From bc1d70343807104ccf64b6bde9b2db54270203ff Mon Sep 17 00:00:00 2001 From: neodarz Date: Fri, 10 Mar 2017 11:58:22 +0100 Subject: Initiale release --- ...dation_on_Stable_IPv6_Interface_Identifiers.txt | 73 ++++++++++++++++++++++ 1 file changed, 73 insertions(+) create mode 100644 RFC_8064_Recommendation_on_Stable_IPv6_Interface_Identifiers.txt (limited to 'RFC_8064_Recommendation_on_Stable_IPv6_Interface_Identifiers.txt') diff --git a/RFC_8064_Recommendation_on_Stable_IPv6_Interface_Identifiers.txt b/RFC_8064_Recommendation_on_Stable_IPv6_Interface_Identifiers.txt new file mode 100644 index 0000000..cbad687 --- /dev/null +++ b/RFC_8064_Recommendation_on_Stable_IPv6_Interface_Identifiers.txt @@ -0,0 +1,73 @@ +Titre: RFC 8064: Recommendation on Stable IPv6 Interface Identifiers +Auteur: +Date: Fri 24 Feb 2017 01:00:00 +0100 +Lien: https://www.bortzmeyer.org/8064.html + +Ce RFC parle de vie privée mais il est très court, car il se contente de +changer une règle, la nouvelle étant déjà largement acceptée. Désormais, si une +machine IPv6 configure son adresse par le système SLAAC, et que cette adresse +doit être stable dans le temps, désormais, donc, la méthode recommandée est +celle du RFC 7217 et non plus celle, mauvaise pour la vie privée, d'utiliser +l'adresse MAC. (Si l'adresse n'a pas besoin d'être stable, aucun changement, la +méthode recommandée reste celle du RFC 4941, les adresses temporaires.) + +Que veut dire SLAAC, au fait ? Ce mécanisme de configuration d'une adresse IPv6 +est normalisé dans le RFC 4862. L'idée est que la machine écoute sur le réseau +les annonces faites par les routeurs, apprenant ainsi le·s préfixe·s IP du +réseau. Elle ajoute ensuite à ce préfixe un terme, l'identificateur d'interface +(IID, cf. RFC 4291), formant ainsi une adresse IPv6 mondiale, et unique (si +l'IID est bien choisi). La méthode originelle était de dériver l'IID de +l'adresse MAC. Celle-ci est en effet unique et, en prime, son utilisation +présente certains avantages (compression des en-têtes du RFC 6775, par +exemple). Mais s'en servir soulève plein de problèmes de sécurité et notamment +de vie privée : traçabilité des utilisateurs dans le temps, et dans l'espace +(si la machine se déplace, elle change de préfixe mais garde le même +identificateur d'interface), facilitation du balayage des adresses dans le +réseau, etc (cf. RFC 7721). D'une manière générale, réutiliser des +identificateurs d'un autre « monde » est une fausse bonne idée, souvent +dangereuse en matière de vie privée. Voilà pourquoi ce RFC dit clairement que, +désormais, il est fortement déconseillé d'utiliser les adresses MAC. (Plusieurs +mises en œuvre d'IPv6, comme celles de Microsoft, avaient déjà cessé, avant +même que ce RFC ne soit publié.) + +Et ce RFC 7217 qu'il faut désormais suivre, il dit quoi ? Il propose de +fabriquer l'identificateur d'interface en condensat une concaténation du +préfixe et de diverses valeurs stables. Si on change de réseau, on a une +nouvelle adresse (on ne peut donc pas suivre à la trace une machine mobile). +Mais, si on reste sur le même réseau, l'adresse est stable. + +La section 1 de notre RFC rappelle aussi la différence entre les adresses +stables et les autres. Toutes les adresses IP n'ont pas besoin d'être stables. +La solution la meilleure pour la vie privée est certainement celle du RFC 4941, +des adresses temporaires, non stables (pour de telles adresses, on peut aussi +utiliser le système des adresses MAC si elles changent souvent par exemple avec +macchanger[1]). Toutefois, dans certains cas, les adresses stables sont +souhaitables : l'administration réseaux est plus simple, les journaux sont plus +faciles à lire, on peut mettre des ACL, on peut avoir des connexions TCP de +longue durée, etc. Et, bien sûr, si la machine est un serveur, ses adresses +doivent être stables. Il y a donc une place pour une solution différente de +celle du RFC 4941, afin de fournir des adresses stables. C'est seulement pour +ces adresses stables que notre RFC recommande désormais la solution du RFC +7217. + +La nouvelle règle figure donc en section 3 de notre RFC : lorsqu'une machine +veut utiliser SLAAC et avoir des adresses stables, qui ne changent pas dans le +temps, tant que la machine reste sur le même réseau, alors, dans ce cas et +seulement dans ce cas, la méthode à utiliser est celle du RFC 7217. L'ancienne +méthode (qu'on trouve par exemple dans le RFC 2464) d'ajouter le préfixe à +l'adresse MAC ne doit plus être utilisée. + +Notez donc bien que ce RFC ne s'adresse pas à toutes les machines IPv6. Ainsi, +si vous configurez vos serveurs (qui ont clairement besoin d'une adresse +stable) à la main, avec des adresses en leet comme 2001:db8::bad:dcaf, ce RFC +8064 ne vous concerne pas (puisqu'il n'y a pas de SLAAC). + +Les RFC comme le RFC 4944, RFC 6282, RFC 6775 ou RFC 7428 devront donc être +remplacés par des documents tenant compte de la nouvelle règles. (Cf. RFC +8065.) + +Aujourd'hui, il semble que les dernières versions de Windows, iOS et Android +mettent déjà en œuvre la nouvelle règle. + +Liens: +[1]: https://www.it-connect.fr/changer-dadresse-mac-sous-linux-avec-macchanger/ (lien) -- cgit v1.2.1