Wiki de FedeRez

Outils pour utilisateurs

Outils du site

Piste : ipv4nonroutables
doc:ipv4nonroutables

Table des matières

IPv4 non routable

Description générale

Une adresses IP est un nombre codé sur 32 bits pour l'IPv4 (son successeur IPv6 est lui codé sur 128 bits ce qui permettra dans un avenir proche de disposer d'un plus grand nombre d'adresse), soit compris entre 0 et 4.294.967.295 ou sous sa forme la plus courante comprise entre 0.0.0.0 et 255.255.255.255. Cette adresse IP permet d'identifier un système sur un réseau et ainsi de pouvoir communiquer avec les autres machines présentes sur ce réseau.

Ces adresses pour éviter tout abus et des actes de malveillance sont distribués par les différents fournisseurs d'accès et/ou organismes qui ont ainsi la gestion d'une certaine partie de ces adresses. En haut de l'échelle, on trouve l'IANA (Internet Assigned Numbers Authority) qui attribue des classes d'IP aux 4 organismes :

  • APNIC (Asia Pacific Network Information Centre) - Asie/Région Pacifique
  • ARIN (American Registry for Internet Numbers) - Amérique du Nord et Afrique du Sud
  • LACNIC (Regional American and Caribbean IP Address Registry) - Amérique latine et des îles des Caraïbes
  • RIPE NCC (Réseaux IP Européens) - Europe, Moyen-Orient, Asie centrale et Afrique du Nord

Chacun de ses organismes délèguent ensuite autorité sur son territoire pour la gestion des IPs qui lui ont été attribué par l'IANA.

On peut ainsi identifier une machine et son propriétaire à partir de son IP. Il est donc important de ne pas faire n'importe quoi avec son IP, car le fournisseur d'accès Internet (FAI) peut identifier son propriétaire.

Description des types d'IP non routables

Il existe plusieurs raisons au fait qu'une adresse IP ne doivent pas être routée.

Adresse IP "non attribuée" ou "réservée"

Comme on peut le comprendre, toutes les IPs ne sont pas attribuées à une machine. Certaines adresses IP restent libres et non attribuées en attendant d'être affecté à une machine. Ces adresses ne doivent donc normalement pas être utilisées.

Comme il serait trop fastidieux de répertorier toutes les adresses libres à tout moment, l'IANA maintient une liste qui est disponible ici.

S'il était effectué un filtrage au niveau du firewall à partir de cette liste, il serait nécessaire de mettre à jour celui-ci régulièrement. Il s'agit d'une opération souvent oubliée. Étant donné qu'il n'y a aucun avantage à tirer pour un attaquant à utiliser ce type d'adresses, il n'est pas nécessaire d'effectuer un filtrage sur celles-ci.

Adresse IP "à usage privé"

Afin de permettre à tout un chacun de créer son propre réseau interne, il existe des classes d'adresses IP utilisables par tout le monde à titre de réseau privé. Comme l'identification du possesseur ou d'un responsable des machines identifiées par une adresse de ces classes ne peut pas être assuré, cette classe d'adresses est donc à bloquer par les firewalls des routeurs.

Les classes d'adresses privées sont : 

10.0.0.0    - 10.255.255.255    ou       10.0.0.0/8
172.16.0.0  - 172.31.255.255    ou    172.16.0.0/12
192.168.0.0 - 192.168.255.255   ou   192.168.0.0/16

Pour en savoir davantage : RFC 1918

Adresse IP "à but d'autoconfiguration"

Aussi appelées addresses APIPA.

Afin de permettre à certains OS d'obtenir une adresse IP de manière automatique sur un réseau, une classe d'adresses IP est réservée à cela. Elle autorise ainsi la machine à d'attribuer une adresse IP qui ne posera pas de problèmes de conflits sur un réseau existant, ce qui lui permet par la suite d'obtenir une autre adresse IP.

Les adresses de cette classe pouvant être utilisé par n'importe qui, au même titre que les adresses à “usage privée”, elles doivent être bloquée par les routeurs à l'aide d'un firewall.

La classe attribuée dans ce but est : 

169.254.0.0 - 169.254.255.255   ou   169.254.0.0/16

Pour en savoir davantage : RFC 3330

Adresse IP "de bouclage interne"

Afin de fonctionner correctement un ordinateur doit pouvoir s'identifier lui-même. Une classe d'adresse a été attribuée dans ce but, et pour les mêmes raisons que précédemment cette classe doit aussi être filtrée par les routeurs. 

127.0.0.0 - 127.255.255.255   ou   127.0.0.0/8

Pour en savoir davantage : RFC 3330

Adresse IP "de multicast"

Afin de permettre de diffuser en multicast sur internet une classe d'IP est utilisé à ce titre. 

224.0.0.0 - 239.255.255.255   ou   224.0.0.0/4

Pour en savoir davantage : RFC 1112 et RFC 2236

Adresse IP "de partage d'adresse entre utilisateurs"

Face à l’épuisement d'adresses ipv4 et pour éviter que des FAI squattent des préfixes IP, l'IESG a publié la RFC 6598, réservant le préfixe ci-dessous à l'usage de CGN. 

100.64.0.0/10

tldr : Liste des classes d'adresse IP à bloquer sur le parefeu

Cette liste doit être réactualisée régulièrement pour tenir compte des nouvelles affectations d'IP. 

 10.0.0.0/8 
 172.16.0.0/12 
 169.254.0.0/16 
 192.168.0.0/16 
 224.0.0.0/4
 100.64.0.0/10
doc/ipv4nonroutables.txt · Dernière modification : 2020/07/07 20:11 de chiahetcho
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki