IP privee et "securite"

Le
mpg
Bonjour,

En discutant aujourd'hui avec un ami de l'organisation d'un réseau dont nous
sommes tous deux utilisateurs (c'est bien de discuter de trucs qu'on
comprend pas), est venu sur le tapis le fait que tous les postes du réseaux
(y compris des clients n'ayant a priori pas besoin d'être joignables depuis
l'internet) disposaient d'une IP publique. L'ami en question dit alors que
ça lui paraît bizarre niveau sécurité que les postes en question n'aient
pas un adresse privée.

D'après ce que j'ai compris de quelques messages lus en ces lieux, il ne
faut en aucun cas considérer le fait d'avoir une IP privée comme une
sécurité. Pour le petit scarabée que je suis, pouvez-vous m'expliquer
pourquoi ?

Je vois a priori deux arguments qui prouvent qu'une IP privée n'est pas une
bonne sécurité :
- c'est une sécurité concentrée en un point, et qui disparait aussitôt que
l'attaquant a ne serait-ce qu'un doigt de pied dans la place ;
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer
qu'avec les machines du réseau, on peut le faire avec des règles de
pare-feu qui vont bien.

Ces arguments sont-ils censés ? Y a-t-il d'autres raisons contre l'idée
qu'un IP privée est une sécurité ? Ne peut-on pas quand même considérer que
c'est un (petit) facteur de sécurité dans le sens ça complique quand même
la tâche de l'attaquant, au moins au début ?

Merci d'avance pour vos éclaircissements.

Manuel.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #876974
On 01 Oct 2007 19:26:32 GMT, mpg
[...]


Un routeur NAT est un firewall de fait, puisqu'il bloque toute
connexion entrante (sauf règle explicite).

Il est possible que le routeur (non NAT) entre Internet et ta machine
bloque également les connexions entrantes. Si ce n'est pas le cas, le
système est effectivement moins sécurisé, car il y a une barrière en
moins.

Le fait qu'une machine soit directement joignable depuis Internet est
en soi une faiblesse de la sécurité. Faiblesse acceptable pour un
serveur qui doit réellement être joignable (puisqu'on ne peut guère
faire autrement), mais douteuse pour une station de travail.

Tu peux éventuellement faire l'expérience : de chez toi, regarde si
ton PC de bureau est joignable (port ouvert, ou même ping).

mpg
Le #876972
Le (on) lundi 01 octobre 2007 21:50, Fabien LE LEZ a écrit (wrote) :

On 01 Oct 2007 19:26:32 GMT, mpg
[...]


Un routeur NAT est un firewall de fait, puisqu'il bloque toute
connexion entrante (sauf règle explicite).

C'est tout à fait ce qu'il m'avait semblé, et c'est pourquoi il paraît

tentant de dire qu'une IP privée (donc un réseau derrière un routeur NAT)
est une forme de protection.

Le fait qu'une machine soit directement joignable depuis Internet est
en soi une faiblesse de la sécurité. Faiblesse acceptable pour un
serveur qui doit réellement être joignable (puisqu'on ne peut guère
faire autrement), mais douteuse pour une station de travail.

Tu peux éventuellement faire l'expérience : de chez toi, regarde si
ton PC de bureau est joignable (port ouvert, ou même ping).


A priori les deux postes de travail dont je connais l'IP ne semblent pas
répondre au ping depuis chez moi, mais répondent au ping depuis un des
serveurs du réseau.

En fait, il me semble logique qu'une machine autre qu'un serveur ne soit pas
joignable depuis le reste du monde. Le point qu'on discutait avec un ami,
et sur lequel je n'ai pas les idées claires, c'est si c'est mieux pour une
telle machine d'avoir une IP privée (d'être derrière un routeur NAT) ou pas
(ou si c'est indifférent).

Manuel.


Xavier Roche
Le #876970
mpg wrote:
D'après ce que j'ai compris de quelques messages lus en ces lieux, il ne
faut en aucun cas considérer le fait d'avoir une IP privée comme une
sécurité. Pour le petit scarabée que je suis, pouvez-vous m'expliquer
pourquoi ?


C'est à moitié vrai. Le NAT permet d'éviter les connexions entrantes
directes, et donc limite l'impact d'un service vulnérable (mal protégé,
sujet à un bug de sécurité etc.)

Mais d'un autre côté ce n'est pas l'objet du NAT à proprement parler
(c'est un effect de bord assez emmerdant, en fait, dès que l'on veut
faire des trucs du genre ftp ou voip), et un firewall fait aussi très
bien l'affaire.

Enfin, la plupart des attaques sont aujourd'hui concentrées sur quelque
chose de plus sûr que les failles des programmeurs: la connerie des
utilisateurs, qui n'hésitent pas a executer des trucs venant de
l'exterieur pour un oui ou pour un non.

Mihamina Rakotomandimby
Le #882437
Fabien LE LEZ wrote:

Tu peux éventuellement faire l'expérience : de chez toi, regarde si
ton PC de bureau est joignable (port ouvert, ou même ping).


Avec quelle adresse IP?
- celle privée, pas logique.
- celle publique, le modem du "bureau" répondra au ping.

Ou bien j'ai tout faux?

Nina Popravka
Le #882436
On 01 Oct 2007 21:22:06 GMT, mpg
En fait, il me semble logique qu'une machine autre qu'un serveur ne soit pas
joignable depuis le reste du monde.


Si elle est configurée avec les pieds, oui, et c'est en ça que le NAT
est, dans les faits, une protection.
Sinon en s'en fout grave...
--
Nina

mpg
Le #880227
Le (on) mardi 02 octobre 2007 14:26, Mihamina Rakotomandimby a écrit
(wrote) :

Fabien LE LEZ wrote:

Tu peux éventuellement faire l'expérience : de chez toi, regarde si
ton PC de bureau est joignable (port ouvert, ou même ping).


Avec quelle adresse IP?
- celle privée, pas logique.
- celle publique, le modem du "bureau" répondra au ping.

Ou bien j'ai tout faux?


Euh, comment dire. Toute la discussion est partie du fait que mon poste de
travail au bureau a une IP publique... :)

Manuel.


Aurelien
Le #880225
Bonjour,

- c'est une sécurité concentrée en un point, et qui disparait aussitôt que
l'attaquant a ne serait-ce qu'un doigt de pied dans la place ;


Forcément si l'attaquant vient de l'intérieur, le fait d'avoir des IPs
publiques ou privées n'y changera absolument rien ...

- de toute façon ça sert à rien, si on veut être sûr de ne communiquer
qu'avec les machines du réseau, on peut le faire avec des règles de
pare-feu qui vont bien.


Tout à fait. Par exemple, la pluspart des universités françaises ont
héritées de blocs d'adresses IP publiques, ce n'est pas pour autant que
tu peux joindre les machines directement (le firewall entre le LAN et
internet est la pour ça).

Aurélien

Pascal Hambourg
Le #880224
Salut,


Un routeur NAT est un firewall de fait, puisqu'il bloque toute
connexion entrante (sauf règle explicite).


Non, pas forcément. NAT n'implique pas filtrage. Il y a des NAT qui par
défaut ne font aucun filtrage, ou dont le filtrage est indépendant de la
fonction NAT.

L'utilisation d'adresses privées derrière un routeur apporte une
certaine protection dans la mesure où ces adresses ne sont /normalement/
pas routées sur l'internet public. Mais cela revient à faire reposer sa
sécurité sur quelqu'un d'autre. Même si en pratique ça marche, je trouve
que le principe n'est pas très satisfaisant.

Un dernier mot : l'OP a écrit "des clients n'ayant a priori pas besoin
d'être joignables depuis l'internet". Or s'ils sont clients de serveurs
extérieurs, ils ont besoin de recevoir les réponses, et donc d'être
joignables depuis l'internet d'une façon ou d'une autre. Sans parler des
protocoles dans lequels même un client doit recevoir des connexions, où
le fait d'avoir une adresse privée peut compliquer grandement les choses.

mpg
Le #880222
Le (on) mercredi 03 octobre 2007 11:54, Aurelien a écrit (wrote) :
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer
qu'avec les machines du réseau, on peut le faire avec des règles de
pare-feu qui vont bien.


Tout à fait. Par exemple, la pluspart des universités françaises ont
héritées de blocs d'adresses IP publiques, ce n'est pas pour autant que
tu peux joindre les machines directement (le firewall entre le LAN et
internet est la pour ça).

Les machines dont je parlais sont justement des postes de travail sur un

réseau universitaire. Et après vérification, elles ne sont effectivement
pas joignables depuis l'extérieur. Dans un sens (qui n'a plus rien à voir
avec la sécurité) ça fait bizarre de voir autant d'IP
publiques "gaspillées"...

Manuel.


Aurelien
Le #880221
Les machines dont je parlais sont justement des postes de travail sur un
réseau universitaire. Et après vérification, elles ne sont effectivement
pas joignables depuis l'extérieur. Dans un sens (qui n'a plus rien à voir
avec la sécurité) ça fait bizarre de voir autant d'IP
publiques "gaspillées"...


Certaines universitées ont obtenues des blocs de classe B, ne pas les
utiliser serait réellement gacher :-)

Cela dit parler d'ips publiques gaspillées n'est pas tout à fait exact.
Dans l'absolu toute machine pourrait (devrait ?) avoir une adresse IP
publique, si ce n'est pas le cas c'est qu'il n'y en a pas assez pour
tout le monde et c'est plus du à une faiblesse de l'ipv4 qu'a un réel
gaspillage dans le cas présent.

Aurélien

Publicité
Poster une réponse
Anonyme