cours 8 bis NAT, filtrage

Seah - Sicard

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

4 pages

Français

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Sujets

Intérêt du NAT Administration Réseau
Niveau routage (Network Address Translation)
• Possibilité d’utilisation d’adresses privées dans l’Intranet
Protocole de Transport
• Tout en rendant possible l’accès à l’extérieur depuis et vers ces 4 Transport
Frontière du sous-réseau machines
Réseau
• Au départ pour conçu pour économiser des adresses
2 Liaison
• Vue de l’extérieur: Plage d’adresse publique
1 Physique Physique • Sécurité: Rend invisible la conﬁguration d’un Intranet
Administration routage Administration routage© P. Sicard-Cours Réseaux © P. Sicard-Cours Réseaux 1 2
Exemple d’IntranetPrincipe NAT
• On donne une adresse privée à chaque machine de l’Intranet
• On doit administrer un Intranet • Liste des adresses privées
• On possède une liste d’adresse publique qui nous a été attribué – 10.0.0.0 - 10.255.255.255 (10/8 preﬁx)
172.16.0.0 - 172.31.255.255 (172.16/12 preﬁx) • Par exemple: 195.0.0.129/25 à 195.0.0.255/25
192.168.0.0 - 192.168.255.255 (192.168/16 preﬁx)
• Il existe sur notre Intranet un routeur de sortie vers l’Internet qui va
implémenter la translation d’adresse • Une des adresses publiques à l’interface de sortie du routeur
Routeur NAT
Routeur NAT
195.0.0.254 10.0.0.3 10.0.0.2 10.0.0.1
Vers Internet Intranet
Administration routage Administration routage© P. Sicard-Cours Réseaux © P. Sicard-Cours Réseaux 3 4NAT: principe NAT STATIQUE: principe
• Le routeur de sortie va modiﬁer l’entête IP de tout paquet
provenant d’une machine interne en remplaçant l’adresse source • Problèmes et conﬁguration du routage
IP privée par une adresse publique
– Il faut que le routeur se fasse passer pour l’ensemble des machines d’adresses
• Vue de l’extérieur, le routeur se fait passer pour la machine source
publiques au niveau des requêtes ARP du premier routeur extérieur
• Deux types de NAT : statique et dynamique
– Proxy ARP: le routeur NAT met dans sa table ARP son adresse Ethernet pour – Statique la correspondance @ Privée / @ publique est ﬁxe
– Dynamique : elle peut changer dans le temps toutes les adresses publiques
– Au retour d’un paquet dans le routeur NAT , il faut qu’il redirige le paquet vers
Routeur NAT la bonne machine de l’Intranet
– Il doit donc avoir dans sa table de routage
195.0.0.129 10.0.0.1 (netmask 255.255.255.255)»
» Pour l’adresse 195.0.0.129 envoyer à 10.0.0.1
Vers Internet Intranet
paquet @Source 195.0.0.129 paquet @IPSource 10.0.0.1
Administration routage Administration routage© P. Sicard-Cours Réseaux © P. Sicard-Cours Réseaux 5 6
NAT dynamique ou IP masquerading : Intêret NAT STATIQUE: principe
principe
• Permet d’attribuer dynamiquement lors des connexions des
• Intranet invisible depuis l’extérieur adresses IP publiques aux adresses privées
• Administration en cas de changement de l’Intranet seulement • L’adresse source des paquets devient l’adresse externe du
sur routeur routeur
• Economise des adresses en cas de découpage de l’Intranet en • Problème : comment le routeur se rappelle-t-il des
sous-réseaux correspondances ?
• Mais on n’économise pas d’adresses publiques Routeur NAT
• Pour cela il faut alors faire de la NAT dynamique
195.0.0.254 10.0.0.1
Vers Internet Intranet
paquet @Source 195.0.0.254 paquet @IPSource 10.0.0.1
Administration routage Administration routage© P. Sicard-Cours Réseaux © P. Sicard-Cours Réseaux 7 8L’association connexion/@privée
Nat Dynamique
• Se fait au moment du premier paquet qui sort en se rappelant
le numéro de port source
• Problème : si plusieurs connexions avec même port source en
même temps ? • Une seule adresse publique sufﬁt pour un nombre quelconque
de machines dans l’Intranet• Attribution d’un port source virtuel unique à chaque
connexion • On ne peut pas initier une connexion depuis l’extérieur
• Impossibilité d’avoir un serveur WEB par exemple dans
l’Intranet
195.0.0.254 10.0.0.1
Vers Internet Intranet
Port source 5000 paquet Port source 2354
@Source 195.0.0.254 @IPSource 10.0.0.1
Mémorisation dans la table NAT
5000: 10.0.0.1 2354
Administration routage Administration routage© P. Sicard-Cours Réseaux © P. Sicard-Cours Réseaux 9 10
Problèmes Nat Dynamique Problèmes Nat Dynamique
• Applications n’utilisant pas UDP/TCP
• Pas de mécanisme d’authentiﬁcation de bout en bout puisque le Exemple ICMP–
paquet est modiﬁé– Il faut faire une conﬁguration spéciale du routeur pour lui dire de se référer à
autre chose que le port • Encryptage de l’entête IP à la source et vériﬁcation à l’arrivée
– Le numéro d’identiﬁant du paquet ICMP par exemple
• Possibilité de tunneling (mise en place de Tunnel IPSEC vers
• L’application FTP l’extérieur)
– Rappel en mode actif: • Argument des opposants au NAT: non indépendance des
En cas d’une connexion sur un serveur extérieur» couches
» La connexion pour les données est initiée depuis le serveur
Il ne peut être utilisé qu’en mode passif dans lequel toutes les connexions sont –
initiées depuis le client • Combinaison Nat Statique et Dynamique
Les données de FTP contiennent des informations se rapportant aux adresses IP–
• Statique: Intéressant si certaines machines de l’Intranet
• Le routeur a du travail supplémentaire doivent être visible depuis l’extérieur (serveur WEB ...)
– re calcul des checksums IP TCP et UDP • Dynamique:
modiﬁcation des données FTP...–
– Economie d’adresse– limitation de la bande passante si le routeur n’est pas assez puissant
– Sécurité
Administration routage Administration routage© P. Sicard-Cours Réseaux © P. Sicard-Cours Réseaux 11 12Le port forwarding Les proxys
• Relai entre deux entités • Utiliser dans la NAT dynamique pour rendre une machine
• Analyse le contenu des données de l’applicationaccessible depuis l’extérieur
• Dédié à une application
• On mets en dur dans la table NAT du routeur
– proxy http
– port ﬁxe: port privée/ adresse privée
– proxy ftp
– Par exemple 21: 21/10.0.0.1 (port d’un serveur FTP) ...–
– Les paquets arrivant de l’extérieur vers 195.0.0.254, 21 seront redirigés vers
• Il faut spéciﬁer au niveau de l’application l’existence du proxy10.0.0.1, 21
– Problème si deux serveurs FTP sur 2 machines différentes ? • Complètement transparent à l’utilisateur
• Le “port mapping” consiste à changer de port sur la machine
interne
– Par exemple : 80: 8080/10.0.0.1
– Un serveur http est lancé sur 10.0.0.1 sur le port 8080
Administration routage Administration routage© P. Sicard-Cours Réseaux © P. Sicard-Cours Réseaux 13 14
Les proxys
• Souvent multi-proxy: application qui gère l’ensemble des
applications usuelles
• Permet de faire du cache
• Permet d’effectuer certains ﬁltres
– Suivant les comptes utilisateurs pour FTP par exemple
Suivant les adresses sources...–
Contenu des pages WEB ...–
– Détection de virus
• Permet de faire des statistiques
Administration routage© P. Sicard-Cours Réseaux 15