> Jonathan Roule a écrit : > Je me demande si ton raisonnement n'est pas ici un poil naïf. Tu pars du > principe que dans un monde sans > NAT, le pare-feu d'une box resterait une passoire mais personne ne sait si ce > serait vraiment le cas.
Ah, est-ce que tu as un exemple GP qui n'est pas une passoire, NAT ou pas NAT ? > Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur > client soit à poil sur le net > auraient peut-être tenter plus des choses niveau sécurité. Je suis peut-être > candide en penssant ça, Plus qu'un peu. Tu crois que les FAI GP maitrisent ce genre de chose ? Tiens je te donne un exemple : mon FAI c'est Comcast. J'ai, en plus de l'Internet, une ligne téléphonique. VOIP (naturellement) avec un port POTS FXS analogue. Eh bien j'ai 2 machinbox, une pour la voix et une pour l'Internet, et ce malgré que la machinbox pour l'Internet ait aussi 2 ports PORTS FXS analogues. Les 2 box ont la fonctionnalité ATA, et pourtant j'en ai 2. Sont pas foutus de faire tout marcher sur 1 box, tu crois qu'il peuvent faire du pare-feu ou de la sécurité ? > je l'avoue mais ton raisonnement me paraît un brin simplificateur. Je l'admets volontiers, car il ne faut pas généraliser. Ceci étant dit, il y a bien des cas ou c'est vrai. > Xavier Beaudouin a écrit : > Donc entre du NAT et un firewall statefull y a aucune différence à part la > réécriture de source. Exactement, et les deux se traversent de la même façon. > Chacun sait que le Nat fait office de diode, qui permet d'exposer uniquement > ce qui nécessaire > d'exposer sur l'internet des méchants. (Je ne parle pas cette saloperie > d'UPNP qui a été ultra > utilisé par les botnet et autres trucs pour justement bypasser cette > "protection"). Et maintenant, au lieu d'uPNP (qui n'est heureusement plus à la mode), on fait du slipstreaming. La diode, malheureusement elle reste relativement facile à ouvrir de l'intérieur. UPNP c'était facile, mais c'est pas parce que ça a pratiquement disparu qu'il faut crier victoire. Exposer les services internes, même sans uPNP, çà se fait toujours, surtout en UDP. Il y a de l'espoir, mais la route est longue. NAT ou pas, le principe de tous les pare-feu a état est qu'ils ouvrent un ou plusieurs trous temporaires pour permettre au contenu de revenir vers l'utilisateur, et je suis convaincu que l'on n'en est qu'au début des techniques qui consistent à faire croire à l'état d'ouvrir les trous à des fins malicieuses. Tant qu'il y aura des protocoles comme SIP qui utilisent plusieurs ports (dont certains dynamiques), il y aura des ALG pour ouvrir les trous, l'état de la session autorisera plusieurs ports, et il y aura des petits malins qui comprendront comment un paquet correctement conçu peut ouvrir les trous. > Mais dans l'exemple on a oublié ce qui se fait déjà en IPv6 sans cette > saloperie de NAT, et > sincèrement, j'espère que je ne verrai pas de NAT v6 avant qu'on me mette > entre 4 planches. NAT64, 464XLAT, CLAT, PLAT, MAP-E, MAP-T, RFC6877, RFC6145, RFC6146, DNS64. Et j'en oublie surement. Je suis inquiet pour ta santé :P Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
