En discutant aujourd'hui avec un ami de l'organisation d'un réseau dont nous
sommes tous deux utilisateurs (c'est bien de discuter de trucs qu'on
comprend pas), est venu sur le tapis le fait que tous les postes du réseaux
(y compris des clients n'ayant a priori pas besoin d'être joignables depuis
l'internet) disposaient d'une IP publique. L'ami en question dit alors que
ça lui paraît bizarre niveau sécurité que les postes en question n'aient
pas un adresse privée.
D'après ce que j'ai compris de quelques messages lus en ces lieux, il ne
faut en aucun cas considérer le fait d'avoir une IP privée comme une
sécurité. Pour le petit scarabée que je suis, pouvez-vous m'expliquer
pourquoi ?
Je vois a priori deux arguments qui prouvent qu'une IP privée n'est pas une
bonne sécurité :
- c'est une sécurité concentrée en un point, et qui disparait aussitôt que
l'attaquant a ne serait-ce qu'un doigt de pied dans la place ;
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer
qu'avec les machines du réseau, on peut le faire avec des règles de
pare-feu qui vont bien.
Ces arguments sont-ils censés ? Y a-t-il d'autres raisons contre l'idée
qu'un IP privée est une sécurité ? Ne peut-on pas quand même considérer que
c'est un (petit) facteur de sécurité dans le sens ça complique quand même
la tâche de l'attaquant, au moins au début ?
Un routeur NAT est un firewall de fait, puisqu'il bloque toute connexion entrante (sauf règle explicite).
Il est possible que le routeur (non NAT) entre Internet et ta machine bloque également les connexions entrantes. Si ce n'est pas le cas, le système est effectivement moins sécurisé, car il y a une barrière en moins.
Le fait qu'une machine soit directement joignable depuis Internet est en soi une faiblesse de la sécurité. Faiblesse acceptable pour un serveur qui doit réellement être joignable (puisqu'on ne peut guère faire autrement), mais douteuse pour une station de travail.
Tu peux éventuellement faire l'expérience : de chez toi, regarde si ton PC de bureau est joignable (port ouvert, ou même ping).
On 01 Oct 2007 19:26:32 GMT, mpg <manuel.pg@free.fr>:
[...]
Un routeur NAT est un firewall de fait, puisqu'il bloque toute
connexion entrante (sauf règle explicite).
Il est possible que le routeur (non NAT) entre Internet et ta machine
bloque également les connexions entrantes. Si ce n'est pas le cas, le
système est effectivement moins sécurisé, car il y a une barrière en
moins.
Le fait qu'une machine soit directement joignable depuis Internet est
en soi une faiblesse de la sécurité. Faiblesse acceptable pour un
serveur qui doit réellement être joignable (puisqu'on ne peut guère
faire autrement), mais douteuse pour une station de travail.
Tu peux éventuellement faire l'expérience : de chez toi, regarde si
ton PC de bureau est joignable (port ouvert, ou même ping).
Un routeur NAT est un firewall de fait, puisqu'il bloque toute connexion entrante (sauf règle explicite).
Il est possible que le routeur (non NAT) entre Internet et ta machine bloque également les connexions entrantes. Si ce n'est pas le cas, le système est effectivement moins sécurisé, car il y a une barrière en moins.
Le fait qu'une machine soit directement joignable depuis Internet est en soi une faiblesse de la sécurité. Faiblesse acceptable pour un serveur qui doit réellement être joignable (puisqu'on ne peut guère faire autrement), mais douteuse pour une station de travail.
Tu peux éventuellement faire l'expérience : de chez toi, regarde si ton PC de bureau est joignable (port ouvert, ou même ping).
mpg
Le (on) lundi 01 octobre 2007 21:50, Fabien LE LEZ a écrit (wrote) :
On 01 Oct 2007 19:26:32 GMT, mpg :
[...]
Un routeur NAT est un firewall de fait, puisqu'il bloque toute connexion entrante (sauf règle explicite).
C'est tout à fait ce qu'il m'avait semblé, et c'est pourquoi il paraît
tentant de dire qu'une IP privée (donc un réseau derrière un routeur NAT) est une forme de protection.
Le fait qu'une machine soit directement joignable depuis Internet est en soi une faiblesse de la sécurité. Faiblesse acceptable pour un serveur qui doit réellement être joignable (puisqu'on ne peut guère faire autrement), mais douteuse pour une station de travail.
Tu peux éventuellement faire l'expérience : de chez toi, regarde si ton PC de bureau est joignable (port ouvert, ou même ping).
A priori les deux postes de travail dont je connais l'IP ne semblent pas répondre au ping depuis chez moi, mais répondent au ping depuis un des serveurs du réseau.
En fait, il me semble logique qu'une machine autre qu'un serveur ne soit pas joignable depuis le reste du monde. Le point qu'on discutait avec un ami, et sur lequel je n'ai pas les idées claires, c'est si c'est mieux pour une telle machine d'avoir une IP privée (d'être derrière un routeur NAT) ou pas (ou si c'est indifférent).
Manuel.
Le (on) lundi 01 octobre 2007 21:50, Fabien LE LEZ a écrit (wrote) :
On 01 Oct 2007 19:26:32 GMT, mpg <manuel.pg@free.fr>:
[...]
Un routeur NAT est un firewall de fait, puisqu'il bloque toute
connexion entrante (sauf règle explicite).
C'est tout à fait ce qu'il m'avait semblé, et c'est pourquoi il paraît
tentant de dire qu'une IP privée (donc un réseau derrière un routeur NAT)
est une forme de protection.
Le fait qu'une machine soit directement joignable depuis Internet est
en soi une faiblesse de la sécurité. Faiblesse acceptable pour un
serveur qui doit réellement être joignable (puisqu'on ne peut guère
faire autrement), mais douteuse pour une station de travail.
Tu peux éventuellement faire l'expérience : de chez toi, regarde si
ton PC de bureau est joignable (port ouvert, ou même ping).
A priori les deux postes de travail dont je connais l'IP ne semblent pas
répondre au ping depuis chez moi, mais répondent au ping depuis un des
serveurs du réseau.
En fait, il me semble logique qu'une machine autre qu'un serveur ne soit pas
joignable depuis le reste du monde. Le point qu'on discutait avec un ami,
et sur lequel je n'ai pas les idées claires, c'est si c'est mieux pour une
telle machine d'avoir une IP privée (d'être derrière un routeur NAT) ou pas
(ou si c'est indifférent).
Le (on) lundi 01 octobre 2007 21:50, Fabien LE LEZ a écrit (wrote) :
On 01 Oct 2007 19:26:32 GMT, mpg :
[...]
Un routeur NAT est un firewall de fait, puisqu'il bloque toute connexion entrante (sauf règle explicite).
C'est tout à fait ce qu'il m'avait semblé, et c'est pourquoi il paraît
tentant de dire qu'une IP privée (donc un réseau derrière un routeur NAT) est une forme de protection.
Le fait qu'une machine soit directement joignable depuis Internet est en soi une faiblesse de la sécurité. Faiblesse acceptable pour un serveur qui doit réellement être joignable (puisqu'on ne peut guère faire autrement), mais douteuse pour une station de travail.
Tu peux éventuellement faire l'expérience : de chez toi, regarde si ton PC de bureau est joignable (port ouvert, ou même ping).
A priori les deux postes de travail dont je connais l'IP ne semblent pas répondre au ping depuis chez moi, mais répondent au ping depuis un des serveurs du réseau.
En fait, il me semble logique qu'une machine autre qu'un serveur ne soit pas joignable depuis le reste du monde. Le point qu'on discutait avec un ami, et sur lequel je n'ai pas les idées claires, c'est si c'est mieux pour une telle machine d'avoir une IP privée (d'être derrière un routeur NAT) ou pas (ou si c'est indifférent).
Manuel.
Xavier Roche
mpg wrote:
D'après ce que j'ai compris de quelques messages lus en ces lieux, il ne faut en aucun cas considérer le fait d'avoir une IP privée comme une sécurité. Pour le petit scarabée que je suis, pouvez-vous m'expliquer pourquoi ?
C'est à moitié vrai. Le NAT permet d'éviter les connexions entrantes directes, et donc limite l'impact d'un service vulnérable (mal protégé, sujet à un bug de sécurité etc.)
Mais d'un autre côté ce n'est pas l'objet du NAT à proprement parler (c'est un effect de bord assez emmerdant, en fait, dès que l'on veut faire des trucs du genre ftp ou voip), et un firewall fait aussi très bien l'affaire.
Enfin, la plupart des attaques sont aujourd'hui concentrées sur quelque chose de plus sûr que les failles des programmeurs: la connerie des utilisateurs, qui n'hésitent pas a executer des trucs venant de l'exterieur pour un oui ou pour un non.
mpg wrote:
D'après ce que j'ai compris de quelques messages lus en ces lieux, il ne
faut en aucun cas considérer le fait d'avoir une IP privée comme une
sécurité. Pour le petit scarabée que je suis, pouvez-vous m'expliquer
pourquoi ?
C'est à moitié vrai. Le NAT permet d'éviter les connexions entrantes
directes, et donc limite l'impact d'un service vulnérable (mal protégé,
sujet à un bug de sécurité etc.)
Mais d'un autre côté ce n'est pas l'objet du NAT à proprement parler
(c'est un effect de bord assez emmerdant, en fait, dès que l'on veut
faire des trucs du genre ftp ou voip), et un firewall fait aussi très
bien l'affaire.
Enfin, la plupart des attaques sont aujourd'hui concentrées sur quelque
chose de plus sûr que les failles des programmeurs: la connerie des
utilisateurs, qui n'hésitent pas a executer des trucs venant de
l'exterieur pour un oui ou pour un non.
D'après ce que j'ai compris de quelques messages lus en ces lieux, il ne faut en aucun cas considérer le fait d'avoir une IP privée comme une sécurité. Pour le petit scarabée que je suis, pouvez-vous m'expliquer pourquoi ?
C'est à moitié vrai. Le NAT permet d'éviter les connexions entrantes directes, et donc limite l'impact d'un service vulnérable (mal protégé, sujet à un bug de sécurité etc.)
Mais d'un autre côté ce n'est pas l'objet du NAT à proprement parler (c'est un effect de bord assez emmerdant, en fait, dès que l'on veut faire des trucs du genre ftp ou voip), et un firewall fait aussi très bien l'affaire.
Enfin, la plupart des attaques sont aujourd'hui concentrées sur quelque chose de plus sûr que les failles des programmeurs: la connerie des utilisateurs, qui n'hésitent pas a executer des trucs venant de l'exterieur pour un oui ou pour un non.
Mihamina Rakotomandimby
Fabien LE LEZ wrote:
Tu peux éventuellement faire l'expérience : de chez toi, regarde si ton PC de bureau est joignable (port ouvert, ou même ping).
Avec quelle adresse IP? - celle privée, pas logique. - celle publique, le modem du "bureau" répondra au ping.
Ou bien j'ai tout faux?
Fabien LE LEZ wrote:
Tu peux éventuellement faire l'expérience : de chez toi, regarde si
ton PC de bureau est joignable (port ouvert, ou même ping).
Avec quelle adresse IP?
- celle privée, pas logique.
- celle publique, le modem du "bureau" répondra au ping.
Le (on) mardi 02 octobre 2007 14:26, Mihamina Rakotomandimby a écrit (wrote) :
Fabien LE LEZ wrote:
Tu peux éventuellement faire l'expérience : de chez toi, regarde si ton PC de bureau est joignable (port ouvert, ou même ping).
Avec quelle adresse IP? - celle privée, pas logique. - celle publique, le modem du "bureau" répondra au ping.
Ou bien j'ai tout faux?
Euh, comment dire. Toute la discussion est partie du fait que mon poste de travail au bureau a une IP publique... :)
Manuel.
Aurelien
Bonjour,
- c'est une sécurité concentrée en un point, et qui disparait aussitôt que l'attaquant a ne serait-ce qu'un doigt de pied dans la place ;
Forcément si l'attaquant vient de l'intérieur, le fait d'avoir des IPs publiques ou privées n'y changera absolument rien ...
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer qu'avec les machines du réseau, on peut le faire avec des règles de pare-feu qui vont bien.
Tout à fait. Par exemple, la pluspart des universités françaises ont héritées de blocs d'adresses IP publiques, ce n'est pas pour autant que tu peux joindre les machines directement (le firewall entre le LAN et internet est la pour ça).
Aurélien
Bonjour,
- c'est une sécurité concentrée en un point, et qui disparait aussitôt que
l'attaquant a ne serait-ce qu'un doigt de pied dans la place ;
Forcément si l'attaquant vient de l'intérieur, le fait d'avoir des IPs
publiques ou privées n'y changera absolument rien ...
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer
qu'avec les machines du réseau, on peut le faire avec des règles de
pare-feu qui vont bien.
Tout à fait. Par exemple, la pluspart des universités françaises ont
héritées de blocs d'adresses IP publiques, ce n'est pas pour autant que
tu peux joindre les machines directement (le firewall entre le LAN et
internet est la pour ça).
- c'est une sécurité concentrée en un point, et qui disparait aussitôt que l'attaquant a ne serait-ce qu'un doigt de pied dans la place ;
Forcément si l'attaquant vient de l'intérieur, le fait d'avoir des IPs publiques ou privées n'y changera absolument rien ...
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer qu'avec les machines du réseau, on peut le faire avec des règles de pare-feu qui vont bien.
Tout à fait. Par exemple, la pluspart des universités françaises ont héritées de blocs d'adresses IP publiques, ce n'est pas pour autant que tu peux joindre les machines directement (le firewall entre le LAN et internet est la pour ça).
Aurélien
Pascal Hambourg
Salut,
Un routeur NAT est un firewall de fait, puisqu'il bloque toute connexion entrante (sauf règle explicite).
Non, pas forcément. NAT n'implique pas filtrage. Il y a des NAT qui par défaut ne font aucun filtrage, ou dont le filtrage est indépendant de la fonction NAT.
L'utilisation d'adresses privées derrière un routeur apporte une certaine protection dans la mesure où ces adresses ne sont /normalement/ pas routées sur l'internet public. Mais cela revient à faire reposer sa sécurité sur quelqu'un d'autre. Même si en pratique ça marche, je trouve que le principe n'est pas très satisfaisant.
Un dernier mot : l'OP a écrit "des clients n'ayant a priori pas besoin d'être joignables depuis l'internet". Or s'ils sont clients de serveurs extérieurs, ils ont besoin de recevoir les réponses, et donc d'être joignables depuis l'internet d'une façon ou d'une autre. Sans parler des protocoles dans lequels même un client doit recevoir des connexions, où le fait d'avoir une adresse privée peut compliquer grandement les choses.
Salut,
Un routeur NAT est un firewall de fait, puisqu'il bloque toute
connexion entrante (sauf règle explicite).
Non, pas forcément. NAT n'implique pas filtrage. Il y a des NAT qui par
défaut ne font aucun filtrage, ou dont le filtrage est indépendant de la
fonction NAT.
L'utilisation d'adresses privées derrière un routeur apporte une
certaine protection dans la mesure où ces adresses ne sont /normalement/
pas routées sur l'internet public. Mais cela revient à faire reposer sa
sécurité sur quelqu'un d'autre. Même si en pratique ça marche, je trouve
que le principe n'est pas très satisfaisant.
Un dernier mot : l'OP a écrit "des clients n'ayant a priori pas besoin
d'être joignables depuis l'internet". Or s'ils sont clients de serveurs
extérieurs, ils ont besoin de recevoir les réponses, et donc d'être
joignables depuis l'internet d'une façon ou d'une autre. Sans parler des
protocoles dans lequels même un client doit recevoir des connexions, où
le fait d'avoir une adresse privée peut compliquer grandement les choses.
Un routeur NAT est un firewall de fait, puisqu'il bloque toute connexion entrante (sauf règle explicite).
Non, pas forcément. NAT n'implique pas filtrage. Il y a des NAT qui par défaut ne font aucun filtrage, ou dont le filtrage est indépendant de la fonction NAT.
L'utilisation d'adresses privées derrière un routeur apporte une certaine protection dans la mesure où ces adresses ne sont /normalement/ pas routées sur l'internet public. Mais cela revient à faire reposer sa sécurité sur quelqu'un d'autre. Même si en pratique ça marche, je trouve que le principe n'est pas très satisfaisant.
Un dernier mot : l'OP a écrit "des clients n'ayant a priori pas besoin d'être joignables depuis l'internet". Or s'ils sont clients de serveurs extérieurs, ils ont besoin de recevoir les réponses, et donc d'être joignables depuis l'internet d'une façon ou d'une autre. Sans parler des protocoles dans lequels même un client doit recevoir des connexions, où le fait d'avoir une adresse privée peut compliquer grandement les choses.
mpg
Le (on) mercredi 03 octobre 2007 11:54, Aurelien a écrit (wrote) :
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer qu'avec les machines du réseau, on peut le faire avec des règles de pare-feu qui vont bien.
Tout à fait. Par exemple, la pluspart des universités françaises ont héritées de blocs d'adresses IP publiques, ce n'est pas pour autant que tu peux joindre les machines directement (le firewall entre le LAN et internet est la pour ça).
Les machines dont je parlais sont justement des postes de travail sur un
réseau universitaire. Et après vérification, elles ne sont effectivement pas joignables depuis l'extérieur. Dans un sens (qui n'a plus rien à voir avec la sécurité) ça fait bizarre de voir autant d'IP publiques "gaspillées"...
Manuel.
Le (on) mercredi 03 octobre 2007 11:54, Aurelien a écrit (wrote) :
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer
qu'avec les machines du réseau, on peut le faire avec des règles de
pare-feu qui vont bien.
Tout à fait. Par exemple, la pluspart des universités françaises ont
héritées de blocs d'adresses IP publiques, ce n'est pas pour autant que
tu peux joindre les machines directement (le firewall entre le LAN et
internet est la pour ça).
Les machines dont je parlais sont justement des postes de travail sur un
réseau universitaire. Et après vérification, elles ne sont effectivement
pas joignables depuis l'extérieur. Dans un sens (qui n'a plus rien à voir
avec la sécurité) ça fait bizarre de voir autant d'IP
publiques "gaspillées"...
Le (on) mercredi 03 octobre 2007 11:54, Aurelien a écrit (wrote) :
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer qu'avec les machines du réseau, on peut le faire avec des règles de pare-feu qui vont bien.
Tout à fait. Par exemple, la pluspart des universités françaises ont héritées de blocs d'adresses IP publiques, ce n'est pas pour autant que tu peux joindre les machines directement (le firewall entre le LAN et internet est la pour ça).
Les machines dont je parlais sont justement des postes de travail sur un
réseau universitaire. Et après vérification, elles ne sont effectivement pas joignables depuis l'extérieur. Dans un sens (qui n'a plus rien à voir avec la sécurité) ça fait bizarre de voir autant d'IP publiques "gaspillées"...
Manuel.
Aurelien
Les machines dont je parlais sont justement des postes de travail sur un réseau universitaire. Et après vérification, elles ne sont effectivement pas joignables depuis l'extérieur. Dans un sens (qui n'a plus rien à voir avec la sécurité) ça fait bizarre de voir autant d'IP publiques "gaspillées"...
Certaines universitées ont obtenues des blocs de classe B, ne pas les utiliser serait réellement gacher :-)
Cela dit parler d'ips publiques gaspillées n'est pas tout à fait exact. Dans l'absolu toute machine pourrait (devrait ?) avoir une adresse IP publique, si ce n'est pas le cas c'est qu'il n'y en a pas assez pour tout le monde et c'est plus du à une faiblesse de l'ipv4 qu'a un réel gaspillage dans le cas présent.
Aurélien
Les machines dont je parlais sont justement des postes de travail sur un
réseau universitaire. Et après vérification, elles ne sont effectivement
pas joignables depuis l'extérieur. Dans un sens (qui n'a plus rien à voir
avec la sécurité) ça fait bizarre de voir autant d'IP
publiques "gaspillées"...
Certaines universitées ont obtenues des blocs de classe B, ne pas les
utiliser serait réellement gacher :-)
Cela dit parler d'ips publiques gaspillées n'est pas tout à fait exact.
Dans l'absolu toute machine pourrait (devrait ?) avoir une adresse IP
publique, si ce n'est pas le cas c'est qu'il n'y en a pas assez pour
tout le monde et c'est plus du à une faiblesse de l'ipv4 qu'a un réel
gaspillage dans le cas présent.
Les machines dont je parlais sont justement des postes de travail sur un réseau universitaire. Et après vérification, elles ne sont effectivement pas joignables depuis l'extérieur. Dans un sens (qui n'a plus rien à voir avec la sécurité) ça fait bizarre de voir autant d'IP publiques "gaspillées"...
Certaines universitées ont obtenues des blocs de classe B, ne pas les utiliser serait réellement gacher :-)
Cela dit parler d'ips publiques gaspillées n'est pas tout à fait exact. Dans l'absolu toute machine pourrait (devrait ?) avoir une adresse IP publique, si ce n'est pas le cas c'est qu'il n'y en a pas assez pour tout le monde et c'est plus du à une faiblesse de l'ipv4 qu'a un réel gaspillage dans le cas présent.
