Guide technique · Réseau
Politique de filtrage réseau : ne pas oublier IPv6
Auditer et aligner les politiques IPv4 et IPv6 : inventaire, pare-feu, ICMPv6, tunnels, exposition, journaux et tests de non-régression.
Un réseau peut transporter IPv6 alors que l’équipe pense n’utiliser qu’IPv4. Les systèmes modernes configurent des adresses locales, découvrent des voisins et peuvent préférer IPv6 lorsqu’une route existe. Si les contrôles ne couvrent qu’IPv4, une exposition ou un chemin non surveillé peut apparaître.
L’objectif n’est ni d’activer partout, ni de désactiver partout. Il faut décider, documenter et tester. IPv6 possède ses propres mécanismes ; recopier mécaniquement une règle IPv4 ne suffit pas, notamment pour ICMPv6, la découverte de voisins et la fragmentation.
Repère pratique
Inventorier les interfaces, adresses et routes
Observe les postes, serveurs, hyperviseurs, équipements réseau, VPN et services cloud. Relève les adresses globales, locales au lien, routes par défaut et serveurs DNS. Inclue les interfaces virtuelles créées par les conteneurs et outils de télémaintenance.
Compare l’inventaire avec les journaux de pare-feu et les résultats DNS AAAA. Un service peut devenir accessible en IPv6 sans que la règle NAT IPv4 qui limitait l’exposition ne s’applique. Le NAT ne doit de toute façon pas être traité comme une politique de sécurité.
Repère pratique
Décider où IPv6 est autorisé
Écris une décision par zone : supporté et filtré, temporairement non routé, ou interdit avec contrôle des mécanismes de transition. Une interdiction doit être vérifiable. Désactiver le protocole sur quelques postes sans traiter routeurs, tunnels et équipements invités laisse une zone grise.
Si IPv6 est utilisé, attribue les préfixes, responsabilités, règles d’adressage et moyens de journalisation. Si une application ne le supporte pas, enregistre la dette et un plan plutôt que de créer une exception permanente non documentée.
Repère pratique
Respecter le rôle d’ICMPv6
ICMPv6 participe à la découverte de voisins, aux erreurs et à la découverte de la MTU. Le bloquer entièrement peut provoquer des pannes difficiles à diagnostiquer et des connexions qui fonctionnent seulement pour certaines tailles. Filtre par types et zones selon l’architecture, au lieu d’une règle globale aveugle.
Surveille les annonces de routeur inattendues et protège les ports d’accès avec les fonctions adaptées au matériel. Les adresses locales au lien ne sont pas une preuve de confiance : elles permettent la communication sur le segment.
Repère pratique
Aligner les règles et les objets
Chaque service publié doit avoir une décision équivalente sur les deux piles. Utilise des objets et groupes clairement nommés, avec propriétaire et justification. Vérifie les règles de sortie, souvent moins documentées, ainsi que les accès d’administration.
Les outils de sécurité, proxys, EDR, IDS et scanners doivent voir IPv6. Un journal qui omet cette pile peut donner un faux sentiment d’absence de trafic. Teste les alertes avec une connexion autorisée et une connexion refusée.
Repère pratique
Traiter les tunnels et mécanismes de transition
Les tunnels peuvent encapsuler IPv6 dans un trafic IPv4 et contourner une visibilité mal configurée. Désactive les mécanismes non nécessaires et filtre-les aux frontières. Les VPN doivent préciser s’ils transportent, bloquent ou laissent fuir IPv6.
Teste un poste distant, un réseau invité et un appareil mobile. Une politique correcte au siège peut échouer lorsqu’un utilisateur passe par un autre accès. Les clients dual stack doivent être testés avec des DNS et routes réalistes.
Repère pratique
Exécuter une recette de sécurité reproductible
Depuis une source externe autorisée, compare les ports exposés en A et AAAA. Depuis chaque zone interne, vérifie les services permis, la résolution, les chemins d’administration et les refus attendus. Capture les règles et résultats avec date.
Ajoute ces tests aux changements réseau. Une migration de fournisseur, un nouveau préfixe ou une activation cloud peut modifier les routes. La recette doit signaler une exposition nouvelle avant la mise en production.
- Inventaire dual stack à jour
- Règles entrantes et sortantes alignées
- ICMPv6 filtré sans blocage global
- Tunnels non requis désactivés
- VPN testé contre les fuites
- Scans internes et externes comparés
Repère pratique
Lire les journaux IPv6 sans perdre le contexte
Normalise l’écriture des adresses et conserve le préfixe, l’interface, la zone et la direction du flux. Une adresse temporaire peut changer alors que l’appareil reste le même ; rapproche les événements avec l’identité, le bail, le port et l’inventaire. Évite les règles de détection qui supposent qu’une adresse seule identifie durablement un poste.
Vérifie que les outils de recherche acceptent les deux-points, les formes abrégées et les préfixes. Les tableaux de bord doivent séparer absence de trafic et absence de collecte. Pour chaque équipement frontal, produis un événement IPv6 autorisé et un refus contrôlé, puis suis leur parcours jusqu’au système d’alerte.
Lors d’un incident, ne filtre pas les recherches sur IPv4 par habitude. Examine DNS, proxy, pare-feu, VPN et hôte sur la même fenêtre horaire. Une session peut tenter IPv6 puis se rabattre sur IPv4, ce qui crée deux traces pour une seule action utilisateur.
Questions d’exploitation
Questions fréquentes
Faut-il désactiver IPv6 si on ne l’utilise pas ?
Il faut une décision documentée et testée. Une désactivation partielle peut être moins sûre qu’un support correctement filtré. Vérifie les dépendances du système et les mécanismes de transition.
Pourquoi ne pas bloquer tout ICMPv6 ?
Parce qu’ICMPv6 assure plusieurs fonctions nécessaires au protocole, dont la découverte de voisins et la gestion de la MTU. Un blocage total peut casser les communications.
Le pare-feu IPv4 filtre-t-il aussi IPv6 ?
Pas nécessairement. Les piles, tables ou objets peuvent être distincts. Il faut vérifier la configuration et tester les deux familles.
Vérification
Sources et documentation
Ces références permettent de vérifier les recommandations, les valeurs par défaut et le support des outils. Contrôlez toujours la version qui correspond à votre environnement.