La longue transition vers l’IPv6 (1/2) : la pénurie d'IPv4
Nicolas Furno |
Cela fait des années que l’on parle de la transition vers l’IPv6 et de la raréfaction des IPv4. Alors que cette transition a été entamée au début des années 2000, elle est toujours loin d’être complète, puisque la majorité des internautes dans le monde continue d’utiliser les anciennes adresses.
Comment expliquer ce retard ? C’est ce que nous allons essayer de voir dans cette mini-série de deux articles. Cette première partie revient aux bases en expliquant ce qu’est une adresse IP et la différence entre les IPv4 et IPv6. Nous verrons ensuite les avantages concrets de la nouvelle norme à tous les niveaux d’internet.
L’ipv4 coûte environ aux alentours de 45e/IP actuellement.
Donc oui les hébergeurs / opérateurs vont faire payer de plus en plus les ips
Glop0606 |
Article fort intéressant. Dans la pratique y’a du chemin avant que l‘IPv6 soit dominant. Parfois c’est juste humain. 192.168….. sera toujours plus facile à retenir que la nomenclature de l‘Ipv6. Et puis faire son réseau société en IPv6 est plus complexe qu’en IPv4 et vu que l‘ipv4 marche sans soucis, alors beaucoup d‘IT ne pense même pas à changer.
raoolito |
@Glop0606
de toute façon le reseau local derrière le routeur n'est pas un soucis majeur.
on pourra fonctionner longtemps en ipv4 à domicile..
en entreprise tout depend de sa taille
Captain Bumper |
Tout simplement car IPv4 et v6 ne sont pas compatibles entre eux (ex un site en 6 n’est pas atteignable en ayant qu’une connectivité en 4) et qu’il faut passer par des traducteurs réseaux ou locaux, tunnels ou mécanismes de double piles pour assurer la transparence de connexion entre les 2 protocoles.
Et l’IEEE c’est pas juste internet ils norment aussi dans d’autres domaines, le FireWire a été normé par eux.
totoguile |
@Captain Bumper
Y aune erreur justement: les IP il me semble que c’est l’IETF et non pas IEEE. L’IEEE c’est les adresses MAC
koko256 |
@totoguile
Les normes des protocoles IP c'est l'IETF.
L'attribution des adresses IP c'est l'IANA.
totoguile |
@koko256
Correct ! L’icann global, le RIPE NCC pour l’Europe.
L’IETF pour les RFC qui définissent les protocoles IP techniquement ainsi que les protocoles au dessus d’ip
Nicolas Furno |
@totoguile
En effet, erreur corrigée !
carl015 |
Super article, il me tarde de lire la suite ! 👍
frankynov |
Super article !
Ça me rappelle mes vieux cours de réseau, mais ça date (et à l’époque angry birds venait de sortir sur mon flambant neuf iPad de première génération donc j’étais pas trop attentif) 😅
J’avais en tête qu’il existait un système d’encapsulation « 6 to 4 » pour utiliser de lipv4 dans le V6, j’imagine que vous en ferez allusion dans le prochain article ☺️
koko256 |
Le NAT pose d'autres problèmes. Comme le nombre de port TCP et UDP est limité à 65535, il ne peut pas y avoir plus de 65535 connexions sortantes depuis une même adresse IP publique vers une même destination. Pour les services comme Google Maps où chaque bloc de carte est chargé sur une connexion séparée, cela peut avoir un impact.
Faabb |
Merci pour cette nouvelle série passionnante!!
dodomu |
Pour ceux que ça intéresse, RIPE a publié (il y a environ 1 an) un "Rapport sur l’état d’Internet: Europe Méditerranéenne" (on y retrouve la situation IPv6 de ces pays dont la France, ainsi que les transferts privés d'adresses IPv4 d’occasion mentionnés dans l'article) : https://labs.ripe.net/documents/170/Mediterranean_country_report_French_final.pdf
Comment on gère la sécurité d'un réseau local si les adresses ip deviennent toutes publiques ?
Ça c'est un truc qui me rassure pas, car autant une machine Linux, pourquoi pas, mais une caméra de sécurité, et qui est sur le réseau...
kaya |
@Link1993
Je ne vois pas dans les adresses privées un gage de sécurité puisqu’elles sont accessibles de l’extérieur
Link1993 |
@kaya
Je pense au NAT justement, et du transfert de ports, qui ne peut du coup plus vraiment exister en ipv6
nmo |
“ Comment on gère la sécurité d'un réseau local si les adresses ip deviennent toutes publiques ?”
Avec un pare-feu, comme en IPv4.
Le fait que chaque équipement du réseau local ait sa propre IP publique, ne veut pas dire que chacun de connecte directement sur Internet.
Y’a toujours moyen de protéger dans les deux sens avec des pare-feu. Et tout réseau local sensible doit être protégé de la sorte.
Mais qu’on soit en IPv4 ou v6, l’obscurité n’est pas une sécurité.
Link1993 |
@nmo
J'étais persuadé justement qu'en IPV6, on était directement sur internet...
Ce qui voulait pour moi dire qu'il fallait utiliser de pare-feu de l'ordinateur directement et non pas un appareil entre les deux.
C'est vraiment cet aspect là qui doit me bloquer un peu 😅
kaya |
Mon iPad dispose d’une adresse en IPv4 (apparemment inutile) et 5 en IPv6 (pourquoi autan).
Le suivi limité de l’adresse IP doit rendre les choses plus compliqués si on dispose d’une adresse fixe
raoolito |
@kaya
je me demande si on peut pas simplement fermer les adresses ipv4 et n'utiliser qu'une IPv6 en local par device ( et donc connexion directe)
sans doute dans le prochain article
nmo |
“ je me demande si on peut pas simplement fermer les adresses ipv4 et n'utiliser qu'une IPv6 en local par device ( et donc connexion directe)”
Oui on peut couper IPv4 chez soit, mais on perd alors la capacité à se connecter à tout bidules connecté à Internet uniquement en v4.
gasova |
je n'ai jamais compris pourquoi ne pas utiliser l'addresse MAC des appareils comme unique identifiant? ça aurait tellement été plus simple...
raoolito |
@gasova
ah oui tiens ?
huguesdelamure |
Parce que ça impliquerait que chaque appareil (routeur, switch) dans le monde sache où est quelle adresse MAC à chaque instant. Et c'est concrètement impossible
raoolito |
@huguesdelamure
pourtant ils doivent le savoir aussi pour l'adresse ipv6?
oh! celle-ci est attribuée alors que l'adresse mac doit etre lue!
évidemment
merci !
huguesdelamure |
@raoolito
En IPv6 tu peux agréger, une mac non, tu peux avoir la Mac d'à côté de toi attribuée à un périphérique à l'autre bout du monde, alors que ton préfixe IPv6 est local au moins pour ta box, et le préfixe parent est généralement agrégé au niveau régional ou national (donc tu as des millions d'adresses MAC agrégées en un bloc ipv6 de taille /32 qui prend une seule entrée dans le routeur de bordure de l'opérateur en face)
raoolito |
@huguesdelamure
Oui c plus clair, merci !
nmo |
“ je n'ai jamais compris pourquoi ne pas utiliser l'addresse MAC des appareils comme unique identifiant?”
Une des solutions élaborées pour l’attribution des adresses IPv6 est le SLAAC avec auto configuration basée sur l’adresse MAC. Problème: les machines deviennent alors individuellement identifiables sur tout le réseau, peu importe où elle se trouvent, puisque la 2e moitié de l’IP serait toujours la même.
saoullabit |
C’est vraiment un délire d’universitaire cette version de l’IPv6, il aurait été tellement plus simple d’ajouter des octets au début (2 ou 4) et il y aurait eue une compatibilité possible …. Mais les universitaires ne sont pas de gens qui sont confrontés aux problèmes de la vie réelle, la preuve en est le nombre possible duo utilisable => ça sert à rien et ce n’est pas humainement interprétable.
Bref, je conchie l’IPv6 sous la forme qui a été choisie 😅
nmo |
“ C’est vraiment un délire d’universitaire cette version de l’IPv6, il aurait été tellement plus simple d’ajouter des octets au début (2 ou 4) et il y aurait eue une compatibilité possible …. Mais les universitaires ne sont pas de gens qui sont confrontés aux problèmes de la vie réelle, la preuve en est le nombre possible duo utilisable => ça sert à rien et ce n’est pas humainement interprétable.
Bref, je conchie l’IPv6 sous la forme qui a été choisie 😅”
Alors non. Parce que l’objectif visé par IPv6 ne se limite pas du tout à fournir davantage d’adresses uniques. Comme évoqué d’ailleurs dans le dernier paragraphes, il y a d’autres avancées (multicast, IPSec natif, etc.)
saoullabit |
@nmo
J’entends bien les avancées.
Mais pour le quidam, Tout ce matériel sans un minimum de barrière sur Internet quand on voit les ravages de Mirai a cause d’un couple user/mot de passe : admin/admin je suis pas certain que ce soit une avancée.
IPSec natif… Mouais, pourquoi pas.
Si on avait accès à un tunnel en layer 2 ça serait super (mais j’ai pas trouvé, si tu as de la doc je suis preneur)
Faut pas trouver une faille dans ipv6 avec IPSec : la misère que ça va être à mitiguer : ça va être patché par du soft le temps que le matériel, les firmwares et tout soient corrigés alors que HTTP2 fait super bien le taff: c’est du binaire c’est chiffré signé. Mais en effet c’est peut être pas la solution pour du streaming
Puis on repassera pour le Human-readable 😅
Il me semble que les tables de routage c’est plus simple (forcément) mais il y a déjà 5 ans, un routeur Juniper (assez haute de game mais transportable, pas les trucs de telco) pouvait prendre en charge à lui tout seul toutes la route de l’internet (et il avait encore de la marge) mais ça ne facilite pas la gestion je te l’accorde !
Et virus total ne prends pas en charge la recherches des ipV6 malveillantes !
Et chez Palo Alto c’est pas encore super bien géré 🙃
La charrue avant les bœufs un peu quoi …oui c’est pas faute d’avoir prévu le coup la RFC initiale datant de 1995. En regardant la RFC justement les premier nom du gars qui est impliqué la dedans c’est un mec du Xerox Park : un chercheur (on n’est pas loin de l’universitaire)
Bilbo |
prompt:~[0]> ping www.numerique.gouv.fr
PING www.numerique.gouv.fr (51.68.121.50): 56 data bytes
64 bytes from 51.68.121.50: icmp_seq=0 ttl=52 time=14.584 ms
64 bytes from 51.68.121.50: icmp_seq=1 ttl=52 time=13.226 ms
64 bytes from 51.68.121.50: icmp_seq=2 ttl=52 time=12.353 ms
prompt:~[0]> ping6 www.numerique.gouv.fr
ping6: getaddrinfo -- nodename nor servname provided, or not known
Pfff!
ssssteffff |
@Bilbo
Effectivement, c'est pas glorieux. Le recensement de l'ARCEP pour les sites en ipv6 :
Sur iPhone, tous les opérateurs sont entre 90 et 100% d'IPv6 activées, quand sur Android ça varie entre 60-70 et 85-95. C'est lié à l'OS lui-même (versions anciennes en circulation, etc.), ou à la prise en charge par les opérateurs ?
L’ipv4 coûte environ aux alentours de 45e/IP actuellement.
Donc oui les hébergeurs / opérateurs vont faire payer de plus en plus les ips
Article fort intéressant. Dans la pratique y’a du chemin avant que l‘IPv6 soit dominant. Parfois c’est juste humain. 192.168….. sera toujours plus facile à retenir que la nomenclature de l‘Ipv6. Et puis faire son réseau société en IPv6 est plus complexe qu’en IPv4 et vu que l‘ipv4 marche sans soucis, alors beaucoup d‘IT ne pense même pas à changer.
@Glop0606
de toute façon le reseau local derrière le routeur n'est pas un soucis majeur.
on pourra fonctionner longtemps en ipv4 à domicile..
en entreprise tout depend de sa taille
Tout simplement car IPv4 et v6 ne sont pas compatibles entre eux (ex un site en 6 n’est pas atteignable en ayant qu’une connectivité en 4) et qu’il faut passer par des traducteurs réseaux ou locaux, tunnels ou mécanismes de double piles pour assurer la transparence de connexion entre les 2 protocoles.
Et l’IEEE c’est pas juste internet ils norment aussi dans d’autres domaines, le FireWire a été normé par eux.
@Captain Bumper
Y aune erreur justement: les IP il me semble que c’est l’IETF et non pas IEEE. L’IEEE c’est les adresses MAC
@totoguile
Les normes des protocoles IP c'est l'IETF.
L'attribution des adresses IP c'est l'IANA.
@koko256
Correct ! L’icann global, le RIPE NCC pour l’Europe.
L’IETF pour les RFC qui définissent les protocoles IP techniquement ainsi que les protocoles au dessus d’ip
@totoguile
En effet, erreur corrigée !
Super article, il me tarde de lire la suite ! 👍
Super article !
Ça me rappelle mes vieux cours de réseau, mais ça date (et à l’époque angry birds venait de sortir sur mon flambant neuf iPad de première génération donc j’étais pas trop attentif) 😅
J’avais en tête qu’il existait un système d’encapsulation « 6 to 4 » pour utiliser de lipv4 dans le V6, j’imagine que vous en ferez allusion dans le prochain article ☺️
Le NAT pose d'autres problèmes. Comme le nombre de port TCP et UDP est limité à 65535, il ne peut pas y avoir plus de 65535 connexions sortantes depuis une même adresse IP publique vers une même destination. Pour les services comme Google Maps où chaque bloc de carte est chargé sur une connexion séparée, cela peut avoir un impact.
Merci pour cette nouvelle série passionnante!!
Pour ceux que ça intéresse, RIPE a publié (il y a environ 1 an) un "Rapport sur l’état d’Internet: Europe Méditerranéenne" (on y retrouve la situation IPv6 de ces pays dont la France, ainsi que les transferts privés d'adresses IPv4 d’occasion mentionnés dans l'article) :
https://labs.ripe.net/documents/170/Mediterranean_country_report_French_final.pdf
Un autre rapport de RIPE, de Juin dernier, sur l'évolution de l'IPv6 ces dix dernières années :
https://labs.ripe.net/author/wilhelm/ipv6-10-years-out-an-analysis-in-users-tables-and-traffic/
L’évolution de l’usage des IPv6 vu par Google :
https://www.google.fr/ipv6/statistics.html#tab=ipv6-adoption
Et pour finir, puisqu'on est sur un site Apple, saviez-vous que la firme de Cupertino possède une /8, soit l'équivalent d'un 256éme de toute les IPv4 ? 😎
https://www.iana.org/whois?q=17.0.0.0%2F8
https://support.apple.com/fr-fr/HT203609
Comment on gère la sécurité d'un réseau local si les adresses ip deviennent toutes publiques ?
Ça c'est un truc qui me rassure pas, car autant une machine Linux, pourquoi pas, mais une caméra de sécurité, et qui est sur le réseau...
@Link1993
Je ne vois pas dans les adresses privées un gage de sécurité puisqu’elles sont accessibles de l’extérieur
@kaya
Je pense au NAT justement, et du transfert de ports, qui ne peut du coup plus vraiment exister en ipv6
“ Comment on gère la sécurité d'un réseau local si les adresses ip deviennent toutes publiques ?”
Avec un pare-feu, comme en IPv4.
Le fait que chaque équipement du réseau local ait sa propre IP publique, ne veut pas dire que chacun de connecte directement sur Internet.
Y’a toujours moyen de protéger dans les deux sens avec des pare-feu. Et tout réseau local sensible doit être protégé de la sorte.
Mais qu’on soit en IPv4 ou v6, l’obscurité n’est pas une sécurité.
@nmo
J'étais persuadé justement qu'en IPV6, on était directement sur internet...
Ce qui voulait pour moi dire qu'il fallait utiliser de pare-feu de l'ordinateur directement et non pas un appareil entre les deux.
C'est vraiment cet aspect là qui doit me bloquer un peu 😅
Mon iPad dispose d’une adresse en IPv4 (apparemment inutile) et 5 en IPv6 (pourquoi autan).
Le suivi limité de l’adresse IP doit rendre les choses plus compliqués si on dispose d’une adresse fixe
@kaya
je me demande si on peut pas simplement fermer les adresses ipv4 et n'utiliser qu'une IPv6 en local par device ( et donc connexion directe)
sans doute dans le prochain article
“ je me demande si on peut pas simplement fermer les adresses ipv4 et n'utiliser qu'une IPv6 en local par device ( et donc connexion directe)”
Oui on peut couper IPv4 chez soit, mais on perd alors la capacité à se connecter à tout bidules connecté à Internet uniquement en v4.
je n'ai jamais compris pourquoi ne pas utiliser l'addresse MAC des appareils comme unique identifiant? ça aurait tellement été plus simple...
@gasova
ah oui tiens ?
Parce que ça impliquerait que chaque appareil (routeur, switch) dans le monde sache où est quelle adresse MAC à chaque instant. Et c'est concrètement impossible
@huguesdelamure
pourtant ils doivent le savoir aussi pour l'adresse ipv6?
oh! celle-ci est attribuée alors que l'adresse mac doit etre lue!
évidemment
merci !
@raoolito
En IPv6 tu peux agréger, une mac non, tu peux avoir la Mac d'à côté de toi attribuée à un périphérique à l'autre bout du monde, alors que ton préfixe IPv6 est local au moins pour ta box, et le préfixe parent est généralement agrégé au niveau régional ou national (donc tu as des millions d'adresses MAC agrégées en un bloc ipv6 de taille /32 qui prend une seule entrée dans le routeur de bordure de l'opérateur en face)
@huguesdelamure
Oui c plus clair, merci !
“ je n'ai jamais compris pourquoi ne pas utiliser l'addresse MAC des appareils comme unique identifiant?”
Une des solutions élaborées pour l’attribution des adresses IPv6 est le SLAAC avec auto configuration basée sur l’adresse MAC. Problème: les machines deviennent alors individuellement identifiables sur tout le réseau, peu importe où elle se trouvent, puisque la 2e moitié de l’IP serait toujours la même.
C’est vraiment un délire d’universitaire cette version de l’IPv6, il aurait été tellement plus simple d’ajouter des octets au début (2 ou 4) et il y aurait eue une compatibilité possible …. Mais les universitaires ne sont pas de gens qui sont confrontés aux problèmes de la vie réelle, la preuve en est le nombre possible duo utilisable => ça sert à rien et ce n’est pas humainement interprétable.
Bref, je conchie l’IPv6 sous la forme qui a été choisie 😅
“ C’est vraiment un délire d’universitaire cette version de l’IPv6, il aurait été tellement plus simple d’ajouter des octets au début (2 ou 4) et il y aurait eue une compatibilité possible …. Mais les universitaires ne sont pas de gens qui sont confrontés aux problèmes de la vie réelle, la preuve en est le nombre possible duo utilisable => ça sert à rien et ce n’est pas humainement interprétable.
Bref, je conchie l’IPv6 sous la forme qui a été choisie 😅”
Alors non. Parce que l’objectif visé par IPv6 ne se limite pas du tout à fournir davantage d’adresses uniques. Comme évoqué d’ailleurs dans le dernier paragraphes, il y a d’autres avancées (multicast, IPSec natif, etc.)
@nmo
J’entends bien les avancées.
Mais pour le quidam, Tout ce matériel sans un minimum de barrière sur Internet quand on voit les ravages de Mirai a cause d’un couple user/mot de passe : admin/admin je suis pas certain que ce soit une avancée.
IPSec natif… Mouais, pourquoi pas.
Si on avait accès à un tunnel en layer 2 ça serait super (mais j’ai pas trouvé, si tu as de la doc je suis preneur)
Faut pas trouver une faille dans ipv6 avec IPSec : la misère que ça va être à mitiguer : ça va être patché par du soft le temps que le matériel, les firmwares et tout soient corrigés alors que HTTP2 fait super bien le taff: c’est du binaire c’est chiffré signé. Mais en effet c’est peut être pas la solution pour du streaming
Puis on repassera pour le Human-readable 😅
Il me semble que les tables de routage c’est plus simple (forcément) mais il y a déjà 5 ans, un routeur Juniper (assez haute de game mais transportable, pas les trucs de telco) pouvait prendre en charge à lui tout seul toutes la route de l’internet (et il avait encore de la marge) mais ça ne facilite pas la gestion je te l’accorde !
Et virus total ne prends pas en charge la recherches des ipV6 malveillantes !
Et chez Palo Alto c’est pas encore super bien géré 🙃
La charrue avant les bœufs un peu quoi …oui c’est pas faute d’avoir prévu le coup la RFC initiale datant de 1995. En regardant la RFC justement les premier nom du gars qui est impliqué la dedans c’est un mec du Xerox Park : un chercheur (on n’est pas loin de l’universitaire)
prompt:~[0]> ping www.numerique.gouv.fr
PING www.numerique.gouv.fr (51.68.121.50): 56 data bytes
64 bytes from 51.68.121.50: icmp_seq=0 ttl=52 time=14.584 ms
64 bytes from 51.68.121.50: icmp_seq=1 ttl=52 time=13.226 ms
64 bytes from 51.68.121.50: icmp_seq=2 ttl=52 time=12.353 ms
prompt:~[0]> ping6 www.numerique.gouv.fr
ping6: getaddrinfo -- nodename nor servname provided, or not known
Pfff!
@Bilbo
Effectivement, c'est pas glorieux. Le recensement de l'ARCEP pour les sites en ipv6 :
https://www.arcep.fr/cartes-et-donnees/nos-publications-chiffrees/transition-ipv6/barometre-annuel-de-la-transition-vers-ipv6-en-france.html#c26630
Étrange disparité entre les activations IPv6 sur le réseau mobile, Android vs iPhone :
https://www.arcep.fr/cartes-et-donnees/nos-publications-chiffrees/transition-ipv6/barometre-annuel-de-la-transition-vers-ipv6-en-france.html#c29256
Sur iPhone, tous les opérateurs sont entre 90 et 100% d'IPv6 activées, quand sur Android ça varie entre 60-70 et 85-95. C'est lié à l'OS lui-même (versions anciennes en circulation, etc.), ou à la prise en charge par les opérateurs ?