On 07/04/2011 08:45 AM, Benoit Garcia wrote:
Personnellement, je suis un fervent partisan du End-to-End Principle, et par
conséquent, je milite pour que ce genre de filtrage de connexions se fasse sur
la machine finale, pas sur un nœud du réseau, parce que ça permet d'utiliser un
pare-feu applicatif qui est bien mieux placé pour prendre ces décisions qu'une
boite noire branchée sur un câble. Et qu'on ne vienne pas me dire que c'est pas
Michu-compliant : la configuration par défaut du pare-feu de Windows depuis XP
SP2 offre une sécurité au moins équivalente à un NAT. Mais j'imagine que c'est
là encore une idée à ranger dans le monde des bisounours.
Comment peut-on être partisan du End-to-End Principle *et* du NAT?
Est-ce que ce n'est pas antinomique?
C'est surtout que tu as lu totalement de travers mon message. Où est-ce
que tu as lu que je suis partisan du NAT ? C'est exactement le contraire !
Je suis tout à fait opposé à toute forme de NAT, ça ne m'empêche pas de
critiquer les arguments (comme celui de Stéphane) que je trouve
invalides, même si ils vont dans mon sens. On ne peut pas avoir une
discussion ici sans devoir "choisir son camp" ?
Il est un peu facile cet argument. Si les attaques ne se font pas par connexion
IP directe c'est justement parce que le pékin moyen (ou plutôt devrais-je dire
« victime moyenne ») a une box de FAI qui, justement, fait du NAT et ne laisse
donc pas passer par défaut les connexions entrantes.
Il est possible de bloquer les connexions entrantes sans faire du NAT.
Ca s'appelle du filtrage.
Oui, c'est ce que j'ai dit deux paragraphes plus bas dans mon message.
À l'époque ou la plupart des gens avaient une adresse publique sur leur PC, les
attaques se faisaient bien par connexion directe (exemple : Blaster). Si, avec
IPv6, tout le monde récupère à nouveau des adresses publiques non protégées, je
te parie ma chemise que la vermine va de nouveau exploiter ce vecteur de
transmission.
La plupart des systèmes modernes (supportant IPv6) utilisés par des
particuliers fournissent en standard un pare-feu qui bloque par défaut
les connexions entrantes.
C'est pour ça que j'ai précisé "non protégées".
Le principal problème est que, apparemment, il subsiste des gens qui ne
comprennent pas qu'un simple pare-feu qui filtre les connexions entrantes offre
une sécurité exactement identique à un NAT IPv4 typique, mais avec des
inconvénients en moins.
Parce que même si le NAT permet de filtrer les connexions entrantes,
le pare-feu offre des avantages en plus?
Le NAT a pour inconvénient principal de modifier les adresses source et
destination des paquets qui passent par lui. Le pare-feu n'a pas cet
inconvénient, tout en gardant la possibilité de filtrer les connexions
entrantes. D'où pare-feu > NAT.
--
Etienne Dechamps / e-t172 - AKE Group
Phone: +33 6 23 42 24 82
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
