• [^] # La traduction d'adresses (NAT) n'a rien à voir avec la sécurité !

    Posté par (site web personnel) . En réponse à la dépêche IPv4 est mort, vive IPv6 !. Évalué à 4.

    Pour obtenir le même de niveau de sécurité qu'avec le NAT couramment utilisé [...]

    On ne le répétera jamais assez, mais un NAT n'est en rien un élément de sécurité. C'est un hack pour permettre plus de flexibilité dans l'adressage de réseaux IPv4.

    Certes, les boîtes faisant du NAT fournissent une telle sécurité, mais ce n'est en rien dû au fait qu'elles fassent de la traduction d'adresses. Elles ont aussi un rôle pare-feu. Il est tout à fait possible de remonter derrière un routeur NAT simple (c.-à-d. sans pare-feu), p.ex. en étant directement connecté à son lien externe définissant les routes à la main.

    Ce sont deux fonctions complètement différentes et dissociables, même si Netfilter permet de gérer les deux. Dans l'exemple du parent, les règles données sont uniquement liées au routage (ou non) de certains paquets. Un simple pare-feu, donc. Rien à voir avec du NAT.

    La traduction d'adresses IPv6 n'est pas standardisé. Il n'est même pas sûr qu'elle le soit un jour (autant apprendre des erreurs du passé), mais Netfilter supporte déjà pleinement les règles de pare-feu pour IPv6. Il suffit d'utiliser ip6tables(8).

    D'un point de vue plus générique, il est tout aussi idiot de déléguer la seule sécurité d'un réseau à (certains de) ses routeurs d'accès uniquement. Un sécurité bien implémentée se fait à tous les niveaux: chaque machine doit avoir son propre pare-feu. Le fait que les adresses ne soit pas routables (sécurité par le secret) ou bloquées depuis l'extérieur ne tient pas longtemps quand une machine infectée se retrouve sur le réseau local, de l'autre côté du mur.