lment 2 :

Outils de la scurit informatique

Patrie 1

H. EL FADILI

Sommaire

A- Firewall
B- Filtrage
C- DMZ
D- Architectures scurises
E- NAT

ENSAF

H. EL FADILI

A- Firewall

ENSAF

H. EL FADILI

Firewall

Dfinition : Filtre de paquet, coupe-feu, gardebarrire, un systme qui renforce la politique de

scurit entre le rseau dune organisation et un rseau
risque (Internet par exemple).
Une passerelle contrlant le trafic dans les deux
directions dterminant Quels :

ENSAF

lments et services internes peuvent tre accds de

lextrieur
lments et Services externes peuvent tre accds par les
lments internes
H. EL FADILI

Firewall

Recommandations de securit:

Tout le trafic de et vers internet doit passer par le firewall.

Le firewall doit permettre seulement le passage du trafic
autoris (fruit dune politique de scurit).
Pas de contournement : Les machines internes et externes ne
communiquent pas par un autre moyen non contrl par le
firewall.

Cette politique doit inclure galement des mesures plus

classique de protection : lectrique, tolrance aux
pannes, antivirus, IDS, ....

ENSAF

H. EL FADILI

Caractristiques du firewall

Filtrage du trafic sur le point de rencontre entre

le rseau de confiance et le rseau risque :
check point.
le firewall est lendroit idal pour monter un
NAT (sparation priv/public).
Journalisation du trafic autoris/interdit permet
ladministrateur de faire une valuation
rgulire du trafic.

ENSAF

H. EL FADILI

Configurations possibles

Dcentralis : sur chaque machine on applique un

filtrage du trafic entrant et sortant de linterface rseau.
Centralis : lapplication du filtrage en un seul point du
rseau (point de passage du domaine risqu vers le
domaine scuris)

ENSAF

Facilit : Configuration en un seul point

un point unique de panne : Dans le cas de multiples point,
ladministrateur doit grer autant de pannes que de points de
contrle.
Limitation : en cas de panne, tout le rseau ne communique
pas avec lextrieur
H. EL FADILI

Limitations dun Firewall

Ne protge pas contre les attaques qui ne

passent pas par lui :
Attaques internes.
Attaques Externes par contournement : connexions
directes sans filtrage.
Rapatriement sur support physique :

Interdire le trafic ftp pour ne pas rapatrier des donnes

malicieuses
Entre/Sortie dinformation sur support physique
contenant un trafic interdit par le firewall.

ENSAF

H. EL FADILI

Limitations dun Firewall

Ne prvient pas contre le transfert de fichiers

infects par virus

Un firewall filtre le trafic, on doit lui associer un

antivirus pour scanner le trafic.

Ne prvient pas contre les applications de

type cheval de troie :

ENSAF

Un trafic rglementaire du point de vue du firewall

(ftp, http) peut vhiculer des applications cheval
de Troie qui compromettent la scurit du SI.
H. EL FADILI

NB : la fonction essentielle du firewall est le

filtrage, on va aborder cette notion afin de
dterminer les types de firewall.

ENSAF

H. EL FADILI

B- Filtrage

ENSAF

H. EL FADILI

Filtrage

Lobjectif du filtrage est dassurer une scurit

des communications inter-rseaux par
application dun ensemble de rgles sur ce trafic.

ENSAF

H. EL FADILI

Trafic entrant

Rseau 2

Rseau 1
Trafic sortant

Un pare-feu implmente une politique de scurit en analysant et filtrant

le trafic entrant et sortant au niveau de ses interfaces.

Objectif filtrage : interdire et accepter les paquets selon leurs nature et

leurs source et destination

ENSAF

H. EL FADILI

Types de Filtrage

Diffrents mcanismes sont possibles pour

filtrer.
1.Filtrage des paquets la vole (stateless/static
packet filtering = filtrage sans tat).
2.Filtrage des paquets avec mmorisation des
connexions (stateful inspection = filtrage de paquet
avec tat).
3.Filtrage applicatif : application inspection.

ENSAF

H. EL FADILI

1. Filtrage des paquets la vole

Principe :
Contrle paquet par paquet indpendamment
des paquets prcdents de la mme session et
comparaison une liste de rgles prconfigures.

ENSAF

H. EL FADILI

Le parfeu analyse les en-ttes de chaque datagramme/segment chang entre une

machine du rseau interne et une machine extrieure en se basant essentiellement
sur 5 paramtres :
Les paramtres sont :
Datagramme IP

ICMP
TCP
UDP

adresse IP source

adresse IP destination

protocole

port source

Port destination

Segment TCP

Dfinitions

Un filtre :
est une suite ordonne de rgles de filtrage.
Une rgle
est de la forme : Si condition alors action.
une condition est la conjonction de tests dappartenance
dun champ un sous-ensemble de valeurs
une action est de la forme :
accept, reject(deny), reject with log(journaliser les trafics de cette
rgle),

Une action par dfaut est spcifie si aucune rgle nest

applicable

ENSAF

H. EL FADILI

Exemples de filtre :
Rejeter le trafic provenant du rseau 172.17.0.0
Accepter tout le trafic entrant vers le port 80
Rejeter le trafic provenant du rseau
10.3.40.0/24 et du port TCP 1247 et destination
du serveur 10.3.41.200 sur le port TCP 443

Exemple 2

Interprtez la politique suivante sous forme de rgles :

Rgle

Action

IP source

IP dest

Protocole Port
Srce

Port
Dest

Accept

any

172.10.0.1
2

TCP

Any

80

Accept

any

TCP

Any

25

deny

192.168.10.0/
24
any

Any

any

Any

any

Accepter le trafic vers le port TCP/80 de la machine 172.10.0.12

Accepter le trafic provenant du rseau 192.168.10.0/24 et destination
du port TCP/25
Sinon rejeter tout.

ENSAF

H. EL FADILI

Exemple 3 :
Serveur
SMTP
Firewall

Politique de scurit :
Disposant dun serveur mail consultable de lextrieur
Donnez les rgles implmenter sur le firewall pour respecter la politique
suivante :

Seuls sont autoriss

les envois extrieurs de mails par les utilisateurs internes et
les rcuprations extrieurs de mails par des utilisateurs nomades
Mais les mails provenant de spammeurs recenss sont interdits.

les envois extrieurs de mails par les utilisateurs internes sont autoriss

Trafic sortant :

Sortant
Port destination 25
Accepter
Protocole TCP
Sinon rejeter

eth0
Si Port destination = 25
et TCP
Alors accept
Sinon reject

ENSAF

H. EL FADILI

Transformation en rgles :
Trafic sortant

Rgl
e
1

Action

IP source

IP dest

Protocole

Port Srce

Accept

any

Any

TCP

any

Port
Dest
25

Deny

any

Any

any

Any

any

ENSAF

H. EL FADILI

les rcuprations extrieurs de mails par des utilisateurs nomades sont autoriss
Mais les mails provenant de spammeurs recenss sont interdits.

Entrant

Trafic entrant :

@IP source = @IP spammeur

Interdit

@destination= @IP Serveur

IMAP4

Port destination 143

Accepter

Protocole TCP
Si @IPsource = @IPspammeur
Alors reject
Sinon si @IPDest = serveurSMTP
et Port destination = 143
et TCP
Alors accept
Sinon reject

Sinon rejeter

Trafic entrant
Supposons quon connat le spammeur 212.10.0.12 et que notre
serveur SMTP 192.168.10.1
Rgl
e
1

Action

IP source

IP dest

Protocole

Port Srce

deny

212.10.0.12

Any

Any

Any

Port
Dest
Any

Accept

any

192.168.10.1

TCP

any

143

Deny

any

Any

any

Any

any

ENSAF

H. EL FADILI

Limitations du filtrage la vole:

Configuration lourde : Devoir autoriser les
paquets dans les 2 sens.
Obligation dautoriser les ports > 1023 pour les
connexions vers l'extrieur risque dintrusion

ENSAF

H. EL FADILI

Exemple :

Firewall
Autoriser laccs Internet aux utilisateurs internes ?
Autoriser les paquets sortants avec :
port source >1023, port destination 80
Autoriser les paquets entrants avec :
port source 80, port destination >1023
Interdire autre trafic
Si un pirate :
envoie un cheval de troie ouvrant le port 2048 sur une machine du LAN et envoie
un paquet forg :
port source 80, port destination 2048
Pourra-t-il communiquer avec cette machine ?

Solution : si le firewall le supporte : ne pas

permettre les paquets entrants avec le flag syn
1 vers les machines du LAN

Interdire les paquets entrants avec flag syn=1

Autoriser les paquets sortants avec :
port source >1023, port destination 80
Autoriser les paquets entrants avec :
port source 80, port destination >1023
Interdire autre trafic

ENSAF

H. EL FADILI

Limitations du filtrage la vole:

Incapable de dtecter les intrusions IP spoofing
et vol de session dun trafic permis par le firewall
:
Problmes :
Ce type de firewall laisse passer ce type de paquets
malicieux.
en cas de paquet erron : perte des connexions
lgitimes

ENSAF

H. EL FADILI

Client
(login/passwd)
IP
Serveur
telnet
Hijacker
Port 23
Autoriser les paquets entrants avec port dest 23, source >1023
Autoriser les paquets sortants avec port dest >1023, source 23
Interdire autre
Le pirate envoie des paquets telnet avec la mme IP que le client (IP spoofing) et avec un
num de squence prdit pour tromper le serveur
Le firewall laisse passer ce trafic?. Oui
Fermeture force dune session lgitime : Le serveur ferme la session en cas de faux num
de squence

 Des services comme FTP peut ncessiter plus

dun port pour communiquer :
Il est donc impossible avec un filtrage simple de
prvoir les ports laisser passer ou interdire. On
peut ouvrir le port 21 et fermer les autres ce qui
risque dinterrompre la communication par la
suite.

ENSAF

H. EL FADILI

FTP mode actif

Client
N > 1023
Canal
commande

Serveur
FTP

(N+1) > 1023

Canal
DATA

21
20

Autoriser les paquets entrants avec port dest 21, source >1023
Autoriser les paquets sortants avec port source 21, dest >1023
Interdire autre

Les autres paquets du canal DATA ne passent pas

ENSAF

H. EL FADILI

FTP mode Passif

Client
N > 1023
Canal
commande

Serveur
FTP

(N+1) > 1023

Canal
DATA

21
M > 1023

Autoriser les paquets entrants avec port dest 21, source >1023
Autoriser les paquets sortants avec port source 21, dest >1023
Interdire autre

Les autres paquets du canal DATA ne passent pas

ENSAF

H. EL FADILI

2. Filtrage avec mmorisation de

connexions:

Filtrage dynamique ou stateful inspection : capable

dassurer un suivi des changes : tenir compte de ltat
des anciens paquets pour appliquer les rgles de filtrage.
Si le firewall est cod pour autoriser un flux, il autorisera
tous les paquets lis ce flux, dans les deux sens,
condition qu'ils soient "rattachs" une session
Le firewall mmorise les tablissements de connexion et
les changes dans une table des connexions.

ENSAF

H. EL FADILI

2. Filtrage avec mmorisation de

connexions:
Avantages :
Gain en configuration : si un firewall autorise un
paquet UDP caractris par (ip_src, port_src, ip_dst,
port_dst) passer, il autorisera la rponse caractrise
par le quadruplet invers, sans avoir crire une ACL
inverse.

En labsence de trafic sur une connexion et

lexpiration dun dlai, lentre correspondante la
connexion est supprime scuriser en fermant
linutilis.

ENSAF

H. EL FADILI

dtruire les paquets de vol de session : Si un

attaquant essaie de forger un paquet afin de sinfiltrer
entre un client et un serveur TCP : le firewall dtecte
quil ne fait pas partie de cette session limination du
paquet douteux.

avantage : ne pas fermer la session tant que les parties lgitimes ne lont
pas dcid.

ENSAF

H. EL FADILI

Limitations du filtrage dynamique

Ne protge pas de lexploitation des failles

applicatives lies aux vulnrabilits des
applications (car il nagit quau niveau de la
couche 4).
Ne permet pas de grer les changes avec des
communications multi-ports : information
transfre sur le flux de donnes applicatives
(FTP).

ENSAF

H. EL FADILI

3. Filtrage applicatif

Le filtrage applicatif opre donc jusquau niveau 7

(couche application) du modle OSI, contrairement au
filtrage de paquets simple (niveau 3 et 4).
Le filtrage applicatif est une analyse des donnes aprs
desencapsulation des enttes des couches basses (le
filtrage niveau 4 ne lisant que les enttes)
Le filtrage applicatif suppose donc une connaissance
des protocoles utiliss par chaque application

ENSAF

H. EL FADILI

Avantages :
Rsoudre le problme de certains protocoles comme
le FTP ou il y a change applicatif des ports ouvrir
par le client ou le serveur pour tablir le canal data. Le
firewall ayant cette information ouvre dynamiquement
les ports requis.
Le filtrage applicatif permet daffiner le filtrage en
refusant/acceptant des fonctions du protocole
applicatif.

ENSAF

H. EL FADILI

Limitations Filtre applicatif

Une analyse fine des donnes applicatives

requiert une grande puissance de calcul et se
traduit souvent par un ralentissement des
communications, chaque paquet devant tre
finement analys.
Le proxy doit pouvoir interprter une vaste
gamme de protocoles.

ENSAF

H. EL FADILI

Types de Firewall

On distingue trois types de firewall selon le

filtrage adopt :
Firewall stateless inspection : statique
Firewall statefull inspection : dynamique
Firewall application inspection : applicatif

ENSAF

H. EL FADILI

Orientations du firewall

on distingue deux orientations opposes:

Tout ce qui nest pas spcifiquement permis est
interdit : on interdit tout, et on donne des rgles
pour les accs accepter. Cette approche favorise la
scurit mais elle est contraignante.
Tout ce qui nest pas spcifiquement interdit est
permis : on autorise tout et on limine les risques un
par un via les interdictions. Cette approche est moins
scurise et suppose la connaissance de toutes les
sources de dangers.

ENSAF

H. EL FADILI

Exemple

Soit un rseau 192.168.0.0/24, on veut:

Orientation 1:

(192.168.0.1 -> .0.100) accepter accs internet

(192.168.0.101 -> .0.200) refuser accs internet

Accepter la plage 192.168.0.1 -> .0.100

Interdire laccs tout les paquets sortants

Orientation 2:
Interdire la plage 192.168.0.101 -> .0.200

Accepter tout les paquets sortants

Si un paquet ayant ladresse 172.10.0.1 essaie daccder Internet, quelle orientation larrtera ?
ENSAF

H. EL FADILI

C- DMZ

ENSAF

H. EL FADILI

C- DMZ
Problme :
Soit un rseau interne se connectant un rseau
risque (internet par exemple), certaines
machines du rseau interne ont besoin dtre
accessible de lextrieur (serveur web,
messagerie, FTP, )
Comment procder ?

ENSAF

H. EL FADILI

WEB
Firewall
FTP

Trafic autoris

Mail

Solution1 :
Mettre les serveurs publics sur le mme segment
interne
Sur le firewall on doit autoriser laccs de
lextrieur vers les serveurs (publics)
Risque dintrusion sur les machines internes du
LAN

Solution 2 :
Sparer le LAN des serveurs publics
lier les machines serveurs sur une autre interface du
firewall : zone dmilitarise
Permettre sur le firewall la communication entrante
vers cette zone
Interdire les communications entrantes vers le rseau
LAN protection du LAN

ENSAF

H. EL FADILI

WEB
Trafic autoris
Firewall
FTP
interdire
Mail

ENSAF

H. EL FADILI

Dfinition : une DMZ est une zone isole du

LAN hbergeant des applications mises la
disposition du public.
La DMZ est une zone tampon entre le rseau
protger et le rseau hostile.

ENSAF

H. EL FADILI

Politique de scurit DMZ

Trafic du rseau externe vers la DMZ autoris :

accs aux serveurs publics
Trafic de la DMZ vers lextrieur refus : un
attaquant peut accder une machine serveur et
lancer un trojan qui va initier une session avec
lextrieur pour expatrier des donnes hors
primtre de scurit la rgle lempche
dinitier une nouvelle session vers lextrieur.

ENSAF

H. EL FADILI

Trafic du LAN vers la DMZ autoris : les users peuvent accder

aux serveurs publics.
Trafic de la DMZ vers le LAN interdit : un attaquant ayant pris
le contrle dun serveur public ne peut initier une session avec
les machines internes.
Trafic du rseau interne vers le rseau externe autoris : accs
Internet des utilisateurs.
Trafic du rseau externe vers le LAN interdit : un attaquant ne
peut initier une connexion avec une machine interne
directement.
NB : les interdictions correspondent des initiations de connexions
et non des rponses

ENSAF

H. EL FADILI

Trafic interdit
WEB
Trafic autoris
Firewall
FTP
autoris
Mail

interdit

interdire

autoris

Politique de scurit DMZ

NB : Laccs public sur une DMZ est donn sur

un port et non sur la machine entire mais un
attaquant peut ventuellement ouvrir dautres
ports et contrler la machine il est dconseill
dy stocker des donnes critiques de lentreprise.

ENSAF

H. EL FADILI

D- Architectures scurises

ENSAF

H. EL FADILI

D- Architectures scurises

Utilisation des concepts : firewall, DMZ pour

structurer le rseau local afin de le prmunir des
risques externes et internes.

ENSAF

H. EL FADILI

1. standalone Perimeter Router

Adapt aux petites entreprises : car ne possdent pas de services publics offrir pas de
DMZ
Non securis
Le routeur est dit perimeter router : assure le routage
Le routeur assure une certaine scurit en cachant le segment interne par un adressage non
visible de lextrieur

Le routeur peut implementer un filtrage IP

basique, il est dit screening router.
Ce filtrage vite lIP spoofing en vrifiant que les
@IP dorigine des paquets qui arrivent sur
chaque interface sont cohrentes et quil ny a
pas de mascarade.

ENSAF

H. EL FADILI

2. routeur de primtre et firewall

Perimeter
router

Filtrage
applicatif

DMZ
Moyennes et grandes entreprises
Plus de protection

ENSAF

H. EL FADILI

3. primeter router with integrated firewall

Filtrage
applicatif

DMZ

Avantage : config dun seul quipement

Limitation : La machine doit tre puissante car une double fonction (routage et filtrage)

4. Routeur de primtre, routeur interne et firewall

Perimeter
router

Filtrage
applicatif

Routeur
interne

DMZ
Inconvnient : grand trafic de routage
Le rseau local est bcp plus protg par un routeur interne qui masque ladressage, un intrus prenant
le contrle du web server devinera difficilement ladressage interne
On est bcp plus labri des attaques avec plusieurs interfaces rseau (scurit par segmentation)

E- NAT

E- NAT

IPv4 offre un champ dadressage limit et

insuffisant (4,3 milliards dadresses possibles)
pour permettre tout terminal de disposer dune
adresse.
3 fvrier 2011 : L'IANA (Internet Assigned
Numbers Authority) a attribu le dernier gros
bloc /8 d'adresses IPv4 ses partenaires : 16
millions d'adresses.
IPv4 a t tendu principalement par utilisation
des techniques de traduction d'adresses NAT.

NAT principe

Pour faire face cette pnurie dadresses :

Adresse IP prive
Rutilisables sur les rseaux internes surmonter la

pnurie
non routable sur internet : adressable juste dans un rseau
local lexclusion du rseau internet.

Adresse IP publique :
unique : restrictions de dclaration et denregistrement de ladresse

IP auprs dun organisme spcialis IANA (internet assigned numbers

authority) acquisition du FAI dune plage dadresse pour ses
abonns
routable sur internet : adresse visible et accessible par

lensemble des routeurs dinternet.

NAT principe

Adresses prives par classe RFC 1918:

Classe A : plage de 10.0.0.0 10.255.255.255 ;
Classe B : plage de 172.16.0.0 172.31.255.255 ;
Classe C : plage de 192.168.0.0 192.168.255.255 ;

Problme :
Comment assurer le routage de la rponse dun paquet
portant comme adresse source une adresse prive ?

Utilisation dune translation (association) de

toute adresse prive en une adresse publique
avant de router le paquet sortant : NAT.
Le processus NAT fait intervenir une entit
tierce pour se charger de cette translation :
Passerelle NAT.

La passerelle NAT ralise la translation dadresse pour quatre terminaux.

Cette passerelle possde deux interfaces :
Publique : 132.227.165.221 connecte , reconnue et adressable sur le
rseau internet
Prive : 10.0.0.254 connect au rseau local.
Lorsque un terminal dadresse prive veut communiquer avec internet, il
envoie ses paquets vers la passerelle NAT qui remplace ladresse dorigine par
sa propre IP publique (sinon la rponse est non rout) translation
dadresse.

NAT : modification des champs source ou

destination des paquets au passage de ces
derniers sur la passerelle.
Cette modification porte sur :
informations sources des paquets sortants du rseau
inside.
informations destinations en provenance du rseau
outside.

Comment la passerelle NAT ralise cette correspondance?

Utilisation dune table de correspondance

Son contenu dpend du type de NAT adopt :

Adresses prives publiques

Adresses prives publiques en plus dautres informations
rseaux

Types de NAT
Il existe trois types de NAT qui different selon
le nombre dadresse IP publiques disponibles :
NAT statique : One to One
NAT dynamique : Many to Many
NAPT (Overloading) : Many to One

NAT statique

Traduction dun ensemble dadresses internes

vers un ensemble de mme taille dadresses
externes.

 toute adresse IP prive qui

communique avec lextrieur on
affecte une adresse IP publique fixe.

123.227.165.221
123.227.165.222
123.227.165.223

10.0.0.1

NAT
10.0.0.2

10.0.0.3

10.0.0.4
La passerelle ralise la
correspondance les
utilisateurs du rseau local sont
joignables de lextrieur.

Config utilise souvent pour les serveurs

internes

NAT dynamique

Une plage dadresses publiques est disponible et

partage entre les utilisateurs du rseau local.
chaque demande parvenant la passerelle NAT, elle
octroie une adresse IP publique dynamiquement.
Ladresse IP attribue une machine est temporaire
et dure le temps de la connexion, si elle se reconnecte
le NAT lui attribue une autre adresse publique.
Les utilisateurs ne sont joignables de lextrieur que
sils figurent dans la table NAT, c..d. sils
entretiennent une activit avec le rseau internet

NAT dynamique
Avantage:
conomie dadresse
Souplesse : Pas besoin dentrer statiquement les correspondances
Optimisation des ressources : si un utilisateur nexploite pas sa
connexion Internet, la passerelle NAT raffecte son dadresse
publique.
Inconvnient :
Charge supplmentaire de calcul : sauvegarde des tats de
connexion pour dterminer si les utilisateurs exploitent leurs
adresse IP publique afin de les rutiliser.

NAPT
NAPT (Overloading) : Network address Port Translation, dit aussi
PAT (Port Address Translation) consiste attribuer une mme
adresse IP publique plusieurs utilisateurs dun mme rseau local
en jouant notamment sur les ports des applications.

Une requte envoye partir du port A dune source est retransmise avec le
port B de la passerelle
Une requte envoye partir du port C dune source est retransmise avec le
port D de la passerelle.

chaque communication initie par une machine, une entre est

ajoute dynamiquement dans une table de correspondance

Port srce :1048

192.168.0.1

Port srce :1080

192.168.0.1

192.168.0.1

193.25.35.44
192.168.0.2
Port srce :2001

192.168.0.2

Table NAPT
Infos sources

Infos Sources modifies par le NAT

Port srce :1048

192.168.0.1

Port srce :2480 193.25.35.44

Port srce :2001

192.168.0.2

Port srce :1480 193.25.35.44

Port srce :1080

192.168.0.1

Port srce :2590 193.25.35.44

Dans la rponse on modifie ladresse et le port destination du paquet de retour

Dans ce cas :
La NAT modifie lIP et le port source : en
mettant ladresse externe de la passerelle et un
port qui identifiera la connexion de manire
unique.

Ce NAT permet de sortir sur internet mais pas

dtre joignable : car la table de correspondance
contient en plus de ladresse, le port aussi.
Utile pour partager internet mais pas pour
rendre un serveur accessible.
NB : on peut rendre une machine interne
joignable mme en utilisant un NAPT par
utilisation du concept de port forwarding.

NAPT

Avantage : conomie dadresse : elle permet de

masquer tout le rseau avec une seule adresse IP
publique, cest la plus utilise.

Utilisation de modules supplmentaires capable

de lire les infos (port ouvert cot client) figurant
dans les data ftp et lassocier la mme
communication utilisation de proxy applicatif.

Avantages du NAT
Economiser le nombre dadresse IP publiques :
Lconomie se fait de deux manires:

Tous les terminaux nont pas besoin dtre joignables de

lextrieur (serveurs internes, annuaires dentreprise) ces
serveurs ont des adresses prives et ne sont pas natts .
Masquer plusieurs terminaux disposant chacun dune adresse
IP prive avec une seule adresse publique

Avantages du NAT
Scurit : les terminaux ne sont pas directement
adressable de lextrieur.
Tous les flux transitant entre lintrieur et
lextrieur passent par la passerelle NAT qui est
exploit pour y intgrer un parefeu puisque la
scurit doit tre centralise en un point de
contrle unique.