En discutant aujourd'hui avec un ami de l'organisation d'un réseau dont nous
sommes tous deux utilisateurs (c'est bien de discuter de trucs qu'on
comprend pas), est venu sur le tapis le fait que tous les postes du réseaux
(y compris des clients n'ayant a priori pas besoin d'être joignables depuis
l'internet) disposaient d'une IP publique. L'ami en question dit alors que
ça lui paraît bizarre niveau sécurité que les postes en question n'aient
pas un adresse privée.
D'après ce que j'ai compris de quelques messages lus en ces lieux, il ne
faut en aucun cas considérer le fait d'avoir une IP privée comme une
sécurité. Pour le petit scarabée que je suis, pouvez-vous m'expliquer
pourquoi ?
Je vois a priori deux arguments qui prouvent qu'une IP privée n'est pas une
bonne sécurité :
- c'est une sécurité concentrée en un point, et qui disparait aussitôt que
l'attaquant a ne serait-ce qu'un doigt de pied dans la place ;
- de toute façon ça sert à rien, si on veut être sûr de ne communiquer
qu'avec les machines du réseau, on peut le faire avec des règles de
pare-feu qui vont bien.
Ces arguments sont-ils censés ? Y a-t-il d'autres raisons contre l'idée
qu'un IP privée est une sécurité ? Ne peut-on pas quand même considérer que
c'est un (petit) facteur de sécurité dans le sens ça complique quand même
la tâche de l'attaquant, au moins au début ?
Certaines universitées ont obtenues des blocs de classe B, ne pas les utiliser serait réellement gacher :-)
Cela dit parler d'ips publiques gaspillées n'est pas tout à fait exact. Dans l'absolu toute machine pourrait (devrait ?) avoir une adresse IP publique, si ce n'est pas le cas c'est qu'il n'y en a pas assez pour tout le monde et c'est plus du à une faiblesse de l'ipv4 qu'a un réel gaspillage dans le cas présent.
Oui mais non. Les ressources pétrolières sont aussi limitées, et on essaie de faire moins consommer les voitures. Follow up ailleurs...
Aurelien wrote:
Certaines universitées ont obtenues des blocs de classe B, ne pas les
utiliser serait réellement gacher :-)
Cela dit parler d'ips publiques gaspillées n'est pas tout à fait exact.
Dans l'absolu toute machine pourrait (devrait ?) avoir une adresse IP
publique, si ce n'est pas le cas c'est qu'il n'y en a pas assez pour
tout le monde et c'est plus du à une faiblesse de l'ipv4 qu'a un réel
gaspillage dans le cas présent.
Oui mais non.
Les ressources pétrolières sont aussi limitées, et on essaie de faire
moins consommer les voitures.
Follow up ailleurs...
Certaines universitées ont obtenues des blocs de classe B, ne pas les utiliser serait réellement gacher :-)
Cela dit parler d'ips publiques gaspillées n'est pas tout à fait exact. Dans l'absolu toute machine pourrait (devrait ?) avoir une adresse IP publique, si ce n'est pas le cas c'est qu'il n'y en a pas assez pour tout le monde et c'est plus du à une faiblesse de l'ipv4 qu'a un réel gaspillage dans le cas présent.
Oui mais non. Les ressources pétrolières sont aussi limitées, et on essaie de faire moins consommer les voitures. Follow up ailleurs...
Eric PETIT
Dans le message :fdrodc$2tkh$, mpg a écrit: .....
En fait, il me semble logique qu'une machine autre qu'un serveur ne soit pas joignable depuis le reste du monde. Le point qu'on discutait avec un ami, et sur lequel je n'ai pas les idées claires, c'est si c'est mieux pour une telle machine d'avoir une IP privée (d'être derrière un routeur NAT) ou pas (ou si c'est indifférent).
Oui, c'est mieux, ce qui ne vaut pas dire que c'est parfait ;-)
En fait il faudrait comparer ça au fait de laisser un vélo dans la rue attaché à un poteau ou enfermé dans un local. Celui qui est dans un local sera statistiquement mieux protégé que celui qui est dans la rue, quelque soit l'efficacité des antivols utilisés on ne peut être sûr que quelqu'un ne trouvera pas un jour le moyen de les faire sauter en quelques secondes.
Plutôt qu'IP publique ou privée ça devrait mieux se comprendre en raisonnant en terme d'IP routable ou non. Une machine pourrait subir des attaques (que l'on espère non concluante en la configurant au mieux....mais comme on découvre couramment de nouvelles failles.....) alors que l'autre y est totalement insensible.
Accessoiremment si une machine n'a pas à traiter de données "inutiles" provenant de l'extérieur c'est toujours un peu de puissance de calcul à ne pas être gaspillée avec des bétises. Donc je dis que si une machine n'a pas besoin d'être jointe de l'extérieur alors un routeur devrait être le reflexe naturel minimum :) Le "risque" est alors de croire que le routeur va protéger la machine de tout problème, ce qui est faux !
-- Eric Reply-to valide, laissez tel quel ! Texte brut vivement conseillé !!
Dans le message :fdrodc$2tkh$1@talisker.lacave.net,
mpg a écrit:
.....
En fait, il me semble logique qu'une machine autre qu'un serveur ne
soit pas joignable depuis le reste du monde. Le point qu'on discutait
avec un ami, et sur lequel je n'ai pas les idées claires, c'est si
c'est mieux pour une telle machine d'avoir une IP privée (d'être
derrière un routeur NAT) ou pas (ou si c'est indifférent).
Oui, c'est mieux, ce qui ne vaut pas dire que c'est parfait ;-)
En fait il faudrait comparer ça au fait de laisser un vélo dans la rue
attaché à un poteau ou enfermé dans un local. Celui qui est dans un local
sera statistiquement mieux protégé que celui qui est dans la rue, quelque
soit l'efficacité des antivols utilisés on ne peut être sûr que quelqu'un ne
trouvera pas un jour le moyen de les faire sauter en quelques secondes.
Plutôt qu'IP publique ou privée ça devrait mieux se comprendre en raisonnant
en terme d'IP routable ou non. Une machine pourrait subir des attaques (que
l'on espère non concluante en la configurant au mieux....mais comme on
découvre couramment de nouvelles failles.....) alors que l'autre y est
totalement insensible.
Accessoiremment si une machine n'a pas à traiter de données "inutiles"
provenant de l'extérieur c'est toujours un peu de puissance de calcul à ne
pas être gaspillée avec des bétises.
Donc je dis que si une machine n'a pas besoin d'être jointe de l'extérieur
alors un routeur devrait être le reflexe naturel minimum :)
Le "risque" est alors de croire que le routeur va protéger la machine de
tout problème, ce qui est faux !
--
Eric
Reply-to valide, laissez tel quel !
Texte brut vivement conseillé !!
En fait, il me semble logique qu'une machine autre qu'un serveur ne soit pas joignable depuis le reste du monde. Le point qu'on discutait avec un ami, et sur lequel je n'ai pas les idées claires, c'est si c'est mieux pour une telle machine d'avoir une IP privée (d'être derrière un routeur NAT) ou pas (ou si c'est indifférent).
Oui, c'est mieux, ce qui ne vaut pas dire que c'est parfait ;-)
En fait il faudrait comparer ça au fait de laisser un vélo dans la rue attaché à un poteau ou enfermé dans un local. Celui qui est dans un local sera statistiquement mieux protégé que celui qui est dans la rue, quelque soit l'efficacité des antivols utilisés on ne peut être sûr que quelqu'un ne trouvera pas un jour le moyen de les faire sauter en quelques secondes.
Plutôt qu'IP publique ou privée ça devrait mieux se comprendre en raisonnant en terme d'IP routable ou non. Une machine pourrait subir des attaques (que l'on espère non concluante en la configurant au mieux....mais comme on découvre couramment de nouvelles failles.....) alors que l'autre y est totalement insensible.
Accessoiremment si une machine n'a pas à traiter de données "inutiles" provenant de l'extérieur c'est toujours un peu de puissance de calcul à ne pas être gaspillée avec des bétises. Donc je dis que si une machine n'a pas besoin d'être jointe de l'extérieur alors un routeur devrait être le reflexe naturel minimum :) Le "risque" est alors de croire que le routeur va protéger la machine de tout problème, ce qui est faux !
-- Eric Reply-to valide, laissez tel quel ! Texte brut vivement conseillé !!
Jeremy JUST
Le 04 Oct 2007 11:51:07 GMT,
En fait il faudrait comparer ça au fait de laisser un vélo dans la rue attaché à un poteau ou enfermé dans un local. Celui qui est dans un local sera statistiquement mieux protégé que celui qui est dans la rue, quelque soit l'efficacité des antivols utilisés on ne peut être sûr que quelqu'un ne trouvera pas un jour le moyen de les faire sauter en quelques secondes.
Ta comparaison est peut-être encore meilleure que tu le ne penses: si le vélo est dans un garage fermé, les gens qui passeront devant ne le verront pas, et ne seront pas tentés. Alors que celui qui est visible sera une tentation pour n'importe quel indélicat.
Par contre, l'un et l'autre sont à peu près autant exposés à une personne qui sait que ces vélos existent et qui les cible spécifiquement.
-- Jérémy JUST
Le 04 Oct 2007 11:51:07 GMT,
En fait il faudrait comparer ça au fait de laisser un vélo dans la rue
attaché à un poteau ou enfermé dans un local. Celui qui est dans un
local sera statistiquement mieux protégé que celui qui est dans la
rue, quelque soit l'efficacité des antivols utilisés on ne peut être
sûr que quelqu'un ne trouvera pas un jour le moyen de les faire
sauter en quelques secondes.
Ta comparaison est peut-être encore meilleure que tu le ne penses: si
le vélo est dans un garage fermé, les gens qui passeront devant ne le
verront pas, et ne seront pas tentés. Alors que celui qui est visible
sera une tentation pour n'importe quel indélicat.
Par contre, l'un et l'autre sont à peu près autant exposés à une
personne qui sait que ces vélos existent et qui les cible
spécifiquement.
En fait il faudrait comparer ça au fait de laisser un vélo dans la rue attaché à un poteau ou enfermé dans un local. Celui qui est dans un local sera statistiquement mieux protégé que celui qui est dans la rue, quelque soit l'efficacité des antivols utilisés on ne peut être sûr que quelqu'un ne trouvera pas un jour le moyen de les faire sauter en quelques secondes.
Ta comparaison est peut-être encore meilleure que tu le ne penses: si le vélo est dans un garage fermé, les gens qui passeront devant ne le verront pas, et ne seront pas tentés. Alors que celui qui est visible sera une tentation pour n'importe quel indélicat.
Par contre, l'un et l'autre sont à peu près autant exposés à une personne qui sait que ces vélos existent et qui les cible spécifiquement.
