Avec les adresses temporaires il est toujours possible de récupérer de l'information qui était plus difficile à extraire avec du NAT44 comme par exemple le nombre de machines internes. Et à partir du nombre de machines internes, il sera facile de trouver des profiles statistiques de chaque machine et donc de relier une adresse temporaire à une machine précise rien que par son activité. (Pour ceux qui connaissent le clustering, une fois le nombre de clusters connu, le boulot de profilage est quasiment fait)
Pour brouiller cela il faudrait un changement très fréquent des adresses temporaires pour que quelqu'un qui observe la sortie de ton routeur ne puissent pas dire en moyenne je vois x IPs sortir, fréquence de l'ordre de chaque nouvelle connexion TCP/UDP. Hors je ne pense pas que la RFC ait été prévue pour une telle fréquence. Rien que la gestion des collisions d'adresses n'est pas compatible avec cela.
L'idée proposée est bien d'utiliser la TOTALITÉ de la plage disponible en attribuant aléatoirement une IP non-utilisée pour empêcher justement la connaissance du nombre de machines. Cela peut se faire sans trop de ressource par le routeur, un générateur de nombre aléatoire suffit (la probabilité que le générateur sorte 2 fois la même IP sur deux connexions sortantes en cours est extrêmement faible ), pas de gestion de collisions à se soucier car seul le routeur attribue les IPs externe. En outre, la mascarade en elle même est bien plus simple que du NAT44, une simple table où chaque ligne contient 2 IPs suffit (l'IP externe et l'IP interne), le nombre de ligne est à fixer en fonction du nombre de connexions simultanées max acceptables par le routeur. Pas besoin de regarder les ports, pas besoin de suivre les connexions...c'est peanuts par rapport au travail d'un NAT44.
[^] # Re: NAT66 ou masquarade66
Posté par pepie34 . En réponse à la dépêche Protéger sa vie privée avec l’IPv6. Évalué à 0.
Avec les adresses temporaires il est toujours possible de récupérer de l'information qui était plus difficile à extraire avec du NAT44 comme par exemple le nombre de machines internes. Et à partir du nombre de machines internes, il sera facile de trouver des profiles statistiques de chaque machine et donc de relier une adresse temporaire à une machine précise rien que par son activité. (Pour ceux qui connaissent le clustering, une fois le nombre de clusters connu, le boulot de profilage est quasiment fait)
Pour brouiller cela il faudrait un changement très fréquent des adresses temporaires pour que quelqu'un qui observe la sortie de ton routeur ne puissent pas dire en moyenne je vois x IPs sortir, fréquence de l'ordre de chaque nouvelle connexion TCP/UDP. Hors je ne pense pas que la RFC ait été prévue pour une telle fréquence. Rien que la gestion des collisions d'adresses n'est pas compatible avec cela.
L'idée proposée est bien d'utiliser la TOTALITÉ de la plage disponible en attribuant aléatoirement une IP non-utilisée pour empêcher justement la connaissance du nombre de machines. Cela peut se faire sans trop de ressource par le routeur, un générateur de nombre aléatoire suffit (la probabilité que le générateur sorte 2 fois la même IP sur deux connexions sortantes en cours est extrêmement faible ), pas de gestion de collisions à se soucier car seul le routeur attribue les IPs externe. En outre, la mascarade en elle même est bien plus simple que du NAT44, une simple table où chaque ligne contient 2 IPs suffit (l'IP externe et l'IP interne), le nombre de ligne est à fixer en fonction du nombre de connexions simultanées max acceptables par le routeur. Pas besoin de regarder les ports, pas besoin de suivre les connexions...c'est peanuts par rapport au travail d'un NAT44.