depuis la version 15 de leur iOS bien qu’auparavant ils le supportaient déjà dans une moindre mesure. . Les pare-feu, IDS, renifleurs, terminaux mobiles, tablettes et autres appareils prennent également en charge IPv6. Le problème ne vient pas du manque de support, le problème vient de l’ignorance des utilisateurs et pire encore, des techniciens, du type de fonctionnalité IPv6 pris en charge par les appareils avec lesquels nous travaillons.
Le fait qu’un appareil supporte IPv6 et qu’un tel support ne soit pas correctement configuré, est ce qui génère un grand nombre de vulnérabilités qui, étant inconnues et ignorées, laissent notre réseau exposé à de multiples types d’attaques que nous ignorons.
Administrateur de l’appareil
Si nous entrons dans la gestion d’équipe, en cliquant sur le bouton Démarrer, en cliquant avec le bouton droit sur l’option «Équipe» et en choisissant l’option «Gérer», la boîte de dialogue «Gestion d’équipe» apparaît.
En cliquant avec le bouton droit de la souris sur l’option « Gestionnaire de périphériques » qui apparaît dans le cadre de droite et en choisissant les options « Afficher / Afficher les périphériques cachés » et en affichant la catégorie « Adaptateurs réseau », nous verrons ce qui suit :
Adaptateur 6to4, adaptateur ISATAP, adaptateur Teredo, qui nous permettent d’établir des tunnels IPv6 sur IPv4 sans que nous le sachions. Cela implique qu’à ce moment quelqu’un pourrait avoir un tunnel IPv6 établi contre notre ordinateur et nous ne le saurions pas.
IPv6 et priorité des protocoles
De plus, dans la mise en place d’IPv6, ce qu’on appelle la « Priorité du Protocole » a été pris en compte, ce qui peut faire que nos équipements se mettent à fonctionner en mode IPv6 à tout moment, sans nous en avertir et donc échapper à notre contrôle. Revenons à notre fenêtre d’invite de commande MS-DOS et tapons la commande suivante :
C:>netsh interface ipv6 show prefixpolicies
Comme on le voit, le système d’exploitation donne la priorité à IPv6 sur IPv4 s’il est possible d’utiliser ce protocole, ce qui est déjà une perte de temps, de ressources, de bande passante à essayer de vérifier s’il peut établir une communication via IPv6 avant de passer à IPv4.
Lorsque nous tapons une URL dans le navigateur, il essaie d’abord de résoudre cette URL en une adresse IP IPv6 en interrogeant les serveurs DNS IPv6 qui utilisent des enregistrements AAAA ; si ce n’est pas possible, il essaie de le résoudre en consultant les serveurs DNS IPv4.
Plus de détails à considérer…
IPv6 permet à une interface d’avoir plus d’une adresse IP, certaines comme le link-local FE80 :: ont une portée de réseau local, d’autres ont une portée globale comme 2001 :: / 64, de ce dernier type, une interface peut avoir toutes les vous voulez. Les IP globales sont celles qui nous permettent de communiquer via Internet dans le monde entier et sont publiques par définition, c’est-à-dire qu’elles sont visibles de n’importe où sur Internet.
Pour faciliter l’utilisation des nouvelles IP du protocole IPv6, nous disposons de plusieurs mécanismes d’autoconfiguration :
- Stateful , cette méthode nécessite qu’un serveur DHCPv6 soit disponible sur le réseau, pour cela le périphérique qui a IPv6 activé lorsqu’il est connecté à un réseau envoie des messages de demande de configuration pour son interface pour IPv6 comme il le fait avec IPv4.
- Sans état , SLAAC (Stateless Address Automatic Configuration) est un protocole de configuration des adresses IPv6 à l’aide des messages envoyés depuis le routeur de connexion, et non depuis un serveur DHCPv6. Un ordinateur avec une adresse IPv6 Link-Local, c’est-à-dire FE80 ::, ne peut pas acheminer son trafic s’il n’a pas d’adresse IPv6 de site ou globale, et c’est pourquoi les routeurs envoient des messages RA (Router Advertisement) vous indiquant aux ordinateurs comment le configurer pour avoir une connectivité à travers eux.
En SLAAC, lorsqu’un appareil reçoit un message de type Router Advertisement annonçant qu’une IP est configurée pour le réseau indiqué, il le fait immédiatement, sans vérifier la véracité de l’information. Lorsqu’un ordinateur reçoit l’adresse réseau 2001 : 2000 : a : b :: / 64 via une RA, une IP IPv6 est automatiquement configurée en utilisant la méthode EUI-64 ou EUI-64 modifiée qui prend comme modèle l’adresse MAC physique du ordinateur, en ajoutant une nouvelle adresse IP IPv6 globale à l’interface, quelque chose comme ceci : 2001 : 2000 : a : b : baac : 6fff : fea1 : ffb3.
La plupart des systèmes d’exploitation ne prennent pas l’adresse MAC comme modèle, mais attribuent plutôt au hasard une adresse IPv6 hôte, en fait, vous pourriez avoir deux IPv6 publics :
- Le premier IPv6, qui est celui avec lequel vous surfez sur Internet généré aléatoirement
- Le second IPv6, qui consiste à accéder par exemple à notre serveur depuis l’extérieur, sans avoir besoin d’utiliser le No-IP puisqu’il faut simplement connaître la plage réseau/64 que notre opérateur nous attribue, et connaître le MAC de notre carte réseau à laquelle faire l’EUI-64.
Il n’y a pas de limite en tant que telle pour le nombre d’adresses IP ajoutées via RA (cela ne limiterait que le préfixe réseau), donc en utilisant le programme approprié, l’ordinateur attaqué peut être saturé et laissé hors d’usage, une attaque par déni de service facile et efficace.
La première fois qu’ils sont connectés à un réseau, le nœud envoie une requête de routeur lien-local en utilisant la multidiffusion ( sollicitation de routeur ) demandant les paramètres de configuration ; et si les routeurs sont configurés pour cela, ils répondront à cette requête par un » router advertising » ( router advertising) qui contient les paramètres de configuration de la couche réseau. Lorsque l’appareil utilisateur est connecté à un réseau, il est également configuré de manière à envoyer des messages multicast du type FE02 :: 2 RS, (Router Solicitation), qui sont traités par tous les routeurs connectés au réseau, en demandant leur envoyer la configuration du réseau qu’ils doivent utiliser pour se connecter à Internet. Si le routeur a une interface IPv6 configurée, il répondra immédiatement en envoyant un message RA à l’appareil, contenant l’adresse réseau afin que l’appareil puisse acheminer ses paquets.
Comme on peut le voir, il est facile, en envoyant un paquet RA à un réseau local, de modifier le routage IPv6 de tous les appareils d’un réseau. Nous pouvons désactiver ce comportement à l’aide de la commande suivante sur les systèmes Windows :
netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled
Mais y a-t-il vraiment autant d’ordinateurs compatibles IPv6 sur mon réseau ? Voyons, vérifions nos voisins avec la commande MS-DOS suivante.
netsh interface ipv6 show neighbors
Nous pouvons voir que nous avons des dizaines d’équipes que nous pouvons facilement attaquer. Ou voyons cette capture Wireshark du trafic qui passe par notre interface :
Messages de requête DHCPv6, messages LLMNR, ICMPv6, paquets circulant inutilement sur notre réseau. En précisant un peu plus, le problème est que les systèmes d’exploitation et tous les appareils que nous connectons à notre réseau prennent peut-être déjà en charge IPv6, mais tout ce qui concerne ce nouveau protocole reste non configuré et non contrôlé.
Par exemple, il serait possible d’installer un serveur DHCPv6 dans un réseau local afin qu’il configure l’interface des appareils avec une IP IPv6 en plus de l’IP IPv4 qui est légitimement attribuée par le serveur DHCP du réseau d’entreprise, dans ce cas façon dont nous pourrions configurer un ordinateur attaquant comme passerelle de la machine interceptée à laquelle nous avons donné une configuration IPv6 incorrecte afin que tout le trafic dirigé en dehors du réseau local passe par la machine attaquante.
Dans la plupart des cas, le trafic IPv6 n’est pas contrôlé, il pourrait donc facilement être établi un Man In The Middle (MITM) qui transférerait tout le trafic sans le savoir, puisque par IPv4 tout semblerait normal. Dans la situation actuelle, les systèmes d’exploitation vous permettent de configurer une interface réseau avec plusieurs paramètres IPv6 en plus des paramètres IPv4 légitimes.
Si vous n’êtes toujours pas convaincu, une autre vulnérabilité, les masques de réseau : dans IPv4, le masque de réseau nous permet de segmenter un réseau afin que les appareils ne puissent communiquer qu’avec les autres qui correspondent dans la partie de l’adresse IP qui leur indique le masque de réseau.
Par exemple, deux équipes A et B
équipe | IPv4 | MASQUER | RAPPORTER |
À | 192.168.1.10 | 255.255.255.0 | 192.168.1.0 |
B | 192.168.1.254 | 255.255.255.0 | 192.168.1.0 |
Les ordinateurs peuvent communiquer puisque la partie de l’adresse IP indiquée par le masque, (24 bits à partir de la gauche), 192.168.1, coïncide, on dit donc qu’ils sont sur le même réseau et que les ordinateurs se voient.
équipe | IPv4 | MASQUER | RAPPORTER |
À | 192.168.1.10 | 255.255.255.0 | 192.168.1.0 |
B | 192.168.66.254 | 255.255.255.0 | 192.168.66.0 |
Les ordinateurs ne sont pas vus, c’est-à-dire qu’ils ne peuvent pas communiquer, puisque la partie de l’adresse IP indiquée par le masque, (24 bits à partir de la gauche), 192.168.1 et 192.168.66, ne correspondent pas, donc on dit Ils sont pas sur le même réseau et les ordinateurs ne sont pas visibles.
Mais si les ordinateurs ont IP version 6 activé, cela change. Supposons que les deux ordinateurs de l’exemple précédent, s’ils ont IP version 6 activé, nous pouvons effectuer un ping à partir de l’adresse lien-local de l’autre, c’est-à-dire que la version IP 6 ignore les restrictions de masque de réseau IPv6. La même chose se produit avec les sous-réseaux IPv6, supposons l’exemple suivant :
équipe | IP version 6 | PRÉFIXE | MASQUE + IP | |||
Dernier groupe en binaire | ||||||
BINAIRE | HEX. | |||||
À | 2001 : A : B : C : D : E : F : 1234/126 | 126 | 2001 : A : B : C : D : E : F : 123 | 01 | 00 | 4 |
B | 2001 : A : B : C : D : E : F : 1235/126 | 126 | 2001 : A : B : C : D : E : F : 123 | 01 | 01 | 5 |
Dans l’exemple ci-dessus, les deux ordinateurs sont sur le même sous-réseau puisque les 126 bits partant de la gauche correspondent.
équipe | IP version 6 |
PRÉFIXE | MASQUE + IP | |||
Dernier groupe en binaire | ||||||
BINAIRE | HEX. | |||||
À | 2001 : A : B : C : D : E : F : 1234/126 | 126 | 2001 : A : B : C : D : E : F : 123 | 01 | 00 | 4 |
B | 2001 : A : B : C : D : E : F : 1238/126 | 126 | 2001 : A : B : C : D : E : F : 123 | dix | 00 | 8 |
Dans ce second cas, les bits 125 et 126 ne coïncident pas donc les deux machines sont sur des réseaux / 126 différents, elles ne sont donc pas visibles. Mais si nous cinglons d’une machine à une autre par leur IP lien-local, (FE80: 🙂 les machines s’affichent.
Pourquoi désactiver IPv6 sous Windows ?
Si nous n’utilisons pas actuellement le protocole IPv6 dans notre réseau local, le mieux que nous puissions faire est de le désactiver pour éviter d’éventuelles attaques sur les réseaux de données avec la norme IPv6. Normalement, chez nous ou dans l’entreprise, nous continuons à utiliser le protocole IPv4, avec les sous-réseaux bien connus spécifiquement orientés vers les réseaux locaux privés. Avoir IPv6 activé sur notre carte réseau, que ce soit sur notre carte réseau Ethernet filaire ou sans fil via WiFi, peut présenter un risque que nous ne devrions pas assumer.
Aujourd’hui, il existe différentes attaques sur les réseaux IPv6, qui nous affecteraient, même si nous n’utilisons pas IPv6 sur le réseau, car le protocole IPv6 a la priorité sur le protocole IPv4 que nous utiliserons.
- Attaque « Neighbor Advertisement Spoofing » : cette attaque s’apparente à l’ARP Spoofing pour les réseaux IPv4, l’objectif de cette technique est de mener une attaque Man in the Middle sur une victime pour ensuite voler des données. Si nous avons activé IPv6, même si nous ne l’utilisons pas et que nous utilisons IPv4, nous serons vulnérables et ils pourront lire et modifier tout le trafic à la volée.
- Attaque SLAAC : cette attaque servirait également à mener une attaque pour que tout le trafic passe par notre adresse IP, trompant la victime et faisant en sorte que tout le trafic n’aille pas directement vers le routeur, mais passe d’abord par notre ordinateur.
- Attaque DHCPv6 : on peut configurer un serveur DHCPv6 illégitime, afin que l’équipement nous envoie toutes les informations en configurant sa passerelle avec notre adresse IP. Cette attaque est également disponible sur les réseaux IPv4, vous devez donc être prudent et utiliser VPN si vous êtes sur des réseaux peu fiables.
Actuellement, la meilleure chose à faire si vous n’utilisez pas ce protocole IPv6 pour surfer sur Internet ou pour communiquer avec vos ordinateurs sur le réseau local, est de le désactiver pour éviter les problèmes.
Comment désactiver IPv6 sous Windows ?
Nous accédons aux propriétés TCP / IP, de l’une des manières que nous connaissons (voir le début de l’article), et décochez la case IPv6.
IPv6 est un protocole qui est implémenté dans la plupart des produits et appareils que nous utilisons en informatique mais qui, soit par ignorance, soit pour d’autres raisons, n’est pas configuré correctement et crée une situation de vulnérabilité que nous ne pouvons pas négliger. Si vous n’utilisez pas ce protocole, la meilleure chose à faire est de le désactiver sur votre PC.
Comme vous l’avez vu, si nous n’avons pas IPv6 dans notre réseau, le mieux que nous puissions faire est de le désactiver. Parfois, nous utilisons des services VPN incompatibles avec ce protocole, mais le plus grave est qu’ils pourraient mener différentes attaques contre nous à notre insu, en utilisant ce protocole IPv6. De nos jours, tous les ordinateurs intègrent par défaut la compatibilité avec les réseaux IPv6, et l’ont même toujours activé en priorité, c’est-à-dire que si nous avons une communication avec IPv4 et avec IPv6, la communication avec IPv6 sera toujours prioritaire. Pour cette raison, si nous savons avec certitude que nous n’utiliserons pas les réseaux IPv6, le mieux que nous puissions faire est de le désactiver directement.