On 2011-07-03 22:54, Stephane Bortzmeyer wrote:
On Fri, Jul 01, 2011 at 02:07:49PM +0200,
Alain Richard<alain.rich...@equation.fr> wrote
a message of 226 lines which said:
f - La plupart des "petits" utilisateurs s'appuient sur le NAT44 pour sécuriser
leur accès
C'est un fait, mais cela n'empêche pas qu'ils ont tort et sérieusement
tort. Je rappelle que Stuxnet n'a même pas eu besoin d'une connexion
Internet pour infecter le site visé, alors croire qu'on est protégé
par NAT44, alors que la plupart des attaques se font par charge utile
et pas par connexion IP de l'extérieur, c'est de l'acte de foi, pas de
la science.
Il est un peu facile cet argument. Si les attaques ne se font pas par
connexion IP directe c'est justement parce que le pékin moyen (ou plutôt
devrais-je dire « victime moyenne ») a une box de FAI qui, justement,
fait du NAT et ne laisse donc pas passer par défaut les connexions
entrantes.
À l'époque ou la plupart des gens avaient une adresse publique sur leur
PC, les attaques se faisaient bien par connexion directe (exemple :
Blaster). Si, avec IPv6, tout le monde récupère à nouveau des adresses
publiques non protégées, je te parie ma chemise que la vermine va de
nouveau exploiter ce vecteur de transmission.
Le principal problème est que, apparemment, il subsiste des gens qui ne
comprennent pas qu'un simple pare-feu qui filtre les connexions
entrantes offre une sécurité exactement identique à un NAT IPv4 typique,
mais avec des inconvénients en moins.
Personnellement, je suis un fervent partisan du End-to-End Principle, et
par conséquent, je milite pour que ce genre de filtrage de connexions se
fasse sur la machine finale, pas sur un nœud du réseau, parce que ça
permet d'utiliser un pare-feu applicatif qui est bien mieux placé pour
prendre ces décisions qu'une boite noire branchée sur un câble. Et qu'on
ne vienne pas me dire que c'est pas Michu-compliant : la configuration
par défaut du pare-feu de Windows depuis XP SP2 offre une sécurité au
moins équivalente à un NAT. Mais j'imagine que c'est là encore une idée
à ranger dans le monde des bisounours.
--
Etienne Dechamps / e-t172 - AKE Group
Phone: +33 6 23 42 24 82
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
