Outils pour utilisateurs

Outils du site


doc:ipv4nonroutables

Description générale

Une adresses ip est un nombre codé sur 32 bits«FootNote(pour l'IPv4. Son successeur IPv6 est lui codé sur 128 bits ce qui permettra dans un avenir proche de disposer d'un plus grand nombre d'adresse.)» soit compris entre 0 et 4.294.967.295 ou sous sa forme la plus courante comprise entre 0.0.0.0 et 255.255.255.255. Cette adresse IP permet d'identifier un système sur un réseau et ainsi de pouvoir communiquer avec les autres machines présentes sur ce réseau.

Ces adresses pour éviter tout abus et des actes de malveillance sont distribués par les différents fournisseurs d'accès et/ou organismes qui ont ainsi la gestion d'une certaine partie de ces adresses:
* En haut de l'échelle, on trouve l'IANA (Internet Assigned Numbers Authority) qui attribue des classes d'IP aux 4 organismes :

  • APNIC (Asia Pacific Network Information Centre) - Asie/Région Pacifique
  • ARIN (American Registry for Internet Numbers) - Amérique du Nord et Afrique du Sud
  • LACNIC (Regional American and Caribbean IP Address Registry) - Amérique latine et des îles des Caraïbes
  • RIPE NCC (Réseaux IP Européens) - Europe, Moyen-Orient, Asie centrale et Afrique du Nord
    • …. et ainsi de suite jusqu'à l'affectation à une machine.

On peut ainsi identifier une machine et son propriétaire à partir de son ip. D'où l'importance de ne peut pas faire n'importe quoi avec son ip, car cela retombe à coup sûr sur son fournisseur d'accès qui peut lui savoir à qui elle a été attribuée réellement.

= Description des types d'IP non routables =

Il existe plusieurs raisons au fait qu'une adresse IP ne doivent pas être routée :

Adresse IP "non attribuée" ou "réservée"

Comme on peut le comprendre, toutes les ips ne sont pas attribuées à une personne. Certaines adresses IP restent libres et non attribuées en attendant de l'affecter à une machine. Ces adresses ne doivent donc normalement pas être utilisées.

Comme il serait trop fastidieux de répertorier toutes les adresses libres à tout moment, l'IANA maintient une liste qui est disponible ici.

S'il était effectué un filtrage à partir de cette liste, il serait nécessaire de mettre à jour régulièrement le firewall. Il s'agit d'une opération que l'on a toujours oubliée et qui nous a toujours posé problème. Étant donné qu'il n'y a aucun avantage à tirer pour un attaquant à utiliser ce type d'adresses, nous n'effectuons plus aucun filtrage sur celles-ci.

Adresse IP "à usage privé"

Afin de permettre à tout un chacun de créer son propre réseau interne, il existe des classes d'adresses IP utilisable par tout le monde à titre de réseau privé. Comme l'identification du possesseur ou d'un responsable des machines identifiées par une adresse de ces classes ne peut pas être assuré, cette classe d'adresses est donc à bloquer par les firewalls des routeurs.

Les classes d'adresses privées sont :

        
        10.0.0.0    - 10.255.255.255    ou       10.0.0.0/8
        172.16.0.0  - 172.31.255.255    ou    172.16.0.0/12
        192.168.0.0 - 192.168.255.255   ou   192.168.0.0/16

Pour en savoir davantage : RFC 1918

Adresse IP "à but d'autoconfiguration"

Afin de permettre à certains OS d'obtenir une adresse IP de manière automatique sur un réseau, une classe d'adresses IP est réservée à cela. Elle autorise ainsi la machine à d'attribuer une adresse IP qui ne posera pas de problèmes de conflits sur un réseau existant, ce qui lui permet par la suite d'obtenir une autre adresse IP.

Les adresses de cette classe pouvant être utilisé par n'importe qui, au même titre que les adresses à “usage privée”, elles doivent être bloquée par les routeurs à l'aide d'un firewall.

La classe attribuée dans ce but est :

       
169.254.0.0 - 169.254.255.255   ou   169.254.0.0/16

Pour en savoir davantage : RFC 3330

Adresse IP "de bouclage interne"

Afin de fonctionner correctement un ordinateur doit pouvoir s'identifier lui même. Une classe d'adresse a été attribuée dans ce but, et pour les mêmes raisons que précédemment cette classe doit aussi être filtrée par les routeurs.

     
127.0.0.0 - 127.255.255.255   ou   127.0.0.0/8

Pour en savoir davantage : RFC 3330

Adresse IP "de multicast"

Afin de permettre de diffuser en multicast sur internet une classe d'IP est utilisé à ce titre.

        
224.0.0.0 - 239.255.255.255   ou   224.0.0.0/4

Pour en savoir davantage : RFC 1112 et RFC 2236

Adresse IP "de partage d'adresse entre utilisateurs"

Face à l’épuisement d'adresses ipv4 et pour éviter que des FAI squattent des préfixes IP, l'IESG a publié la RFC 6598, réservant le préfixe ci-dessous à l'usage de CGN.

 100.64.0.0/10

= Liste des classes d'adresse IP à bloquer sur le parefeu =
Cette liste doit être réactualisée régulièrement pour tenir compte des nouvelles affectations d'IP.

 10.0.0.0/8 
 172.16.0.0/12 
 169.254.0.0/16 
 192.168.0.0/16 
 224.0.0.0/4
 100.64.0.0/10
doc/ipv4nonroutables.txt · Dernière modification: 2015/06/27 18:33 par chirac