NAT et sécurité
Le
Alchimiste
Dans un précédent post, j'ai appris que les modems-routeurs ADSL
possèdaient parfois plusieurs fonctions selon les modèle et que le rôle
du routeur était de faire de la "translation" d'adresse NAT.
La question que je me pose maintenant est de savoir si le NAT est
suffisant pour assurer la sécurité d'un PC ?
A votre avis quels risques persistent si on s'arrête à une config de ce
type ?
possèdaient parfois plusieurs fonctions selon les modèle et que le rôle
du routeur était de faire de la "translation" d'adresse NAT.
La question que je me pose maintenant est de savoir si le NAT est
suffisant pour assurer la sécurité d'un PC ?
A votre avis quels risques persistent si on s'arrête à une config de ce
type ?
Poser une question
Pas toujours. Certains routeurs font du routage simple sans NAT.
Par exemple, mon routeur fait du masquerading en IP parce que je ne
dispose que d'une seule adresse IP mais fait du routage simple en IPv6
parce que je dispose de suffisamment d'adresses IPv6 pour toutes les
machines de mon réseau.
Non, clairement pas. Rappelons que la NAT n'est pas une fonction de
sécurité. Ce sigle recouvre beaucoup trop de réalités différentes.
Par exemple, la NAT statique ou la fonction improprement dénommée "DMZ"
des routeurs SOHO sont des formes de NAT qui laissent totalement exposée
la machine concernée. Le "port forwarding", que certains constructeurs
appellent "virtual server" est une autre forme de NAT qui expose le
programme qui gère le service concerné, la sécurité dépend alors de la
machine elle-même.
Ça, c'est pour le sens entrant. Dans le sens sortant, la NAT quelle
qu'elle soit ne protège pas contre les vulnérabilités des programmes
clients exploitées par des serveurs ou des contenus malveillants (web,
email pour les plus courants). Ni des effets des virus, vers, spywares
et autres chevaux de Troie une fois ceux-ci installés (fuite
d'information, auto-propagation, relais de spam ou d'attaques contre
d'autres machines).
Firewall, anti-virus et patches de sécurité des logiciels restent
indispensables.
Ça dépend du type de NAT.
"DMZ", "Defserver" => machine totalement exposée
"Port forwarding", "virtual server" => service redirigé exposé
Dans tous les cas : programmes clients exposés
PS: les discussions sur la sécurité informatique ont plus leur place
dans news:fr.comp.securite où il y a de vrais spécialistes.
Disons que le NAT va te protéger de 99% des attaques extérieures, en
particulier des vers de type Sasser, etc... (à condition évidemment de ne
pas rediriger ces ports vers des machines de l'intérieur). Je parle là
uniquement de NAT dynamique "n pour 1", assurant la sortie classique sur
Internet.
Le NAT ne te protègera pas en revanche d'attaques de type "anti-spoofing",
"IP Masquerading" et autres attaques plus évoluées. Dans ces cas de figure,
un firewall stateful sera beaucoup plus performant car il inspecte vraiment
le comportement des sessions TCP.
Pour aller encore plus loin, on peut mettre en place un IDS (système de
détection d'intrusion), qui va lui décortiquer le contenu meme des
transactions HTTP, etc... pour y détecter une activité anormale.
Désireux de mettre la politesse au dessus des règles usenet, notez chère
Annie (dont je remarque souvent la qualité des posts) que je réponds
après la citation (Mais c'est surtout que j'ai pas envie de me retrouver
avec les hayatolas du Usenet sur le dos. Sont peut-être terroristes faut
se méfier !)
En tant qu'anar du usenet, je suis très touché par votre immense
tolérance à mon égard !
Je tiens donc à vous remercier vivement ainsi que Skyfox pour toutes vos
explications qui éclairent bien ma lanterne ! Je ne comprends pas tous
les termes mais j'en déduis qu'un routeur NAT et un bon parefeu
statefull sont un bon début pour parler de sécurité.
Bien à vous...
[coupe citation inutile de plus de 40 lignes]
La politesse fait partie des règles de Usenet. Si, si.
Je vais en remettre une couche. Citer un pavé de 40 lignes et répondre
tout en dessous, c'est à mon avis aussi mauvais sinon pire que répondre
tout au-dessus de cette même citation de 40 lignes. Vous l'avez pourtant
bien compris : le lecteur ne doit pas être obligé de faire défiler le
texte pour commencer à lire la réponse. Pour lire votre réponse, j'ai dû
le faire. Soit vous répondez à des points précis et vous insérez votre
réponse juste en-dessous de chaque point précis dans la citation comme
je le fais en supprimant les parties inutiles, soit vous répondez
globalement et remplacez la citation par un court résumé, ce que vous
auriez pu faire ici. Et ce ne sont pas des règles rigides gravées dans
le marbre, le but de tout ça est simplement de faciliter la lecture.
La même qu'avec tout le monde sauf les cons égocentriques et butés.
[...] (Cette partie là ne me plait pas alors je l'enlève et je ne
retiens que celle-ci)
Désolé, mais de quel droit peut-on se permettre de couper les paroles
des autres ou de les tronçonner comme je suis entrain de le faire avec
délectation ?
D'après quels critères décidez-vous de l'inutilité d'une partie de la
citation et vous permettez vous de l'ôter ? Avez-vous demander son avis
à l'auteur ? La citation troncquée est forcément réductrice et elle
trahi l'intention de l'auteur !
De plus ça n'est pas à Usenet de décider de ce qui est poli ou non !
Dans le monde réel, connaissez-vous un comité Directoire qui dicte ce
qui est poli et ce qui ne l'est pas !
Non, c'est l'usage qui fait foi ! Les règles de politesse d'hier ne sont
pas celles d'aujoud'hui. Elles évoluent avec les habitudes des gens...
Alors d'après vous, où sont les gens butés et bornés !