Vous êtes sur la page 1sur 7

25/05/2021

Problématique
 Répondre à la pénurie d’adresses IPv4 disponibles pour
connecter des machines à Internet
Chapitre III  IPv6 résout ce problème mais son implémentation n’est pas
encore généralisée.

Mécanismes de translation d’adresses  La RFC 1918 réserve trois blocs d’adresses IP privées
 Ces adresses sont exclusivement destinées aux réseaux
internes privés (ne sont pas routés sur Internet).
Yacine DJEMAIEL  Comment connecter un grand nombre de machines sans
ISET’Com
modifier les équipements existant ?
Licence Appliquée en STIC  Besoin de partager un seul accès Internet à un sous-ensemble
L2 - option Sécurité des Réseaux
de machines d'un réseau.
Semestre II, 2020/21, ISET’Com
Techniques de protection dans les réseaux Yacine Djemaiel 2

1 2

Mécanisme de translation d’adresses Espaces d’adressage


 NAT: Network Address Translation
 RFC 1918 définit un espace d’adressage privé
 Situé au niveau 3 (Couche Réseau) du modèle O.S.I. permettant à toute organisation d’attribuer des
 Permet de connecter à Internet des machines qui n’ont adresses IP aux ressources du réseau interne.
pas d’adresses IP routables uniques  La même adresse privé peut être associée à deux machines
 Traduire leurs adresses en adresses publiques routables différentes dans deux réseaux locaux différents.

 Modification des adresses IP dans l’entête d’un datagramme IP  Les adresses privées sont des adresses non-routables
effectuée par un routeur.
 Classe A : 10.0.0.0  10.255.255.255
 Interconnecter de manière sécurisée différents réseaux
distants à travers un réseau public (ex: Internet).  Classe B : 172.16.0.0  172.31.255.255
 Masquer les adresses IP internes.  Classe C : 192.168.0.0  192.168.255.55
 Effectuer une distribution de charge.
Techniques de protection dans les réseaux Yacine Djemaiel 3 Techniques de protection dans les réseaux Yacine Djemaiel 4

3 4

1
25/05/2021

NAT: Mécanisme de base NAT statique


 Soit:
Src = 10.1.1.2 Src = 128.143.71.21
Dst= 213.168.112.3 Dst= 213.168.112.3  N: nombre d’adresses IP qui nécessitent d’être translatées.
 M: nombre d’adresses IP publiques disponibles.
Permet le mappage (un à un) d’adresses privées et

Mécanisme NAT
10.1.1.2 
213.168.112.3

Réseau local
Internet publiques.
Src = 213.168.112.3
Dst= 10.1.1.2
Src = 213.168.112.3
Dst = 128.143.71.21
 Efficace si M = N.
 Utile pour les machines qui doivent disposer d’une adresse
permanente, accessible depuis Internet.
 Ces machines internes peuvent être des serveurs d’entreprise
Adresse privée Adresse publique
ou des équipements de réseau.
10.1.1.2 128.143.71.21
Les RFC 1631 et 3022 expliquent le principe de base du NAT.
Techniques de protection dans les réseaux Yacine Djemaiel 5 Techniques de protection dans les réseaux Yacine Djemaiel 6

5 6

Problèmes de routage liés au NAT


NAT statique statique (Proxy ARP)
 Exemple:
Machine 1 10.0.0.1/24
Translation d’adresses du réseau DMZ
192.168.100.0/24 vers des adresses publiques sur Interface interne 10.0.0.254/24

le réseau 94.64.15.0/24 Routeur

 192.168.100.1 est translatée vers 94.64.15.1. Interface externe 193.22.45.42/24

 192.168.100.2 est translatée vers 94.64.15.2. Interface interne 193.22.45.254/24

 … Routeur
Internet
 Le serveur web ayant l’adresse IP interne
Internet
192.168.100.2 est accessible de l’extérieur (ex.
Internet) via l’adresse IP publique: 94.64.15.2. Serveur Web

Techniques de protection dans les réseaux Yacine Djemaiel 7 Techniques de protection dans les réseaux Yacine Djemaiel 8

7 8

2
25/05/2021

Problèmes de routage liés au NAT Problèmes de routage liés au NAT


statique (1) statique (2)
 Machine 1 envoi une requête vers le serveur web.
 Solutions possibles à ce problème:
 Une translation est réalisée au niveau du routeur avec comme
source 193.22.45.43.  Mise en place d’un proxy ARP sur le routeur implémentant le
 Le serveur web renvoie sa réponse vers cette adresse. NAT statique.

 Le paquet est routé sur Internet et atteint le routeur Internet.  Ajouter une entrée statique dans la table ARP du routeur
 Le routeur Internet consulte l’adresse de destination et observe Internet (le routeur après le routeur implémentant le NAT).
qu’elle appartient au même réseau qu’une de ses interfaces.  Commande à exécuter : arp –s 193.22.45.43 @MAC_routeur.
 Le routeur Internet émet une requête ARP.  Ajoute une route host statique pour chacune des adresses
 Sur ce réseau, aucune machine n’a cette adresse puisqu’il s’agit virtuelles
d’une adresse virtuelle.
 Route add –p 193.22.45.43 mask 255.255.255.255 193.22.45.42
 Solution: Le routeur implémentant le NAT statique (193.22.45.42)
réponde lui-même à cette requête ARP (Proxy ARP).
Techniques de protection dans les réseaux Yacine Djemaiel 9 Techniques de protection dans les réseaux Yacine Djemaiel 10

9 10

NAT dynamique NAT dynamique


 Utilisée lorsque: « N>M » et « le nombre de machines se
connectant en même temps est inférieur à M ».
 Tout le monde peut accéder à l'Internet mais pas en même
temps.
 L'administrateur indique les Adresses IP internes à
traduire et la liste d’adresses publiques disponibles.
 Lorsqu'une machine interne souhaite accéder à
l'Internet:
10.1.1.254/30.1.1.2
 Une adresse IP quelconque, prise dans la liste d’adresses IP
publiques encore disponibles, est attribuée à la machine.
 L’adresse est libérée lorsqu'elle n'est plus utilisée ou lorsque la
table de traduction est remise à zéro.
Techniques de protection dans les réseaux Yacine Djemaiel 11 Techniques de protection dans les réseaux Yacine Djemaiel 12

11 12

3
25/05/2021

Problèmes liés à la NAT dynamique (FTP) Redirection de port (Port forwarding)


 Le protocole FTP a un fonctionnement particulier (deux  Remarque: La translation d'adresse ne permet de relayer que des
connexions en parallèles). requêtes provenant du réseau interne vers le réseau externe.
 Le FTP peut fonctionner selon deux modes différents: actif et  Problème:
passif.  Il est impossible pour une machine externe d’envoyer un paquet vers
une machine du réseau interne.
 Pour le mode passif  Les machines internes ne peuvent pas fonctionner en tant que
 pas de problème serveur vis-à-vis de l’extérieur.
 les connexions sont initialisées de l’intérieur pour les deux canaux  Solution:
(commandes et données).  Une extension du NAT: Redirection de port (Port Forwarding ou Port
 Pour le mode actif Mapping)
 Configurer la passerelle pour transmettre à une machine du réseau
 La connexion de contrôle est d’abord initialisée de l’intérieur interne, les paquets reçus sur un port particulier.
 Quand les données sont demandées, le serveur qui initialise la  Exemple: Accès à un serveur web (192.168.1.9, port 80)  Définir une
connexion des données à partir de l’extérieur (impossible pour un règle de redirection de port sur la passerelle (redirection de tous les
NAT dynamique). paquets TCP reçus sur le port 80 vers la machine 192.168.1.9).
Techniques de protection dans les réseaux Yacine Djemaiel 13 Techniques de protection dans les réseaux Yacine Djemaiel 14

13 14

Redirection de port conditionnel Combinaison du NAT statique/dynamique


 Particularités de quelques services TCP:  C’est la solution adoptée lorsque le réseau comporte
 Existence d’applications client/serveur qui établissent une connexion
sur un hôte distant pour un port donné et ouvrent un port en retour  Des machines qui offrent des services (serveurs).
pour récupérer les données (ex. FTP, IRC, etc.).  Adresses publique dédiée pour le serveur hébergeant le service.
 Selon le mécanisme NAT:  Des machines qui ont besoin de se connecter à internet.
 Après une demande de connexion sur le port du serveur FTP distant
 Accès temporaire à l’internet.
 La passerelle attend une connexion sur le premier port et refusera la
demande de connexion sur le deuxième port du client.
 Usage du bon nombre d’adresses IP publiques
Solution:

requises.
 Un mécanisme dérivé du NAT, appelé déclenchement de port (Port
Triggering) permettant d’autoriser la connexion à certains ports si une  Economie des adresses IP.
condition (requête) est remplie  une redirection de port conditionnelle.
 Avantage:  Les équipements réseaux doivent supporter la
 Ne pas laisser un port ouvert en permanence, mais uniquement lorsqu’il est possibilité de combiner ces deux types de NAT.
requis par une application.
Techniques de protection dans les réseaux Yacine Djemaiel 15 Techniques de protection dans les réseaux Yacine Djemaiel 16

15 16

4
25/05/2021

Avantages de NAT Inconvénients de NAT


 Introduit un délais supplémentaire pendant la commutation.
 Elimine le besoin de réattribuer une nouvelle adresse IP à chaque  Ex: le checksum IP doit être recalculé et vérifié.
hôte lors du passage à un nouveau FSI.  Toute application spécifiant l'adresse IP dans la partie des
 Elimine le besoin de ré-adresser tous les hôtes qui nécessitent un données ne fonctionnera pas via NAT, sauf si celui-ci sait repérer
accès externe. de telles occurrences et les traduire.
 Dans ICMP la plupart des paquets contiennent une partie du paquet IP
 Protège le réseau. d'origine, en particulier les adresses IP source et destination et le checksum
correspondant doivent être traduits et recalculés.
 Les machines du réseau ne divulguent pas leurs adresses ou la
topologie interne.  Dans SMTP une adresse contenant une adresse IP plutôt qu'un nom de
domaine doit être traduite.
 Puisque NAT cache l'identité "réelle" des machines, il n'est pas  Si les données sont cryptées ou si l'en-tête IP est compressée, NAT ne sait
possible de déterminer l'identité d'un paquet dont l'adresse IP a été pas faire la traduction.
traduite de façon dynamique par NAT.
 Perte de traçabilité IP de bout en bout.
 Efficace pour la distribution de charge.  Rend difficile l’identification de la source exacte de l’intrus.
Techniques de protection dans les réseaux Yacine Djemaiel 17 Techniques de protection dans les réseaux Yacine Djemaiel 18

17 18

PAT (Port Address Translation) PAT (Port Address Translation)


 Permet d'utiliser une seule adresse publique pour toutes
les adresses internes.
 Utilisé lorsque le nombre d‘adresses publiques disponibles ne
suffit pas à satisfaire toutes les demandes de connexion des
machines internes.
 La fonction PAT utilise des numéros de port source
uniques sur l’adresse IP publique, de façon à assurer une
distinction entre les traductions.
 La fonction PAT tente de conserver le port source d’origine.
 Si ce port source est déjà utilisé, PAT attribue le premier
numéro de port disponible.

Techniques de protection dans les réseaux Yacine Djemaiel 19 Techniques de protection dans les réseaux Yacine Djemaiel 20

19 20

5
25/05/2021

PAT (Port Address Translation) Partage de charge (Load balancing)


 Objectif: faire du partage de charge entre plusieurs machines
serveurs hébergeant une même application.
 Solution:
 Définir un serveur virtuel avec une adresse IP publique
 Utiliser NAT pour coordonner le partage de la charge entre différentes
machines serveurs à l'intérieur du site.
 L'adresse de destination (Adresse du serveur virtuel) est traduite en
une adresse prise dans un pool seulement à l'ouverture d'une
nouvelle connexion.
 Lorsqu'une requête arrive sur l'interface externe du routeur NAT,
portant sur une adresse du serveur virtuel, le routeur redirige la
requête à tour de rôle, d'une requête à l'autre, sur une des adresses
IP des serveurs hébergeant l'application chargée de la réponse.
 La traduction est maintenu durant toute la session.
Techniques de protection dans les réseaux Yacine Djemaiel 21 Techniques de protection dans les réseaux Yacine Djemaiel 22

21 22

Partage de charge (Load balancing) Distribution de charge sur différents FSI


 Objectif: Distribuer la charge sur différents FSI
 Contrainte: L’adresse IP publique à utiliser est différente pour
Src: 134.109.248.32 Src: 134.109.248.32
Serveur 1 chaque fournisseur.
Dst: 138.201.14.100 Dst: 138.201.14.111

Src: 143.123.121.15 Routeur Src: 143.123.121.15  Solution:


Dst: 138.201.14.100 NAT Dst: 138.201.14.112
Src: 173.23.121.215 Serveur 2
 Utiliser NAT pour coordonner le partage de la charge sur les différents
Src: 173.23.121.215
Dst: 138.201.14.100 Dst: 138.201.14.112 réseaux permettant d’accéder aux fournisseurs d’accès.
 Translater l’adresse publique source vers l’adresse IP publique du FSI utilisé.
 Lorsqu’une machine désire établir une nouvelle connexion avec une
destination sur Internet, elle envoi le paquet au routeur par défaut
Serveur Virtuel 138.201.14.100
(routeur NAT).
IP externe Serveur Réel
134.109.248.32 138.201.14.111
 Le routeur NAT décide quel FSI doit être utilisé pour router la
143.123.121.15 138.201.14.112
connexion, remplace l’adresse IP source du paquet par celle
173.23.121.215 138.201.14.112
spécifiée par le FSI, et envoi le paquet au FSI convenable.
 La réponse de la machine destination sera routée par le même FSI.
Techniques de protection dans les réseaux Yacine Djemaiel 23 Techniques de protection dans les réseaux Yacine Djemaiel 24

23 24

6
25/05/2021

Distribution de charge sur différents FSI

Réseau
Y

Routeur
Réseau

NAT
local Réseau Z

Réseau
X

Techniques de protection dans les réseaux Yacine Djemaiel 25

25

Vous aimerez peut-être aussi