Microsoft PowerPoint - Support

31/05/2008
INITIATION À LA
SÉCURITÉ DES RÉSEAUX
(SUITE)
La translation d’adresses
TRANSLATION D’ADRESSES (NAT)
Les mécanismes de translation d’adresses

permettent le masquage de l’adresse interne d’un
réseau vis-à-vis du réseau externe. Ils offrent ainsi
trois avantages :
• Protection des stations réseau vis-à-vis du réseau externe,

• Masque les adresses IP réelles des machines et serveurs
internes,
• Ne nécessite pas beaucoup d’adresses IP publiques.
1
31/05/2008
TRANSLATION D’ADRESSES (NAT)
Il existe trois types de translation d’adresse:
La translation dynamique (map ou PAT),

La translation statique (map bi-directionnel ou
NAT),
La translation de port (redirection de Port).
LA TRANSLATION DYNAMIQUE (1/2)
Ce type de translation permet le masquage de « n »

adresses derrière « 1 » seule et même adresse.
Typiquement cette translation est utilisée pour

permettre aux utilisateurs d’un réseau interne avec
adressage privé d’accéder à Internet en translatant
toutes leurs adresses privées en l’adresse publique de
l’appliance.
2
31/05/2008
LA TRANSLATION DYNAMIQUE (2/2)
Comme toutes les machines sortent au moyen de la

même adresse IP publique, le pare-feu crée une table
de correspondance, mise à jour dynamiquement,
servant à réaffecter le trafic retour à la machine
émettrice interne.
Cette translation est unidirectionnelle car les

machines du réseau interne ne peuvent être contactées
depuis l’extérieur. A moins que la machine du réseau
interne ait elle-même initiée la communication.
LA TRANSLATION DYNAMIQUE
Serveur WEB sur Internet

@web
Machine Pare-Feu
sur le réseau interne @pub_fw
@privA
Connexion HTTP
3
31/05/2008

@web
Machine Pare-Feu
@privA
Connexion HTTP
Translation d’adresses
Paquet original
Adresse Port Adresse Port
Source Source Destination Destination
@privA xxx @Web 80

@web
Machine Pare-Feu
@privA
Connexion HTTP
Paquet translaté
@pub_fw eph @Web 80
4
31/05/2008

@web
Machines @privB Pare-Feu

@privA
@privC Connexion HTTP
@priv_A, 1232 @pub_Fw, 20000

@priv_B, 20321 @pub_Fw, 20001
@priv_c,7894 @pub_Fw, 20002
LA TRANSLATION STATIQUE
Ce type de translation permet le masquage de « 1 »

adresse derrière « 1 » seule et même adresse.
Très utile lorsqu’un ou deux systèmes sur un réseau

privé doivent être accessible pour des machines sur
Internet.
A la différence de la translation dynamique, cette

translation est bidirectionnelle. Le serveur « privé » est
contacté par l’intermédiaire d’une adresse publique et
se connecte à Internet par cette même adresse.
5
31/05/2008
Machine sur Internet

@client
Pare-Feu
Serveur WEB @pub_fw
sur le réseau interne + @pub_web
@priv_web
Connexion HTTP

@client
Pare-feu
Serveur WEB @pub_fw
@priv_web
Connexion HTTP
Paquet original
@client xxx @pub_web 80
6
31/05/2008

@client
Pare-Feu
Serveur WEB @pub_fw
@priv_web
Connexion HTTP
Paquet translaté
@client xxx @priv_web 80

@internet
Pare-Feu
Serveur WEB @pub_fw
@priv_web
Connexion HTTP
7
31/05/2008
@internet
Pare-Feu
Serveur WEB @pub_fw
@priv_web
Connexion HTTP
Paquet original
@priv_web xxx @internet 80

@internet
Pare-Feu
Serveur WEB @pub_fw
@priv_web
Connexion HTTP
Paquet translaté
@pub_web xxx @internet 80
8
31/05/2008

@web
Pare-Feu
@priv_web2 @pub_fw
Serveurs + @pub_web1
sur le réseau interne + @pub_web2
@priv_web1
Connexion HTTP
@priv_web1 @pub_web1
@priv_web2 @pub_web2
LA REDIRECTION DE PORTS
Ce type de translation permet l’accès à des ressources

Internet depuis « 1 » seule et même adresse IP publique. En
fonction du service utilisé, le trafic est redirigé par le Pare-
Feu à destination du serveur interne associé.
Très utile si l’on ne dispose pas de suffisamment d’adresses

IP publiques pour les serveurs auxquels on souhaite
accéder.
Cette translation est unidirectionnelle. Pour que les

serveurs internes accèdent à Internet, il est nécessaire de
définir la règle de translation adéquate.
9
31/05/2008

@client
Serveur WEB Pare-Feu

sur le réseau interne
@pub_fw
@priv_web
Connexion HTTP

@client

@priv_web
Connexion HTTP
Paquet original
@client xxx @pub_fw 80
10
31/05/2008

@client

@priv_web
Connexion HTTP
Paquet translaté Paquet original

Adresse Port Adresse Port Adresse Port Adresse Port
Source Source Destination Destination Source Source Destination Destination
@client xxx @priv_web 80 @client xxx @pub_fw 80

@client

@priv_web
Connexion HTTP
Paquet translaté Paquet original

Adresse Port Adresse Port Adresse Port Adresse Port
Source Source Destination Destination Source Source Destination Destination
@client xxx @priv_web 80 @client xxx @pub_fw 80
11
31/05/2008
RÉSUMÉ
Pour rendre les serveurs publics joignables sur
Internet :
Une seule adresse IP Redirection de ports en fonction du service

officielle disponible demandé.
Plusieurs adresses IP Faire un bridge entre OUT et DMZ => pas

officielles disponibles de translation pour les serveurs.
Faire des translations bidirectionnelles =>
1 IP officielle par serveur.
VPN : VIRTUAL PRIVATE NETWORK
Internet
12
31/05/2008
VPN : Virtual Private Network
VPN : VIRTUAL PRIVATE NETWORK

Outils de chiffrement et d’authentification qui
permettent de sécuriser les transactions sur le
réseau public.
Principaux types de tunnels :
IPsec,
PPTP,
SSL.
L2F
Authentification par certificats ou clefs pré

partagées.
OBJECTIFS DES TUNNELS VPN
Confidentialité
Chiffrer les données.
Intégrité
S’assurer que les données arrivent non modifiées.
Authentification
Vérifier l’identité de l’émetteur des données.
13
31/05/2008
ARCHITECTURES
Nomades sur Internet
Tunnel VPN Internet Tunnel VPN Client vers Passerelle

Passerelle vers Passerelle
Appliance
du site distant
Appliance
du site local
Site distant
Site local
Messagerie Electronique
SCHÉMA D’UNE ARCHITECTURE DE MESSAGERIE
User_A@mydomain
User_B@mydomain Serveur WEB sur Internet
@web
Pare-Feu
@pub_fw
Serveur de Messagerie Interne Connexion HTTP

du domaine mydomain (Ex:
Microsoft Exchange)
Serveur Relais de
Messagerie sur le
réseau de la zone DMZ
14
31/05/2008
Emetteur Récepteur Commentaire

User_X@mydomain User_Y@domain Les phase du traitement de l’email sont:
L’user_X du réseau Interne envoi un mail à l’utilisateur Y du réseau
interne.
L’email est envoyé par le protocole SMTP au serveur de messagerie
interne, ce dernier vérifie si l’adresse du destinataire appartie nt à son
domaine.
Si Oui, il stocke le message au niveau de la boite de l’utilisateur
Y sur le serveur, à la synchronisation l’utilisateur Y télécharge le
mail sur son client de messagerie (Outlook par exemple) en
utilisant le protocole POP3 .(POP3 n’est pas le seul protocole de
récupération d’email).
Si non, le serveur de messagerie Interne envoie le message vers
le domaine de destination, cet envoi peut se faire soit directement,
soit en utilisant un relais de messagerie sur une zone DMZ (zone
tampon).
L’nterêt d’utiliser un relais de messagerie (Mailsweeper par exemple) est

de pouvoir faire du filtrage de contenu sur les email échangés (filtrage
Anti-virus et Anti-X, limitation de la taille des emails, gestion des
extensions, gestion de la confidentialité des informations, contrôle de la
fuite de données, … ).
Le protocole utilisé pour l’échange de mail entre serveur de messagerie et

le SMTP (Simple Mail Transfert Protocol).
Emetteur Récepteur Commentaire

Il est à noter également que le relais de messagerie a besoin, pour l’envoi
des emails vers les autres domaines externes,d’un service de résolution de
nom DNS (nom de domaine de messagerie Adrsse Ip du serveur
assosié).
NB: la commande qui permet de connaître l’adresse ip d’un serveur de
mail est NSLOOKUP avec l’option Set type=MX, pour spécifier au DNS
qu’on recherche l’adresse IP d’un serveur de Mail (MX=Mail eXchange).
User_X@domainXX User_Y@mydomain Les phase de traitement de l’émail entrant sont les suivant:
Le serveur Relais de messagerie reçoit les emails à destination du

domaine mydomain.
Le serveur Relais applique ses règles de filtrage suivant une politique

prédéfinie et prend une décision .
Si le message ne passe pas le filtrage, il est bloqué à ce niveau

(suivant la politique, il est soit mis en quarantaine soit supprimé).
Si le message passe le filtrage, il est router vers le serveur de

messagerie interne et stocker au niveau de la boite aux lettre du
destinataire.
15

Microsoft PowerPoint - Support

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Microsoft PowerPoint - Support

Transféré par

Droits d'auteur :

Formats disponibles

31/05/2008

TRANSLATION D’ADRESSES (NAT)

Les mécanismes de translation d’adresses

• Protection des stations réseau vis-à-vis du réseau externe,

TRANSLATION D’ADRESSES (NAT)

Il existe trois types de translation d’adresse:

La translation dynamique (map ou PAT),

LA TRANSLATION DYNAMIQUE (1/2)

Ce type de translation permet le masquage de « n »

Typiquement cette translation est utilisée pour

LA TRANSLATION DYNAMIQUE (2/2)

Comme toutes les machines sortent au moyen de la

Cette translation est unidirectionnelle car les

Serveur WEB sur Internet

Serveur WEB sur Internet

Serveur WEB sur Internet

Serveur WEB sur Internet

Machines @privB Pare-Feu

@priv_A, 1232 @pub_Fw, 20000

Ce type de translation permet le masquage de « 1 »

Très utile lorsqu’un ou deux systèmes sur un réseau

A la différence de la translation dynamique, cette

Machine sur Internet

Machine sur Internet

Machine sur Internet

Serveur WEB sur Internet

Serveur WEB sur Internet

Serveur WEB sur Internet

Ce type de translation permet l’accès à des ressources

Très utile si l’on ne dispose pas de suffisamment d’adresses

Cette translation est unidirectionnelle. Pour que les

Machine sur Internet

Serveur WEB Pare-Feu

Machine sur Internet

Serveur WEB Pare-Feu

Machine sur Internet

Serveur WEB Pare-Feu

Paquet translaté Paquet original

Machine sur Internet

Serveur WEB Pare-Feu

Paquet translaté Paquet original

Une seule adresse IP Redirection de ports en fonction du service

Plusieurs adresses IP Faire un bridge entre OUT et DMZ => pas

VPN : VIRTUAL PRIVATE NETWORK

VPN : Virtual Private Network

VPN : VIRTUAL PRIVATE NETWORK

Principaux types de tunnels :

Authentification par certificats ou clefs pré

VPN : Virtual Private Network

OBJECTIFS DES TUNNELS VPN

VPN : Virtual Private Network

Nomades sur Internet

Tunnel VPN Internet Tunnel VPN Client vers Passerelle

SCHÉMA D’UNE ARCHITECTURE DE MESSAGERIE

Serveur de Messagerie Interne Connexion HTTP

Emetteur Récepteur Commentaire

L’nterêt d’utiliser un relais de messagerie (Mailsweeper par exemple) est

Le protocole utilisé pour l’échange de mail entre serveur de messagerie et

Emetteur Récepteur Commentaire

Le serveur Relais de messagerie reçoit les emails à destination du

Le serveur Relais applique ses règles de filtrage suivant une politique

Si le message ne passe pas le filtrage, il est bloqué à ce niveau

Si le message passe le filtrage, il est router vers le serveur de