Académique Documents
Professionnel Documents
Culture Documents
Introduction
Ce document défini les méthodes d'encapsulation et décapsulation de paquets ESP
dans des paquets UDP pour le passage de NAT. Les ports UDP utilisés sont les
mêmes que ceux utilisés pour le trafic IKE, comme définit dans le document draft-
ietf-ipsec-nat-t-ike-05.txt.
Les clients IPSec doivent supporter au moins le mode transport. Pour distinguer les
paquets ESP des paquets IKE, l'implémentation IKE qui supporte l'encapsulation
UDP ne doit pas utiliser le champ zéro des SPI ESP pour les paquets ESP.
!"# $
%%%
L'entête UDP est standard selon le protocole UDP, comme le décrit le document
[RFC 768]. Les ports source et destination doivent être les mêmes utilisés pour le
trafic IKE. Le checksum devrait être transmis avec la valeur zéro; les récepteurs ne
doivent donc pas contrôler se checksum.
& ' (
)* !"# $
%%%
L'entête UDP est standard selon le protocole UDP, comme le décrit le document
[RFC 768]. Les ports source et destination doivent être les mêmes utilisés pour le
trafic IKE. Le checksum devrait être transmis avec la valeur zéro; les récepteurs ne
doivent donc pas contrôler se checksum.
Le champ Non-ESP Marker est au même endroit que le champ SPI d'un paquet ESP.
+##
L'entête UDP est standard selon le protocole UDP, comme le décrit le document
[RFC 768]. Les ports source et destination doivent être les mêmes utilisés pour le
trafic IKE. Le checksum devrait être transmis avec la valeur zéro; les récepteurs ne
doivent donc pas contrôler se checksum.
Selon la politique de sécurité locale, au moins une des conditions suivantes doit être
effectuée:
1. Si une espace d'adressage IP valide a été défini dans les règles de cette
connexion, il faut contrôler que l'espace d'adressage des paquets correspond
bien à ces règles.
2. Si une adresse IP a été assignée au pair distant, il faut contrôler que l'IP source
contenu dans ses paquets correspond bien à celle assignée.
3. Une translation d'adresse NAT est effectuée sur les paquets afin qu'il puissent
être transportés vers le réseaux local.
2. Si l'entête après celle d'ESP est TCP/UDP, il faut recalculer simplement les
checksum TCP/UDP.
3. Si l'entête après celle d'ESP est UDP, mettre à zéro le checksum de l'entête
UDP.
Si l'entête après celle d'ESP est TCP, et l'option de ne pas tester le checksum
est activée, le checksum n'est pas calculé; ce flag pourrait être utilisé.
Tout ceci doit être effectué uniquement pour le mode transport et si on
protège l'intégrité du paquet. Les checksums du mode tunnel doivent être
vérifiés.
De plus, chaque implémentation pourrait fixer aussi d'autres protocoles modifies par
le NAT.
) , ) 1 212
- . / 0
) , ) 3 1 212
- . / 0 4 4 1 5 2
./ 6
2 7 6
) , ) 1 212
- . / 0
& 8 3 )
) , - / 0 4 4 - . / 0 1 212 1 5 2
./ 6
2 7 6
4
% % % &21
4 &21 9 8 . B
% % % ,
Le gateway VPN verra maintenant deux SA possibles pour 10.1.2.3. C'est aux
implémentateurs de trouver des solutions pour prévenir ce cas.
9
% % %
? @ &21 B
% % % ,
9
% % %
>;A sont les port sources dynamiques associés par le NAT pendant la négociation
IKE. Donc Gege émet ses paquets avec UDP(4500,4500) et ils arrivent au serveur
avec UDP(Y,4500)
Maintenant on assume que Gigi veut se connecter aussi au serveur mais en clair. Ceci
est très difficile car le serveur a déjà une règles jusqu'à l'adresse publique du NAT
pour sécuriser le trafic < 77 =. Il est possible de faire cette connexion mais
pour des trafics différents.
Il est à noter que ces règles permettent aussi à Gege et à Bob d'envoyer du traffic icmp
vers le serveur.
Le serveur verra tous ses clients derrière le NAT et la même IP, donc il est possible de
configurer plusieurs règles pour le même descripteur de trafic.
Mots clés
IKE Internet Key Exchange Protocol
NAT-T Traversal Network Address Translation
NAT-OA Original Address Network Address Translation
ESP Encapsulating Security Payload
Quick Mode Deuxième phase du protocole IKE
SA Security Association