(Courriels de diversion: <blaspheme@freezers-drop.com> <branchements@degringolant-tairait.com> <forcats@deteindre-renonciation.com> <quantifierent@reevalue-idealisera.com> <detellerais@picorent-tartufe.com> <cueillerons@chevalerie-enhardisse.com> <pope@propagandiste-marathons.com> <vomissait@mazdeisme-ex-voto.com> <concurrente@sonars-interfera.com> <gobee@harmoniseras-fraternisaient.com> )


Salut !

  entièrement d'accord avec toi. Le principe d'une adresse IP en "frontside" sur
internet assure un certaine sécurité en ne mettant _que_ la passerelle de front
sur internet.

Mais il faut ajouter un petit bémol à cette réflexion. En effet, si tu routes le
port 80 (web) vers une machine interne, cette machine se verra de facto sensible
aux attaques via le serveur web.
Ainsi on peut généraliser ta réflexion en disant que la sécurité des machines se
limite à la sécurité des services offerts en frontal sur internet (via routage
des ports sur ta passerelle), ainsi qu'à la pleine sécurité de ta passerelle qui
fait front sur internet.

Le seul apport positif d'une plage d'adresse (en IPV6 mais aussi IPV4) c'est de ne
plus avoir à gérer de routage de port, et de pouvoir ainsi plusieurs machines accessibles
en ssh, par exemple, à partir d'internet.

Dans tous les cas, ce problème de sécurité est la même qu'à l'époque ou le routeur
était exceptionnel et où les machines étaient connectées directement à internet
via un modem (machine en frontal sur internet), sauf qu'à notre époque,
on a plusieurs machines qui partagent un même tuyaux.

dune2.

NB: perso j'ai Nerim comme fournisseur, et j'ai aussi une plage IPV6 ... mais
j'ai beau chercher, je n'ai toujours pas trouvé de modem/routeur ADSL compatible
IPV6 sur le marché ..... alors je stagne en IPV4, qui me satisfait entièrement
pour mon usage, car je n'ai jamais eu besoin de router plus de 65535 ports entre
mes différentes machines locales ....

Guilhem Bonnefille a écrit :
> Salut,
> 
> Excusez la question de béotien (qui s'est pas documenté), mais en
> IPv6, si toutes les machines du sous-réseaux ont une IP "publique", la
> sécurité est plus délicate à gérer ?
> 
> Je m'explique : avec IPv4, pour augmenter la sécurité de mon net@home> il m'a "suffit" de passer ma freebox en mode routeur. D'un coup, seule
> la freebox était visible et donc susceptible de se faire attaquer. Du
> coup, mes petites babasses derrière la freebox ont une gestion de la
> sécurité minimale (voire absente) puisqu'elles ne peuvent pas vraiment
> être vue de l'extérieur.
> 
> Si toutes mes machines se retrouvent visibles de l'extérieur, du coup
> il faut que je tienne super bien à jour la sécurité de toutes mes
> machines.
> Ou alors, l'interface de contrôle de la freebox doit être devenue
> super poilue, avec plein de paramètres pour régler le firewall de
> cette dernière.
> 
> Des retours d'expérience ?



--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>