Академический Документы
Профессиональный Документы
Культура Документы
Nous adressons nos vifs remerciements notre encadreur Monsieur Imed Chabeni qui a su nous laisser la libert ncessaire pour l'accomplissement de notre travail, et qui n'a pas hsit nous aider et conseiller.
Nous remercions galement nos proches pour leur soutien indfectible, et particulirement Tahar, pour son aide prcieuse.
Nous nirons par rendre hommage nos chers amis qui nous ont accompagnes pendant tout ce temps et et n'ont jamais cess de nous encourager aller de l'avant.
6 8 10
10 10 11 11 12 13 13 13
3 Le protocole IPv6
3.1 Prsentation du Protocole IPv6 . . . . . . . . . . . . . . . . . . . . . . . . 3.1.1 3.1.2 La trame IPv6 3.1.2.1 3.1.2.2 3.1.3 3.1.4 3.2 3.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . L'Adressage dans IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . Les types d'adresses . . . . . . . . . . . . . . . . . . . . . Les adresses particulires . . . . . . . . . . . . . . . . . .
15
15 15 16 16 17 18 18 18 19 19 20 20 20
Comparaison entre IPv4 et IPv6 Compatibilit entre IPv4 et IPv6 3.3.1 3.3.2
Double Pile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les tunnels IPv6 dans IPv4 . . . . . . . . . . . . . . . . . . . . . . 3.3.2.1 3.3.2.2 Les tunnels statiques . . . . . . . . . . . . . . . . . . . . Les tunnels dynamiques . . . . . . . . . . . . . . . . . . .
22
22 22 22 23 23 24
5 Mise en oeuvre
5.1 5.2 5.3 Mise en contexte 5.1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prsentation de l'architecture de l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prparation d'un plan d'adressage Migration de l'IPv4 vers l'IPv6 5.3.1 5.3.1.1 5.3.1.2 5.3.2 5.3.3
25
25 25 28 29 29 29 29 29 33 33 34 35 37 38
Mise en place de l'architecture et conguration des routeurs . . . . Installation et conguration des serveurs sur les machines virtuelles 5.3.3.1 5.3.3.2 5.3.3.3 5.3.3.4 Serveur mail Postx . . . . . . . . . . . . . . . . . . . . . Serveur POP3 Courierpop . . . . . . . . . . . . . . . . . . Serveur DNS bind9 . . . . . . . . . . . . . . . . . . . . . . . . . . . Serveur Web Apache2 . . . . . . . . . . . . . . . . . . . .
5.3.4
39 41
Topologie du rseau implment dans GNS3 . . . . . . . . . . . . . . . . . Test ping6 d'une machine son routeur Test ping6 entre 2 machines n'appartenant pas au mme rseau . . . . . . Capture du trac avec Wireshark . . . . . . . . . . . . . . . . . . . . . . . Suivi du chemin avec traceroute . . . . . . . . . . . . . . . . . . . . . . . . Conguration du chier main.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conguration du chier /etc/bind/named.conf.local
5.10 Ping www.emna-rym.net . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.11 Ping ordi.emna-rym.net 5.12 Ping emna-rym.net . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.13 Connexion au serveur Apache en IPv6
. . . . . . . . . . . . . . . . . . . . . . . . .
Introduction
Le secteur de la technologie et des communications connat un grand essor grce, entre autres, au rseau Internet. En eet, le nombre des utilisateurs, leurs besoins et leurs exigences n'ont cess de crotre durant ces dernires annes. Ceci a augment d'une faon vertigineuse le nombre d'quipements connects Internet, que ce soit des quipements rseaux (routeurs, pare-feu, serveurs), ou des quipements personnels (ordinateurs, tlphones). Cependant, cette hausse rapide de l'utilisation d'Internet devient de plus en plus problmatique, car l'espace allou l'adressage est en train de s'puiser. En eet, en rgle gnrale, Internet et la plupart des rseaux d'entreprise ont recours au mme protocole de base pour transporter l'information et les donnes, qui est le protocole Internet version 4, connu sous le sigle IPv4 . Tout le trac circulant sur Internet utilise ce protocole, et chaque quipement raccord Internet possde une adresse IP code sur 32 bits. Aujourd'hui, l'espace d'adressage est en train de s'puiser et on parle de plus en plus de pnurie d'adresses. Mme l'introduction du mcanisme de NAT , ou Network Address Translator, qui consiste utiliser une seule adresse IP routable pour un ensemble de machines du rseau n'est plus en mesure de pallier cette pnurie d'adresses. Il est donc devenu urgent de trouver une solution pour dpasser le problme d'puisement d'adresses IP, et c'est pour cela, que dj depuis 1992, l'IETF (Internet Engineering Task Force), l'organisme de standardisation de l'Internet, s'est attel e pour mettre en place le protocole Ipv6 et prparer la migration du protocole Ipv4 vers le protocole Ipv6. Et c'est dans ce cadre que notre projet a consist en l'tude de la migration de l'IPv4 vers l'IPv6. Son but est de fournir un guide aux entreprises dsirant adopter l'adressage Ipv6, sans pour autant abandonner compltement l'adressage Ipv4, qui reste largement rpandu, et qui ne disparaitra pas du jour au lendemain. Dans notre travail, nous essayerons de mettre les lumires sur le protocole Ipv6 et de voir jusqu' quand, Ipv4 et Ipv6 pourront cohabiter. Nous essayerons de simuler la migration en prsentant les direntes congurations qu'il est ncessaires d'eectuer. Nanmoins, notre travail aura ses limites, car il nous est impossible de faire une migration complte et d'avoir le maximum de serveurs tant donn que nous ne disposons pas du matriel ncessaire. Le prsent rapport se divise en cinq chapitres. Le premier chapitre est une mise en contexte dans laquelle nous expliquerons la ncessit de penser la migration vers l'IPv6. Dans le second chapitre, nous ferons un rappel sur le protocole Ipv4, ses adresses et ses mcanismes. Le troisime chapitre prsentera le protocole Ipv6. Nous donnerons des dtails sur la trame Ipv6, sur les adresses et sur les dirents protocoles qui lui sont relis, et dans le chapitre suivant, nous nous consacrerons l'aspect scurit. Nous nirons notre travail par une mise en place de la migration. Nous passerons en
revue les direntes congurations des serveurs ncessaires utiliss et nous donnerons un aperu de la simulation que nous avons eectue.
1 Pourquoi migrer ?
Le protocole IP se prsente comme le protocole de routage le plus utilis de nos jours pour les communications Internet. La version la plus utilise de ce protocole est la version 4 ou IPv4 qui s'est avre assez robuste tout au long de l'essor de l'Internet. Mais, cette version du protocole IP n'a fait l'objet d'aucune volution majeure depuis un bon moment. De plus, IPv4 a nglig un certain nombre de caractristiques et d'volutions, ce qui conduit l'laboration de son successeur l'IPv6. Dans ce qui suit, nous allons dtailler les problmes rencontrs avec IPv4 et les apports d'IPv6 par rapport la version 4, en d'autres termes, nous allons rpondre la question que pose toute entreprise : Pourquoi migrer ? Le systme d'adressage actuel d'IPv4 a dsormais atteint ses limites. La croissance rapide de l'internet, conjugue une monte en puissance de l'internet mobile, une multiplication des systmes communiquant mobiles (PDAs, tlphones portables, etc) et une diversication des services de diusion multimdia (vido ou radio sur l'Internet, vidoconfrence, etc), a conduit un puisement des adresses IPv4 disponibles, on parle ici de pnurie d'adresses. C'est l que s'est impos un nouveau protocole prsentant beaucoup d'avantages : c'est le Protocole Internet version 6 ou IPv6. Voyons les avantages que prsente l'IPv6 par rapport aux problmes de l'IPv4 : IPv6 vient rsoudre le problme de pnurie d'adresses avec ses 128 bits soit 2 l'chelon du rseau mondial. En outre, cet espace d'adressage large permet une attribution intelligente des adresses, ce qui induit rduire fortement la taille des tables de routage des routeurs, donc d'allger les routeurs. De plus, avec IPv6, les champs inutiles ou peu utiliss dans l'entte d'IPv4 comme le champ fragmentation et les options ont t retirs et dplacs vers un autre protocole.L'entte IPv6 est donc devenue de taille xe et le cur mme d'IPv6 est devenu plus simple et le routage plus ecace. En plus de tout cel, avec l'IPv6, on retourne un espace d'adressage unique et de bout-en-bout, donc plus besoin d'adresses prives ni de NAT. En eet, le NAT en IPv6, pour son aspect scurit, a t remplac par des rewalls fournissant le mme niveau de scurit sans tre intrusifs dans le contenu des paquets et permettant beaucoup plus de souplesse de conguration. Plus besoin donc d'employer 60% de l'nergie d'un protocole grer la seule problmatique du passage de NAT, qui n'est en soi qu'une mesure purement technique n'orant pas de fonctionnalit propre[1]. On peut aussi parler dans l'IPv6 de l'auto conguration des adresses des machines. En fait, chaque machine acquiert par dfaut une adresse IPv6 sans avoir besoin de la congurer, ce qui nous vite, en plus, si on le dsire, l'utilisation d'un serveur DHCP. Pour nir, on cite l'un des avantages les plus importants de l'IPv6 qui est la gestion
128 adresses
uniques, au lieu des 16 bits oerts par l'IPv4 soit 4,3 milliards d'adresses IP distinctes
aise du nomadisme IP pour les MobileIPv6. Par exemple, IPv6 ore la possibilit un mobile de rester joignable par la mme adresse IP mme lors de changements frquents entre hotspots Wi, connectivit 3G, etc.
Version (4 bits) : Reprsente le numro de version du protocole IP ( 4 dans notre cas). Il permet aux piles IP rceptionnant la trame de vrier le format, d'interprter correctement la suite du paquet, et de le rejeter dans le cas d'un numro inconnu. Longueur de l'entte (4 bits) : ou IHL (Internet Header Length). Ce champs reprsente la longueur en mots de 32 bits de l'entte IP Service (8 bits ) : Indique la faon selon laquelle le datagramme doit tre trait. Longueur totale (16 bits ) : Reprsente la longueur du paquet incluant l'entte IP et les Data associes, qui est exprime en octets. Ceci permet de spcier une taille maximum de 2
16 = 65535 octets
10
Identication (16 bits ) : Utilis pour reconstituer les dirents fragments. Chaque fragment possde le mme numro d'identication. Les enttes IP des fragments sont identiques l'exception des champs Longueur totale, Checksum et Position fragment. Drapeaux (3 bits ) : ou ags. Indique l'tat de la fragmentation. La signication de chaque bit est comme suit : Reserved : Le premier bit est reserv et positionn 0. DF (Don't fragment) : Le second bit permet d'indiquer si la fragmentation est autorise (bit 0) ou non (bit 1). MF (More fragments) : Indique, s'il est 1, que le fragment reu n'est pas le dernier Deplacement du fragment (13 bits ) : ou Fragment Position. Indique la position du fragment par rapport 1re trame. S'il est 0, c'est que le fragment est le premier. TTL (8 bits ) : Time To Live. Indique la dure de vie maximale du paquet. S'il arrive 0, l'quipement qui possde le paquet le dtruit. Protocole (8 bits ) : Permet de connatre le protocole dont est issu le datagramme Somme de contrle de l'entte (16 bits ) : checksum. Permet de contrler l'intgrit de l'en-tte an de dterminer si celui-ci a t altr pendant la transmission ou non. Adresse IP Source (32 bits ) : Represente l'adresse IP de l'expditaire. Elle est code sur 4 octets : A.B.C.D Adresse IP Destination (32 bits ) : Represente l'adresse IP du destinataire. Elle est code sur 4 octets : A.B.C.D Options (taille infrieure ou gale 32 bits ) : N'est pas obligatoire. Bourrage (taille entre 0 et 7 bits ) : Permet de combler le champs options. Il est utilis an d'avoir une entte IP multiple de 32 bits
11
12
La boucle locale :
L'adresse rseau 127.0.0.0 est rserve pour les communications en boucle locale.
Elles correspondent l'adresse la plus haute qu'on peut trouver dans un rseau. Tous les paquets avec cette adresse de destination sont traits par tous les htes du rseau local. Certaines informations telles que les annonces de service ou les messages d'alerte sont utiles l'ensemble des htes du rseau.
13
Conclusion
Nous avons rappel les notions de base du protocole IPv4. Nous avons vu qu'il prsente des limites puisque le nombre d'adresses qu'il fournit n'est plus susant, et qu'aujourd'hui, nous sommes face pnurie d'adresse. Il est donc temps de penser au nouveau protocole : l'IPv6.
14
3 Le protocole IPv6
Introduction
La pnurie d'adresse a oblig les concepteurs penser un nouveau protocole d'adressage. C'est le protocole IPv6. Nous le prsenterons dans ce chapitre et nous donnerons une comparaison entre l'IPv4 et l'IPv6. Nous nirons par expliquer les modes de compatibilit entre les deux version d'IP.
15
Classe du trac (8 bits ) : Il identie le type de contenu encapsul dans la trame IPv6, an de permettre des traitements particuliers, entre autre durant le routage de celle ci. Identication du ux (20 bits ) : Ce champ permet la mise en uvre des fonctions de qualit de service. Il permet d'optimiser le routage par un acheminement plus rapide des donnes. Par ce champ, on peut donner un identiant la communication[2]. Longueur de la charge utile (16 bits ) : C'est la taille du paquet sans l'entte. Entte suivant (8 bits ) : Ce champ spcie le protocole transport par IPv6, ce qui est similaire au champ "protocole" d'IPv4 Dure de vie (8 bits ) : ou nombre maximum de sauts. Il indique le nombre de routeurs que le paquet peut traverser, et vite donc, qu'il circule indiniment dans le rseau. Adresse IP source (32 bits ) : reprsente l'adresse de l'emetteur du paquet. Adresse IP destination (32 bits) : reprsente l'adresse du rcepteur du paquet.
Les adresses dans IPv6 sont crites sur 128 bits, ce qui permet d'avoir 3,4
1038
16
la machine. Notons que les sous rseaux, appels galement segments, ont toujours une taille xe de 64 bits, contrairement IPv4, et donc tous les systmes ayant les mmes 64 bits de dbut sont sur le mme segment et sont distingus par leur identiant. Les adresses Multicast : Ce sont les successeurs des adresses broadcast (envoi un ensemble de machines qui se doivent d'appartenir une mme classe). Une adresse de type multicast dsigne un ensemble d'interfaces. Lorsqu'un paquet a pour destination une adresse de type multicast, il est achemin par le rseau toutes les interfaces membres de ce groupe. Ces adresses ne peuvent servir qu'en tant qu'adresses de destination.Le prxe d'une adresse multicast est FF. Les adresses Anycast : Comme dans le cas du multicast, une adresse de type anycast dsigne un groupe d'interfaces. Mais le datagramme ne sera transmis qu' un seul membre du groupe. Ce sera, par exemple, le plus proche au sens de la mtrique des protocoles de routage. Ce type d'adresse est encore en cours d'exprimentation et est rserv pour le moment aux routeurs. Ces adresses ne peuvent servir qu'en tant qu'adresses de destination. Les adresses anycast ont deux points communs avec les adresses unicast : elles sont alloues dans le mme espace d'adressage et ont les mmes formats.
17
adresses IPv4 prives, qui sont connes au site et ne peuvent pas tre routes sur Internet. Le prxe pour ces adresses est fc00 : :/7.
18
IPv6 NDP Combine des fonctions antrieurement subdivises travers dirents protocoles, tels qu'ICMPv4, IGMP, et ARP et il limine les messsages obsoltes qui ne sont plus utiliss.
IPv4 ARP Utilis pour vhiculer des messages de contrle et d'erreur pour cette suite de protocoles
Adresse
adresse sur 32 bits sous la forme W.X.Y.Z, avec chacune de ces lettres reprsentant des nombres entre 0 et 255
machine IPv6 qu'avec une machine IPv4 et ce, en utilisant des adresses IPv4 mappes. C'est simplement une reprsentation des adresses IPv4 dans l'adresse IPv6, sous la forme : :FFFF :a.b.c.d, par exemple : : :FFFF :192.168.216.1.
Adresses IPv4 compatibles : Une machine IPv6 communiquant avec une autre machine
IPv6 via un tunnel automatique IPv6 sur IPv4 peut utiliser des adresses IPv4 compatibles IPv6. Ces adresses sont notes la manire suivante : : :a.b.c.d : : :192.168.1.4
19
Conclusion
La prsentation du protocole IPv6 dans ses dirents aspects nous a permis d'en avoir une ide gnrale, ncssaire pour notre prochaine migration. Il ne nous reste plus qu'
20
21
4.1 IPsec
IPSec ou IP Security Protocols est un ensemble de mcanismes de scurit communs IPv4 et IPv6 qui visent scuriser les changes au niveau de la couche rseau. Il a t mis au point pour IPv6 puis a t adapt l'IPv4, vu la lenteur de dploiement de l'IPv6 et les besoins forts des entreprises. Parmis les services de scurit oerts par IPsec on cite : Authentication des extrmits Condentialit des donnes changes Authenticit des donnes Intgrit des donnes changes Protection contre les coutes et analyses de trac IPsec ore deux modes d'change : le mode transport et le mode tunnel. Le mode transport, facile mettre en oeuvre, ore une protection de niveau suprieur et permet de scuriser une communication de bout en bout sans eectuer de masquage d'adresse, tandis que le mode tunnel encapsule des datagrammes IP dans d'autres datagrammes IP, orant une protection lien par lien. Ce deuxime mode est utilis quand au moins une des deux extrmits d'IPsec se comporte comme une passerelle.[5]
22
Le problme de AH est qu'il ne garantit pas la condentialit. En eet, les donne sont signes et non chires, ce qui peut tre facilement reversible.
23
La validit de l'metteur peut donc tre vrier grce la cl publique transporte dans le message. Cela vite l'usurpation d'adresse IP. Une autre fonctionnalit de SEND est d'utiliser une extension des certicats x509v3 an de dnir les prxes que les routeurs sont autoriss annoncer. Le problme de SEND est qu'il n'est quasiment pas dvelopp pour le moment. Une seule implmentation existe sous Linux et aucune implmentation n'existe ce jour pour Windows. De plus son implmentation reste complexe puisqu'il est ncessaire de disposer d'une PKI (Public Key Infrastructure) an de grer les certicats.
Conclusion
Nous avons vu dans ce qui a prcd qu'IPv6 prsente certaines normes de scurit, essentiellement avec IPsec qui a t mis en place pour IPv6 avant d'tre adapt pour IPv4. Nanmois, la scurit demeure encore le maillon faible de IPv6 et les recherches continuent dans ce domaine, comme c'est le cas de SEND.
24
5 Mise en oeuvre
Introduction
Aprs avoir dcouvert les dirents aspects du protocole IPv6 et les limites du protocole IPv4, il est temps de penser la migration. Nous prsenterons dans ce qui suit une architecture d'entreprise puis nous montrerons les direntes tapes par lesquelles nous sommes passes pour faire fonctionner notre infrastructure en IPv6.
25
Serveurs Mail : Nous devons avoir quatre serveurs mail. Deux serveurs seront des
serveurs SMTP et les deux autres seront des serveurs POP3/IMAP. Nous avons opt pour quatre serveurs pour assurer la disponibilit des services, et ne pas subir les cas de panne ou de surcharge.
Serveurs Web :
Nous avons mis en place deux serveurs web. L'un sera congur
sous Linux pour les utilisateurs de pHp, jsp, python... et le second sera congur sous Windows pour les utilisateurs des applications .NET et C#. Les deux serveurs web seront relis un serveur de base de donnes MySQL server, invisible par le rseau public.
Serveurs DNS :
serveur primaire et deux serveurs secondaires. Ils seront tous les trois congurs sous Bind. Le serveur primaire doit tre reli Internet pour pouvoir rpondre aux requtes DNS des zones qui ne lui appartiennent pas (exemple google.com), quant aux serveurs secondaires, ils rpondront aux requtes des dirents clients auxquels ils seront relis.
Serveur NTP
serveurs.
importante, ne serait-ce que pour la journalisation. C'est donc une ncessit que de mettre en place un serveur NTP pour avoir une synchronisation entre nos dirents
26
nous devions donc prendre en considration ceci et consacrer un serveur pour le dveloppement des applications du mobile.
Tous les serveurs que nous avons dcrits ont au moins deux interfaces, l'une relie directement Internet via un Firewall et un routeur, et une autre reli au rseau priv de l'entreprise. Le rseau public sera subdivis en VLANs. Chaque VLAN contiendra un serveur hormis les doublons. Les serveurs DNS devront communiquer avec l'ensemble des noeuds, et seront donc compris dans tous les VLANs. Nous avons galement pens mettre en place un VPN pour l'administrateur rseau an qu'il puisse accder ses serveurs en dehors de l'entrprise en cas de problme ou d'urgence. Nous donnons dans les deux tableaux suivants les plans d'adressage des passerelles (rewall, routeurs) et des serveurs. Passerelle Firewall Routeur connect au rseau public Routeur connect au rseau priv Interface 1 193.95.68.1/24 41.20.21.21/8 192.168.1.1/24 Interface 2 41.20.21.22/8 40.20.30.40/8 20.21.22.23/8
27
Table 5.3: Mappage des prxes IPv4 privs vers les prxes IPv6
28
29
rares sont ceux les FAI qui proposent ce protocole. L'acheminement des paquets via le rseau Internet rencontrera srement sur son passage un rseau utilisant IPv4, et c'est pour cel, que dans le cadre de notre travail, et pour rapporcher notre migration le plus possible du cas rel, nous avons dcid de montrer comment il faut agir pour passer d'un rseau IPv6 un rseau IPv4 et vice versa. Nous avons dcid de crer sur nos routeurs des tunnels et de faire en sorte que tout le trac soit encapsul dans des trames IPv6. La topologie implmente sur GNS3 est dans la gure suivante[7] :
30
Conguration du tunnel :
R1(config)#int tunnel 1 R1(config-if)#ipv6 address AAAA:4::2/126 R1(config-if)#tunnel source 193.95.10.1 R1(config-if)#tunnel destination 193.95.10.2 R1(config-if)#ipv6 rip rip_proc enable R1(config-if)#end
Conguration du tunnel :
R2(config)#int tunnel 1 R2(config-if)#tunnel source 193.95.10.2 R2(config-if)#tunnel destination 193.95.10.1 R2(config-if)#ipv6 address AAAA:4::1/126 R2(config-if)#ipv6 rip rip_proc enable R2(config-if)#end
Pour tester notre conguration, nous avons mis en place deux machines virtuelles utilisant le systme d'exploitation Linux et la distribution Ubuntu. Chacune a t connecte un cloud, comme montr dans la gure, via sa carte rseau congure en mode host-only .
31
Aprs cela, nous leur avons attribues des adresses Ipv6 contenues dans le rseau du routeur auquelle elles appartiennent, et qui sont respectivement le rseau AAAA :1 : :/64 et le rseau AAAA :3 : :/64. La conguration des adresses ipv6 dans nos machines se fait via la commande suivante.
#ifconfig eth0 inet6 add AAAA:1::2/64 #ifconfig eth0 inet6 add AAAA:3::2/64
Etant donn que nous procdons plusieurs redmarrages de nos deux machines, nous avons dcid d'enregistrer leurs congurations dans le chier /etc/network/interfaces comme suit :
Figure 5.4: Test ping6 entre 2 machines n'appartenant pas au mme rseau
On a lanc un PING de la machine ayant l'adresse AAAA :1 : :2 vers la machine ayant l'adresse AAAA :3 : :2, et on capture le trac avec WIRESHARK. Voici le rsultat obtenu :
32
33
(). $ myhostname est utilis comme une valeur par dfaut pour de nombreux autres paramtres de conguration. mydomain : Le paramtre spcie le nom de domaine Internet. La valeur par dfaut est d'utiliser $ myhostname moins le premier volet. $ mydomain est utilis comme une valeur par dfaut pour de nombreux autres paramtres de conguration. myorigin : Le paramtre myorigin indique le domaine duquel semble provenir l'email post. La valeur par dfaut est d'ajouter $ myhostname, ce qui est bien pour les petits sites. Si vous excutez un domaine avec plusieurs machines, vous devez mettre plutt $mydomain et mettre en place l'chelle du domaine une base de donnes d'alias chaque utilisateur de user@that.users.mailhost. mydestination : Indiquer la liste de l'hte ou de noms de domaine/le/name ou le type : table patterns, spars par des virgules et / ou les espaces.
34
Le protocole POP fonctionne grce des commandes textuelles envoyes au serveur POP. Chacune des commandes envoyes par le client est compose d'un mot-cl, ventuellement accompagn d'un ou plusieurs arguments et est suivie d'une rponse du serveur POP compose d'un numro et d'un message descriptif. Pour avoir le POP3 sur notre machine il sut d'installer son package. POP3 ne ncessite pas de conguration particulire.
chiers. Nous nous intresserons dans notre cas au chier /etc/bind/named.conf.local et au chier /etc/bind/zone/emna-rym.net qui contiendra la description de la zone et la
35
dnition des CNAME. Nous commenons tout d'abord par donner la conguration du chier /etc/bind/named.conf.local
nameserver AAAA:1::2
Essayons maintenant d'eectuer un ping de la machine AAAA :3 : :2 vers la machine AAAA :1 : :2. Nous n'utiliserons plus l'adresse IPv6, mais nous essayerons avec les dierents noms de domaines que nous avons ajout savoir emna-rym.net,ordi.emnarym.net et www.emna-rym.net. Nous voyons que les rsultats sont exactement les mmes que lors d'un ping vers une adresse IP.
36
37
38
Conclusion et perspectives
l'issue de ce projet, nous sommes parvenues raliser une migration d'une infrastructure rseau d'une entreprise de l'IPv4 vers l'IPv6. Cette migration a consist en la conguration de certains quipements rseau pour la prise en compte de l'IPv6, tout en continuant considrer l'IPv4, puisque ces deux versions du protocole Internet devront cohabiter pendant un certain temps, jusqu'au dployement total d'IPv6. Pour implmenter cette migration, nous avons d'abord revu les notions de base du protocole Ipv4, et nous sommes arrives saisir la ncssit du passage au nouveau protocole. Dans un second moment, nous sommes parties la dcouverte du protocole Ipv6. Nous avons eectu un travail de recherche pour arriver le matriser et connatre tous les mcanismes et protocoles ncssaires pour le faire fonctionner. En eet, Ipv6, en tant un nouveau protocole conu pour largir l'espace d'adressage et dpasser la pnurie d'adresse laquelle nous sommes arrivs, sa trame, ses adresses, ses protocoles de routage sont totalement dirents de ceux de Ipv4. Il fallait donc qu'on arrive matriser ces notions avant de penser une quelconque migration ou compatibilit entre Ipv4 et Ipv6. Pour mettre en pratique la recherche eectue, nous avons conu une architecture complexe et nous avons implment une partie des serveurs que nous avons estims les plus importants et les plus utiliss. Nous avons commenc tout d'abord par la conguration des routeurs, et nous avons prvu un rseau Ipv4 entre deux rseaux Ipv6, et ceci pour mettre en vidence la cohabitation encore existante entre les deux versions et la compatilibilit entre eux. Nous nous sommes galement intresses au volet scurit, point faible du protocole Ipv6 , en mettant en place les tunnels bass sur Ipsec et une politique de scurit avec Netlter ip6tables. Nanmoins, la scurit demeure le maillon faible de cette nouvelle version du protocole Internet, et mme si nous avons essay durant notre projet de scuriser notre infrastructure, les failles demeurent abondantes, et il faut les contrer aussi bien au niveau du routeur qu'au niveau des pare-feu et des serveurs. Les travaux de recherche encore en cours, sont d'ailleurs focaliss sur ce point. Dans la continuit de notre travail, nous pourrions l'tendre aux rseaux mobiles, tant donn que ce domaine est en grande extension, et qu'avec l'avnement de l'IPv6, le problme ne se posera plus quant l'attribution d'une ou plusieurs adresses IP chaque quipement. Nous pourrions mme concrtiser notre travail en le dployant sur du matriel et en le testant chez un fournisseur d'Internet tels que les dirents FAI ou l'ATI.
39
Bibliographie
[1] Groupe de travail IPv6 du CCCNT (GTIC) :IPv6 au Canada Rapport nal et recommandations, 16 Mars 2010 [2] Esvtelle COLIN, Fabrice BERN : Le protocole Ipv6 , Universit de la Rochelle, 2001-2002 [3] Simon MORIN : Le Protocole Internet Version 6 ,Mmoire, 2004-2005 [4] SALMON Nicolas : COURS IPV6 Point G6 , 30/01/2010 [5] Site web : http ://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-004/ [6] Site web : http ://docs.oracle.com/cd/E19957-01/820-2982/ipv6-troubleshoot-
2/index.html [7] BENCHCHAOUI OMAR ADIL : La migration de l'IPV4 vers l'IPV6, Projet n d'tude, 2007-2009
40
Annexe
ANTI DOS
ip6tables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --set --n ip6tables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --update
Bloquer l'attaque DDOS -SMBnuke
ip6tables -A INPUT -m state --state INVALID -j DROP ip6tables -A FORWARD -m state --state INVALID -j DROP ip6tables -A OUTPUT -m state --state INVALID -j DROP
Supprimer les paquets RST excessifs pour viter l'attaque smurf
ip6tables -A INPUT -p tcp -m tcp --tcp-flags RST RST -m limit --limit 2/second --limi
Autoriser DNS en Entre et Sortie
-t -t -t -t
-A -A -A -A
OUTPUT -p tcp --sport 53 -j ACCEPT OUTPUT -p udp --sport 53 -j ACCEPT INPUT -p tcp --dport 53 -j ACCEPT INPUT -p udp --dport 53 -j ACCEPT
ip6tables -t filter -A OUTPUT -p tcp --sport 80 -j ACCEPT ip6tables -t filter -A OUTPUT -p tcp --sport 443 -j ACCEPT
Autoriser HTTP et HTTPS en entre
ip6tables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT ip6tables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT ip6tables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
Lecture des ags Supprimer les drapeaux new dirents de Syn
41
ip6tables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT ip6tables -t filter -A OUTPUT -p tcp --sport 25 -j ACCEPT
Autoriser la connexion sur le serveur POP3 :110
ip6tables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT ip6tables -t filter -A OUTPUT -p tcp --sport 110 -j ACCEPT
Autoriser la connexion sur le serveur Mail IMAP :143
ip6tables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT ip6tables -t filter -A OUTPUT -p tcp --sport 143 -j ACCEPT
Autoriser la connexion sur le serveur POP3S :995
ip6tables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT ip6tables -t filter -A OUTPUT -p tcp --sport 995 -j ACCEPT
Politique par dfaut
-A -A -t -t -t
INPUT -p icmpv6 -j ACCEPT OUTPUT -p icmpv6 -j ACCEPT filter -P INPUT DROP filter -P FORWARD DROP filter -P OUTPUT DROP
42