Bonsoir à tous,
Si ce titre peut prêter à sourire pour les plus expérimentés d'entre
vous, il vient de m'arriver comme un vrai problème d'éthique :
Je parle bien de 192.169/16 et non d'une des plages de la RFC1918 bien
connue des minitelbox courantes.
Il se trouve que c'est un range tout ce qu'il y a de routable sur
Internet, mais par expérience sur le terrain; Il m'est arrivé plusieurs
fois (chez $JOB-2 ; il y a maintenant plus de 10 ans) de trouver ce
genre de configuration sur des réseaux de particuliers et de petites
entreprises : la raison restant souvent assez obscure.
Et après coup, je me demande si moi-même dans ma jeunesse, du temps du
56K, et lorsque je ne connais pas encore le fonctionnement du réseau, je
n'ai pas déjà utilisé ce préfixe pour un usage interne.
Il se trouve d'autre part, qu'un de nos clients hébergés a subit une
attaque sur un wordpress et notamment le fameux "xmlrpc.php" en
provenance de plusieurs adresses en 192.169.X.Y.
Chose qui pourrait bien sûr arriver depuis bien d'autres préfixes, mais
cette fois-ci, cela est apparu particulièrement insistant pour que cela
en devienne suffisamment curieux !
La seule solution qui est apparue sur le coup, a été de bloquer ce
préfixe au complet sur les firewall en entrée de baie.
Je me suis de fait, fait plusieurs réflexions :
- Vu que ce sont des adresses routables je doute qu'il soit réellement
sain de les filtrer de la sorte .
- Vu que c'est un cas que j'ai déjà vu, comment peuvent bien se
comporter les "routeurs" (alias minitelbox) dans ce genre de
configurations ? (prefixe routable des deux côtés, quid du NAT dans ces
conditions ?)
- Est-ce que les les FAI (qu'ils soient grand public ou non) sont tenus
de filtrer les paquets qui sortent de leur réseau mais qui ne viennent
pas des préfixes qui leurs sont attribués ?
Vos avis sur la question ?
@+
Christophe.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
