1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
|
Titre: RFC 8064: Recommendation on Stable IPv6 Interface Identifiers
Auteur:
Date: Fri 24 Feb 2017 01:00:00 +0100
Lien: https://www.bortzmeyer.org/8064.html
Ce RFC parle de vie privée mais il est très court, car il se contente de
changer une règle, la nouvelle étant déjà largement acceptée. Désormais, si une
machine IPv6 configure son adresse par le système SLAAC, et que cette adresse
doit être stable dans le temps, désormais, donc, la méthode recommandée est
celle du RFC 7217 et non plus celle, mauvaise pour la vie privée, d'utiliser
l'adresse MAC. (Si l'adresse n'a pas besoin d'être stable, aucun changement, la
méthode recommandée reste celle du RFC 4941, les adresses temporaires.)
Que veut dire SLAAC, au fait ? Ce mécanisme de configuration d'une adresse IPv6
est normalisé dans le RFC 4862. L'idée est que la machine écoute sur le réseau
les annonces faites par les routeurs, apprenant ainsi le·s préfixe·s IP du
réseau. Elle ajoute ensuite à ce préfixe un terme, l'identificateur d'interface
(IID, cf. RFC 4291), formant ainsi une adresse IPv6 mondiale, et unique (si
l'IID est bien choisi). La méthode originelle était de dériver l'IID de
l'adresse MAC. Celle-ci est en effet unique et, en prime, son utilisation
présente certains avantages (compression des en-têtes du RFC 6775, par
exemple). Mais s'en servir soulève plein de problèmes de sécurité et notamment
de vie privée : traçabilité des utilisateurs dans le temps, et dans l'espace
(si la machine se déplace, elle change de préfixe mais garde le même
identificateur d'interface), facilitation du balayage des adresses dans le
réseau, etc (cf. RFC 7721). D'une manière générale, réutiliser des
identificateurs d'un autre « monde » est une fausse bonne idée, souvent
dangereuse en matière de vie privée. Voilà pourquoi ce RFC dit clairement que,
désormais, il est fortement déconseillé d'utiliser les adresses MAC. (Plusieurs
mises en œuvre d'IPv6, comme celles de Microsoft, avaient déjà cessé, avant
même que ce RFC ne soit publié.)
Et ce RFC 7217 qu'il faut désormais suivre, il dit quoi ? Il propose de
fabriquer l'identificateur d'interface en condensat une concaténation du
préfixe et de diverses valeurs stables. Si on change de réseau, on a une
nouvelle adresse (on ne peut donc pas suivre à la trace une machine mobile).
Mais, si on reste sur le même réseau, l'adresse est stable.
La section 1 de notre RFC rappelle aussi la différence entre les adresses
stables et les autres. Toutes les adresses IP n'ont pas besoin d'être stables.
La solution la meilleure pour la vie privée est certainement celle du RFC 4941,
des adresses temporaires, non stables (pour de telles adresses, on peut aussi
utiliser le système des adresses MAC si elles changent souvent par exemple avec
macchanger[1]). Toutefois, dans certains cas, les adresses stables sont
souhaitables : l'administration réseaux est plus simple, les journaux sont plus
faciles à lire, on peut mettre des ACL, on peut avoir des connexions TCP de
longue durée, etc. Et, bien sûr, si la machine est un serveur, ses adresses
doivent être stables. Il y a donc une place pour une solution différente de
celle du RFC 4941, afin de fournir des adresses stables. C'est seulement pour
ces adresses stables que notre RFC recommande désormais la solution du RFC
7217.
La nouvelle règle figure donc en section 3 de notre RFC : lorsqu'une machine
veut utiliser SLAAC et avoir des adresses stables, qui ne changent pas dans le
temps, tant que la machine reste sur le même réseau, alors, dans ce cas et
seulement dans ce cas, la méthode à utiliser est celle du RFC 7217. L'ancienne
méthode (qu'on trouve par exemple dans le RFC 2464) d'ajouter le préfixe à
l'adresse MAC ne doit plus être utilisée.
Notez donc bien que ce RFC ne s'adresse pas à toutes les machines IPv6. Ainsi,
si vous configurez vos serveurs (qui ont clairement besoin d'une adresse
stable) à la main, avec des adresses en leet comme 2001:db8::bad:dcaf, ce RFC
8064 ne vous concerne pas (puisqu'il n'y a pas de SLAAC).
Les RFC comme le RFC 4944, RFC 6282, RFC 6775 ou RFC 7428 devront donc être
remplacés par des documents tenant compte de la nouvelle règles. (Cf. RFC
8065.)
Aujourd'hui, il semble que les dernières versions de Windows, iOS et Android
mettent déjà en œuvre la nouvelle règle.
Liens:
[1]: https://www.it-connect.fr/changer-dadresse-mac-sous-linux-avec-macchanger/ (lien)
|