Je suis sous Windows XP SP2, J'ai la freebox (V4 je crois) connecté à mon
ordinateur par
une liaison ethernet. Les fonctions routeur et Wifi sont activées. J'utilise
Zone alarm comme firewall et
Avast comme antivirus. La mise à jour Windows n'est pas activée
Quand je vais voir l'état de la connexion au réseau local (en bas à droite),
j'ai comme adresse IP: 192.168.0.2
et comme passerelle: 192.168.0.254.
Première question: comment connaître l'adresse IP de ma freexbox? (à moins
que ce ne soit 192.168.0.254)
Est ce que mon ordinateur risque quand même d'être piraté? En particulier
est ce que quelqu'un peut scanner les ports de mon ordinateur?
"Philippe Gueguen" a écrit dans le message de news: 46d14c73$0$402$
Merci pour vos réponses! Si j'ai bien compris il y a trois adresses correspondant à mon équipement. L'adresse de ma carte réseau 192.168.0.2 (non routable) L'adresse de mon routeur (Freebox) interne: 192.168.0.254 (non routable) Et enfin l'adresse publique de ma freebox (celle là routable) accessible de l'extérieur.
Sur l'interface d'administration de Free je ne trouve aucun moyen de connaître l'adresse IP publique. C'est étrange qu'il existe pas de moyen de la connaître (avec un trace route peut être?).
"Nicolas George" <nicolas$ a écrit dans le message de news: 46d13fc1$0$435$
Philippe Gueguen wrote in message <46d139ab$0$285$:
Première question: comment connaître l'adresse IP de ma freexbox? (à moins que ce ne soit 192.168.0.254)
*L*'adresse IP de la freebox, ça ne veut rien dire, parce qu'elle en a plusieurs. 192.168.0.254 en est une, celle attribuée à l'interface sur le brin local ; il y en a une autre, celle attribuée à l'interface publique de la freebox. Normalement, celle-ci est invisible de l'intérieur au niveau réseau, mais il y a des protocoles applicatifs qui la montrent. On dirait que c'est 82.64.159.81 ; c'est consultable dans l'interface d'administration de Free.
Est ce que mon ordinateur risque quand même d'être piraté?
Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable au risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant plus que tu désactives les mises à jour.
Bonjour,
Si vous avez la V4 vous pouvez utiliser la télécommande : Les flèches haut et bas pour faire défiler le type d'informations (ADSL, etc), les flèches gauche et droite pour l'affichage qui se fait sur la Freebox( pas besoin d'être dégroupé). Si je me souviens bien : un appui sur fleche bas pour accéder aux informations adsl un ou plusieurs appuis sur fleche droite pour faire défiler les informations dont l'adresse IP
Cordialement, Jean-Claude
"Philippe Gueguen" <phg@spam.news.free.fr> a écrit dans le message de news:
46d14c73$0$402$426a74cc@news.free.fr...
Merci pour vos réponses!
Si j'ai bien compris il y a trois adresses correspondant à mon équipement.
L'adresse de ma carte réseau 192.168.0.2 (non routable)
L'adresse de mon routeur (Freebox) interne: 192.168.0.254 (non routable)
Et enfin l'adresse publique de ma freebox (celle là routable) accessible
de l'extérieur.
Sur l'interface d'administration de Free je ne trouve aucun moyen de
connaître l'adresse
IP publique. C'est étrange qu'il existe pas de moyen de la connaître (avec
un trace route peut être?).
"Nicolas George" <nicolas$george@salle-s.org> a écrit dans le message de
news: 46d13fc1$0$435$426a34cc@news.free.fr...
Philippe Gueguen wrote in message
<46d139ab$0$285$426a74cc@news.free.fr>:
Première question: comment connaître l'adresse IP de ma freexbox? (à
moins
que ce ne soit 192.168.0.254)
*L*'adresse IP de la freebox, ça ne veut rien dire, parce qu'elle en a
plusieurs. 192.168.0.254 en est une, celle attribuée à l'interface sur le
brin local ; il y en a une autre, celle attribuée à l'interface publique
de
la freebox. Normalement, celle-ci est invisible de l'intérieur au niveau
réseau, mais il y a des protocoles applicatifs qui la montrent. On dirait
que c'est 82.64.159.81 ; c'est consultable dans l'interface
d'administration
de Free.
Est ce que mon ordinateur risque quand même d'être piraté?
Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable
au
risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant
plus que tu désactives les mises à jour.
Bonjour,
Si vous avez la V4 vous pouvez utiliser la télécommande :
Les flèches haut et bas pour faire défiler le type d'informations (ADSL,
etc), les flèches gauche et droite pour l'affichage qui se fait sur la
Freebox( pas besoin d'être dégroupé).
Si je me souviens bien :
un appui sur fleche bas pour accéder aux informations adsl
un ou plusieurs appuis sur fleche droite pour faire défiler les informations
dont l'adresse IP
"Philippe Gueguen" a écrit dans le message de news: 46d14c73$0$402$
Merci pour vos réponses! Si j'ai bien compris il y a trois adresses correspondant à mon équipement. L'adresse de ma carte réseau 192.168.0.2 (non routable) L'adresse de mon routeur (Freebox) interne: 192.168.0.254 (non routable) Et enfin l'adresse publique de ma freebox (celle là routable) accessible de l'extérieur.
Sur l'interface d'administration de Free je ne trouve aucun moyen de connaître l'adresse IP publique. C'est étrange qu'il existe pas de moyen de la connaître (avec un trace route peut être?).
"Nicolas George" <nicolas$ a écrit dans le message de news: 46d13fc1$0$435$
Philippe Gueguen wrote in message <46d139ab$0$285$:
Première question: comment connaître l'adresse IP de ma freexbox? (à moins que ce ne soit 192.168.0.254)
*L*'adresse IP de la freebox, ça ne veut rien dire, parce qu'elle en a plusieurs. 192.168.0.254 en est une, celle attribuée à l'interface sur le brin local ; il y en a une autre, celle attribuée à l'interface publique de la freebox. Normalement, celle-ci est invisible de l'intérieur au niveau réseau, mais il y a des protocoles applicatifs qui la montrent. On dirait que c'est 82.64.159.81 ; c'est consultable dans l'interface d'administration de Free.
Est ce que mon ordinateur risque quand même d'être piraté?
Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable au risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant plus que tu désactives les mises à jour.
Bonjour,
Si vous avez la V4 vous pouvez utiliser la télécommande : Les flèches haut et bas pour faire défiler le type d'informations (ADSL, etc), les flèches gauche et droite pour l'affichage qui se fait sur la Freebox( pas besoin d'être dégroupé). Si je me souviens bien : un appui sur fleche bas pour accéder aux informations adsl un ou plusieurs appuis sur fleche droite pour faire défiler les informations dont l'adresse IP
Cordialement, Jean-Claude
Pascal Hambourg
Salut,
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas scanner les ports de son ordinateur.
Pas directement. Il y a eu récemment des démonstrations sur comment scanner les ports en utilisant certaines applications côté cible.
Tu fais allusion au DNS rebinding ?
Salut,
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas
scanner les ports de son ordinateur.
Pas directement. Il y a eu récemment des démonstrations sur comment
scanner les ports en utilisant certaines applications côté cible.
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas scanner les ports de son ordinateur.
Pas directement. Il y a eu récemment des démonstrations sur comment scanner les ports en utilisant certaines applications côté cible.
Tu fais allusion au DNS rebinding ?
Pascal Hambourg
Donc, si je comprends bien, passer la freebox en mode routeur, permet de bloquer les scans provenant de l'extérieur
Oui, les scans et les tentatives de connexion directs depuis l'extérieur.
Le NAT est une protection faible (même si les puristes considèrent cela comme une hérésie) car, effectivement, en l'absence de règles de re-routage de port vers l'intérieur, personne ne peut se connecter depuis l'extérieur.
Ce n'est pas une question d'hérésie mais de généralisation. NAT est un terme générique qui ne désigne rien de précis. Il y a cinquante façons de faire du NAT et toutes n'offrent pas le même niveau de protection. Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre aucune, je dis bien *aucune* espèce de protection. Cela n'exclut pas que d'autres façons de faire du NAT apportent intrinsèquement une bonne protection contre les connexions entrantes. Mais il paraît que le logiciel de la Freebox est basé sur un noyau Linux. ;-)
Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à proprement parler une protection crédible, c'est juste un effect de bord dû au "bug" inhérent au NAT qui rend impossible la connexion directe dans l'autre sens
Dans le cas de la Freebox en mode routeur - et d'autres box - la protection qu'on atribue à tort au NAT vient en fait de l'utilisation d'adresses privées côté LAN qui ne sont pas routées sur le réseau public, comme l'a très bien expliqué Zythum. Le NAT quant à lui ne sert qu'à rétablir une connectivité asymétrique entre les deux côtés. La protection des adresses privées n'est néanmoins pas totale : elle est inefficace si l'attaquant est situé juste de l'autre côté de la box, sans aucun routeur entre les deux. Mais chez Free cette position est occupée par des équipements du FAI, donc le risque est vraiment minime. Mais ce n'est pas - ou n'a pas toujours été - le cas partout, notamment chez certains FAI câble.
Donc, si je comprends bien, passer la freebox en mode routeur, permet de
bloquer les scans provenant de l'extérieur
Oui, les scans et les tentatives de connexion directs depuis l'extérieur.
Le NAT est une protection faible (même si les puristes considèrent cela
comme une hérésie) car, effectivement, en l'absence de règles de
re-routage de port vers l'intérieur, personne ne peut se connecter
depuis l'extérieur.
Ce n'est pas une question d'hérésie mais de généralisation. NAT est un
terme générique qui ne désigne rien de précis. Il y a cinquante façons
de faire du NAT et toutes n'offrent pas le même niveau de protection.
Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre
aucune, je dis bien *aucune* espèce de protection. Cela n'exclut pas que
d'autres façons de faire du NAT apportent intrinsèquement une bonne
protection contre les connexions entrantes. Mais il paraît que le
logiciel de la Freebox est basé sur un noyau Linux. ;-)
Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à
proprement parler une protection crédible, c'est juste un effect de bord
dû au "bug" inhérent au NAT qui rend impossible la connexion directe
dans l'autre sens
Dans le cas de la Freebox en mode routeur - et d'autres box - la
protection qu'on atribue à tort au NAT vient en fait de l'utilisation
d'adresses privées côté LAN qui ne sont pas routées sur le réseau
public, comme l'a très bien expliqué Zythum. Le NAT quant à lui ne sert
qu'à rétablir une connectivité asymétrique entre les deux côtés. La
protection des adresses privées n'est néanmoins pas totale : elle est
inefficace si l'attaquant est situé juste de l'autre côté de la box,
sans aucun routeur entre les deux. Mais chez Free cette position est
occupée par des équipements du FAI, donc le risque est vraiment minime.
Mais ce n'est pas - ou n'a pas toujours été - le cas partout, notamment
chez certains FAI câble.
Donc, si je comprends bien, passer la freebox en mode routeur, permet de bloquer les scans provenant de l'extérieur
Oui, les scans et les tentatives de connexion directs depuis l'extérieur.
Le NAT est une protection faible (même si les puristes considèrent cela comme une hérésie) car, effectivement, en l'absence de règles de re-routage de port vers l'intérieur, personne ne peut se connecter depuis l'extérieur.
Ce n'est pas une question d'hérésie mais de généralisation. NAT est un terme générique qui ne désigne rien de précis. Il y a cinquante façons de faire du NAT et toutes n'offrent pas le même niveau de protection. Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre aucune, je dis bien *aucune* espèce de protection. Cela n'exclut pas que d'autres façons de faire du NAT apportent intrinsèquement une bonne protection contre les connexions entrantes. Mais il paraît que le logiciel de la Freebox est basé sur un noyau Linux. ;-)
Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à proprement parler une protection crédible, c'est juste un effect de bord dû au "bug" inhérent au NAT qui rend impossible la connexion directe dans l'autre sens
Dans le cas de la Freebox en mode routeur - et d'autres box - la protection qu'on atribue à tort au NAT vient en fait de l'utilisation d'adresses privées côté LAN qui ne sont pas routées sur le réseau public, comme l'a très bien expliqué Zythum. Le NAT quant à lui ne sert qu'à rétablir une connectivité asymétrique entre les deux côtés. La protection des adresses privées n'est néanmoins pas totale : elle est inefficace si l'attaquant est situé juste de l'autre côté de la box, sans aucun routeur entre les deux. Mais chez Free cette position est occupée par des équipements du FAI, donc le risque est vraiment minime. Mais ce n'est pas - ou n'a pas toujours été - le cas partout, notamment chez certains FAI câble.
Thierry
"Pascal Hambourg" a écrit dans le message de news: fau6km$1549$
Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre aucune, je dis bien *aucune* espèce de protection.
Qu'est ce qu'il fait des demandes de connexions entrantes ?
"Pascal Hambourg" <boite-a-spam@plouf.fr.eu.org> a écrit dans le message de
news: fau6km$1549$1@biggoron.nerim.net...
Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre
aucune, je dis bien *aucune* espèce de protection.
Qu'est ce qu'il fait des demandes de connexions entrantes ?
"Pascal Hambourg" a écrit dans le message de news: fau6km$1549$
Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre aucune, je dis bien *aucune* espèce de protection.
Qu'est ce qu'il fait des demandes de connexions entrantes ?
Pascal Hambourg
"Pascal Hambourg" a écrit dans le message de news: fau6km$1549$
Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre aucune, je dis bien *aucune* espèce de protection.
Qu'est ce qu'il fait des demandes de connexions entrantes ?
Il (Linux, pas le NAT) les route comme n'importe quels paquets, NAT ou pas NAT. Le NAT de Linux ne fait que modifier (ou pas) l'adresse et/ou le port source ou destination des paquets en fonction de règles ; il ne détermine pas directement comment ils sont routés (c'est le boulot de la décision de routage en fonction de la table de routage) ni s'ils doivent être acceptés ou bloqués (c'est le boulot des règles de filtrage). Ces trois fonctions, NAT, routage et filtrage s'opèrent séquentiellement sur chaque paquet entrant. Le NAT n'influe sur les deux autres que dans sa capacité à modifier les adresses et/ou les ports des paquets.
"Pascal Hambourg" <boite-a-spam@plouf.fr.eu.org> a écrit dans le message de
news: fau6km$1549$1@biggoron.nerim.net...
Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre
aucune, je dis bien *aucune* espèce de protection.
Qu'est ce qu'il fait des demandes de connexions entrantes ?
Il (Linux, pas le NAT) les route comme n'importe quels paquets, NAT ou
pas NAT.
Le NAT de Linux ne fait que modifier (ou pas) l'adresse et/ou le port
source ou destination des paquets en fonction de règles ; il ne
détermine pas directement comment ils sont routés (c'est le boulot de la
décision de routage en fonction de la table de routage) ni s'ils doivent
être acceptés ou bloqués (c'est le boulot des règles de filtrage). Ces
trois fonctions, NAT, routage et filtrage s'opèrent séquentiellement sur
chaque paquet entrant. Le NAT n'influe sur les deux autres que dans sa
capacité à modifier les adresses et/ou les ports des paquets.
"Pascal Hambourg" a écrit dans le message de news: fau6km$1549$
Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre aucune, je dis bien *aucune* espèce de protection.
Qu'est ce qu'il fait des demandes de connexions entrantes ?
Il (Linux, pas le NAT) les route comme n'importe quels paquets, NAT ou pas NAT. Le NAT de Linux ne fait que modifier (ou pas) l'adresse et/ou le port source ou destination des paquets en fonction de règles ; il ne détermine pas directement comment ils sont routés (c'est le boulot de la décision de routage en fonction de la table de routage) ni s'ils doivent être acceptés ou bloqués (c'est le boulot des règles de filtrage). Ces trois fonctions, NAT, routage et filtrage s'opèrent séquentiellement sur chaque paquet entrant. Le NAT n'influe sur les deux autres que dans sa capacité à modifier les adresses et/ou les ports des paquets.
Stephane Catteau
fred n'était pas loin de dire :
Euh, désolé, je n'ai pas capté, là... Si personne ne peut se connecter de l'extérieur, c'est « faible » ou « fort » ?
C'est fort... pour la protection des connexions venant de l'extérieur et concernant un service qui n'est pas ouvert sur l'extérieur. Il n'y a pas qu'un moyen d'agir, donc en soit parler de "protection forte" sans préciser ce qui est protégé, c'est une abhération.
Un ordinateur placé sur un réseau, ce sont des données volontairement entrantes, des données volontairement sortantes, des services ouverts, et un utilisateur. Si ne serait-ce qu'un seul de ses vecteurs est faiblement protégé, alors le niveau de protection est faible. Même si tu avais un routeur filtrant, une boiboite avec un firewall dedans, *et* un firewall sur ton ordinateur, donc une protection niveau paranoïa aigüe pour ce qui concerne les connexions entrantes, tu ne serais que faiblement protégé si dans le même temps tu cliques sur tout ce qui te passe sous la main.
L'important, ce n'est pas d'avoir une protection "forte", mais d'avoir des protections homogènes. Si quelqu'un veut vraiment rentrer, il rentrera quoi que tu fasses, mais ce genre de personnes sont rares, et elles n'ont probablement aucune raison de vouloir rentrer chez toi. Donc la plus part des pirates vont venir frapper à une porte ou une autre, et lorsqu'ils verront que personne ne répond, ils essayeront chez le voisin. En moins d'une demi-heure ils trouveront une porte ouverte, alors qu'il leur aurait falu plusieurs heures pour forcer la tienne.
Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à proprement parler une protection crédible, c'est juste un effect de bord dû au "bug" inhérent au NAT qui rend impossible la connexion directe dans l'autre sens (et raison pour laquelle une palanquée de protocoles, comme FTP, ont parfois du mal à passer, si des réglages spécifiques ne sont pas mis en places)
Je ne comprends pas ton allusion aux « puristes » : qu'est-ce qu'ils en pensent, les « puristes » ?
Que la NAT c'est une méthode pour constituer un réseau, pas pour le protéger, et que ça ne devrait donc pas entrer en ligne de compte dans la protection du réseau. En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça ressemble à de la science-fiction, la NAT pourrait peut-être un jour s'affranchir de cette limite, rendant caduc tout un pan de la protection du réseau.
Est-ce à dire que j'ai ici deux sons de cloche ?
Non, mais tu as plusieurs approches d'un même problème, tout comme tu as plusieurs routes qui te mènent à un même lieu.
fred n'était pas loin de dire :
Euh, désolé, je n'ai pas capté, là...
Si personne ne peut se connecter de l'extérieur, c'est « faible »
ou « fort » ?
C'est fort... pour la protection des connexions venant de l'extérieur
et concernant un service qui n'est pas ouvert sur l'extérieur. Il n'y a
pas qu'un moyen d'agir, donc en soit parler de "protection forte" sans
préciser ce qui est protégé, c'est une abhération.
Un ordinateur placé sur un réseau, ce sont des données volontairement
entrantes, des données volontairement sortantes, des services ouverts,
et un utilisateur. Si ne serait-ce qu'un seul de ses vecteurs est
faiblement protégé, alors le niveau de protection est faible.
Même si tu avais un routeur filtrant, une boiboite avec un firewall
dedans, *et* un firewall sur ton ordinateur, donc une protection niveau
paranoïa aigüe pour ce qui concerne les connexions entrantes, tu ne
serais que faiblement protégé si dans le même temps tu cliques sur tout
ce qui te passe sous la main.
L'important, ce n'est pas d'avoir une protection "forte", mais d'avoir
des protections homogènes. Si quelqu'un veut vraiment rentrer, il
rentrera quoi que tu fasses, mais ce genre de personnes sont rares, et
elles n'ont probablement aucune raison de vouloir rentrer chez toi.
Donc la plus part des pirates vont venir frapper à une porte ou une
autre, et lorsqu'ils verront que personne ne répond, ils essayeront
chez le voisin. En moins d'une demi-heure ils trouveront une porte
ouverte, alors qu'il leur aurait falu plusieurs heures pour forcer la
tienne.
Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS
à proprement parler une protection crédible, c'est juste un effect de
bord dû au "bug" inhérent au NAT qui rend impossible la connexion
directe dans l'autre sens (et raison pour laquelle une palanquée de
protocoles, comme FTP, ont parfois du mal à passer, si des réglages
spécifiques ne sont pas mis en places)
Je ne comprends pas ton allusion aux « puristes » : qu'est-ce qu'ils en
pensent, les « puristes » ?
Que la NAT c'est une méthode pour constituer un réseau, pas pour le
protéger, et que ça ne devrait donc pas entrer en ligne de compte dans
la protection du réseau.
En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça
ressemble à de la science-fiction, la NAT pourrait peut-être un jour
s'affranchir de cette limite, rendant caduc tout un pan de la
protection du réseau.
Est-ce à dire que j'ai ici deux sons de cloche ?
Non, mais tu as plusieurs approches d'un même problème, tout comme tu
as plusieurs routes qui te mènent à un même lieu.
Euh, désolé, je n'ai pas capté, là... Si personne ne peut se connecter de l'extérieur, c'est « faible » ou « fort » ?
C'est fort... pour la protection des connexions venant de l'extérieur et concernant un service qui n'est pas ouvert sur l'extérieur. Il n'y a pas qu'un moyen d'agir, donc en soit parler de "protection forte" sans préciser ce qui est protégé, c'est une abhération.
Un ordinateur placé sur un réseau, ce sont des données volontairement entrantes, des données volontairement sortantes, des services ouverts, et un utilisateur. Si ne serait-ce qu'un seul de ses vecteurs est faiblement protégé, alors le niveau de protection est faible. Même si tu avais un routeur filtrant, une boiboite avec un firewall dedans, *et* un firewall sur ton ordinateur, donc une protection niveau paranoïa aigüe pour ce qui concerne les connexions entrantes, tu ne serais que faiblement protégé si dans le même temps tu cliques sur tout ce qui te passe sous la main.
L'important, ce n'est pas d'avoir une protection "forte", mais d'avoir des protections homogènes. Si quelqu'un veut vraiment rentrer, il rentrera quoi que tu fasses, mais ce genre de personnes sont rares, et elles n'ont probablement aucune raison de vouloir rentrer chez toi. Donc la plus part des pirates vont venir frapper à une porte ou une autre, et lorsqu'ils verront que personne ne répond, ils essayeront chez le voisin. En moins d'une demi-heure ils trouveront une porte ouverte, alors qu'il leur aurait falu plusieurs heures pour forcer la tienne.
Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à proprement parler une protection crédible, c'est juste un effect de bord dû au "bug" inhérent au NAT qui rend impossible la connexion directe dans l'autre sens (et raison pour laquelle une palanquée de protocoles, comme FTP, ont parfois du mal à passer, si des réglages spécifiques ne sont pas mis en places)
Je ne comprends pas ton allusion aux « puristes » : qu'est-ce qu'ils en pensent, les « puristes » ?
Que la NAT c'est une méthode pour constituer un réseau, pas pour le protéger, et que ça ne devrait donc pas entrer en ligne de compte dans la protection du réseau. En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça ressemble à de la science-fiction, la NAT pourrait peut-être un jour s'affranchir de cette limite, rendant caduc tout un pan de la protection du réseau.
Est-ce à dire que j'ai ici deux sons de cloche ?
Non, mais tu as plusieurs approches d'un même problème, tout comme tu as plusieurs routes qui te mènent à un même lieu.
Xavier Roche
En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça ressemble à de la science-fiction, la NAT pourrait peut-être un jour s'affranchir de cette limite, rendant caduc tout un pan de la protection du réseau.
J'ai à ce propos assisté à quelques conférences où des gourous d'IPv6 se gaussaient de la "protection" qu'offrait le NAT, vu que la nouvelle tendance est de tuer une bonne fois pour toute ce dernier (1), et de préférer les adresses routables partout, en assignant une IP publique à chaque millimètre carré de silicium présent sur terre.
Cela aura au moins le mérite de séparer une bonne fois pour toutes la partie protection et la protection par absence de routage qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.
(1) <http://www.ietf.org/rfc/rfc4864.txt>
En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça
ressemble à de la science-fiction, la NAT pourrait peut-être un jour
s'affranchir de cette limite, rendant caduc tout un pan de la
protection du réseau.
J'ai à ce propos assisté à quelques conférences où des gourous d'IPv6 se
gaussaient de la "protection" qu'offrait le NAT, vu que la nouvelle
tendance est de tuer une bonne fois pour toute ce dernier (1), et de
préférer les adresses routables partout, en assignant une IP publique à
chaque millimètre carré de silicium présent sur terre.
Cela aura au moins le mérite de séparer une bonne fois pour toutes la
partie protection et la protection par absence de routage
qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.
En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça ressemble à de la science-fiction, la NAT pourrait peut-être un jour s'affranchir de cette limite, rendant caduc tout un pan de la protection du réseau.
J'ai à ce propos assisté à quelques conférences où des gourous d'IPv6 se gaussaient de la "protection" qu'offrait le NAT, vu que la nouvelle tendance est de tuer une bonne fois pour toute ce dernier (1), et de préférer les adresses routables partout, en assignant une IP publique à chaque millimètre carré de silicium présent sur terre.
Cela aura au moins le mérite de séparer une bonne fois pour toutes la partie protection et la protection par absence de routage qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.
(1) <http://www.ietf.org/rfc/rfc4864.txt>
Stephane Catteau
Xavier Roche devait dire quelque chose comme ceci :
[Tout en adresse IP publique grâce au beau, au grand, IPv6]
Cela aura au moins le mérite de séparer une bonne fois pour toutes la partie protection et la protection par absence de routage qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.
Ca aurait un autre mérite. Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de se faire insulter parce que le lave linge a fait bouillir la layette de bébé, parce que le frigo a commandé soixante pack de bières, et autres joyeusetés qui arriveront forcément (un jour certe lointain) avec le tout domotique, le tout adresses publiques, et surtout le tout ouvert à tout vent vu qu'on y connait rien, ben ce jour-là, la sécurité informatique va faire un sacré bond en avant...
-- Profitez vite de notre offre exceptionnelle : Pour tout achat d'un lave-vaisselle, une black box vous est offerte.
Xavier Roche devait dire quelque chose comme ceci :
[Tout en adresse IP publique grâce au beau, au grand, IPv6]
Cela aura au moins le mérite de séparer une bonne fois pour toutes la
partie protection et la protection par absence de routage
qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.
Ca aurait un autre mérite.
Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de
se faire insulter parce que le lave linge a fait bouillir la layette de
bébé, parce que le frigo a commandé soixante pack de bières, et autres
joyeusetés qui arriveront forcément (un jour certe lointain) avec le
tout domotique, le tout adresses publiques, et surtout le tout ouvert à
tout vent vu qu'on y connait rien, ben ce jour-là, la sécurité
informatique va faire un sacré bond en avant...
--
Profitez vite de notre offre exceptionnelle : Pour tout achat d'un
lave-vaisselle, une black box vous est offerte.
Xavier Roche devait dire quelque chose comme ceci :
[Tout en adresse IP publique grâce au beau, au grand, IPv6]
Cela aura au moins le mérite de séparer une bonne fois pour toutes la partie protection et la protection par absence de routage qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.
Ca aurait un autre mérite. Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de se faire insulter parce que le lave linge a fait bouillir la layette de bébé, parce que le frigo a commandé soixante pack de bières, et autres joyeusetés qui arriveront forcément (un jour certe lointain) avec le tout domotique, le tout adresses publiques, et surtout le tout ouvert à tout vent vu qu'on y connait rien, ben ce jour-là, la sécurité informatique va faire un sacré bond en avant...
-- Profitez vite de notre offre exceptionnelle : Pour tout achat d'un lave-vaisselle, une black box vous est offerte.
Vincent Bernat
OoO En cette fin de matinée radieuse du lundi 27 août 2007, vers 11:21, Pascal Hambourg disait:
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas scanner les ports de son ordinateur.
Pas directement. Il y a eu récemment des démonstrations sur comment scanner les ports en utilisant certaines applications côté cible.
Tu fais allusion au DNS rebinding ?
Je ne crois pas. Il me semble que ça a un rapport avec Flash. J'ai la flemme de rechercher... -- BOFH excuse #419: Repeated reboots of the system failed to solve problem
OoO En cette fin de matinée radieuse du lundi 27 août 2007, vers 11:21,
Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> disait:
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas
scanner les ports de son ordinateur.
Pas directement. Il y a eu récemment des démonstrations sur comment
scanner les ports en utilisant certaines applications côté cible.
Tu fais allusion au DNS rebinding ?
Je ne crois pas. Il me semble que ça a un rapport avec Flash. J'ai la
flemme de rechercher...
--
BOFH excuse #419:
Repeated reboots of the system failed to solve problem
OoO En cette fin de matinée radieuse du lundi 27 août 2007, vers 11:21, Pascal Hambourg disait:
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas scanner les ports de son ordinateur.
Pas directement. Il y a eu récemment des démonstrations sur comment scanner les ports en utilisant certaines applications côté cible.
Tu fais allusion au DNS rebinding ?
Je ne crois pas. Il me semble que ça a un rapport avec Flash. J'ai la flemme de rechercher... -- BOFH excuse #419: Repeated reboots of the system failed to solve problem
Nina Popravka
On 28 Aug 2007 18:18:19 GMT, Stephane Catteau wrote:
Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de se faire insulter parce que le lave linge a fait bouillir la layette de bébé, parce que le frigo a commandé soixante pack de bières,
Je pense que quand le frigo sera capable de commander 60 packs de bière avec une adresse publique, le fabricant le livrera tout simplement avec une carte à puce accrochée dessus qu'il faudra introduire dedans pour initier la connexion :-) Et qu'à chaque fois qu'il sera connecté, il s'occupera de faire ses mises à jour de sécurité avant toute chose. -- Nina
On 28 Aug 2007 18:18:19 GMT, Stephane Catteau <steph.nospam@sc4x.net>
wrote:
Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de
se faire insulter parce que le lave linge a fait bouillir la layette de
bébé, parce que le frigo a commandé soixante pack de bières,
Je pense que quand le frigo sera capable de commander 60 packs de
bière avec une adresse publique, le fabricant le livrera tout
simplement avec une carte à puce accrochée dessus qu'il faudra
introduire dedans pour initier la connexion :-)
Et qu'à chaque fois qu'il sera connecté, il s'occupera de faire ses
mises à jour de sécurité avant toute chose.
--
Nina
On 28 Aug 2007 18:18:19 GMT, Stephane Catteau wrote:
Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de se faire insulter parce que le lave linge a fait bouillir la layette de bébé, parce que le frigo a commandé soixante pack de bières,
Je pense que quand le frigo sera capable de commander 60 packs de bière avec une adresse publique, le fabricant le livrera tout simplement avec une carte à puce accrochée dessus qu'il faudra introduire dedans pour initier la connexion :-) Et qu'à chaque fois qu'il sera connecté, il s'occupera de faire ses mises à jour de sécurité avant toute chose. -- Nina
