Table des matières
IPv4 non routable
Description générale
Une adresses IP est un nombre codé sur 32 bits pour l'IPv4 (son successeur IPv6 est lui codé sur 128 bits ce qui permettra dans un avenir proche de disposer d'un plus grand nombre d'adresse), soit compris entre 0 et 4.294.967.295 ou sous sa forme la plus courante comprise entre 0.0.0.0 et 255.255.255.255. Cette adresse IP permet d'identifier un système sur un réseau et ainsi de pouvoir communiquer avec les autres machines présentes sur ce réseau.
Ces adresses pour éviter tout abus et des actes de malveillance sont distribués par les différents fournisseurs d'accès et/ou organismes qui ont ainsi la gestion d'une certaine partie de ces adresses. En haut de l'échelle, on trouve l'IANA (Internet Assigned Numbers Authority) qui attribue des classes d'IP aux 4 organismes :
- APNIC (Asia Pacific Network Information Centre) - Asie/Région Pacifique
- ARIN (American Registry for Internet Numbers) - Amérique du Nord et Afrique du Sud
- LACNIC (Regional American and Caribbean IP Address Registry) - Amérique latine et des îles des Caraïbes
- RIPE NCC (Réseaux IP Européens) - Europe, Moyen-Orient, Asie centrale et Afrique du Nord
Chacun de ses organismes délèguent ensuite autorité sur son territoire pour la gestion des IPs qui lui ont été attribué par l'IANA.
On peut ainsi identifier une machine et son propriétaire à partir de son IP. Il est donc important de ne pas faire n'importe quoi avec son IP, car le fournisseur d'accès Internet (FAI) peut identifier son propriétaire.
Description des types d'IP non routables
Il existe plusieurs raisons au fait qu'une adresse IP ne doivent pas être routée.
Adresse IP "non attribuée" ou "réservée"
Comme on peut le comprendre, toutes les IPs ne sont pas attribuées à une machine. Certaines adresses IP restent libres et non attribuées en attendant d'être affecté à une machine. Ces adresses ne doivent donc normalement pas être utilisées.
Comme il serait trop fastidieux de répertorier toutes les adresses libres à tout moment, l'IANA maintient une liste qui est disponible ici.
S'il était effectué un filtrage au niveau du firewall à partir de cette liste, il serait nécessaire de mettre à jour celui-ci régulièrement. Il s'agit d'une opération souvent oubliée. Étant donné qu'il n'y a aucun avantage à tirer pour un attaquant à utiliser ce type d'adresses, il n'est pas nécessaire d'effectuer un filtrage sur celles-ci.
Adresse IP "à usage privé"
Afin de permettre à tout un chacun de créer son propre réseau interne, il existe des classes d'adresses IP utilisables par tout le monde à titre de réseau privé. Comme l'identification du possesseur ou d'un responsable des machines identifiées par une adresse de ces classes ne peut pas être assuré, cette classe d'adresses est donc à bloquer par les firewalls des routeurs.
Les classes d'adresses privées sont :
10.0.0.0 - 10.255.255.255 ou 10.0.0.0/8 172.16.0.0 - 172.31.255.255 ou 172.16.0.0/12 192.168.0.0 - 192.168.255.255 ou 192.168.0.0/16
Pour en savoir davantage : RFC 1918
Adresse IP "à but d'autoconfiguration"
Aussi appelées addresses APIPA.
Afin de permettre à certains OS d'obtenir une adresse IP de manière automatique sur un réseau, une classe d'adresses IP est réservée à cela. Elle autorise ainsi la machine à d'attribuer une adresse IP qui ne posera pas de problèmes de conflits sur un réseau existant, ce qui lui permet par la suite d'obtenir une autre adresse IP.
Les adresses de cette classe pouvant être utilisé par n'importe qui, au même titre que les adresses à “usage privée”, elles doivent être bloquée par les routeurs à l'aide d'un firewall.
La classe attribuée dans ce but est :
169.254.0.0 - 169.254.255.255 ou 169.254.0.0/16
Pour en savoir davantage : RFC 3330
Adresse IP "de bouclage interne"
Afin de fonctionner correctement un ordinateur doit pouvoir s'identifier lui-même. Une classe d'adresse a été attribuée dans ce but, et pour les mêmes raisons que précédemment cette classe doit aussi être filtrée par les routeurs.
127.0.0.0 - 127.255.255.255 ou 127.0.0.0/8
Pour en savoir davantage : RFC 3330
Adresse IP "de multicast"
Afin de permettre de diffuser en multicast sur internet une classe d'IP est utilisé à ce titre.
224.0.0.0 - 239.255.255.255 ou 224.0.0.0/4
Adresse IP "de partage d'adresse entre utilisateurs"
Face à l’épuisement d'adresses ipv4 et pour éviter que des FAI squattent des préfixes IP, l'IESG a publié la RFC 6598, réservant le préfixe ci-dessous à l'usage de CGN.
100.64.0.0/10
tldr : Liste des classes d'adresse IP à bloquer sur le parefeu
Cette liste doit être réactualisée régulièrement pour tenir compte des nouvelles affectations d'IP.
10.0.0.0/8 172.16.0.0/12 169.254.0.0/16 192.168.0.0/16 224.0.0.0/4 100.64.0.0/10