La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: vivien le 03 mars 2013 à 09:07:39
-
A quand la mise ne place de l'IPv6 chez Orange ?
Livebox-news parle de 2015 mais cela me semble tard...
L’IPv6 pas avant 2015 chez Orange ?
La pénurie d’adresses IPv4 est prévu pour 2015 chez Orange France. Du coup, l’opérateur prend son temps pour lancer cette technologie pour le Grand Public. La Livebox Play est prête en tout cas. [...]
La Livebox Play est compatible avec IPv6 et sait le gérer. Mais Orange n’a pas encore activé le service ni dans son réseau pour le Grand Public ni dans la configuration de la Livebox Play. Cette activation est en cours de réflexion chez l’opérateur et l’estimation à 2015 leur donne du temps. Les autres opérateurs l’ont déjà activé et il serait dommage qu’Orange prenne encore du retard et rate cet important virage.
Le seul commentaire de l'article :
Planifier le déploiement d’IPv6 en fonction de la date de pénurie d’IPv4 *chez eux*, c’est vraiment se moquer du monde de la part d’Orange! À partir du moment où une partie d’Internet n’est accessible qu’en IPv6 (et la pénurie d’IPv4 est nettement plus avancée en Asie qu’ici, par exemple), cela veut dire qu’Orange ne fait plus son travail de FAI.
Source : Livebox-news (http://livebox-news.com/2013/02/15/6220/lipv6-pas-avant-2015-chez-orange/), le 15 février 2013 par Jake.
-
j'espere que la Livebox est plus "prete" que la Freebox qui est une vraie passoire en IPv6 (sans parler du manque de dns v6)
Je suis pas sur que les gens se rendent vraiment compte de la protection qu'offrait IPv4 et son PAT.
-
Les OS récents ont des pare-feu activés par défaut avec des configurations saines.
Ce n'est plus comme le début du siècle où Netbios était accessible de n'importe où.
-
oui pour les PC/Mac mais ca protege pas des exploits 0 day contrairement a un firewall sur le routeur.
le souci c'est surtout les smartphones et les tablettes.
mettez une tablette ou un smartphone Android en wifi sur une Freebox activée en V6 et aller sur http://ipv6.chappell-family.com/ipv6tcptest/ (http://ipv6.chappell-family.com/ipv6tcptest/) puis lancer le test.
ou installez une app style IP Webcam sur la tablette et n'importe qui dans le monde qui a l'ip de la tablette peut voir votre video.
le dilemme et la question aux FAI c'est est-ce qu'en IPv6 la box doit être un bete routeur sans protection ou aussi inclure un firewall qui offre le meme niveau de protection qu'un simple PAT v4.
le dilemme aussi est-ce que les box auront le cpu/ram qu'il faut pour faire tourner ce firewall sur une liaison fibre a 100 Mbs ou 200 Mbs avec plusieurs appareils sur le lan.
enfin on presume qu'ils ont pensé a ca, c'est des grosses boites ;)
-
oui pour les PC/Mac mais ca protege pas des exploits 0 day contrairement a un firewall sur le routeur.
Des 0days contre une machine ayant tous les ports clos; il n'y a pas beaucoup (un dans la stack IPv6 de Windows NT 6).
Surtout, de nos jours, la menace a changé: c'est désormais au niveau applicatif Web (Flash, Adobe Reader, Java, WebGL et html5 en général) que tout se joue.
-
le dilemme aussi est-ce que les box auront le cpu/ram qu'il faut pour faire tourner ce firewall sur une liaison fibre a 100 Mbs ou 200 Mbs avec plusieurs appareils sur le lan.
enfin on presume qu'ils ont pensé a ca, c'est des grosses boites ;)
Euh un firewall même un tamagotchi peut le faire tourner, ça demande 0 ressource. Quand tu vois les proc dans les V6 ou livebox play, c'est vraiment pas une préoccupation ;D
-
au pire tu colle un NAT sur ta box en ipv6:
ta box répond à une adresse ipv6 et derrière tu as tous tes équipements en ipv4
ça doit ètre faisable comme truc ça. (et surtout beaucoup plus simple pour gérer tous les équipements.)
-
C'est drôle (ou pas) de justement continuer à se coltiner du NAT alors qu'IPv6 est prévu pour ne plus jamais avoir à gérer ce mécanisme :( C'est vraiment un mauvais reflexe de penser que le NAT sécurise en quoi que ce soit un accès internet. Le NAT n'a pas de vocation à supléer/remplacer un firewall. Cette idée a la vie dure
-
je suis désolé mais pour Mme michu qui désactive sont firewall parce qu'il l'empêche de faire une partie de jeux en réseau avec son fils, le NAT est une bonne solution! (ne n'est peut ètre pas fait pour mais ça marche au moins en partie!)
De plus pour nous geek c'est peut être utile d'avoir plusieurs adresses sur internet (encore que...), mais alors pour Mme Michu je vois franchement pas l'intérêt.
ou alors je veux bien qu'on m'explique mais je ne vois franchement pas.
si tu as besoins d'accéder à ta machine depuis internet tu redirige un port. si tu veux mettre plusieurs site internet sur ton serveur tu fais une gestion des nom FQDN, tu balance le reste des services sur des ports dynamiques.
pourquoi dis tu que le nat ne sécurise pas un accès internet? il y a des failles? un moyen de contourner?
-
A partir du moment ou on parle de Mme Michu on ne parle pas de redirection de port.
Merci securiteinfo.com
Le NAT modifie les paquets IP et cela a pour conséquence directe de casser tout contôle d'intégrité au niveau IP et même aux niveaux supérieurs puisque TCP par exemple inclue les adresses dans ses checksums. Concrètement, on se rend compte qu'un protocole de sécurisation des datagrammes comme IPSec est totalement incompatible avec le NAT, que ce soit en mode tunneling ou transport.
Un NAT évolué a tendance à remonter les couches pour étudier les protocoles de transport afin de rassembler assez d'informations pour chaque contexte. Tout chiffrement à ce niveau empêcherait donc le NAT de fonctionner, puisque les informations seraient alors cryptées.
Mme Michu n'a pas à comprendre cela, mais ce serait bien que pour ceux qui en parlent, le NAT soit autre chose qu'une redirection de port :)
-
Euh un firewall même un tamagotchi peut le faire tourner, ça demande 0 ressource. Quand tu vois les proc dans les V6 ou livebox play, c'est vraiment pas une préoccupation ;D
rien n'est gratuit meme pas un firewall ipv6 derrière un ligne fibre a 200Mbs (voir plus). y'a forcement une consommation de ressource.
Concernant les V6 ou livebox play, je sais pas j'ai pas approfondi la question (et j'ai pas les sources:p) . faut pas confondre le cpu de la server et celui de la player. c'est pas du même ordre. faut pas non plus comparer a un PC tournant sous linux. Souvent les box ont des puces annexes pour traiter en hardware certaines fonctionnalitées et ont des restrictions niveau OS (par exemple souvent y'a pas de pagination possible, tout est calculé pour tenir en RAM).
Je sais pas pour la livebox play mais ,de mémoire, il me semble que le cpu de la Freebox V6 est 'hardware assisted' pour ipv4 seulement (c'est un marvell kirkwood je crois).
c'est peut-etre la raison pour laquelle la V6 n'a aucune securité en ipv6. ou pas. seul l'avenir le dira (ou la v7 viendra avant le besoin).
mais c'est pas si trivial de dire que c'est pas une préoccupation.
-
C'est drôle (ou pas) de justement continuer à se coltiner du NAT alors qu'IPv6 est prévu pour ne plus jamais avoir à gérer ce mécanisme :( C'est vraiment un mauvais reflexe de penser que le NAT sécurise en quoi que ce soit un accès internet. Le NAT n'a pas de vocation à supléer/remplacer un firewall. Cette idée a la vie dure
ca depend de quoi on parle.
NAT (1-1) non mais PAT (1-N) oui. la confusion vient souvent de ça surtout quand on passe en ipv6 ou le PAT n'est plus nécessaire pour aller sur Internet.
en scénario grand public/soho le PAT est largement suffisant pour la sécurité. Pour les flux entrants, un firewall derrière un PAT ca sert quasiment a rien (d'ailleurs pour les pro ces 2 notions sont un peu mélangées: le PAT étant souvent vu comme une fonctionnalité parmi d'autres d'un firewall).
-
arf je me suis encore planté dans l'acronyme. NAT/PAT ....
et complètement d'accord avec kgersen
je ne vois pas vraiment les entreprises laisser comme ça toutes les machines disposer d'une adresse internet visible depuis l'extérieur!!!
ça fait un risque de plus d'avoir des soucis de sécurité
avec un pat les machines qui n'ont pas de redirection de ports sont invisibles depuis internet. je ne vois pas comment tu peux faire plus de sécurité aussi facilement.
pour le vpn je ne vois pas bien ce que ça change....
je ne sais pas quel techno utilise openvpn pour chiffre les données mais ça marche parfaitement derrière un PAT de chaque cotés (client/serveur)
-
j'espere que la Livebox est plus "prete" que la Freebox qui est une vraie passoire en IPv6
Ah oui?
La Freebox fait ce qu'on lui demande de faire : c'est un routeur, elle route, ni plus, ni moins. (Sauf que le support IPv6 est à moitié cassé sur la Freebox ution, mais c'est une autre histoire, ça ne concerne pas la Freebox v5.)
(sans parler du manque de dns v6)
-
Les OS récents ont des pare-feu activés par défaut avec des configurations saines.
Un OS bien conçu ne démarre aucun service réseau accessible depuis l'extérieur sans qu'on lui demande. Point final.
Un OS pas complètement con n'a donc pas besoin d'un filtre de paquets.
Ce n'est plus comme le début du siècle où Netbios était accessible de n'importe où.
Seul un OS aussi débile que Windows a besoin d'activer pare-feu pour désactiver une fonction de partage de fichier. (Et bizarrement, cela dérange moins de gens que le fait de cliquer sur Démarrer pour arrêter l'ordinateur.)
-
oui pour les PC/Mac mais ca protege pas des exploits 0 day contrairement a un firewall sur le routeur.
Ah oui, des exploits dans quel genre? Tu as un exemple en tête?
En quoi un pare-feu ne protège pas?
En quoi un pare-feu sur la box, qui ne connait pas les besoins de chaque PC, pourrait faire mieux qu'un pare-feu sur le PC?
mettez une tablette ou un smartphone Android en wifi sur une Freebox activée en V6 et aller sur http://ipv6.chappell-family.com/ipv6tcptest/ (http://ipv6.chappell-family.com/ipv6tcptest/) puis lancer le test.
Qu'est-ce qu'on voit dans ce cas?
ou installez une app style IP Webcam sur la tablette et n'importe qui dans le monde qui a l'ip de la tablette peut voir votre video.
Et alors, qu'est-ce que ça peut faire?
Tu espères quoi en installant une telle appli?
le dilemme et la question aux FAI c'est est-ce qu'en IPv6 la box doit être un bete routeur sans protection ou aussi inclure un firewall qui offre le meme niveau de protection qu'un simple PAT v4.
Quelle protection?
Une protection contre les applications que les idiots installent? Pour ça il faut un bac à sable, pas un pare-feu.
le dilemme aussi est-ce que les box auront le cpu/ram qu'il faut pour faire tourner ce firewall sur une liaison fibre a 100 Mbs ou 200 Mbs avec plusieurs appareils sur le lan.
Un filtre de paquet sans états c'est hyper simple par rapport à un suivi de connexion plus un NAT!
-
au pire tu colle un NAT sur ta box en ipv6:
Ou comment tu nettoies la Joconde au Karcher parce que ça va plus "vite".
Sauf que ton NAT IPv6, il va falloir commencer par l'implèmenter.
ta box répond à une adresse ipv6
Tu parles d'ouverture TCP passive sur la box, là?
Donc de Destination NAT?
ta box répond à une adresse ipv6 et derrière tu as tous tes équipements en ipv4
ça doit ètre faisable comme truc ça. (et surtout beaucoup plus simple pour gérer tous les équipements.)
Tu m'expliques comment tu traduis les adresses IPv6 distantes en IPv4.
Ou alors tu veux parler de PROXY?
-
C'est drôle (ou pas) de justement continuer à se coltiner du NAT alors qu'IPv6 est prévu pour ne plus jamais avoir à gérer ce mécanisme :(
Par manque d'adresses Internet v4, certains ne vont avoir que de l'IPv6; donc ils vont devoir faire du NAT64 : un intermédiaire NAT (en fait PROXY) chez le FAI pour masquer leur adresse publique Internet v6 pour la remplacer par une adresse Internet v4, couplé à un DNS menteur chez le FAI qui remplace les adresses IPv4 par de l'adresse IPv6 du boitier NAT-PROXY!
C'est à vomir!
C'est vraiment un mauvais reflexe de penser que le NAT sécurise en quoi que ce soit un accès internet. Le NAT n'a pas de vocation à supléer/remplacer un firewall. Cette idée a la vie dure
Mais en pratique certains se sont appuyés là dessus!
Et c'est très malsain parce que la plupart des gens ne comprennent pas les mécanismes en place dans leur box, comme notre ignorant de référence (désolé butler_fr) :
comment ça peut marcher ce truc??
en gros tu te connecte au serveur
tu lui dit que tu veux passer en actif
tu lui dit que tu viens de 192.168.1.10
et il te répond sur ton ip internet...
Ignorance bien commune, puisque l'administrateur des pages perso de Free ne pensait pas non plus que ça puisse marcher!
Pour moi on ne peut pas fonder la sécurité informatique sur les systèmes dont on méconnaît la sémantique. Au contraire, selon moi la sécurité informatique vient de la maîtrise par la connaissance profonde des comportements des sous-système.
-
Des 0days contre une machine ayant tous les ports clos; il n'y a pas beaucoup (un dans la stack IPv6 de Windows NT 6).
S'il y a des vulnérabilités dans la pile IP c'est qu'elle est passablement immature!
Flash back sur le TCP SYN avec l'adresse destination en adresse source, qui faisait boucler le bousin, prenant beaucoup de ressources pendant plusieurs secondes.
Enfin je ne suis pas sûr qu'un pare-feu sur la box la protégerait contre ça. Il faut voir la config exact du pare-feu.
-
je suis désolé mais pour Mme michu qui désactive sont firewall parce qu'il l'empêche de faire une partie de jeux en réseau avec son fils, le NAT est une bonne solution!
Je suis désolé, mais tu illustres le fait que ces conneries parasites ne font que faire empirer la sécurité informatique :
- un PC n'a pas à ouvrir de services extérieurs qui ne sont pas voulu; c'est juste du bon sens.
- un pare-feu peut à la rigueur avoir un rôle défensif, pour avoir une deuxième barrière dans une défense en profondeur. C'est ce qu'on entend TOUJOURS (et ça me gonfle) dès qu'il est question d'un mécanisme de sécurité passablement inutile : "blabla profondeur blabla". Sauf que l'existence d'une deuxième barrière suppose qu'on en ait déjà mis en place une première (dont on admet qu'elle pourrait être défaillante, buguée, mal configurée, etc.). Donc il faut avant tout se demander si la première barrière a été mise en place, si elle l'a été correctement. L'accumulation de murs en carton-pâte ne remplace pas un mur solide.
- sachant qu'il y a plus loin une deuxième barrière, les gens négligent la première. Le sentiment de protection est DANGEREUX.
je suis désolé mais pour Mme michu qui désactive sont firewall parce qu'il l'empêche de faire une partie de jeux en réseau avec son fils
Si il faut désactiver le pare-feu, c'est qu'il interfère avec l'usage VOULU du PC. C'est donc une nuisance. Il rend le PC MOINS FONCTIONNEL. Au lieu d'empêcher les dysfonctionnement, il cause un dysfonctionnement.
Si il faut que Mme Michu désactive le pare-feu, c'est parce qu'elle ne sait pas faire sans désactiver le pare-feu, parce qu'elle n'y comprend rien. Pourtant c'est tellement simple!
(https://lafibre.info/index.php?action=dlattach;topic=8810.0;attach=2408;image)
C'est beau, non? Et encore, je montre le pare-feu avancé de Windows Vista. Le pare-feu pas avancé est tout simplement inutilisable.
De plus pour nous geek
C'est à dire?
Ceux qui font du P2P?
Ceux qui comprennent les mécanismes en jeu dans chaque couche réseau?
De plus pour nous geek c'est peut être utile d'avoir plusieurs adresses sur internet (encore que...), mais alors pour Mme Michu je vois franchement pas l'intérêt.
L'intérêt est évident : tous les protocoles P2P marchent directement.
Tu crois vraiment que Mme Michu ne fait que du DNS, HTTP, IMAP, SMTP?
si tu as besoins d'accéder à ta machine depuis internet tu redirige un port.
Ah oui, vive l'informatique facile.
Et pour un protocole avec connexion de donnée séparée (comme FTP, RTSP...)? Tu t'amuses avec les plages de ports?
Et pour le P2P qui est totalement dynamique?
pourquoi dis tu que le nat ne sécurise pas un accès internet? il y a des failles? un moyen de contourner?
Déjà commence par définir "sécuriser un accès internet"!
Si tu trouves, la HADOPI sera bien avancée.
-
y'a la théorie des systèmes bien conçus et sur lesquels on a tout prévu et que même madame Michu peut utiliser sans risque.
ceux la j'en connais aucun.
et puis y'a la réalité pratique. Les bugs, les oublis et les cas pas prévus y'en a plein.
c'est pour ca qu'ouvrir son LAN complètement a Internet sans aucune précaution en pensant que les équipements qui sont dessus sont bien conçus c'est utopiste.
Meme au bas niveau on est pas sur de la stack IP v6 car dans beaucoup de systèmes et d'appareils c'est nouveau et ca n'a pas encore passé l'épreuve du temps et des millions de tentatives d'intrusion comme IP v4 a subit.
"Un PC n'a pas a ouvrir de services extérieurs qui ne sont pas voulus" oui c'est du bon sens mais la pratique est tout autre.
moi je vois le LAN comme le couloir d'une maison: y'a la porte principale qui va dehors (internet) et le couloir avec une porte pour chaque piece (ordis, tablettes, etc).
je préfere mettre une porte blindée a l'entrée principale (un firewall) plutot que d'aller m'assurer que toutes les portes dans le couloir sont correctement conçues.
Actuellement le passage a IPv6 des box c'est un bête routage: on ouvre la porte toute grande. on fait on l’enlève carrèment et on expose directement le couloir.
Avoir un point unique de sécurité , ce n'est pas qu'un sentiment de protection c'est surtout aussi très pratique de centraliser ça en un seul endroit. Sans parler que ca facilite sans risque la communication entre les périphériques du meme LAN (exemple de la web cam pour monitorer bébé dans la chambre).
oui les utilisateurs sont des neuneus c'est normal c'est pas leur métier donc faut pas compter la dessus. Rendre les systèmes plus facile d'utilisation et sans risque ? oui "c'est en cours' diront la plupart des constructeurs mais on fait quoi en attendant ?
le plus simple c'est d'offrir le même niveau de sécurité qu'offre un PAT v4, ni plus ni moins. donc juste un stateful firewall sur la box qui ne laisse entrer que ce qui a été explicitement demandé ou configuré.
-
y'a la théorie des systèmes bien conçus et sur lesquels on a tout prévu et que même madame Michu peut utiliser sans risque.
ceux la j'en connais aucun.
Et tu en connais qu'on peut utiliser sans risque du moment qu'on a mis un filtre de paquets devant?
et puis y'a la réalité pratique. Les bugs, les oublis et les cas pas prévus y'en a plein.
Je sais.
Mais je ne vois pas ce qu'un kikirent-kikirentpa idiot va y faire.
c'est pour ca qu'ouvrir son LAN complètement a Internet sans aucune précaution en pensant que les équipements qui sont dessus sont bien conçus c'est utopiste.
Et penser qu'un filtre de paquet qui ne comprend pas tous les protocoles va aider c'est pas utopiste²?
Meme au bas niveau on est pas sur de la stack IP v6 car dans beaucoup de systèmes et d'appareils c'est nouveau et ca n'a pas encore passé l'épreuve du temps et des millions de tentatives d'intrusion comme IP v4 a subit.
Un pare-feu au milieu va bloquer ces tentatives? Comment?
"Un PC n'a pas a ouvrir de services extérieurs qui ne sont pas voulus" oui c'est du bon sens mais la pratique est tout autre.
Oui, j'ai mentionné Vista mais ce n'est pas le seul coupable.
Mais même Vista est fourni avec un pare-feu d'hôte qui bloque par défaut toutes les connexions entrantes (y compris venant du sous-réseau local; il faut passer par l'UAC pour autoriser le sous-réseau local).
moi je vois le LAN comme le couloir d'une maison: y'a la porte principale qui va dehors (internet) et le couloir avec une porte pour chaque piece (ordis, tablettes, etc).
je préfere mettre une porte blindée a l'entrée principale (un firewall) plutot que d'aller m'assurer que toutes les portes dans le couloir sont correctement conçues.
Tu te bases donc sur une analogie ridicule pour décider des filtres informatiques? :o
Actuellement le passage a IPv6 des box c'est un bête routage: on ouvre la porte toute grande. on fait on l’enlève carrèment et on expose directement le couloir.
Ouais ouais ouais.
Concrètement, tu nous décris une faille crédible en IPv6?
Avoir un point unique de sécurité , ce n'est pas qu'un sentiment de protection c'est surtout aussi très pratique de centraliser ça en un seul endroit.
Alors cet endroit ne doit surtout pas être une box que tu ne peux pas administrer!
oui les utilisateurs sont des neuneus c'est normal c'est pas leur métier donc faut pas compter la dessus.
Non, je ne dis PAS ça.
le plus simple c'est d'offrir le même niveau de sécurité qu'offre un PAT v4, ni plus ni moins.
C'est à dire?
Le PAT garantit quelle propriété de sécurité exactement?
donc juste un stateful firewall sur la box qui ne laisse entrer que ce qui a été explicitement demandé ou configuré.
C'est à dire?
Qu'est-ce qu'une "demande explicite"?
-
S'il y a des vulnérabilités dans la pile IP c'est qu'elle est passablement immature!
La stack réseau a été réécrite dans Windows NT 6.0 donc c'était immature.
C'était(c'est ?) comme l’implèmentation BGP dans NX-OS; pas tout à fait sec.
-
Et en plus ils n'ont pas tiré parti de leurs vulnérabilités passées.
Un paquet entrant dont l'IP source est l'IP destination, ça devrait être filtré très tôt! (avant d'atteindre la couche TCP ou TCPv6).
-
Waouh en forme corrector^^
Sauf que ton NAT IPv6, il va falloir commencer par l'implèmenter.
c'est bien possible je ne connais pas ce qui est possible en ipv6
Tu parles d'ouverture TCP passive sur la box, là?
Donc de Destination NAT?
Tu m'expliques comment tu traduis les adresses IPv6 distantes en IPv4.
Ou alors tu veux parler de PROXY?
je parle d'un truc qui jouerais exactement le même rôle qu'un patv4 actuel
dans l'idéal ça aurait été avec un transfert ipv6 pour le wan ipv4 pour le lan (pour le coté pratique d'une ipv4 pas trop complexe à utiliser) mais vus que ça n'a pas l'air possible un truc avec une ipv6 pour le wan et des ipv6 locale (ça éxiste ça???) pour le lan
Mais en pratique certains se sont appuyés là dessus!
Et c'est très malsain parce que la plupart des gens ne comprennent pas les mécanismes en place dans leur box, comme notre ignorant de référence (désolé butler_fr) :Ignorance bien commune, puisque l'administrateur des pages perso de Free ne pensait pas non plus que ça puisse marcher!
étant donné que je n'ai pas la prétention de tout connaitre et n'ayant quasiment pas eu de formation dans le domaine ça ne me dérange pas d'être un ignorant!, j'apprend tous les jours sur ce forum (c'est assez génial d'ailleurs!, une vrai mine de connaissances)
Pour moi on ne peut pas fonder la sécurité informatique sur les systèmes dont on méconnaît la sémantique. Au contraire, selon moi la sécurité informatique vient de la maîtrise par la connaissance profonde des comportements des sous-système.
oui c'est plutôt logique sauf que qui connait comment réagi chaque petit bout des sous systèmes?
il y a toujours quelques chose que tu croyais connaitre qui possède une petite surprise, et ne réagi pas comme tu l'attendais
Je suis désolé, mais tu illustres le fait que ces conneries parasites ne font que faire empirer la sécurité informatique :
- un PC n'a pas à ouvrir de services extérieurs qui ne sont pas voulu; c'est juste du bon sens.
- un pare-feu peut à la rigueur avoir un rôle défensif, pour avoir une deuxième barrière dans une défense en profondeur. C'est ce qu'on entend TOUJOURS (et ça me gonfle) dès qu'il est question d'un mécanisme de sécurité passablement inutile : "blabla profondeur blabla". Sauf que l'existence d'une deuxième barrière suppose qu'on en ait déjà mis en place une première (dont on admet qu'elle pourrait être défaillante, buguée, mal configurée, etc.). Donc il faut avant tout se demander si la première barrière a été mise en place, si elle l'a été correctement. L'accumulation de murs en carton-pâte ne remplace pas un mur solide.
- sachant qu'il y a plus loin une deuxième barrière, les gens négligent la première. Le sentiment de protection est DANGEREUX.
Si il faut désactiver le pare-feu, c'est qu'il interfère avec l'usage VOULU du PC. C'est donc une nuisance. Il rend le PC MOINS FONCTIONNEL. Au lieu d'empêcher les dysfonctionnement, il cause un dysfonctionnement.
Si il faut que Mme Michu désactive le pare-feu, c'est parce qu'elle ne sait pas faire sans désactiver le pare-feu, parce qu'elle n'y comprend rien. Pourtant c'est tellement simple!
C'est beau, non? Et encore, je montre le pare-feu avancé de Windows Vista. Le pare-feu pas avancé est tout simplement inutilisable.
je suis d'accord avec toi sur le système, mais franchement tu lui fais assez confiance à windows pour le laisser sans parfeu sur un réseau publique?
pas moi!
linux je lui ferais assez confiance après avoir bien pris le temps de blindé tous les services (cloisonnement des droits utilisateurs, droits sur les fichiers, fail2ban pour le brute force ....)
le parfeu de windows est une plaie à configurer il bloque des trucs sans te le demander, en autorise d'autre idem
il n'est pas intuitif au possible, et surtout ne possède que 2 modes radicalement différents expert et basique:
expert tu as tout jusqu'à la plus petite option utilisée par seulement 2 gus
et basique tu n'a rien (ON/OFF youpi!)
un bon parfeu peu te protèger contre certaines attaques basiques nottament le "man in the middle", certains arrivent à détecter l'usurpation et bloque l'attaque. (attaque totalement transparente en http, https c'est une autre histoire).
geek
C'est à dire?
Ceux qui font du P2P?
Ceux qui comprennent les mécanismes en jeu dans chaque couche réseau?
par geek je défini les utilisateurs qui ont une utilisation poussée d'internet, avec usage de nas, serveurs web
la Mme michu qui utilise Icloud/skydrive pour ses fichiers elle s'en fout d'avoir son PC exposé directement sur internet (je pense qu'elle préfèrerai le contraire si elle savais).
L'intérêt est évident : tous les protocoles P2P marchent directement.
je ne sais pas de quels protocoles P2P tu veux parler mais pour moi je n'ai jamais eu besoin de rediriger un ports vers mon PC perso (torrent &cie marchent directs)
et je préfère de loin me heurter à un problème devoir réfléchir pour comprendre pourquoi ça ne marche pas et agir en conséquence, que ça marche du premier coup ne pas comprendre pourquoi et être avoir une faille béante de sécurité.
pour moi un principe de base de la sécu:
tout ce qui n'est pas explicitement décris comme autorisé doit être bloqué.
Tu crois vraiment que Mme Michu ne fait que du DNS, HTTP, IMAP, SMTP?
en grande partie oui.
je pense que tu peux rajouter P2P, et jeux en réseaux et tu as fais le tour de la plupart des usages d'internet pour une grande majorité de personnes
Ah oui, vive l'informatique facile.
Et pour un protocole avec connexion de donnée séparée (comme FTP, RTSP...)? Tu t'amuses avec les plages de ports?
Et pour le P2P qui est totalement dynamique?
Déjà commence par définir "sécuriser un accès internet"!
Si tu trouves, la HADOPI sera bien avancée.
FTP si tu utilisesun serveur en mode passif tu n'a pas à toucher à quoi que ce soit (c'est un peu le but du mode d'ailleurs)
encore une fois pour moi le P2P ça marche directement derrière un PAT
sécuriser complètement n'est pas ce que je voulais dire: ça apporte une sécurité supplèmentaire, qui est invisible pour une bonne partie des utlisateurs
-
étant donné que je n'ai pas la prétention de tout connaitre et n'ayant quasiment pas eu de formation dans le domaine ça ne me dérange pas d'être un ignorant!, j'apprend tous les jours sur ce forum (c'est assez génial d'ailleurs!, une vrai mine de connaissances)
Il ne s'agit pas d'avoir une connaissance encyclopédique parfaite, il s'agit de ne pas faire d'erreur qui porte à conséquence. Aujourd'hui plus personne ne connait un système complexe au niveau de chaque couche d'abstraction, chaque sous-système : certains travaillent certaines couches, ils ont une vague idée des autres, mais pas une idée précise du moindre composant. C'est vrai quand un PC comme dans un avion moderne. (Peut-être plus dans un PC.)
Tu avais une intuition qui te disait qu'envoyer une suite de nombre sur une socket TCP allait faire apparaître la même données sur le serveur (c'est évidemment l'intuition la plus commune), mais ce n'est vrai que presque tout le temps. Et avec des choses presque tout le temps valable beaucoup de contrôles d'accès ont été contournées. Je ne dis pas qu'il y a là une faille de sécurité, je dis qu'une faille de compréhension peut finir en faille de sécurité.
oui c'est plutôt logique sauf que qui connait comment réagi chaque petit bout des sous systèmes?
il y a toujours quelques chose que tu croyais connaitre qui possède une petite surprise, et ne réagi pas comme tu l'attendais
Donc pour éviter les surprises je préfère éviter d'introduire des composants complexes dont le comportement est difficile à définir, comme le NAT.
je suis d'accord avec toi sur le système, mais franchement tu lui fais assez confiance à windows pour le laisser sans parfeu sur un réseau publique?
Au contraire, comme j'ai indiqué le pare-feu intégré de Vista n'est même pas une deuxième ligne de défense : c'est l'outil de désactivation de certaines fonctions :
- si j'essaie de désactiver le pare-feu, cela réactive la fonction partage de fichier (cela ne veut pas dire que des fichiers en particulier sont accessibles automatiquement, mais la fonction est potentiellement utilisable, et potentiellement vulnérable)
- si j'essaie de désactiver le partage, Windows me dit que ça réactive le pare-feu
Donc je n'ai pas le choix si je ne veux pas activer le partage (il doit y avoir d'autres moyens de désactiver le partage en arrêtant des services, mais c'est moins évident et je ne veux pas m'y risquer).
le parfeu de windows est une plaie à configurer il bloque des trucs sans te le demander, en autorise d'autre idem
Et puis il a cette notion de réseau privé/public, qui peut sembler intuitive au premier abord, mais qui est en fait horrible puisqu'il :
- faut dupliquer absolument toutes les règles (il n'y a pas d'héritage de règles - en tout cas je ne sais pas comment en faire)
- à cause de ses automatismes qui-facilitent-la-vie bidons, il bascule parfois de public à privé
il n'est pas intuitif au possible, et surtout ne possède que 2 modes radicalement différents expert et basique:
expert tu as tout jusqu'à la plus petite option utilisée par seulement 2 gus
et basique tu n'a rien (ON/OFF youpi!)
Même en "mode basic" sous Vista tu as une UAC qui te demande une autorisation de réseau pour telle application. (Et entre parenthèses je ne vois pas ce qui empêche un virus quelconque de s'implanter dans un processus autorisé pour faire du réseau.)
je ne sais pas de quels protocoles P2P tu veux parler mais pour moi je n'ai jamais eu besoin de rediriger un ports vers mon PC perso (torrent &cie marchent directs)
Tu veux dire qu'ils marchent complètement avec toutes les fonctionnalités attendues (pas de "low ID" ou équivalent) et cela sans utiliser UPnP IGD ou équivalent?
Skype y arrive par des contorsions épouvantables.
D'autres y arrivent en utilisant uniquement UDP.
D'autres en TCP en faisant des hypothèses sur TCP qui ne sont pas valables pour toutes les NAT-box.
Etc.
De toute façon, tu ne peux pas défendre un mécanisme en disant : ben de toute façon les programmes dont j'ai besoin arrivent bien à le CONTOURNER. C'est comme de dire : j'ai une porte solide, mais si je perds ma clé c'est pas grave : un coup d'épaule et hop je rentre.
et je préfère de loin me heurter à un problème devoir réfléchir pour comprendre pourquoi ça ne marche pas et agir en conséquence, que ça marche du premier coup ne pas comprendre pourquoi et être avoir une faille béante de sécurité.
Oui si tu peux réfléchir et agir, donc si tu as une information utilisable sur le blocage.
Moi je fais comme Mme Michu : si ça marche pas, je désactive le pare-feu Windows!
pour moi un principe de base de la sécu:
tout ce qui n'est pas explicitement décris comme autorisé doit être bloqué.
Mouais, avec ça on est bien avancé. Comment tu décris ce qui est autorisé en terme de paquets IP?
un bon parfeu peu te protèger contre certaines attaques basiques nottament le "man in the middle", certains arrivent à détecter l'usurpation et bloque l'attaque. (attaque totalement transparente en http, https c'est une autre histoire).
Comment ça marche?
-
Corrector, je connais pas ton niveau de connaissance mais vu tes posts et la facon dont tu "quotes" par courtes phrases, soit tu troll a dessein, soit tu cherches je sais pas quoi. ;D
c'est assez pénible a lire et encore plus de répondre point par point. on est pas en discussion vocale, on essai juste d'avoir un débat plus ou moins constructif dans un forum écrit.
mon conseil: essais peut-être d'expliquer ton point de vue sur la question si t'en a un. c'est plus facile a échanger que ces rafales de remarques/questions.
cela dit:
oui un filtre de paquet qui ne comprend pas tous les protocoles est plus utile que rien
oui l'analogie avec le couloir est très utile pour faire comprendre la chose a des gens moins impliqués dans le domaine, on appelle ça pédagogie. je ne vois pas en quoi elle est ridicule.
une faille crédible en IPv6? j'ai déjà donné un exemple avec les tablettes dans un post précédent de ce fil.
niveau de sécurité du PAT : même chose qu'un stateful firewall en config de base. plus de details (http://fr.lmgtfy.com/?q=stateful+firewall).
demande explicite = un poste qui demande une page web sur un serveur distant par exemple ou un appli qui demande l'ouverture d'un port (p2p, ftp, etc).
-
Corrector, je connais pas ton niveau de connaissance mais vu tes posts et la facon dont tu "quotes" par courtes phrases, soit tu troll a dessein, soit tu cherches je sais pas quoi. ;D
???
c'est assez pénible a lire et encore plus de répondre point par point.
???
Répondre point par point c'est pénible? Répondre des généralités c'est plus facile alors?
mon conseil: essais peut-être d'expliquer ton point de vue sur la question si t'en a un. c'est plus facile a échanger que ces rafales de remarques/questions.
Je viens de le faire. Je le fais depuis les années.
Mais j'ai l'habitude de parler dans le vide. Il m'est arrivé de marteler UNE idée de forte pendant plus d'une heure et que la personne en face de moi après m'avoir écouté "poliment" (enfin sans rien dire), recommence son discours comme si je n'avais RIEN dit du tout.
oui un filtre de paquet qui ne comprend pas tous les protocoles est plus utile que rien
Utile dans quelle mesure?
oui l'analogie avec le couloir est très utile pour faire comprendre la chose a des gens moins impliqués dans le domaine, on appelle ça pédagogie.
Non pas du tout. Moi j'appelle ça raconter n'importe quoi.
Cette analogie n'éclaire rien.
je ne vois pas en quoi elle est ridicule.
Parce que parler de portes plus ou moins solides c'est pertinent?
une faille crédible en IPv6? j'ai déjà donné un exemple avec les tablettes dans un post précédent de ce fil.
Non, tu n'as donné AUCUN exemple précis.
Tu t'en tiens à des généralités, et ça ne me suffit pas. Moi je veux du concret, des choses précises, et des réponses point par point.
niveau de sécurité du PAT : même chose qu'un stateful firewall en config de base. plus de details (http://fr.lmgtfy.com/?q=stateful+firewall).
Je donne des arguments précis, tu me dis d'observer l'univers.
Il faut que tu définisses "stateful firewall"!
-
je pensais que tu connaissais le domaine et trollais a dessein. autant pour moi.
donc je m'explique sur stateful firewall:
stateful firewall = tout trafic sortant est autorisé. tout trafic entrant est interdit sauf s'il correspond au retour d'une requête suite a un trafic sortant (donc ca travail au niveau TCP/UDP , un cran plus haut qu'IP). En gros le firewall maintient pour chaque postes sur le LAN la liste des connections que ce poste a ouvert sur l’extérieur et autorise le trafic de retour correspondant a ces connections et que ca. c'est la même chose qui se passe en PAT sauf qu'au passage l’adresse IP est changée et les ports aussi. d'ailleurs souvent un firewall sait faire le PAT aussi. Le niveau de sécurité est le même. voir même un plus fort pour le PAT a cause du changement des d’adresses et ports.
donc en IPv6 il suffirait d'un simple stateful firewall dans la box pour retrouver le même niveau de sécurité qu'un PAT. Ce n'est pas le cas aujourd'hui et je trouve ça dommage. c'est juste mon avis.
-
Je te trouve un poil utopiste corrector (je sens que je vais me le reprendre à vitesse grand V ça) sur ton analyse sur ce point précis:
OUI il serait vraiment pas mal de ne pas avoir de Nat/PAT ou autres système entre la machine et internet.
mais un truc important qu'il ne faut pas oublier, c'est que la plupart des utilisateurs font tout et n'importe quoi par ignorance, et que les systèmes sont faillibles.
donc pour moi il serait inconscient de mettre tous les pc de tout le monde en open bar sur internet. il faut un minimum les planquer firewall ou PAT ou autre système du genre.
Pour le P2P, tu me fout un doute, faut que je regarde (installé lancé ça a marché j'ai pas été chercher plus loin).
pour les règles de blocages je parlais des ports/protocoles/destination/sources.
tu autorise par exemple le traffic web sur le port 80 vers toutes les destinations depuis toutes les sources (ou pas d'ailleurs)
tu autorise le traffic ssh sur le port 22 vers 1 poste depuis 2 sources (le pc de l'admin système + son collègue par exemple)
bref je supose que je ne t'apprend rien avec ça.
pour le parfeu qui protège des attaques man in the middle, il y a une vérifications du nombre de paquets ARP et de leur provenance. un attaquant va spammer le réseau pour se faire passer pour la passerelle, en donnant à tous le monde son adresse mac pour l'ip de la passerelle avec des paquets arp en permanence.
bon moi je suis entrain de m'endormir devant mon pc donc je vais aller me coucher(si il y a des formulations bizarres c'est que j'étais trop crevé^^)
ps: je trouve l'analogie du couloir avec les portes plutôt pertinente
edit: je vote pour le firewall statefull en lieu et place de mon PATv6 bizarroïde ^^
-
Je te trouve un poil utopiste corrector (je sens que je vais me le reprendre à vitesse grand V ça)
Exact, il n'y a aucune utopie ici. Je crois que tu confonds plusieurs choses.
Dire "il serait idéal que les programmes n'aient pas de bugs" est de l'ordre de la préférence, du souhait, pas de l'utopie.
Si par contre je dis "considérons un monde où aucun programme n'a le moindre bug, alors on pourrait faire ça et ça", là c'est clairement la description d'une utopie, et en plus ça ne donne pas le début d'une piste pour trouver un moyen de s'en rapprocher.
Si je dis "considérons un monde où les gens passent à IPv6 et n'accordent pas de vertu magique au NAT", alors c'est peut être utopique mais on peut s'en approcher en demandant aux gens ce qu'ils attendent vraiment du NAT et en démontrant que les alternatives sont strictement meilleures.
Je ne retiens pas mon souffle en attendant que les programmes aient moins de bugs, ou que les gens comprennent qu'en IPv6 c'est mieux.
OUI il serait vraiment pas mal de ne pas avoir de Nat/PAT ou autres système entre la machine et internet.
mais
Il faudrait savoir. Ce serait mieux ou ce ne serait pas mieux?
un truc important qu'il ne faut pas oublier, c'est que la plupart des utilisateurs font tout et n'importe quoi par ignorance, et que les systèmes sont faillibles.
Sauf qu'en fait je ne vois pas ce que ça apporte de ne pas l'oublier. Une fois qu'on a dit que certains utilisateurs :
- ne liront pas les messages affichés
- ne tiendront pas compte des explications données oralement (avec parfois des répliques hallucinantes : une personne à qui je recommandais, avant de penser à installer un antivirus, de faire preuve d'une prudence élèmentaire avant de télécharger des exécutables, ce que les éditeurs d'antivirus conseillent aussi, cette personne m'a répondu que c'était bien un discours COMMERCIAL de vendeurs d'antivirus - oui, vous avez bien lu, une personne m'a soutenu droit dans les yeux qu'un discours soutenant que le facteur primordial de la sécurité informatique était la prudence et non le fait d'avoir un anti-virus était un discours pour vendre des anti-virus).
- cliqueront sur n'importe quel bouton, même s'il y a marqué "DANGER - voulez-vous continuer?"
QU'EST-CE QU'ON FAIT DE CELA?
On bride les ordinateurs pour qu'ils ne puissent pas faire de bêtise?
C'est en cours malheureusement :
- sous le logiciel libre (mais opposé à l'exercice de cette liberté par les utilisateur) Firefox : le fait de naviguer sur un site HTTPS présentant un certificat invérifiable a été rendu extrêmement pénible, AU NOM des utilisateurs crétins dont tu parles; et tu sais quoi? et bien une utilisatrice a passé cette interface pénible pour
La RÉFUTATION de la pertinence de cette approche de nuisance à l'utilisateur par cette utilisatrice a été utilisée comme argument pour montre la PERTINENCE de cette approche!!!
Comme dans d'autres domaines politiques, un ÉCHEC est montré comme preuve qu'on avait RAISON : puisque cela n'a servit à rien, c'est bien qu'il faut aller encore plus loin dans la débilité!
On constate que la folie a atteint Mozilla - cet observation n'a en fait pas échappé à grand monde.
- sous un autre logiciel libre mais privateur de liberté, Android : le fait de définir globalement un proxy HTTP a été INTERDIT. Il faut maintenant définir un proxy pour chaque connexion Wifi!
Cette politique délirante de Google est censée protéger contre les interceptions, ou bien contre les bloqueurs de pub. Si il s'agit bien de protéger l'utilisateur contre lui-même, cela signifie que le système MAC inventé par Google de contrôle d'accès fin par application avec des permissions qui sont présentées à l'utilisateur NE MARCHE PAS parce que l'utilisateur ne peut pas lire et comprendre une liste de permissions.
Il y a des utilisateurs irresponsables, incompétents, et surtout les deux à fois.
EN QUOI UN PARE-FEU PEUT PROTÉGER UN UTILISATEUR INCOMPÉTENT CONTRE LUI-MÊME?
-
mais un truc important qu'il ne faut pas oublier, c'est que la plupart des utilisateurs font tout et n'importe quoi par ignorance, et que les systèmes sont faillibles.
donc pour moi il serait inconscient de mettre tous les pc de tout le monde en open bar sur internet. il faut un minimum les planquer firewall ou PAT ou autre système du genre.
La faille qui consiste à ce qu'un PC qui n'est pas supposé activer en service réseau accessible depuis l'extérieur le fasse quand même me semble :
- énorme, au point que le risque est vraiment très faible
- grossière : si ce genre de chose arrive, c'est que le système est tellement obscur/incompréhensible/incontrôlable que je ne peux de toute façon pas lui faire confiance
- pas assez vraisemblable pour que je m'en inquiète sérieusement
pour les règles de blocages je parlais des ports/protocoles/destination/sources.
tu autorise par exemple le traffic web sur le port 80 vers toutes les destinations depuis toutes les sources (ou pas d'ailleurs)
tu autorise le traffic ssh sur le port 22 vers 1 poste depuis 2 sources (le pc de l'admin système + son collègue par exemple)
Pour ça je ne vais pas sortir un truc lourd et centralisé comme un pare-feu!
Si je veux faire cela, je configure le sshd (ou le tcpwrapper ou le xinetd qui lance le in.sshd) pour n'autoriser que certaines adresses.
ps: je trouve l'analogie du couloir avec les portes plutôt pertinente
Ben moi je la comprends pas du tout!
Ça représente quoi la solidité d'une porte dans cette analogie?
Et c'est quoi la serrure dans l'analogie? Et la clef? S'il y a des clefs, est-ce que c'est une analogie avec un crypto-système? Avec IPsec?
-
Waouh en forme corrector^^
c'est bien possible je ne connais pas ce qui est possible en ipv6je parle d'un truc qui jouerais exactement le même rôle qu'un patv4 actuel
Tu veux dire que tu prendrais tout le code NAT de netfilter (celui qui sert dans nos NAT-box IPv4 comme la Freebox) et tu mettrais des paquets et des adresses IPv6 partout, pour avoir le même fonctionnement, mais en IPv6?
Oui, conceptuellement je ne vois rien qui t'en empêche. C'est un peu un boulot de dingue, mais pourquoi pas.
Avec ça tu pourrais masquer le nombre de machines derrière ta box : toutes les connexions auraient pour IP source l'adresse de la box, comme en IPv4. Tu gagnes ainsi un peu de "vie privée" (que tu perds immédiatement si tu utilises un navigateur Web avec les cookies).
Mais tu peux arriver au même résultat de "vie privée" avec un proxy applicatif, par exemple un proxy HTTP anonymisant.
dans l'idéal ça aurait été avec un transfert ipv6 pour le wan ipv4
Ce qui n'a rien à voir avec ce qui précède! Là j'ai l'impression d'une très grosse incompréhension sur ce qu'est le NAT.
Si tu adaptes les algorithmes du NAT IPv4 mutatis mutandis, tu as du NAT IPv6, et pas du NAT IPv6 vers IPv4!
IPv4 vs. IPv6 c'est un peu comme la route vs. le rail, ou des rails d'un écartement et d'un autre. C'est pas les mêmes véhicules (les paquets c'est les véhicules).
Mettons qu'un chaque wagon sur une voie est envoyé à l'adresse qui se trouve sur une affiche collée sur le wagon, et que certains wagon utilisent un codage dont la signification n'est pas universelle : le wagon est routable sur le réseau de chemin de fers privé d'une société, mais s'il venait à en sortir il serait perdu parce qu'on ne comprendrait plus où il faut l'envoyer.
Le fonctionnement d'une NAT-box c'est pas adapter entre deux écartements de rails différents. C'est juste de modifier les code de routage sur l'affichette sur le wagon. C'est bien plus rapide!
Il faut distinguer :
Le SNAT = Source NAT
Le fonctionnement habituelle d'une NAT-box, les "connexions" sortantes sont possibles.
Pour cela on traduit l'adresse source d'une "connexion" par l'adresse interne "privée" par l'adresse de la box. L'adresse destination ne change pas!
Le DNAT = Destination NAT
Les "connexions" entrantes sont rendues possibles, c'est la "redirection de port" (ce que les zozos appellent "ouvrir un port sur la box").
Pour cela on traduit l'adresse destination d'une "connexion" par l'adresse l'adresse de la box par interne "privée" pré-configurée. L'adresse source ne change pas!
(Quand je dis traduit c'est bien de traduction qu'on parle : si chaise se traduit chair en anglais, alors chair en anglais se traduit en français par ...)
(pour faire simple, pensez : "connexion" = une connexion TCP)
et des ipv6 locale (ça éxiste ça???) pour le lan
Oui, il existe des adresses lien-locales en IPv6, c'est même sur ces adresses spéciales que tout le système repose.
Mais enfin le NAT ne suppose pas l'existence d'adresses "locales" ou "pas locales". Le NAT repose uniquement sur le fait que toutes les adresses utilisées sont routables. Mais un NAT a deux coté, qu'on peut appeler "public"/"privé" ou bien "extérieur"/intérieur", et les adresses de routage IP des machines coté intérieur ne sortent jamais comme adresses de routage IP coté extérieur (c'est à dire qu'elles ne sortent jamais dans les en-têtes IP, mais si elles apparaissent dans la charge utile, alors évidemment elles peuvent sortir).
-
FTP si tu utilisesun serveur en mode passif tu n'a pas à toucher à quoi que ce soit (c'est un peu le but du mode d'ailleurs)
Mouais, et si tu fais du P2P entre 3 PC reliés branchés sur le switch de la Freebox, ça marche aussi... mais c'est de la triche!
Le FTP est un exemple ancien, donc largement connu et standard. Ce n'est pas un bon exemple de protocole utile (pour faire quelque chose de sérieux on utilisera plutôt scp par exemple).
Quand on parle de FTP c'est parce que c'est un cas emblématique. L'intérêt n'est pas de dire "ça marche sous certaines conditions raisonnables" ni "FTP ça pue" (ces deux affirmations sont exactes) mais d'expliquer pourquoi ça marche ou pas en FTP.
L'intérêt de parler de FTP est de parler, pas de s'en servir. En l'occurrence c'est inutile de savoir qu'on peut faire du FTP en mode ceci cela parce qu'on je veux pas faire du FTP, je veux utiliser le protocole FTP pour illustrer une problématique générale.
L'accessibilité de clients et de serveurs FTP est une aide précieuse pour illustrer pratiquer cette histoire. Tout ce qui m'intéresse dans cette histoire c'est 4 commandes de FTP (PORT, PASV...).
FTP si tu utilisesun serveur en mode passif tu n'a pas à toucher à quoi que ce soit (c'est un peu le but du mode d'ailleurs)
Si tu as un serveur FTP derrière un NAT, ce n'est pas si simple; c'est justement le mode passif qui pose problème.
Compare un serveur FTP à un serveur HTTP ou SSH derrière un NAT.
sécuriser complètement n'est pas ce que je voulais dire: ça apporte une sécurité supplèmentaire, qui est invisible pour une bonne partie des utlisateurs
Pour que ça soit invisible il faut que cela n'interfère pas avec le fonctionnement normal des applications, y compris celles qui ne sont pas simplement sur le modèle client-serveur avec le client à l'intérieur d'un NAT et le serveur à l'extérieur.
-
donc je m'explique sur stateful firewall:
stateful firewall = tout trafic sortant est autorisé. tout trafic entrant est interdit sauf s'il correspond au retour d'une requête suite a un trafic sortant (donc ca travail au niveau TCP/UDP , un cran plus haut qu'IP). En gros le firewall maintient pour chaque postes sur le LAN la liste des connections que ce poste a ouvert sur l’extérieur et autorise le trafic de retour correspondant a ces connections et que ca. c'est la même chose qui se passe en PAT sauf qu'au passage l’adresse IP est changée et les ports aussi. d'ailleurs souvent un firewall sait faire le PAT aussi. Le niveau de sécurité est le même. voir même un plus fort pour le PAT a cause du changement des d’adresses et ports.
donc en IPv6 il suffirait d'un simple stateful firewall dans la box pour retrouver le même niveau de sécurité qu'un PAT. Ce n'est pas le cas aujourd'hui et je trouve ça dommage. c'est juste mon avis.
Et on se retrouve avec quelque chose de passablement complexe par rapport au simple routage.
Et concernant le client FTP en mode actif (commande PORT), il se passera quoi?
-
A partir du moment ou on parle de Mme Michu on ne parle pas de redirection de port.
Merci securiteinfo.com
Le NAT modifie les paquets IP et cela a pour conséquence directe de casser tout contôle d'intégrité au niveau IP et même aux niveaux supérieurs puisque TCP par exemple inclue les adresses dans ses checksums. Concrètement, on se rend compte qu'un protocole de sécurisation des datagrammes comme IPSec est totalement incompatible avec le NAT, que ce soit en mode tunneling ou transport.
Un NAT évolué a tendance à remonter les couches pour étudier les protocoles de transport afin de rassembler assez d'informations pour chaque contexte. Tout chiffrement à ce niveau empêcherait donc le NAT de fonctionner, puisque les informations seraient alors cryptées.
Mme Michu n'a pas à comprendre cela, mais ce serait bien que pour ceux qui en parlent, le NAT soit autre chose qu'une redirection de port :)
De façon générale les dispositifs placés à la frontière du réseau interne (et qui scrutent le trafic à la recherche de choses "anormales") n'aiment pas trop le chiffrement.
Donc pour les rendre plus efficaces, on s'interdit la sécurité de bout en bout d'un transport chiffré garantissant l'intégrité et la confidentialité.
-
je ne sais pas de quels protocoles P2P tu veux parler
N'importe quel protocole où un "pair" a besoin d'ouvrir une connexion avec un autre "pair"!
Il y a :
- des protocoles d'échange de fichier comme eDonkey
- des protocoles de communication chat/voix/visio (voir SIP)
- des protocoles d'anonymat dans le foule, comme Tor
encore une fois pour moi le P2P ça marche directement derrière un PAT
Ah oui, comment un pair derrière un PAT peut ouvrir une connexion avec un autre?
C'est bien ça le problème!
-
vous oubliez que les box/routeurs Internet supportent le protocole Upnp IGD. c'est exactement fait pour ces cas. ca permet a une application de demander a la box(routeur) d'ouvrir pour elle un port (ou une plage de ports).
par exemple si je veux heberger un serveur FTP sur mon PC. je prend un serveur FTP qui supporte UPnP IGD et automatiquement celui va faire ouvrir le port FTP sur la box et le rediriger sur le PC en question (en jargon on appele ca un upnp port mapping).
sans ce systeme je serais obligé d'aller dans la config de la box pour manuellement faire la redirection.
il y a un d'autre systemes equivalents notamment le NAT-PMP qui fait sensiblement la meme chose mais est moins supporté.
dans les box/routeur sans PAT (par exemple scénario ip V6) on peut utiliser le meme principe pour ouvrir les ports d'un firewall a la demande des applications.
-
Perso, je suis pour faire simple : empiler des restrictions (NAT et autre) et des moyens de les contourner automatiquement (Upnp IGD), c'est le risque d'avoir des bugs...
Un petit logiciel malicieux installé sur un PC n'a aucun pb pour ouvrir des ports afin de rendre visible le PC sur Internet malgré le NAT.
Avoir un skype qui saute le firewall et met tous les PC sans firewall sur le même réseau, c'est super risqué. Skype n'aurait pas fait des bidouilles de ce type si on avait une IP directement sur le Net.
Faire un bon firewall coté client me semble la meilleure solution pour simplifier tout.
-
la tu déporte le problème:
il faut bien que le parfeu sur le client détecte ce qu'il faut autoriser ou non.
soit il fait une détection automatique, et la il suffit de faire croire au firewall que tu es un programme sympa alors que tu es en réalité un truc qui va pomper toutes les données du pc
soit tu fais un truc d'autorisation manuelle et la l'utilisateur il accepte tout donc ça revient au même.
-
Il me semble plsu simple de sécuriser sur le PC car sur le routeur, pas moyen de savoir l'application qui a fait une demande Upnp alors que sur le PC c'est possible.
-
pas faux ça
après on peu imaginer une sorte de parfeu collaboratif ou les utilisateurs remontraient les programme malveillant, qui serait automatiquement black-listés.
-
Un petit logiciel malicieux installé sur un PC ...
tu fausses un peu le débat:
dans ce cas le mal est déjà fait, l'ennemi est dans les murs. aucune mesure interne aux machines ou a la périphérie du réseau n'y changera rien la.
toute sécurité réseau sur le LAN part du principe que l'utilisateur ne va pas installer ou exécuter des logiciels malveillants. contra ca c'est la sécurité applicative (logicielle) qui joue (antivirus, etc) et ça c'est un autre débat.
meme si la sécurité doit se voir comme un tout de haut en bas , vu la complexité des systèmes on est obligé de raisonner par couche quand meme.
Securiser un LAN par une firewall (ou un PAT) suffit largement a fournir un premier niveau de défense contre l’extérieur. mais ca n'est pas tout, loin de la. l'endroit le plus fragile est entre le clavier et la chaise et la on ne peut souvent pas y faire grand chose.
en entreprise on peut se permette de verrouiller les OS et les applications. A la maison c'est plus délicat et souvent ca nuit plus a l'usage qu'autre chose.
oui PAT+UPnP c'est pas le mieux en théorie mais c'est le mieux en pratique.
cela dit, il faut bien voir quel niveau de sécurité on met en place et contre qui. le but c'est pas d’empêcher le hacker expérimenté d'entrer, celui la trouvera généralement son chemin. le but c'est d’empêcher mr toutlemonde/le gamin d'a coté d'entrer parce qu'il a trouver sur Internet un programme marrant qui fait planter les ordis des autres ou prend la main sur leur webcam. bref empêcher l'effet viral/boule de neige d'une utilisation massive d'un défaut quelque part.
-
Je ne parles pas d'un hacker qui est sur le réseau mais un logiciel malveillant installée par Mme michu, par exemple pour regarder des films gratuits en streaming, ou installé a son insu.
Bref en cas de logiciel malveillant, il me semble plus simple de bloquer les actions de ce logiciel via un firewall logiciel sur le PC. Si on se met sur le réseau, sauf à mettre des règles très précises ou très restrictives, le logiciel arrivera à faire des connexions sortantes et entrantes sans problème.
N'oubliez pas qu'un début de l'ADSL, on était tous en direct sur internet avec nom modems ADSL USB (vous vous souvenez ?)
-
Bref en cas de logiciel malveillant, il me semble plus simple de bloquer les actions de ce logiciel via un firewall logiciel sur le PC. Si on se met sur le réseau, sauf à mettre des règles très précises ou très restrictives, le logiciel arrivera à faire des connexions sortantes et entrantes sans problème.
Avec un "pare-feu applicatif" tu peux limiter les logiciels qui ont accès au réseau : tu peux autoriser les connexions sortantes pour seulement la poignée de logiciels qui en ont clairement besoin (Web, mail, FTP, VoIP...) et bloquer tous les autres par défaut. Tu peux aussi bloquer le réseau pour certains utilisateurs, comme les fonctions d'administration internes (UID < 1000 en général), ce que fait aussi Windows Vista avec son "LocalServiceNetworkRestricted").
Pour que la plupart des logiciels soient interdits de réseau, il faut que les logiciels dont la fonction essentielle n'est pas d'accéder au réseau n'y accèdent JAMAIS : il faut donc qu'ils n'essaient pas de gérer eux-même les MàJ!
Dans la couche réseau de linux les paquets ne sont pas seulement des suites d'octets, ce sont des structures de données munies de plein d'informations, et chaque sous-système qui touche à un paquet peut positionner des drapeaux qui serviront ensuite à discriminer. Il est possible de connaitre l'UID du processus qui a généré un paquet émis localement par exemple.
Dès qu'on quitte l'OS qui exécute ces processus, il n'y a plus aucun moyen de discriminer les paquets selon leur origine exacte.
-
C'est drôle (ou pas) de justement continuer à se coltiner du NAT alors qu'IPv6 est prévu pour ne plus jamais avoir à gérer ce mécanisme
Tu parles du NAT (pur, 1à1, statique) ou du PAT là?
-
Tu parles du NAT (pur, 1à1, statique) ou du PAT là?
Le PAT.
Le simple NAT (translation 1:1) est désormais implèmenté dans le kernel Linux ...
-
Corrector, tu as tout compris (sans ironie!)
y'a la théorie des systèmes bien conçus et sur lesquels on a tout prévu et que même madame Michu peut utiliser sans risque.
ceux la j'en connais aucun.
Debian.
je suis d'accord avec toi sur le système, mais franchement tu lui fais assez confiance à windows pour le laisser sans parfeu sur un réseau publique?
pas moi!
Si tu fais confiance à microsoft, on n'peux rien pour toi ..
A propos, le nat ipv6 est implèmenté dans le kernel 3.7. Pourquoi si tard ? Parcque c'est une fonctionnalité zombie, qui n'est utile que dans 0,005% des cas. La majorité des devs du kernel sont d'accords avec ca, la fonctionnalité n'est la que pour couvrir l'extraordinaire.
A propos, également, la majorité des trucs malins sur ta machine se connectent vers l'extérieur. Ils vont donc traverser ton nat/pat/cat, netfilter & compagnie.
Le NAT est utilisé massivement depuis longtemps, et la viralité informatique se porte très bien.
Quant aux services de photo ouverts au monde entier, c'est une question d'éducation des gens. Ca m'rappelle les gens qui se masturbent devant une cam, et qui se prennent une demande de rançon "sinon j'envoye la vidéo à tes parents/proches". Activité cognitive nulle ..
Pour conclure, une citation a propos d'Unix, qui résume ce que je pense:
"Unix was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things."
Unix n'est pas conçu pour empêcher ses utilisateurs de faire des choses stupides, ce serait aussi les empêcher de faire des choses intelligentes.
Et une autre de Thomas Jefferson:
"Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux"
-
Pitié pas la dernière, ils se passaient le mot entre eux entre présidents ?
Benjamin Franklin : Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.
Aussi pertinente soit-elle, je la vomis. Trop de cassos qui la postent au milieu de débat en faisant mine de ramener leur science infuse, insupportable.
-
Le cassos te salue;
Je trouve que ça illustre bien ce que l'ont observe: avec certains système, la politique est la suivante "protège moi, je ne peux rien faire mais protège moi des méchants". Suffit de voir le résultat..
En fait, franklin était scientifique, sociopathe et misanthrope, mais président ?
-
Quant aux services de photo ouverts au monde entier, c'est une question d'éducation des gens. Ca m'rappelle les gens qui se masturbent devant une cam, et qui se prennent une demande de rançon "sinon j'envoye la vidéo à tes parents/proches". Activité cognitive nulle ..
Problème de cadrage!
À par les familiers, qui va reconnaître l'engin?
Pour conclure, une citation a propos d'Unix, qui résume ce que je pense:
"Unix was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things."
Il n'a pas été prévu pour exécuter des programmes sans leur faire confiance, et c'est dommage.
-
Le cassos te salue;
Je trouve que ça illustre bien ce que l'ont observe: avec certains système, la politique est la suivante "protège moi, je ne peux rien faire mais protège moi des méchants". Suffit de voir le résultat..
En fait, franklin était scientifique, sociopathe et misanthrope, mais président ?
Ce n'était pas pour toi mais dans le contexte des débats sur Prism and co, mais si tu le prends ainsi, tu dois t'être reconnu (désolé je taquine la perche est trop belle) Et oui Franklin est justement le prédécesseur de Jefferson.
-
Benjamin Franklin : Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.
Merci d'avoir rectifié.
Cette phrase est bien sûr ressortie trop souvent et le plus souvent sans réflexion, mais il est bon de se demander jusqu'où peut raisonnablement aller la "transparence" des échanges privés.
-
Et une autre de Thomas Jefferson:
"Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux"
Pitié pas la dernière, ils se passaient le mot entre eux entre présidents ?
Benjamin Franklin : Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.
Aussi pertinente soit-elle, je la vomis. Trop de cassos qui la postent au milieu de débat en faisant mine de ramener leur science infuse, insupportable.
Benjamin Franklin
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."
Ceux qui sont prêts à abandonner une liberté fondamentale pour obtenir temporairement un peu de sécurité, ne méritent ni la liberté ni la sécurité.
Franklin cite une lettre de 1755 de l'Assemblée de Pennsylvanie au gouverneur de cet état. Bien qu'elle lui soit souvent attribuée, il n'est pas clair que la phrase soit de lui.
Wikiquote : Benjamin Franklin (http://fr.wikiquote.org/wiki/Benjamin_Franklin)
liberté fondamentale
temporairement
un peu de sécurité
Je pense que ça mot est important.
-
A propos, le nat ipv6 est implèmenté dans le kernel 3.7. Pourquoi si tard ? Parcque c'est une fonctionnalité zombie, qui n'est utile que dans 0,005% des cas. La majorité des devs du kernel sont d'accords avec ca, la fonctionnalité n'est la que pour couvrir l'extraordinaire.
"Fanboy" series - IPv6 and NATs (https://www.youtube.com/watch?v=v26BAlfWBm8#)
-
Petit retour du FRnOG 21 : Intervention d'Orange dans le cardre du débat "IPv4 et CGN versus IPv6"
Pour les offres pro il est possible de demander (et payer) une connectivité IPv6
Pour le grand public, il n'y a pas de demande pour IPv6. IPv6 est drivé par le manque d'IPv4. Orange explique que les scénarios optimiste de croissance du parc client grand public vs nombre d'IP en "réserve" ne font pas apparaître de pénurie d'IPv4 => La pénurie d'IPv4 est très éloignée chez Orange. Il n'y aura donc pas tout de suite de Livebox avec une double stack IPv4 + IPv6.
-
Ouais, m'enfin si chez Orange ils ont trop d'IP, ils peuvent m'envoyer un /14 pour Noël, j'ai des idées pour l'utiliser
-
Ouais, m'enfin si chez Orange ils ont trop d'IP, ils peuvent m'envoyer un /14 pour Noël, j'ai des idées pour l'utiliser
Ils filent des /24 à des mairies.
C'est très rigolo le MFP avec son disque dur de 60Go accessible d'Internet ^^^^
-
En gros : nous, on est blindé, les autres on s'en fout.
Belle mentalité...
-
Je vais juste mettre ce lien: IPv4 Transfer Listing Service
(http://www.ripe.net/lir-services/resource-management/listing)
NO COMMENT
-
Ils filent des /24 à des mairies.
T'as des sources ?
J'espère que c'est des mairies balèzes .. le NAT n'est pas fait pour les chiens, et l'utiliser est faire preuve de civisme (ironique pour une mairie, non ?)
-
En gros : nous, on est blindé, les autres on s'en fout.
Belle mentalité...
+1
Surtout qu'ils vont prendre du retard, c'est même pour eux qu'ils sont débiles
-
T'as des sources ?
62.160.78.0/24 :
$ whois 62.160.78.0
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf]http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '62.160.78.0 - 62.160.78.255'
% Abuse contact for '62.160.78.0 - 62.160.78.255' is 'gestionip.ft@orange.com'
inetnum: 62.160.78.0 - 62.160.78.255
netname: FR-MAIRIE-DE-CAEN
descr: MAIRIE DE CAEN
descr: Esplanade J.m. Louvel
descr: Hôtel De Ville
descr: 14053 Caen
country: FR
admin-c: AM1517-RIPE
tech-c: WB439-RIPE
tech-c: OH251-RIPE
status: ASSIGNED PA
mnt-by: OLEANE-NOC
source: RIPE # Filtered
role: OLEANE Hostmaster
address: France
admin-c: PT2733-RIPE
tech-c: GM1295-RIPE
nic-hdl: OH251-RIPE
abuse-mailbox: abuse@orange-business.com
mnt-by: OLEANE-NOC
source: RIPE # Filtered
person: Alain Margerie
address: Esplanade J.m. Louvel
address: Hôtel De Ville
address: 14027 Caen
address: France
phone: +33 2 31 30 44 22
fax-no: +33 2 31 30 45 10
nic-hdl: AM1517-RIPE
mnt-by: OLEANE-NOC
source: RIPE # Filtered
person: William Busnel
address: Esplanade Jm Louvel
address: 14027 Caen Cedex
address: France
phone: +33 2 31 30 41 63
fax-no: +33 2 31 30 45 10
nic-hdl: WB439-RIPE
mnt-by: OLEANE-NOC
source: RIPE # Filtered
% Information related to '62.160.0.0/15AS3215'
route: 62.160.0.0/15
descr: OLEANE-981216
origin: AS3215
holes: 62.160.248.0/24, 62.161.129.0/24
mnt-by: OLEANE-NOC
org: ORG-OBS3-RIPE
remarks: -------------------------------------------
remarks: For Hacking, Spamming or Security problems
remarks: send mail abuse@orange-business.com
remarks: -------------------------------------------
source: RIPE # Filtered
organisation: ORG-OBS3-RIPE
org-name: Orange Business Services
org-type: Other
address: 6 avenue Albert Durand
address: 31700 Blagnac France
remarks: **************************************
remarks: * Pour les obligations legale *
remarks: * Contacter uniquement les poles OL *
remarks: * de France Telecom/Orange *
remarks: * *
remarks: * For legal issus joint only *
remarks: * France telecom/orange legal team *
remarks: **************************************
abuse-mailbox: abuse@orange-business.com
admin-c: AA2914-RIPE
tech-c: AA2914-RIPE
abuse-c: AA2914-RIPE
mnt-ref: OLEANE-NOC
mnt-ref: FT-BRX
mnt-ref: RAIN-TRANSPAC
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RAIN-TRANSPAC
source: RIPE # Filtered
% This query was served by the RIPE Database Query Service version 1.68.1 (WHOIS1)
-
Ha ben c'est du joli ..
-
Si encore ils savaient qu'ils bénéficient d'un avantage...
-
Ha ben c'est du joli ..
D'autre exemples chez d'autres opérateurs:
% Information related to '194.242.44.0/24AS12670'
route: 194.242.44.0/24
descr: FR-MAIRIE-DE-MARSEILLE
origin: AS12670
mnt-by: AS12670-MNT
source: RIPE # Filtered
% Information related to '193.227.228.0/23AS31555'
route: 193.227.228.0/23
descr: Mairie de Montpellier
origin: AS31555
mnt-by: MNT-MIT
source: RIPE # Filtered
Ho la belle /23 :)
-
Petit retour du FRnOG 21 : Intervention d'Orange dans le cardre du débat "IPv4 et CGN versus IPv6"
Pour les offres pro il est possible de demander (et payer) une connectivité IPv6
Pour le grand public, il n'y a pas de demande pour IPv6. IPv6 est drivé par le manque d'IPv4. Orange explique que les scénarios optimiste de croissance du parc client grand public vs nombre d'IP en "réserve" => La pénurie d'IPv4 est très éloignée chez Orange. Il n'y aura donc pas tout de suite de Livebox avec une double stack IPv4 + IPv6.
Ouais, c'était bien triste tout ça. D'un côté des fournisseurs de contenu établis qui mettront en priorité très basse IPv6 tant que les FAI ne le mettront pas en route de manière massive et tant qu'ils n'auront pas de besoin biz, de l'autre des FAI qui ne trouvent pas la situation inconfortable et ne font pas l'effort de s'y mettre parce qu'ils n'ont pas vraiment de pénurie.
On a donc à côté de ça des fournisseurs de contenu jeunes ou mal "équipés" dont tout le monde se fout ("paye toi des IPs sale pauvre"), des FAIs qui devraient lancer la mécanique mais qui n'ont pas envie de le faire. Ce qui est triste, c'est qu'il suffirait surement qu'un Orange et SFR bascule en IPv6 par défaut leur réseau et renouvellent les box par des IPv6 pour voir un vrai changement dans la proportion de trafic IPv4/IPv6 et pour pousser les sites à y penser un peu plus concrètement.
On passera sur le troll NAT <-> Sécurité et sur la définition de "accès Internet" avec les techno CGN.
Par ailleurs, je trouve ça dommage aujourd'hui de ne pas mettre l'équivalent à IPv4 en IPv6 quand on renouvelle un service sur une archi. Depuis le temps qu'on en parle d'IPv6 et que les constructeurs le gèrent, il y a quand même bien un moment où ça devrait naturellement arriver bout par bout...
-
La fin des IPv4 arrange les opérateurs déjà en place car cela empêche a des nouveaux acteurs de se faire une place.
Cela verrouille le marché.
-
Si encore ils savaient qu'ils bénéficient d'un avantage...
J'imagine qu'ils paient pour tout de même !
-
Tu veux dire que les moutontribuables sont tondus afin que les employés municipaux puissent avoir des PC directement dans Internet v4, et pas ayant accès à Internet v4 via un mandataire, alors que vraisemblablement ils ont mis au pare-feu pour empêcher de profiter de cette connectivité directe.
-
Très probablement.
-
Je veux pas spécialement défendre Orange mais faut remettre les choses dans leur contexte temporel.
Ca date pas un peu ces attributions de /24 ou meme /23 a des mairies ?
Je me rappelle y'a 10 ans on pouvait avoir un /24 très facilement. J'en avais eu un pour ma boite de 10 personnes.
En 2013 je suis moins certain, que même Orange, va donner un /24 sans justification forte...
Pour le grand public, il n'y a pas de demande pour IPv6. IPv6 est drivé par le manque d'IPv4. Orange explique que les scénarios optimiste de croissance du parc client grand public vs nombre d'IP en "réserve" => La pénurie d'IPv4 est très éloignée chez Orange. Il n'y aura donc pas tout de suite de Livebox avec une double stack IPv4 + IPv6.
Si c'est la raison vraie et officielle d'Orange j'ai aussi du mal a le croire. C'est pas aussi simple que ca a mon avis.
Y'a une source officielle ?
-
J'imagine qu'ils paient pour tout de même !
La /28 de chez OBS là on je travaille n'est pas dans la facture mensuelle.
Mais vu le tarif de la SDSL rajouté au total de la partie VPN MPLS, je pense qu'Orange peut en faire cadeau....
Pour la Mairie de Marseille, allocation en 2001 (belle historique de changement de provider):
changed: hostmaster@ripe.net 20010502
changed: tarik.tifour@fr.colt.net 20010924
changed: lirigoyen@fr.colt.net 20011012
changed: emalecot@fr.colt.net 20040302
changed: j.blaisonneau@completel.fr 20040302
changed: emalecot@fr.colt.net 20040329
changed: j.blaisonneau@completel.fr 20040330
changed: p.poumarat@completel.fr 20070227
changed: gestip.rain@orange-ftgroup.com 20090217
La /23 de Montpellier semble avoir été faite en 2010
changed: ripe@groupe-mit.com 20100727
Et celle de Caen en 1998:
changed: hostmaster@oleane.net 19980330
-
Caen je veux bien, c'est une PA assignée par Oleane, faut voir le contexte, mais Marseille et Montpellier en plus d'être de très grandes mairies, ce sont surtout des PI qui leur appartiennent.
Hors une PI c'est /24 le plus petit attribué par le RIPE, donc pas de quoi être choqué.
-
Vive les PI alors!
Tout le monde devrait avoir une PI.
J'ai bon?
-
Tout le monde est censé y avoir droit. Une PI est l'assurance pour une société de pouvoir migrer tes IPs d'un opérateur à un autre parce qu'elles t'appartiennent. A partir du moment où on considère qu'on ne route pas un bloc plus petit que /24 sur Internet, on ne peut pas donner plus petit.
Maintenant ce ne sont pas les /24 qui posent vraiment problème, quand on voit des /8 historiques appartenant à des grosses boîtes américaines, on peut quand même en coller 65536 des /24 dans une /8. On peut aussi parler de tout ce qui est RFC1112, c'est à dire 240.0.0.0/4 qui est réservé pour un usage ultérieur toujours non défini. A part Windows qui ne sait pas le gérer, c'est un peu con de ne pas l'exploiter, c'est quand même 268427264 IPs inutilisées à ce jour et 16 /8 à distribuer aux RIRs...
Pour donner une idée, il y a environ près de la moitié des préfixes sur Internet qui sont des /24, c'est à dire dans les 200 000 (la flemme de vérifier là de suite), une partie sont des blocs opérateurs désagrégés en blocs plus petits pour des besoins divers (forcer le trafic entrant sur un point, affiner les annonces sur les sites pour éviter les problèmes de split entre 2 noeux du réseau, etc), mais même en ne faisant pas le tri de ça, 200 000 /24 ça représente en tout et pour tout 3 /8. C'est à dire que l'ensemble des /24 annoncées sur Internet (PI ou pas) ça représente aujourd'hui la même taille de préfixe que Ford, Daimler et Xerox réunis (3 /8) et moins que le Department of Defense des US (là c'est la fête, c'est plus de 10 /8).
Bref, du grand n'importe quoi... Et un grand n'importe quoi qui profite bien aux historiques d'ailleurs qui ont eu bien moins de mal à avoir des IPs en quantité.
-
Pour donner une idée, il y a environ près de la moitié des préfixes sur Internet qui sont des /24, c'est à dire dans les 200 000 (la flemme de vérifier là de suite), une partie sont des blocs opérateurs désagrégés en blocs plus petits pour des besoins divers (forcer le trafic entrant sur un point, affiner les annonces sur les sites pour éviter les problèmes de split entre 2 noeux du réseau, etc), mais même en ne faisant pas le tri de ça, 200 000 /24 ça représente en tout et pour tout 3 /8.
Donc on continue dans la désagrégation?
Cela ne pose pas problème?
-
Ca fait grossir le nombre de routes dans la DFZ, c'est gênant pour les routeurs qui commencent à vieillir, mais bon on peut toujours filtrer les /24 et mettre une route par défaut pour les non opérateurs. De toute façon c'est inévitable avec la pénurie, il y aura des attributions "prêtées" à d'autres qui seront annoncées indépendamment du superbloc initial.
-
En 2013 je suis moins certain, que même Orange, va donner un /24 sans justification forte...
Si c'est la raison vraie et officielle d'Orange j'ai aussi du mal a le croire. C'est pas aussi simple que ca a mon avis.
Y'a une source officielle ?
Un responsable Orange au FRnOG avant-hier lors du débat IPv4 et CGN versus IPv6.