PHWinfo - Afficher un message - Blocage des visiteurs non autoriser par IP/HOSTNAME

20/08/2007, 20h13

Bonjour,

> Je suis à la recherche d'un script si il existe déjà ou de la manière
> à m'y prendre si il n'existe pas.
Pas comme ça en tous cas.

> Je vous explique j'aimerais réaliser où avoir un script qui permet de
> protéger mon site internet de mon entreprise.
Soit. intraet dirons nous plutôt.

> Et pour ne pas laisser la sécurité à la légère, on n'est jamais assez
> protéger des attaques internet j'aimerais que cette restriction ce
> face sur base de l'ip/hostname des visiteurs.
Ca commence mal pour trois raisons:
1) spoofer une IP c'est pas si dur que ça si on s'en donne un peu la peine
et selon le type d'attaque qu'on veut faire
2) comment aller vous garder vos listes à jour ?
3) personne dont le FAI utilise un proxy ne pourra se connecter. En
particulier le FAI AOL.

> C'est-à-dire que j'aimerais stocker dans ma base de donner des
> hostnames et ip des personnes autoriser d'accès.
Admettons pour les IP statiques. Par définition en revanche, une IP
dynamique changera à chaque fois.

> Par exemple avoir dans ma table pour
> amarseille-251-1-13-243.w83-113.abo.wanadoo.fr (83.13.1.251) la valeur
> en table amarseille-%.w83-113.abo.wanadoo.fr ou 83.13.%.% etc. afin de
> géré les IP dynamique.
Et donc ce n'est plus un filtre, c'est une passoire. Une fois que vous
aurez stocké les 200 ou 300 points d'accès des abonnés wanamou, ce sera
exactement comme %.%.%.%

> Partant de cette idéologie, je pense que la procédure a faire est de
> prendre IP et HOST du visiteur avec :
> $ip = $_SERVER["REMOTE_ADDR"];

Oui mais non. C'est fou ce qu'il y a d'ordinateurs qui ont 192.168.1.1
comme adresse IP vous savez.

> Sa me semble compliquer et très farfelue ... donnez moi votre avis,
> votre aide, votre expérience...

On le répète depuis des années, toute tentative d'authentification par
adresse IP est vouée à l'échec. Personnellement j'adore une phrase de
Werber : "personne ne l'ayant prévenu que c'était impossible, il finit par
réussir". Mais comme maintenant je vous ai prévenu, c'est foutu :-)

Orientez vous carrément vers un vrai VPN chiffré ou éventuellement vers
des certificats clients, mais là je ne sais pas exactement jusqu'où c'est
fiable et utilisable. Voir plutôt du côté de fr.comp.securite pour avoir
les principes à appliquer.

HTH
JG

20/08/2007, 20h13	#4
John GALLET Messages: n/a Hébergeur:	Re: Blocage des visiteurs non autoriser par IP/HOSTNAME Bonjour, > Je suis à la recherche d'un script si il existe déjà ou de la manière > à m'y prendre si il n'existe pas. Pas comme ça en tous cas. > Je vous explique j'aimerais réaliser où avoir un script qui permet de > protéger mon site internet de mon entreprise. Soit. intraet dirons nous plutôt. > Et pour ne pas laisser la sécurité à la légère, on n'est jamais assez > protéger des attaques internet j'aimerais que cette restriction ce > face sur base de l'ip/hostname des visiteurs. Ca commence mal pour trois raisons: 1) spoofer une IP c'est pas si dur que ça si on s'en donne un peu la peine et selon le type d'attaque qu'on veut faire 2) comment aller vous garder vos listes à jour ? 3) personne dont le FAI utilise un proxy ne pourra se connecter. En particulier le FAI AOL. > C'est-à-dire que j'aimerais stocker dans ma base de donner des > hostnames et ip des personnes autoriser d'accès. Admettons pour les IP statiques. Par définition en revanche, une IP dynamique changera à chaque fois. > Par exemple avoir dans ma table pour > amarseille-251-1-13-243.w83-113.abo.wanadoo.fr (83.13.1.251) la valeur > en table amarseille-%.w83-113.abo.wanadoo.fr ou 83.13.%.% etc. afin de > géré les IP dynamique. Et donc ce n'est plus un filtre, c'est une passoire. Une fois que vous aurez stocké les 200 ou 300 points d'accès des abonnés wanamou, ce sera exactement comme %.%.%.% > Partant de cette idéologie, je pense que la procédure a faire est de > prendre IP et HOST du visiteur avec : > $ip = $_SERVER["REMOTE_ADDR"]; Oui mais non. C'est fou ce qu'il y a d'ordinateurs qui ont 192.168.1.1 comme adresse IP vous savez. > Sa me semble compliquer et très farfelue ... donnez moi votre avis, > votre aide, votre expérience... On le répète depuis des années, toute tentative d'authentification par adresse IP est vouée à l'échec. Personnellement j'adore une phrase de Werber : "personne ne l'ayant prévenu que c'était impossible, il finit par réussir". Mais comme maintenant je vous ai prévenu, c'est foutu :-) Orientez vous carrément vers un vrai VPN chiffré ou éventuellement vers des certificats clients, mais là je ne sais pas exactement jusqu'où c'est fiable et utilisable. Voir plutôt du côté de fr.comp.securite pour avoir les principes à appliquer. HTH JG