Author: YP Date: To: Edgar Bonet CC: ML Guilde Subject: Re: filtrer sur l'adresse IP sur un service
Edgar Bonet a écrit :
>Le lundi 13 décembre, Jean-Philippe Granchi a écrit :
>
>
>>> Order deny,allow
>>> Deny from all
>>> Allow from 127.0.0.1 192.168.1.2
>>>
>>>
>>[...] en terme de sécurité, je suis pas sur que ce soit bien (spoofing
>>etc ...), et je le ferai plus au niveau du firewall [...]
>>
>>
>
>Je ne comprends pas en quoi le fait de dire au firewall « n'accepte que
>telle ou telle IP » serait plus sûr que de dire la même chose au
>serveur.
>
>Le mardi 14 décembre, YP a écrit :
>
>
>>Effectivement le filtrage par adresses IP a le travers d'être
>>facilement détourné.
>>
>>
>
>Facile ? Sur un serveur Linux ? Si le pirate est sur le même réseau
>local que le serveur ou un client légitime, je veux bien, mais sinon, je
>demande à voir.
>
> Les recettes pour faire de l'IP spoofing sont décrites dans les bonnes
crémeries sûrement.
Sur un LAN j'entendais, c'est simple. Sinon c'est sans doute plus chaud
en effet, et il faut savoir jongler avec les numéros de séquence.
Par ailleurs et c'est le problème rencontré par PK, les proxies employés
parfois là où on ne les attend pas (chez Transpac par exemple sauf à ce
que ça ait changé depuis et dieu comme c'était fun pour les VPN
IPSec...), font que s'appuyer les adresses IP pour donner accès a des
ressources est quand même un peu court.
>
>
>>Poser des règles de filtrage iptables est de ce point de vue nettement
>>plus sûr
>>
>>
>
>En quoi est-ce plus sûr ? C'est toujours un filtrage sur l'IP du client.
>
> Oui mais il n'y a pas réveil d'une appli et connexion effective lorsque
le filtrage est fait dans les couches basses. C'est plus efficace qu'un
tcp wrapper dans le cas d'un service lancé par inted qui est lui-même
plus efficace qu'un filtrage effectué par une appli.
L'erreur 403 est renvoyée par Apache, ce qui consomme un peu plus qu'un
RST ou rien suivant que ce DENY ou DROP est la règle ;)