adresse ip

[invite54165721]

Bonjour

Une petite question
A quoi est liée physiquement une adresse ip?
Supposons que j'aie 2 ordinateurs identiques. je peux échanger leurs composants voire tout permuter! que devient l'adresse ip?
-----

[JPL]

Elle n'est liée à rien sur le plan matériel : c'est simplement une affectation logique de l'adresse à l'ordinateur (ou plus exactement à une carte réseau). Je peux parfaitement éteindre cet ordinateur et affecter la même adresse IP à un autre. Seule restriction : si deux ordinateurs ont la même adresse IP il n'y a pas de problème tant qu'un seul est allumé, par contre le réseau détectera un conflit si on tente de démarrer le deuxième.

[SuperTux]

Les "blocks" de données sont "encapsuler" dans des paquets qui contiennent à la fois des informations techniques (par exemple l'adresse IP) et la charge utile ("les données") pour faire simple. En réalité il y a plusieurs encapsulations successive (par ex: ethernet -> ip -> tcp...).

D'ou le spoofing qui consiste à "forger" des paquets avec de fausse adresses IP (mais de nos jours je ne pense pas que les routeurs des FAI laissent encore passer ce genre de choses).

Voir: http://www.linux-france.org/prj/inet....tcpip.ip.html

[JPL]

L'IP spoofing cela remonte aux années 94-95 et au célèbre pirate Kevin Mitnick. À l'époque je crois que c'était une première, mais je pense (j'espère...) que ce genre de choses est largement verrouillé maintenant.
Pour les démêlée de Mitnick avec Tsutomu Shimomura (l'expert en sécurité quelque peu mégalomane qui l'a fait tomber), lire Cybertraque (écrit par ce dernier).

[A voir en vidéo sur Futura]

[Towl]

Oula l'IP spoofing est toujours d'actualité. Meme s'il existe des moyens de s'en protéger, ils sont assez lourd et rarement mis en place

[JPL]

Pas rassurant, j'étais naïf !

[ProgVal]

Et c'est là qu'on remercie Hadopi -_-'

[MaliciaR]

Oula l'IP spoofing est toujours d'actualité. Meme s'il existe des moyens de s'en protéger, ils sont assez lourd et rarement mis en place

Tu pourrais détailler, stp ? Merci

[MaliciaR]

A quoi est liée physiquement une adresse ip?

On peut lier l'adresse IP à une adresse MAC (c'est par exemple le cas de mon ordi au labo). Mais ça n'implique aucun lien physique.

[Towl]

Tu pourrais détailler, stp ? Merci

Tu as plusieurs techniques, qui vont se situer à différents endroits. Parmis les plus connus, on peut citer :

- le uRPF (Unicast Reverse Path Forwarding). Cette fonctionnalité se base sur les tables de routages (et donc est disponible sur les "bon" routeurs). On part du principe que si un paquet arrive par une interface, le routeur doit être capable de le renvoyer, et par cette meme interface. Donc le routeur va faire deux opérations : dans un premier temps, du routage classique : regarde l'adresse destination, la cherche dans sa RIB ou FIB, et sélectionne l'interface correspondant à la route choisie. Dans le second temps, il va faire le uRPF : il va regarder l'adresse source, la chercher dans sa RIB ou FIB. Si elle n'est pas référencée ou que la route est mauvaise (la route indique une autre interface), le routeur va rejeter le paquet.

- le Dynamic ARP inspection + DHCP Snooping + ... (appelation "Cisco -like"). On va plus la trouver sur les commutateurs administrable. Le principe est de se baser sur un serveur DHCP de confiance. On va dire au commutateur que le serveur DHCP se trouve derrière le port XX, et que toute autre requete DHCP venant d'un autre port devra être droppée. Ensuite, on dit au commutateur de suivre les requetes DHCP. C'est à dire qu'il va regarder qui envoie une demande (note le port et l'adresse mac), et ce que répond le serveur DHCP (IP). Il conserve se trio dans une table et va dropper tout paquet donc l'adresse mac source + IP source n'est pas présent dans cette table.

Comme tu peux le voir, il faut déjà des équipement évolués pour faire cela, et surtout avoir une tres bonne maitrise de son réseau (savoir ou sont les serveurs DHCP, interdire les IP fixe, bien configurer son routage...). Et la sécurité d'Internet (et tout systeme), repose sur la sécurité de l'élément le plus vulnérable (ie si un FAI décide de ne pas avoir de regles de routage/filtrage propre, les mesures prises par les autres peuvent devenir innefficaces)

On peut lier l'adresse IP à une adresse MAC (c'est par exemple le cas de mon ordi au labo). Mais ça n'implique aucun lien physique.

On peut, mais rien n'empeche de modifier son adresse mac un petit

Code:

ifconfig eth0 hw AA:BB:CC:DD:EE:FF

et hop on a une jolie adresse mac

[MaliciaR]

Wa, merci pour les explications ! Je viens de me farcir 7 projets d'informations du Sénat sur diverses questions, alors on laissera la compréhension du comment-du-pourquoi-et-quand pour demain

On peut, mais rien n'empeche de modifier son adresse mac un petit ifconfig eth0 hw AA:BB:CCD:EE:FF et hop on a une jolie adresse mac

Hum
Mais dis, est-ce qu'on peut associer une adresse IP particulière d'un réseau privé à une adresse MAC supplémentaire ? Càd, si je veux par exemple associer mon adresse IP du labo à un des pc à la maison. Ca m'éviterait de me connecter à mon pc là pour chercher des articles scientifiques (c'est l'IP qui est reconnue comme provenant de tel établissement).

[JPL]

Càd, si je veux par exemple associer mon adresse IP du labo à un des pc à la maison.

Non, tu peux modifier ton adresse MAC mais pas ton adresse IP (enfin... sauf IP spoofing ).

[MaliciaR]

Hum, ça m'a l'air compliqué Même si les gars du service info sont cools, je ne pense pas qu'ils me laissent faire :/

[invite6754323456711]

Hum
Mais dis, est-ce qu'on peut associer une adresse IP particulière d'un réseau privé à une adresse MAC supplémentaire ? Càd, si je veux par exemple associer mon adresse IP du labo à un des pc à la maison. Ca m'éviterait de me connecter à mon pc là pour chercher des articles scientifiques (c'est l'IP qui est reconnue comme provenant de tel établissement).

Il me semble que pour bien comprendre et démystifier ce problème de résolution d'adressage il faut distinguer les différents niveaux OSI qui sont mis en œuvre.

Adresse MAC :

La couche MAC désigne (niveau OSI 1,5. Je fais une différence entre l'accès et la liaison de donnée, niveau 2, tel que LLC par exemple) la méthode d'accès à un support de communication. Ici il semble être fait référence à un support partagé tel que ethernet / Wifi. Le support étant partagé pour émettre une trame vers un destinataire il faut l'identifier, d'où la nécessité d'une adresse de niveau MAC (distinguant les machines sur un même support de transmission). Sur ce réseau local je pourrais très bien communiquer sans utiliser le protocole IP (je n'ai pas besoin de router l'information), exemple NetBEUI ((NetBIOS Extended User Interface).

Dans le cas de liaisons point à point qui relient de manière fixe deux machines, en général il n'existe donc pas de notion d'adresse MAC, un datagramme est systématiquement envoyé à l'extrémité distante du lien.

Adresse IP :

L'Internet est bâti sur un modèle de réseau de réseaux (anglais Inter Networking). On ne fait aucune hypothèse sur le type d'infrastructure ou d'équipement utilisés. Les données sont véhiculées dans des datagrammes séparés. Deux principes fondateurs de l'internet sont : la communication de "bout en bout" et le "meilleur effort" (Best Effort) pour l'acheminement. Pour faire simple on peut dire que les ordinateurs sont identifiés dans l'Internet par des adresses IP uniques. L'adresse de destination se retrouve dans l'ensemble des paquets émis sur le réseau. Les équipements d'interconnexion des réseaux, orientant les paquets vers leur destination finale, sont des routeurs. Le routeur final, qui possède une interface Ethernet/Wifi sur laquelle sont connecter les PC des utilisateurs, à besoin de connaitre l'adresse MAC du PC destinataire du message IP. D'ou le protocole IPv4 ARP (http://fr.wikipedia.org/wiki/Address...ution_Protocol) de résolution d'adresse (en IPv6 un nouveau mécanisme (intégré à ICMPv6 : http://fr.wikipedia.org/wiki/Interne...ge_Protocol_V6) appelé "découverte de voisins" est utilisé pour la résolution d'adresse) . Pour transmettre le datagramme IPv4 on n'utilise pas le broadcast ethernet (d'ailleurs plus utilisé en IPv6) car il solliciterait inutilement les piles IP non concernés par le message.

Ensuite vient le niveau du Nommage :

les noms sont utiles aux utilisateurs finaux pour identifier facilement un élément fournissant un service dans un réseau. Tandis que les adresses sont utiles pour effectuer des opérations dans le réseau et réaliser le routage. Les noms sont une suite de caractères de taille variable tandis que les adresses sont une suite de caractère de taille fixe.

Avant de pouvoir communiquer il faut faire une correspondance entre adresse et nom (early binding). Dans le cas de l’Internet le « domain name system » (DNS) se charge de faire la correspondance entre le nom avec lequel un utilisateur final identifie une machine et son adresse IP.

Ce qui n'est pas le cas du protocole DTN (Delay Tolerant Network) qui fait du "late binding" (on repousse au plus tard la nécessité de faire la correspondance entre l’EID (Endpoint Identifier) de destination et son adresse).

Patrick

[Towl]

Jolie explication

Apres si tu as des besoin de sortir avec une IP précise (ie celle de ton labo) et que tu connais bien l'administrateur du labo, tu peux toujours t'amuser à faire un VPN entre chez toi et ton labo, et à NATer les sorties pour masquer ton IP

[invite6754323456711]

Jolie explication

Apres si tu as des besoin de sortir avec une IP précise (ie celle de ton labo) et que tu connais bien l'administrateur du labo, tu peux toujours t'amuser à faire un VPN entre chez toi et ton labo, et à NATer les sorties pour masquer ton IP

Oui,

On peut aussi évoquer le problème, qu'a laissé de coté IPv6, de chercher à découpler identifiant (l'identité d'une machine/interface) et localisation (le moyen de l'atteindre) pour pouvoir résoudre simplement les problèmes de renumérotation, mobilité, multi-domiciliation... et cela de façon sécurisé.

En IPv6 comme en IPv4, l'adresse sert à la fois pour l'identification et la localisation. D'où une proposition de l'IETF le protocole HIP (Host Identity Protocol) qui propose que l'identifiant et le localisateur ne soient plus une seule et même chose, en spécifiant que le localisateur reste l'adresse IP mais en spécifiant un nouveau type d'Identifiant : le Host Identifier (HI).

Donc encore une autre association entre l'adresse IP et le HI

http://bortzmeyer.org/separation-ide...alisateur.html
http://bortzmeyer.org/files/separation-id-loc-PRINT.pdf


Patrick

[MaliciaR]

Jolie explication

+1. Merci, Patrick C'est vrai que moi et les réseaux, ça fait 10 :P

Apres si tu as des besoin de sortir avec une IP précise (ie celle de ton labo) et que tu connais bien l'administrateur du labo, tu peux toujours t'amuser à faire un VPN entre chez toi et ton labo, et à NATer les sorties pour masquer ton IP

J'ai accès au VPN Quand je suis connectée via vpnc, je fais un ssh sur mon IP. Donc, maintenant, j'apprends que je peux faire autre chose

J'aurai certainement d'autres questions. Merci pour tous ces éclaircissements.
Bonne nuit!

[Garlik]

Oui, des l'instant ou tu es relie a ton reseau d'entreprise par VPN, tout se passe comme si ta machine etait physiquement raccoordee a ce reseau.

Partant de la, et sauf si les administrateurs systeme et reseau de ta boite l'ont interdit, il te suffit de definir le proxy de ton entreprise dans tes options internet pour naviguer sur le net comme si tu etais a ton bureau (donc avec une origine semblant provenir de ton resau d'entreprise).