Cette section pr´esente diff´erents m´ecanismes de g´en´eration d’adresses IPv6. Ceux-ci sont class´es en deux cat´egories : les m´ecanismes dits “`a ´etat” et les m´ecanismes “sans ´etat” (comme l’Autoconfiguration d’Adresse Sans ´Etat que nous avons d´ej`a pr´esent´ee). Les m´ecanismes “`a ´etat”, pour leur part, n´ecessitent la pr´esence d’une entit´e persistante sur le r´eseau, un serveur.
8.2.1 DHCPv6 (RFC 3315)
Le Dynamic Host Configuration Protocol for IPv6 (DHCPv6), d´efini dans le do- cument [DBV+03], est un m´ecanisme de g´en´eration d’adresses `a ´etat. Il repose sur
l’utilisation d’un serveur pour diffuser des param`etres de configuration aux nœuds IPv6. Ces param`etres de configuration sont plus pouss´es que ceux propos´es par le m´ecanisme d’Autoconfiguration d’Adresse Sans ´Etat. Ainsi, il est possible de configu- rer, entre autres, des options de d´emarrage PXE, d’apprentissage du fuseau horaire
ou encore de mise `a jour dynamique de l’entr´ee DNS du nœud. Bien que le serveur
DHCPv6 puisse lui mˆeme attribuer les adresses, il peut ´egalement laisser les nœuds utiliser l’Autoconfiguration d’Adresse Sans ´Etat [TNJ07]. Cependant, dans le premier cas, le serveur peut m´emoriser les adresses attribu´ees afin de pouvoir les r´e-assigner aux nœuds au fil de leur multiples reconnexions.
L’int´erˆet majeur de DHCPv6 est la centralisation de l’information dans le serveur qui offre au protocole un contrˆole pr´ecis sur chaque nœud. De plus, et c’est l`a une impor-
8.2 M´ecanismes de g´en´eration d’adresses existants
tante diff´erence avec le m´ecanisme d’Autoconfiguration d’Adresse Sans ´Etat, chaque
nœud peut ˆetre param´etr´e avec des ´el´ements de configuration diff´erents.
8.2.2 L’Autoconfiguration d’Adresse Sans ´Etat (RFC 4862)
L’Autoconfiguration d’Adresse Sans ´Etat [TNJ07], pr´esent´ee dans la Section2.2, est le m´ecanisme de g´en´eration d’adresses par d´efaut en IPv6.
R´ecemment, de nouvelles options, comme l’option de configuration DNS dans les
messages Router Advertisement [JPBM07], ont remis en cause le d´eploiement du pro-
tocole DHCPv6.
L’Autoconfiguration d’Adresse Sans ´Etat, en tant qu’extension du protocole de
D´ecouverte de Voisins, fournit un m´ecanisme qui permet `a un nœud de cr´eer une
adresse topologiquement valide `a partir d’un pr´efixe sous-r´eseau et de son adresse
couche liaison. La partie pr´efixe sous-r´eseau est apprise dans les messages Router Ad- vertisement tandis que l’identifiant d’interface est d´eriv´ee `a partir de l’adresse couche liaison. Toutefois, ce dernier point pose des probl`emes de tra¸cabilit´e (et d’associabilit´e). En effet, puisque l’adresse couche liaison (c.-`a-d. une adresse MAC) reste g´en´eralement stable `a travers le temps, la partie identifiant d’interface de l’adresse demeure iden- tique, et cela quelque soit le pr´efixe sous-r´eseau annonc´e. Cela pose un probl`eme pour un nœud qui se d´eplace sur l’Internet (par ex. utilisation nomade) car son identifiant d’interface permet de le suivre dans ses d´eplacements.
8.2.3 Extensions pour le respect de la vie priv´ee dans
l’Autoconfiguration d’Adresse Sans ´Etat (RFC 4941)
Pour r´esoudre le probl`eme d’associabilit´e de l’Autoconfiguration d’Adresse Sans ´
Etat, le document Privacy Extensions for Stateless Address Autoconfiguration in IPv6, d´ecrit dans la RFC 4941 [NDK07], propose une approche int´eressante. Celle-ci consiste `a g´en´erer des adresses IPv6 dites temporaires o`u la partie identifiant d’interface est al´eatoire et o`u les adresses sont marqu´ees comme priv´ees. La g´en´eration al´eatoire d’adresse peut ˆetre bas´ee sur le processus de g´en´eration d’adresses des CGA [Aur05]. Ces adresses sont choisies par l’application pour les connexions sortantes quand la pro- tection de la vie priv´ee (privacy) est n´ecessaire, alors que les adresses non-temporaires sont utilis´ees pour les connexions entrantes et sont connues de tous (par ex. enre- gistr´ees dans une entr´ee DNS). Une adresse temporaire, comme son nom l’indique, a une dur´ee de vie limit´ee, et passe `a l’´etat “d´epr´eci´ee” (illustr´e Figure2.1) apr`es une certaine dur´ee. Une nouvelle adresse temporaire est alors cr´e´ee pour remplacer l’an- cienne. Le d´elai entre le passage de l’adresse de l’´etat “d´epr´eci´ee” `a l’´etat “invalide” permet aux connexions ´etablies `a partir de cette adresse de finir correctement, afin de
ne pas interrompre une session TCP [Pos81] ou UDP [Pos80].
Il est `a noter que de multiples connexions peuvent ˆetre ´etablies avec une mˆeme adresse temporaire, ce qui permet d’´etablir une association entre les connexions et le nœud et pose donc toujours le probl`eme d’associabilit´e `a un degr´e moindre.
8 M´ecanismes de g´en´eration d’adresses IPv6 pour am´eliorer l’anonymat des nœuds
L’adresse ne doit pas encore ˆetre utilis´ee
L’adresse est prot´eg´ee
L’adresse est utilisable
L’adresse ne doit plus ˆetre utilis´ee P´eriode de “pr´ef´erence” du pr´efixe ´ecoul´ee
P´eriode de validit´e du pr´efixe ´ecoul´ee Succ`es de la proc´edure DAD
Une nouvelle adresse est n´ecessaire Provisoire
Pr´ef´er´ee Incertain
Invalide D´epr´eci´ee
Figure8.1: Cycle de vie d’une adresse IPv6 (avec l’ajout du nouvel ´etat “incertain”)
8.2.4 Adresse IPv6 ´Eph´em`eres
Les adresses IPv6 ´eph´em`eres[KAM09b] offrent une approche alternative (bien que
non finalis´ee) aux adresses temporaires [NDK07] et proposent de g´en´erer une nouvelle
adresse par connexion sortante. Tout comme dans la Section 8.2.3, cette adresse est
g´en´er´ee de mani`ere al´eatoire. N´eanmoins, la dur´ee de vie de cette adresse ´etant li´ee `a la dur´ee de vie d’une connexion sortante, il devient plus difficile de lier les diff´erentes connexions ensembles. Par ailleurs, une chaˆıne de hachage peut ˆetre utilis´ee `a la place d’une g´en´eration al´eatoire de l’adresse quand un pseudo-anonymat est requis. Ce qui
diff´erencie cette proposition du document RFC 4941 [NDK07] est l’encodage du port
source TCP/UDP de la connexion `a l’int´erieur de la partie identifiant d’interface de
l’adresse. Pour la partie pr´efixe sous-r´eseau, le document recommande la cr´eation d’un nouvel espace d’adresse r´eserv´e `a l’utilisation des adresses IPv6 ´eph´em`eres. Ce dernier point rend les adresses IPv6 ´eph´em`eres diff´erentiables des autres adresses.
D’un point de vue performance, la cr´eation de nouvelles connexions sortantes cr´ee une nouvelle adresse, ce qui implique le d´eclenchement de la proc´edure de D´etection d’Adresse Dupliqu´ee (DAD) qui va empˆecher l’utilisation de l’adresse, et donc ralentir l’´etablissement de la connexion, jusqu’`a ce que l’unicit´e de l’adresse ait pu ˆetre v´erifi´ee. Afin d’annuler le ralentissement caus´e par la proc´edure de DAD, le document com-
pagnon [KAM09a] propose d’ajouter aux adresses un nouvel ´etat nomm´e “incertain”,
illustr´e Figure8.1, situ´e entre les ´etats “provisoire” (quand la proc´edure de DAD n’est pas achev´ee) et “pr´ef´er´ee” (quand la proc´edure de DAD est termin´ee et que l’adresse est
8.3 CGA ´Eph`em`eres