One day we will run out of IPv4 addresses. Probably it's not the first time you heard that. In this post I review the history of IPv4 address depletion, which to some extent is the same as reviewing the history of the Internet
Pour accompagner la transition du réseau vers le protocole IPv6, Free déploie une nouvelle technique qui partage l'adresse IPv4 attribuée entre quatre abonnés, en utilisant des plages de ports réservées pour compléter l'adressage.
https://lafibre.info/free-la-fibre/cgn-14-chez-free-une-ipv4-partagee-par-4-clients/
[...]
Pour eux, il « y aura une option ”vraie ip fixe” bientôt et, cerise sur le gâteau, on pourra même demander plusieurs IP ». a donc fini par annoncer ce week-end Rani Assaf, le directeur technique de Free. Il n’a en revanche donné aucun calendrier.
L’incontournable Stéphane Bortzmeyer avait aussi expliqué en détails la technique dite « A + P » (adresses + ports) qui semble être celle utilisée par Free, dans un billet d’août 2011. « L’idée de base est un compromis. On va sacrifier quelques bits du numéro de port pour les donner à l’adresse IP (…). L’idée d’A+P est que, même si l’adresse ne sera plus unique, le couple {adresse, partie du port} restera unique par client. Avec 65536 ports possibles, on peut mettre 65536 clients sur une même adresse IP (si chacun se contente d’un seul port), 256 (avec 256 ports chacun), ou un seul (avec le système actuel où le client a 65536 ports)… L’un des intérêts d’A+P est qu’il limite (sans toutefois le supprimer) le recours au NAT et à tous ses inconvénients ». Au passage, Bortzmeyer expliquait qu’Orange avait lui-même réalisé des tests de cette technique.
http://www.bortzmeyer.org/6346.html
Vous avez certainement déjà tout lu sur la vulnérabilité « Ghost » de la GNU libc (alias CVE-2015-0235). Si ce n'est pas le cas, vous pouvez vous documenter sur le blog du découvreur ou bien en lisant cette analyse technique ultra-détaillée. Mais un aspect de cette faille a été peu remarqué : qui diable utilise encore l'API gethostbyname, complètement dépassée ?
La faille se trouvait en effet dans une fonction nommée __nss_hostname_digits_dots qui est appelée par les fonctions, bien plus connues, gethostbyname et gethostbyaddr. Ces fonctions servent à traduire un nom de domaine en adresse IP, en général en faisant appel au DNS. Elles sont dépassées depuis longtemps et ne devraient plus être utilisées, notamment parce qu'elles ne permettent pas de faire de l'IPv6.
Ce point a bien été noté par les découvreurs de la faille (et, indépendamment, par certains sur les rézosocios), auteurs qui notent, dans le rapport technique, « The gethostbyname*() functions are obsolete; with the advent of IPv6, recent applications use getaddrinfo() instead. ». En effet, en 2015, on n'imagine pas qu'il puisse exister des programmes qui se limitent volontairement à IPv4, en utilisant ces vieilles API.
Car ce n'est pas qu'une matière d'esthétique : les fonctions officiellement remplacées par des meilleures ne sont pas forcément aussi bien maintenues, et on peut penser que les failles n'y sont pas aussi vite repérées et corrigées. Les programmes utilisant les anciennes API ont donc plus de chance d'avoir des failles de sécurité comme Ghost.
Au fait, que faut-il utiliser depuis plus de quinze ans ? getaddrinfo, introduit à l'origine dans le RFC 2133 et actuellement normalisé dans le RFC 3493. (Vous trouverez mes exemples personnels dans mon article sur les structures de données réseau en C.) gethostbyname avait été marqué obsolescent dans POSIX en 2001 et supprimé complètement en 2008...
Aujourd'hui, si on cherche les « parts de marché » respectives de gethostbyname et getaddrinfo, on trouvera probablement qu'un grand nombre de programmes utilise toujours l'ancienne API. Ignorance, lecture de vieux HOWTO dépassés, cours jamais mis à jour...
Également à lire, sur Ghost :
Un très bon exposé de Bert Hubert parlant entre autres de la qualité du code DNS de la GNU libc et des nombreuses bogues qui s'y cachent, http://ds9a.nl/har-presentation-bert-hubert-3.pdf
Un article de Robert Graham qui dit la même chose que moi, http://blog.erratasec.com/2015/01/you-shouldnt-be-using-gethostbyname.html
Une excellente analyse technique de Ghost. http://lcamtuf.blogspot.fr/2015/01/technical-analysis-of-qualys-ghost.html
Sub-allocation of a legacy “class A” network (a /8, in modern parlance). Apparently, DuPont sold a part of its IPv4 to Amazon || https://www.arin.net/policy/nrpm.html#eight3 Section 8.4 even describes inter-RIR
Rezopole vous présente la carte des LIR (Local Internet Registry) en France. Les LIR sont des structures membres du RIPE qui sont responsables de la distribution et de l'enregistrement des adresses IPv4, IPv6 et des numéros d'AS au niveau local. Il y a 642 LIR en France dont 59 dans la Région Rhône-Alpes.
Les numéros d'AS et les adresses IPv4, v6, sont indispensables pour se connecter à un IXP et peerer.
Vous pouvez, en cliquant sur les points de la cartes, voir les adresses des LIR français.
Vidéo de la conférence « Intranet IPv4 ou Internet IPv6 : Qui sauvera Internet ? » de LDN (RMLL 2014)
IPv4 address exhaustion just got more real! In an announcement on Tuesday, the Internet Corporation for Assigned Names and Numbers (ICANN) indicated that they are starting the process of allocating the final available blocks of IPv4 addresses out to the Regional Internet Registries (RIRs) from the IANA recovered address pool. (ICANN is the operator of IANA.)
This is a piece of software that lets you tunnel IPv4 data through a DNS
server. This can be usable in different situations where internet access is
firewalled, but DNS queries are allowed.
La sécurité d'IPv6 a déjà fait couler beaucoup d'encre. Ce RFC se focalise sur un aspect particulier : la sécurité des techniques de transition/coexistence entre IPv4 et IPv6. En effet, l'incroyable retard que mettent beaucoup de FAI à déployer IPv6 fait que, bien, souvent, pour accéder à IPv6, on doit utiliser des techniques plus ou moins propres, qui étaient appelées autrefois, avec optimisme, « techniques de transition » et qu'on nomme souvent aujourd'hui « techniques de coexistence ». Ces techniques, en général conçues pour être un bouche-trou temporaire, n'ont pas forcément une architecture bien propre, et apportent souvent leurs problèmes de sécurité spécifiques.
Recently on Cryptome (the better leaks than wikileaks site), a paper appeared pointing out that BT (British Telecom) assigns all their modems an extra address in the 30.x.x.x address space, and then attaches SSH and SNMP to that address. This looks like what many ISPs do, assigning a second IP address for management, except for one thing: the 30.0.0.0/8 block is assigned to the United States Department of Defense. This has caused a fevered round of speculation that this is actually a secret backdoor for the NSA/GCHQ, so that they can secretly monitor and control people's home networks.
Il existe d'innombrables techniques pour faire coexister IPv4 et IPv6 sur l'Internet. Tellement qu'on s'y perd facilement. Ce nouveau RFC se concentre sur une catégorie particulière, les tunnels « IPv6 sur IPv4 » et fait la liste de tous les mécanismes de cette catégorie (des plus répandus aux plus exotiques), avec leurs forces et leurs faiblesses.
Ces tunnels sont dictés par la nécessité. La bonne méthode pour se connecter en IPv6 est clairement d'utiliser une connexion native. Mais on n'a pas toujours le choix. Aujourd'hui, depuis de nombreuses années, et sans doute encore pour un certain temps, il existe de nombreuses îles IPv6, séparées les unes des autres par des réseaux purement IPv4. Par exemple, vous avez loué une machine virtuelle chez un fournisseur qui est resté à l'ancien protocole (comme Numergy) mais vous voulez accéder à l'Internet IPv6. Ou bien vous avez déployé IPv6 sur votre campus mais votre opérateur réseau n'est toujours pas capable de fournir de l'IPv6 ce qui vous désespère. Dans ces deux cas, et dans plusieurs autres, vous serez sans doute obligé d'utiliser un tunnel. Un tunnel fonctionne en encapsulant les paquets d'un protocole dans ceux d'un autre protocole. Ainsi, pour transporter de l'IPv6 sur l'IPv4, le routeur d'entrée de tunnel met le paquet IPv6 à l'intérieur d'un paquet IPv4, celui-ci voyage ensuite par les mécanismes IPv4 habituels, sur un réseau qui ne connait qu'IPv4 et, à l'arrivée sur le routeur de sortie de tunnel, le paquet IPv6 est décapsulé (extrait du paquet IPv4) puis continue son chemin dans le réseau IPv6.
La transition d'IPv4 à IPv6 est pour les grands pays industrialisés un chantier complexe, donc long. Pour d'autres pays, moins équipés, cela pourrait être plus rapide. Exemple avec la Côte d'Ivoire.
7 October 2013
Uruguay – Les dirigeants des organisations responsables de la coordination de l'infrastructure technique de l'Internet au niveau mondial se sont réunis à Montevideo, en Uruguay, afin d'examiner les questions cruciales d'actualité touchant à l'avenir de l'Internet.
L'Internet et le World Wide Web ont contribué de façon significative au développement social et économique dans le monde entier. Tous deux ont été conçus et sont régis dans l'intérêt public autour de mécanismes uniques de coopération multipartite mondiale de l'Internet intrinsèque à leur succès.
Les dirigeants ont discuté de la nécessité évidente de renforcer continuellement ces mécanismes et de les faire évoluer de manière vraiment conséquente, pour être en mesure de résoudre les problèmes émergents auxquels font face les acteurs de l'Internet.
En ce sens:
Ils ont souligné l'importance d'une gestion cohérente de l'Internet au niveau mondial et mis en garde contre la fragmentation de l'Internet au niveau national. Ils ont exprimé leur vive préoccupation face à l'érosion de la confiance des internautes au niveau mondial suite aux récentes révélations de contrôle et de surveillance omniprésente.
Ils ont identifié la nécessité d'efforts continus pour relever les défis de la gouvernance de l'Internet, et ont convenu de catalyser les efforts à l'échelle de la communauté globale en vue de l'évolution de la coopération multipartite de l'Internet mondial.
Ils ont appelé à l'accélération de la mondialisation des fonctions de l'IANA et de l'ICANN vers un environnement dans lequel toutes les parties prenantes, y compris tous les gouvernements, participent sur un pied d'égalité.
Ils ont également appelé à la transition vers IPv6 qui doit rester une priorité au niveau mondial. En particulier les fournisseurs de contenus Internet doivent servir le contenu des services sur IPv4 et IPv6, afin d'être pleinement accessible sur l'Internet mondial.
TCP/IP
TCP/IP Networking
by Prof. Jean-Yves Le Boudec
In this course you will learn and understand the main ideas that underlie and the way networks are built and run. You will be able to apply the concepts to the smart grid. In the labs you will exercise practical configurations. You will be able to
Test and clarify your understanding of the networking concepts by connecting computers to form a LAN, interconnected by routers and interconnected autonomous routing domains.
test the effect on performance of your TCP implementation and of traffic control settings
develop and test various communicating programs using sockets
be familiar with IPv6 as well as IPv4 and the interworking between them
run GNS3 in your computer and deploy real networks in an emulated environment
This is a piece of software that lets you tunnel IPv4 data through a DNS
server. This can be usable in different situations where internet access is
firewalled, but DNS queries are allowed.
La pénurie des adresses Internet se rapproche et les opérateurs télécoms doivent passer de l'Internet actuel, IPv4, vers une nouvelle version à la réserve d'adresses presque illimitée, IPv6. Un an après l'épuisement des réserves publiques européennes, le nouveau protocole reste une chimère. Pour parer à la croissance du nombre d'internautes et de leurs appareils – notamment les smartphones et tablettes – les fournisseurs d'accès doivent jouer d'astuce, alors que de nombreux sites et contenus n'ont pas encore amorcé leur évolution vers ce nouveau protocole, n'y voyant pas d'intérêt financier.
Avec ses trois blocs (1 000, 2 000 et 4 000 IP), Absolight a encore de quoi s'assurer un court avenir tranquille. Toutefois, Bruno Spiquel ne cache pas son envie d'investir "pour innover et aider le milieu associatif". A l'inverse de Bisetti le résigné, Spiquel l'utopiste pense que la situation peut évoluer : "La prise de conscience collective peut faire changer les choses. Si les gens comprennent ce que font les gros sur le marché, ils seront tentés d'aller voir des plus petits opérateurs qui garantiront un certain service."
Dans l'environnement tetaneutral.net un adhérent a le choix d'utiliser plusieurs IPv4 publiques et un bridge avec son interface pour virtualiser mais ceci consomme plusieurs IPv4 publiques.
ZMap is an open-source network scanner that enables researchers to easily perform Internet-wide network studies. With a single machine and a well provisioned network uplink, ZMap is capable of performing a complete scan of the IPv4 address space in under 45 minutes, approaching the theoretical limit of gigabit Ethernet.
ZMap can be used to study protocol adoption over time, monitor service availability, and help us better understand large systems distributed across the Internet.
https://zmap.io/paper.html
https://zmap.io/paper.pdf
https://zmap.io/zmap-talk-sec13.pdf