| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| doc:ipv4nonroutables [2015/06/27 18:33] – chirac | doc:ipv4nonroutables [2020/07/07 20:11] (Version actuelle) – chiahetcho |
|---|
| ==== Description générale ==== | ====== IPv4 non routable ====== |
| |
| Une adresses ip est un nombre codé sur 32 bits<<FootNote(pour l'IPv4. Son successeur IPv6 est lui codé sur 128 bits ce qui permettra dans un avenir proche de disposer d'un plus grand nombre d'adresse.)>> soit compris entre 0 et 4.294.967.295 ou sous sa forme la plus courante comprise entre 0.0.0.0 et 255.255.255.255. Cette adresse IP permet d'identifier un système sur un réseau et ainsi de pouvoir communiquer avec les autres machines présentes sur ce réseau. | ===== Description générale ===== |
| |
| Ces adresses pour éviter tout abus et des actes de malveillance sont distribués par les différents fournisseurs d'accès et/ou organismes qui ont ainsi la gestion d'une certaine partie de ces adresses: | Une adresses IP est un nombre codé sur 32 bits pour l'IPv4 //(son successeur IPv6 est lui codé sur 128 bits ce qui permettra dans un avenir proche de disposer d'un plus grand nombre d'adresse)//, soit compris entre 0 et 4.294.967.295 ou sous sa forme la plus courante comprise entre 0.0.0.0 et 255.255.255.255. Cette adresse IP permet d'identifier un système sur un réseau et ainsi de pouvoir communiquer avec les autres machines présentes sur ce réseau. |
| * En haut de l'échelle, on trouve [[http://www.iana.org|l'IANA]] (Internet Assigned Numbers Authority) qui attribue des classes d'IP aux 4 organismes : | |
| * [[http://www.apnic.net/|APNIC]] (Asia Pacific Network Information Centre) - Asie/Région Pacifique | |
| * [[http://www.arin.net/|ARIN]] (American Registry for Internet Numbers) - Amérique du Nord et Afrique du Sud | |
| * [[http://lacnic.net/en/index.html|LACNIC]] (Regional American and Caribbean IP Address Registry) - Amérique latine et des îles des Caraïbes | |
| * [[http://www.ripe.net/|RIPE NCC]] (Réseaux IP Européens) - Europe, Moyen-Orient, Asie centrale et Afrique du Nord | |
| * .... et ainsi de suite jusqu'à l'affectation à une machine. | |
| |
| On peut ainsi identifier une machine et son propriétaire à partir de son ip. D'où l'importance de ne peut pas faire n'importe quoi avec son ip, car cela retombe à coup sûr sur son fournisseur d'accès qui peut lui savoir à qui elle a été attribuée réellement. | Ces adresses pour éviter tout abus et des actes de malveillance sont distribués par les différents fournisseurs d'accès et/ou organismes qui ont ainsi la gestion d'une certaine partie de ces adresses. En haut de l'échelle, on trouve [[http://www.iana.org|l'IANA]] (Internet Assigned Numbers Authority) qui attribue des classes d'IP aux 4 organismes : |
| | * [[http://www.apnic.net/|APNIC]] (Asia Pacific Network Information Centre) - Asie/Région Pacifique |
| | * [[http://www.arin.net/|ARIN]] (American Registry for Internet Numbers) - Amérique du Nord et Afrique du Sud |
| | * [[http://lacnic.net/en/index.html|LACNIC]] (Regional American and Caribbean IP Address Registry) - Amérique latine et des îles des Caraïbes |
| | * [[http://www.ripe.net/|RIPE NCC]] (Réseaux IP Européens) - Europe, Moyen-Orient, Asie centrale et Afrique du Nord |
| |
| | Chacun de ses organismes délèguent ensuite autorité sur son territoire pour la gestion des IPs qui lui ont été attribué par l'IANA. |
| |
| = Description des types d'IP non routables = | On peut ainsi identifier une machine et son propriétaire à partir de son IP. Il est donc important de ne pas faire n'importe quoi avec son IP, car le fournisseur d'accès Internet (FAI) peut identifier son propriétaire. |
| |
| Il existe plusieurs raisons au fait qu'une adresse IP ne doivent pas être routée : | |
| |
| == Adresse IP "non attribuée" ou "réservée" == | ===== Description des types d'IP non routables ===== |
| |
| Comme on peut le comprendre, toutes les ips ne sont pas attribuées à une personne. Certaines adresses IP restent libres et non attribuées en attendant de l'affecter à une machine. Ces adresses ne doivent donc normalement pas être utilisées. | Il existe plusieurs raisons au fait qu'une adresse IP ne doivent pas être routée. |
| | |
| | ==== Adresse IP "non attribuée" ou "réservée" ==== |
| | |
| | Comme on peut le comprendre, toutes les IPs ne sont pas attribuées à une machine. Certaines adresses IP restent libres et non attribuées en attendant d'être affecté à une machine. Ces adresses ne doivent donc normalement pas être utilisées. |
| |
| Comme il serait trop fastidieux de répertorier toutes les adresses libres à tout moment, l'IANA maintient une liste qui est disponible [[http://www.iana.org/assignments/ipv4-address-space|ici]]. | Comme il serait trop fastidieux de répertorier toutes les adresses libres à tout moment, l'IANA maintient une liste qui est disponible [[http://www.iana.org/assignments/ipv4-address-space|ici]]. |
| |
| S'il était effectué un filtrage à partir de cette liste, il serait nécessaire de mettre à jour régulièrement le firewall. Il s'agit d'une opération que l'on a toujours oubliée et qui nous a toujours posé problème. Étant donné qu'il n'y a aucun avantage à tirer pour un attaquant à utiliser ce type d'adresses, nous n'effectuons plus aucun filtrage sur celles-ci. | S'il était effectué un filtrage au niveau du firewall à partir de cette liste, il serait nécessaire de mettre à jour celui-ci régulièrement. Il s'agit d'une opération souvent oubliée. Étant donné qu'il n'y a aucun avantage à tirer pour un attaquant à utiliser ce type d'adresses, il n'est pas nécessaire d'effectuer un filtrage sur celles-ci. |
| |
| == Adresse IP "à usage privé" == | ==== Adresse IP "à usage privé" ==== |
| |
| Afin de permettre à tout un chacun de créer son propre réseau interne, il existe des classes d'adresses IP utilisable par tout le monde à titre de réseau privé. Comme l'identification du possesseur ou d'un responsable des machines identifiées par une adresse de ces classes ne peut pas être assuré, cette classe d'adresses est donc à bloquer par les firewalls des routeurs. | Afin de permettre à tout un chacun de créer son propre réseau interne, il existe des classes d'adresses IP utilisables par tout le monde à titre de réseau privé. Comme l'identification du possesseur ou d'un responsable des machines identifiées par une adresse de ces classes ne peut pas être assuré, cette classe d'adresses est donc à bloquer par les firewalls des routeurs. |
| |
| Les classes d'adresses privées sont : | Les classes d'adresses privées sont : |
| <code> | <code>10.0.0.0 - 10.255.255.255 ou 10.0.0.0/8 |
| 10.0.0.0 - 10.255.255.255 ou 10.0.0.0/8 | 172.16.0.0 - 172.31.255.255 ou 172.16.0.0/12 |
| 172.16.0.0 - 172.31.255.255 ou 172.16.0.0/12 | 192.168.0.0 - 192.168.255.255 ou 192.168.0.0/16 |
| 192.168.0.0 - 192.168.255.255 ou 192.168.0.0/16 | |
| </code> | </code> |
| |
| Pour en savoir davantage : [[http://www.rfc-editor.org/rfc/rfc1918.txt|RFC 1918]] | Pour en savoir davantage : [[http://www.rfc-editor.org/rfc/rfc1918.txt|RFC 1918]] |
| |
| == Adresse IP "à but d'autoconfiguration" == | ==== Adresse IP "à but d'autoconfiguration" ==== |
| | |
| | Aussi appelées addresses APIPA. |
| |
| Afin de permettre à certains OS d'obtenir une adresse IP de manière automatique sur un réseau, une classe d'adresses IP est réservée à cela. Elle autorise ainsi la machine à d'attribuer une adresse IP qui ne posera pas de problèmes de conflits sur un réseau existant, ce qui lui permet par la suite d'obtenir une autre adresse IP. | Afin de permettre à certains OS d'obtenir une adresse IP de manière automatique sur un réseau, une classe d'adresses IP est réservée à cela. Elle autorise ainsi la machine à d'attribuer une adresse IP qui ne posera pas de problèmes de conflits sur un réseau existant, ce qui lui permet par la suite d'obtenir une autre adresse IP. |
| |
| La classe attribuée dans ce but est : | La classe attribuée dans ce but est : |
| <code> | <code>169.254.0.0 - 169.254.255.255 ou 169.254.0.0/16 |
| 169.254.0.0 - 169.254.255.255 ou 169.254.0.0/16 | |
| </code> | </code> |
| |
| Pour en savoir davantage : [[http://www.rfc-editor.org/rfc/rfc3330.txt|RFC 3330]] | Pour en savoir davantage : [[http://www.rfc-editor.org/rfc/rfc3330.txt|RFC 3330]] |
| |
| == Adresse IP "de bouclage interne" == | ==== Adresse IP "de bouclage interne" ==== |
| |
| Afin de fonctionner correctement un ordinateur doit pouvoir s'identifier lui même. Une classe d'adresse a été attribuée dans ce but, et pour les mêmes raisons que précédemment cette classe doit aussi être filtrée par les routeurs. | Afin de fonctionner correctement un ordinateur doit pouvoir s'identifier lui-même. Une classe d'adresse a été attribuée dans ce but, et pour les mêmes raisons que précédemment cette classe doit aussi être filtrée par les routeurs. |
| <code> | <code>127.0.0.0 - 127.255.255.255 ou 127.0.0.0/8 |
| 127.0.0.0 - 127.255.255.255 ou 127.0.0.0/8 | |
| </code> | </code> |
| |
| Pour en savoir davantage : [[http://www.rfc-editor.org/rfc/rfc3330.txt|RFC 3330]] | Pour en savoir davantage : [[http://www.rfc-editor.org/rfc/rfc3330.txt|RFC 3330]] |
| |
| == Adresse IP "de multicast" == | ==== Adresse IP "de multicast" ==== |
| |
| Afin de permettre de diffuser en multicast sur internet une classe d'IP est utilisé à ce titre. | Afin de permettre de diffuser en multicast sur internet une classe d'IP est utilisé à ce titre. |
| |
| <code> | <code>224.0.0.0 - 239.255.255.255 ou 224.0.0.0/4 |
| 224.0.0.0 - 239.255.255.255 ou 224.0.0.0/4 | |
| </code> | </code> |
| |
| Pour en savoir davantage : [[http://www.rfc-editor.org/rfc/rfc1112.txt|RFC 1112]] et [[http://www.rfc-editor.org/rfc/rfc2236.txt|RFC 2236]] | Pour en savoir davantage : [[http://www.rfc-editor.org/rfc/rfc1112.txt|RFC 1112]] et [[http://www.rfc-editor.org/rfc/rfc2236.txt|RFC 2236]] |
| |
| == Adresse IP "de partage d'adresse entre utilisateurs" == | ==== Adresse IP "de partage d'adresse entre utilisateurs" ==== |
| |
| Face à l’épuisement d'adresses ipv4 et pour éviter que des FAI squattent des préfixes IP, l'[[http://fr.wikipedia.org/wiki/Internet%20Engineering%20Steering%20Group|IESG]] a publié la [[http://www.rfc-editor.org/rfc/rfc6598.txt|RFC 6598]], réservant le préfixe ci-dessous à l'usage de [[http://fr.wikipedia.org/wiki/Carrier%20Grade%20NAT|CGN]]. | Face à l’épuisement d'adresses ipv4 et pour éviter que des FAI squattent des préfixes IP, l'[[http://fr.wikipedia.org/wiki/Internet%20Engineering%20Steering%20Group|IESG]] a publié la [[http://www.rfc-editor.org/rfc/rfc6598.txt|RFC 6598]], réservant le préfixe ci-dessous à l'usage de [[http://fr.wikipedia.org/wiki/Carrier%20Grade%20NAT|CGN]]. |
| |
| <code> | <code>100.64.0.0/10 |
| 100.64.0.0/10 | |
| </code> | </code> |
| |
| = Liste des classes d'adresse IP à bloquer sur le parefeu = | ===== tldr : Liste des classes d'adresse IP à bloquer sur le parefeu ===== |
| Cette liste doit être réactualisée régulièrement pour tenir compte des nouvelles affectations d'IP. | Cette liste doit être réactualisée régulièrement pour tenir compte des nouvelles affectations d'IP. |
| |
