IP privee et "securite"
Le
mpg
Bonjour,
En discutant aujourd'hui avec un ami de l'organisation d'un réseau dont nous
sommes tous deux utilisateurs (c'est bien de discuter de trucs qu'on
comprend pas), est venu sur le tapis le fait que tous les postes du réseaux
(y compris des clients n'ayant a priori pas besoin d'être joignables depuis
l'internet) disposaient d'une IP publique. L'ami en question dit alors que
ça lui paraît bizarre niveau sécurité que les postes en question n'aient
pas un adresse privée.
D'après ce que j'ai compris de quelques messages lus en ces lieux, il ne
faut en aucun cas considérer le fait d'avoir une IP privée comme une
sécurité. Pour le petit scarabée que je suis, pouvez-vous m'expliquer
pourquoi ?
Je vois a priori deux arguments qui prouvent qu'une IP privée n'est pas une
bonne sécurité :
- c'est une sécurité concentrée en un point, et qui disparait aussitôt que
l'attaquant a ne serait-ce qu'un doigt de pied dans la place ;
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer
qu'avec les machines du réseau, on peut le faire avec des règles de
pare-feu qui vont bien.
Ces arguments sont-ils censés ? Y a-t-il d'autres raisons contre l'idée
qu'un IP privée est une sécurité ? Ne peut-on pas quand même considérer que
c'est un (petit) facteur de sécurité dans le sens ça complique quand même
la tâche de l'attaquant, au moins au début ?
Merci d'avance pour vos éclaircissements.
Manuel.
En discutant aujourd'hui avec un ami de l'organisation d'un réseau dont nous
sommes tous deux utilisateurs (c'est bien de discuter de trucs qu'on
comprend pas), est venu sur le tapis le fait que tous les postes du réseaux
(y compris des clients n'ayant a priori pas besoin d'être joignables depuis
l'internet) disposaient d'une IP publique. L'ami en question dit alors que
ça lui paraît bizarre niveau sécurité que les postes en question n'aient
pas un adresse privée.
D'après ce que j'ai compris de quelques messages lus en ces lieux, il ne
faut en aucun cas considérer le fait d'avoir une IP privée comme une
sécurité. Pour le petit scarabée que je suis, pouvez-vous m'expliquer
pourquoi ?
Je vois a priori deux arguments qui prouvent qu'une IP privée n'est pas une
bonne sécurité :
- c'est une sécurité concentrée en un point, et qui disparait aussitôt que
l'attaquant a ne serait-ce qu'un doigt de pied dans la place ;
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer
qu'avec les machines du réseau, on peut le faire avec des règles de
pare-feu qui vont bien.
Ces arguments sont-ils censés ? Y a-t-il d'autres raisons contre l'idée
qu'un IP privée est une sécurité ? Ne peut-on pas quand même considérer que
c'est un (petit) facteur de sécurité dans le sens ça complique quand même
la tâche de l'attaquant, au moins au début ?
Merci d'avance pour vos éclaircissements.
Manuel.
Poser une question
Un routeur NAT est un firewall de fait, puisqu'il bloque toute
connexion entrante (sauf règle explicite).
Il est possible que le routeur (non NAT) entre Internet et ta machine
bloque également les connexions entrantes. Si ce n'est pas le cas, le
système est effectivement moins sécurisé, car il y a une barrière en
moins.
Le fait qu'une machine soit directement joignable depuis Internet est
en soi une faiblesse de la sécurité. Faiblesse acceptable pour un
serveur qui doit réellement être joignable (puisqu'on ne peut guère
faire autrement), mais douteuse pour une station de travail.
Tu peux éventuellement faire l'expérience : de chez toi, regarde si
ton PC de bureau est joignable (port ouvert, ou même ping).
tentant de dire qu'une IP privée (donc un réseau derrière un routeur NAT)
est une forme de protection.
A priori les deux postes de travail dont je connais l'IP ne semblent pas
répondre au ping depuis chez moi, mais répondent au ping depuis un des
serveurs du réseau.
En fait, il me semble logique qu'une machine autre qu'un serveur ne soit pas
joignable depuis le reste du monde. Le point qu'on discutait avec un ami,
et sur lequel je n'ai pas les idées claires, c'est si c'est mieux pour une
telle machine d'avoir une IP privée (d'être derrière un routeur NAT) ou pas
(ou si c'est indifférent).
Manuel.
C'est à moitié vrai. Le NAT permet d'éviter les connexions entrantes
directes, et donc limite l'impact d'un service vulnérable (mal protégé,
sujet à un bug de sécurité etc.)
Mais d'un autre côté ce n'est pas l'objet du NAT à proprement parler
(c'est un effect de bord assez emmerdant, en fait, dès que l'on veut
faire des trucs du genre ftp ou voip), et un firewall fait aussi très
bien l'affaire.
Enfin, la plupart des attaques sont aujourd'hui concentrées sur quelque
chose de plus sûr que les failles des programmeurs: la connerie des
utilisateurs, qui n'hésitent pas a executer des trucs venant de
l'exterieur pour un oui ou pour un non.
Avec quelle adresse IP?
- celle privée, pas logique.
- celle publique, le modem du "bureau" répondra au ping.
Ou bien j'ai tout faux?
Si elle est configurée avec les pieds, oui, et c'est en ça que le NAT
est, dans les faits, une protection.
Sinon en s'en fout grave...
--
Nina