Bonjour, 2011/7/3 e-t172 <e-t...@akegroup.org> > Il est un peu facile cet argument. Si les attaques ne se font pas par > connexion IP directe c'est justement parce que le pékin moyen (ou plutôt > devrais-je dire « victime moyenne ») a une box de FAI qui, justement, fait du > NAT et ne laisse donc pas passer par défaut les connexions entrantes.
Il est possible de bloquer les connexions entrantes sans faire du NAT. Ca s'appelle du filtrage. Voir à ce sujet la RFC 6204 (Basic Requirements for IPv6 Customer Edge Routers) présentée ici il y a une paire de mois. > À l'époque ou la plupart des gens avaient une adresse publique sur leur PC, > les attaques se faisaient bien par connexion directe (exemple : Blaster). Si, > avec IPv6, tout le monde récupère à nouveau des adresses publiques non > protégées, je te parie ma chemise que la vermine va de nouveau exploiter ce > vecteur de transmission. La plupart des systèmes modernes (supportant IPv6) utilisés par des particuliers fournissent en standard un pare-feu qui bloque par défaut les connexions entrantes. Quoique j'imagine qu'en IPv6 certains ports (partage de fichiers?) vont être ouvert sur le lien local ou aux connexions provenant du même préfixe. > Le principal problème est que, apparemment, il subsiste des gens qui ne > comprennent pas qu'un simple pare-feu qui filtre les connexions entrantes > offre une sécurité exactement identique à un NAT IPv4 typique, mais avec des > inconvénients en moins. Parce que même si le NAT permet de filtrer les connexions entrantes, le pare-feu offre des avantages en plus? > Personnellement, je suis un fervent partisan du End-to-End Principle, et par > conséquent, je milite pour que ce genre de filtrage de connexions se fasse > sur la machine finale, pas sur un nœud du réseau, parce que ça permet > d'utiliser un pare-feu applicatif qui est bien mieux placé pour prendre ces > décisions qu'une boite noire branchée sur un câble. Et qu'on ne vienne pas me > dire que c'est pas Michu-compliant : la configuration par défaut du pare-feu > de Windows depuis XP SP2 offre une sécurité au moins équivalente à un NAT. > Mais j'imagine que c'est là encore une idée à ranger dans le monde des > bisounours. Comment peut-on être partisan du End-to-End Principle *et* du NAT? Est-ce que ce n'est pas antinomique? -- Cdlt B. Garcia --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
