SlideShare une entreprise Scribd logo

Nat principe

Télécharger en tant que PPT, PDF
M
Mohamed Habib Jomaa

NAT

Formation
1  sur  31
RE16 1 Répartition des adresses IP • Le problème de la répartition des adresses IP dans le réseau doit être résolu avec comme objectifs : – de rendre le réseau aussi lisible que possible (facilité de maintenance et modifications) – s’accommoder de la pénurie des adresses IP publiques – participer à la sécurité
RE16 2 Répartition des adresses IP • Les outils utilisés pour faire les choix de répartition des adresses sont : – la translation d’adresses (Network Address Translation NAT) et translation de ports (Port Address Translation PAT) – le protocole DHCP • Ces outils permettent d’organiser le réseau pour qu’un minimum d’adresses publiques soit utilisées, ce qui est : – bon pour la sécurité – satisfaisant dans le contexte de pénurie d’adresses
RE16 3 RFC 1918 • Toutes les infos sur les classes privées peuvent être trouvées sur : http://www.unoverica.com/documentation/ucm/mt211ai6.html
RE16 4 NAT : définitions • Le NAT permet d’attribuer des adresses privées aux machines internes du réseau, et cependant de leur permettre d’accéder à Internet • Dans un contexte NAT, pour comprendre une transmission, il faut faire intervenir 4 adresses IP : – adresse locale interne – adresse locale externe – adresse distante externe – adresse distante interne
RE16 5 NAT pur • On utilise dans ce cas autant d’adresses publiques qu’il y a d’adresses privées • Cette technique n’est jamais utilisée sous cette forme, elle est montrée ici pour expliquer le fonctionnement • On parle aussi dans ce cas de NAT statique
RE16 6 NAT pur AS : 10.0.0.3 1 Table de translation … … 10.0.0.1 200.0.0.1 10.0.0.2 200.0.0.2 10.0.0.3 200.0.0.3 10.0.0.4 200.0.0.4 … … AS : 200.0.0.3 2 AD : 200.0.0.3 3 AD : 10.0.0.3 4
RE16 7 NAT pur 1. Une machine locale envoie un paquet avec comme adresse source son adresse privée 2. Le routeur chargé de la translation fait correspondre à chaque adresse privée, une adresse publique. Il envoie vers l’extérieur le paquet IP en changeant l’adresse source privée par son correspondant publique 3. Le destinataire reçoit un paquet IP dont il pense qu’il vient d’une machine ayant une adresse publique et va donc y répondre 4. Le routeur reçoit la réponse, fait la correspondance dans le sens adresse publique – adresse privée et retransmet le paquet modifié à la bonne machine interne
RE16 8 NAT et PAT • Il est illusoire de chercher à faire correspondre une adresse publique à chaque adresse privée • Il faut combiner le NAT et le PAT pour utiliser en sortie un nombre d’adresses IP publiques largement inférieur au nombre des adresses privées à translater : La translation se fait à la fois sur l’adresse IP et le numéro de port
RE16 9 NAT et PAT • Dans le cas de la translation vers une seule adresse IP en sortie, on parle de PAT pur • Dans le cas de la translation vers plusieurs adresses en sortie (mais quand même beaucoup moins nombreuses que les adresses internes), on parle de NAT dynamique
RE16 10 PAT pur • Dans le cas du PAT pur, toutes les adresses privées sont translatées vers une seule adresse publique • Le routeur retrouvera la bonne adresse privée grâce au numéro de port TCP
RE16 11 PAT pur AS : 10.0.0.3:1031 1 Table de translation 10.0.0.1:1441 200.0.0.1:1518 10.0.0.2:3712 200.0.0.1:1519 10.0.0.3:1030 200.0.0.1:1520 10.0.0.4:1714 200.0.0.1:1521 10.0.0.3:1031 200.0.0.1:1522 … … AS : 200.0.0.1:1522 2 AD : 10.0.0.3:1031 4 AD : 200.0.0.1:1522 3 2
RE16 12 PAT pur 1. Une machine locale envoie un paquet IP en mettant son adresse privée comme source et en utilisant un certain numéro de port TCP 2. Le routeur local crée une ligne de plus dans sa table de translation, dans laquelle il inscrit : • l’adresse privée source avec le numéro de port TCP utilisé par l’utilisateur interne • l’adresse publique et le numéro de port qu’il utilise pour translater 1. Le serveur distant répond au routeur sans se rendre compte de quoi que ce soit 2. Le routeur procède à la translation inverse en cherchant la bonne entrée dans sa table de translation
RE16 13 NAT et PAT • Dans le cas général, on utilise plusieurs adresses publiques en sortie, mais elles sont toujours beaucoup moins nombreuses que les adresses privées internes • Le routeur applique un algorithme pour répartir les adresses et choisir les numéros de ports qu’il utilise
RE16 14 NAT et PAT AS : 10.0.0.3:1031 1 Table de translation 10.0.0.1:1441 200.0.0.1:1518 10.0.0.2:3712 200.0.0.2:2512 10.0.0.3:1030 200.0.0.2:2513 10.0.0.4:1714 200.0.0.3:7421 10.0.0.3:1031 200.0.0.4:6665 … … AS : 200.0.0.1:1522 2 AD : 10.0.0.3:1031 4 AD : 200.0.0.1:1522 3 2N adresses possibles n (<N) adresses possibles
RE16 15 Serveurs publics • Le NAT peut aussi être utilisé pour des serveurs publics • Un administrateur peut faire le choix de donner des adresses privées à ses serveurs publics • Il doit alors installer une translation statique pour les rendre visibles depuis l’Internet • La translation peut alors être vue comme un autre niveau de filtrage, en plus des ACLs, dans le sens où, les paquets qui ne peuvent être translatés sont tout simplement ignorés
RE16 16 Serveurs publics Table de translation des serveurs … … 192.168.0.2:80 193.50.230.241:80 … … Table de translation des utilisateurs 172.16.0.14:1441 193.50.230.241:1518 172.16.10.2:3712 193.50.230.241:1519 172.16.0.3:1030 193.50.230.241:1520 172.16.0.3:1714 193.50.230.241:1521 172.16.11.58:1031 193.50.230.241:1522 … …
RE16 17 Translation du DNS • Le serveur DNS pose un problème particulier pour la translation • En effet, le DNS est utilisé à la fois : – par les postes internes pour lesquels les serveurs publics doivent être visibles par leur @IP privée – et par les utilisateurs externes pour lesquels les serveurs publics doivent être visibles par leur @IP publique • Cela signifie que le DNS doit fournir des réponses différentes, en fonction de l’origine de la requête ! • Certains administrateurs choisissent d’installer deux DNS pour le même domaine : – un pour les utilisateurs internes – un autre pour les utilisateurs externes
RE16 18 Cas d’une requête externe Table de translation des serveurs … 192.168.0.1:53 193.50.230.241:53 192.168.0.2:80 193.50.230.241:80 … … AD : 193.50.230.241:53 1 AD : 192.168.0.1:532 AS : 192.168.0.1:53 dns : www.utt.fr ? dns : www.utt.fr ? www.utt.fr : 193.50.230.241 3 AS : 193.50.230.241 www.utt.fr : 193.50.230.241 4 Connu du DNS demandeur
RE16 19 Cas d’une requête interne AD : 192.168.0.1:53 1 AS : 192.168.0.1:53 dns : www.utt.fr ? www.utt.fr : 192.168.0.2 2 Connu par les paramètres TCP/IP
RE16 20 Translation du DNS • Certains firewall sont capables de changer les adresses IP contenues dans les réponses DNS ! • Dans ce cas il n’est pas utile d’en installer deux • Cette technique est aussi utile pour d’autres protocoles • Elle est nécessaire pour tous les protocoles qui transportent des adresses IP comme argument
RE16 21 NAT et FTP • FTP transporte des adresses IP comme argument : par exemple la commande PORT • Au récepteur, le serveur verra un paquet IP avec une adresse source qui sera différente de celle passée en argument : cela risque de poser des problèmes ! Il faut que le translateur remplace l’adresse transmise en argument
RE16 22 NAT et FTP • L’adresse argument est codée en ASCII • Ce code est de taille variable selon l’adresse • Le translateur doit donc : – Repérer l’@IP dans les données – Mettre l’@IP de translation à la place – Recalculer tous les cheksum – Changer les numéros de séquence puisque le paquet IP peut changer de taille
RE16 23 NAT et autres applications • Le même problème se pose pour d’autres applications : – ICMP – DNS – rlogin – Rsh – SMTP – etc …
RE16 24 NAT et équilibrage de charge • Le NAT peut permettre l’équilibrage de charge entres plusieurs serveurs • Grâce au NAT, les clients voient un seul serveur, alors que physiquement, plusieurs se partagent le travail Grâce au NAT
RE16 25 NAT et équilibrage de charge • Le cleint se connecte en utilisant toujours la même adresse IP, celle donnée par le DNS • Le translateur à l’entrée du réseau des serveurs translate l’@IP destination de la requête vers l’adresse de l’un des serveurs physiques • Le choix du srveur physique repose sur un algorithme d’équilibrage de charge exécuté par le translateur • Ainsi le translateur doit : – Suivre les sessions TCP pour diriger les bon,s paquets vers les bons serveurs – Mesurer la charge sur chaque serveur (en comptant les paquets par exemple) – Décider de la translation vers le serveur le moins chargé
RE16 26 NAT et serveurs de secours • Comme pour l’équilibrage de charge, le translateur peut « cacher » plusieurs serveurs physiques derrière un serveur « virtuel » • Cela permet la redondance des serveurs et donc une meilleure disponibilité
RE16 27 NAT PAT : avantages • Permet d’utiliser des adresses privées pour le réseau interne : – donne toute la souplesse utile pour le choix des adresses – rend les machines internes indétectables de l’extérieur • Permet d’utiliser des adresses privées pour les serveurs publics : – permet de « cacher » plusieurs serveurs derrière une seule adresse – oblige l’administrateur à expliciter toutes les connexions autorisées • Dans les deux cas, le changement des adresses publiques (pour cause de changement de FAI) se fera simplement en modifiant le NAT, et pas toutes les machines
RE16 28 Bénéfices pour la sécurité • Les paquets qui entrent dans le réseau sont translatés seulement si l’entrée correspondante existe dans la table NAT • Dans le cas contraire, les paquets sont simplement ignorés • Ainsi, une connexion qui n’a pas été initiée par une requête sortante ne rentrera pas sur le réseau privé (sauf dans le cas des serveurs publics) Cette propriété n’est cependant pas très performante pour la sécurité !
RE16 29 Bénéfices pour la sécurité • Seules les connexions initiées depuis l’intérieur seront translatées en entrée, mais aucun compte n’est tenu des numéros de séquence/acquittement TCP Il ne s’agit donc pas du tout d’un vrai suivi de session TCP comme peuvent le faire certaines ACLs ! • Aucune protection n’est apportée par rapport au contenu des données • Le contrôle des utilisateurs autorisés à initier des connexions depuis l’intérieur ne se fait qu’avec une ACL rudimentaire • Il est souvent utile de préciser quels flux pourront être translatés en sortie en ajoutant des ACLs plus évoluées en plus du NAT
RE16 30 Bénéfices pour la sécurité • Le NAT est utile d’abord pour donner une grande souplesse dans le choix des adresses IP des machines et des serveurs • Le NAT présente des propriétés utiles pour la sécurité • Pour la sécurité, l’utilisation du NAT n’est jamais suffisante, et ne dispense jamais la mise en place des autres outils (filtrage, firewall) En aucun cas une stratégie de sécurité ne doit reposer que sur le NAT
RE16 31 Conclusion • Puis-je identifier les techniques utiles parmi toutes les combinaisons des paramètres suivants : – Translation statique / dynamique – Translation adresse source / destination ? – Translation sur les requêtes / réponses ? • Quels paramètres sont à régler pour mettre en œuvre la translation ? • La translation remet-elle en cause le filtrage ? • Quelle décision dois-je prendre avec le DNS ? • Dans quels cas le translateur doit-il suivre les sessions TCP ? • Que dire alors des segments TCP fragmentés ?

Recommandé

58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pages58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pagesilbahi
 
Services IP
Services IPServices IP
Services IPThomas Moegli
 
Corrigé ccna1 chap10 couche application ccna cisco 5
Corrigé ccna1 chap10 couche application ccna cisco 5Corrigé ccna1 chap10 couche application ccna cisco 5
Corrigé ccna1 chap10 couche application ccna cisco 5abdoulaye camara
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6EL AMRI El Hassan
 
Protocole OSPF
Protocole OSPFProtocole OSPF
Protocole OSPFThomas Moegli
 
Dhcp3
Dhcp3Dhcp3
Dhcp3TECOS
 
IPv6
IPv6IPv6
IPv6medalaa
 
10 01 configuration dhcp
10 01 configuration dhcp10 01 configuration dhcp
10 01 configuration dhcpNoël
 

Recommandé

58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pages58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pagesilbahi
 
Services IP
Services IPServices IP
Services IPThomas Moegli
 
Corrigé ccna1 chap10 couche application ccna cisco 5
Corrigé ccna1 chap10 couche application ccna cisco 5Corrigé ccna1 chap10 couche application ccna cisco 5
Corrigé ccna1 chap10 couche application ccna cisco 5abdoulaye camara
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6EL AMRI El Hassan
 
Protocole OSPF
Protocole OSPFProtocole OSPF
Protocole OSPFThomas Moegli
 
Dhcp3
Dhcp3Dhcp3
Dhcp3TECOS
 
IPv6
IPv6IPv6
IPv6medalaa
 
10 01 configuration dhcp
10 01 configuration dhcp10 01 configuration dhcp
10 01 configuration dhcpNoël
 
Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3Stephen Salama
 
Ccna4
Ccna4Ccna4
Ccna4Farah Zouaki
 
Cours couche reseau
Cours couche reseauCours couche reseau
Cours couche reseausarah Benmerzouk
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Stephen Salama
 
Dhcp
DhcpDhcp
DhcpOUBROU Abderrahmane
 
Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Stephen Salama
 
See i pv6
See i pv6See i pv6
See i pv6Karim Fathallah
 
Dhcp sous fedora 11
Dhcp sous fedora 11Dhcp sous fedora 11
Dhcp sous fedora 11Dimitri LEMBOKOLO
 
service NFS sous linux
service NFS sous linux service NFS sous linux
service NFS sous linuxSouhaib El
 
3 switchport securité
3 switchport securité3 switchport securité
3 switchport securitémedalaa
 
5 serveur dhcp
5 serveur dhcp5 serveur dhcp
5 serveur dhcpOussama Lahssini
 
Cours couche transport
Cours couche transportCours couche transport
Cours couche transportsarah Benmerzouk
 
Protocole EIGRP
Protocole EIGRPProtocole EIGRP
Protocole EIGRPThomas Moegli
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsStephen Salama
 
Configuration de-base-d
Configuration de-base-dConfiguration de-base-d
Configuration de-base-dNabil EL KASSOUMI
 
IPv6 Les Bases
IPv6 Les BasesIPv6 Les Bases
IPv6 Les BasesAymen Bouzid
 
Administration des services réseaux
Administration des services réseauxAdministration des services réseaux
Administration des services réseauxFethi Kiwa
 
09 01 configuration du serveur samba
09 01 configuration du serveur samba09 01 configuration du serveur samba
09 01 configuration du serveur sambaNoël
 
Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Gondo Fréjus Léonel MANDE
 
Configuration dns
Configuration dnsConfiguration dns
Configuration dnsDimitri LEMBOKOLO
 
Ccna4
Ccna4Ccna4
Ccna4CONNECT Tunisia
 
DHCP sous fedora
DHCP sous fedora DHCP sous fedora
DHCP sous fedora Souhaib El
 

Contenu connexe

Tendances

Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3Stephen Salama
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Stephen Salama
 
Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Stephen Salama
 
service NFS sous linux
service NFS sous linux service NFS sous linux
service NFS sous linuxSouhaib El
 
3 switchport securité
3 switchport securité3 switchport securité
3 switchport securitémedalaa
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsStephen Salama
 
Administration des services réseaux
Administration des services réseauxAdministration des services réseaux
Administration des services réseauxFethi Kiwa
 
09 01 configuration du serveur samba
09 01 configuration du serveur samba09 01 configuration du serveur samba
09 01 configuration du serveur sambaNoël
 
Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Gondo Fréjus Léonel MANDE
 

Tendances (20)

Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3Admin reseaux sous linux cours 3
Admin reseaux sous linux cours 3
 
Ccna4
Ccna4Ccna4
Ccna4
 
Cours couche reseau
Cours couche reseauCours couche reseau
Cours couche reseau
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
 
Dhcp
DhcpDhcp
Dhcp
 
Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2
 
See i pv6
See i pv6See i pv6
See i pv6
 
Dhcp sous fedora 11
Dhcp sous fedora 11Dhcp sous fedora 11
Dhcp sous fedora 11
 
service NFS sous linux
service NFS sous linux service NFS sous linux
service NFS sous linux
 
3 switchport securité
3 switchport securité3 switchport securité
3 switchport securité
 
5 serveur dhcp
5 serveur dhcp5 serveur dhcp
5 serveur dhcp
 
Cours couche transport
Cours couche transportCours couche transport
Cours couche transport
 
Protocole EIGRP
Protocole EIGRPProtocole EIGRP
Protocole EIGRP
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
 
Configuration de-base-d
Configuration de-base-dConfiguration de-base-d
Configuration de-base-d
 
IPv6 Les Bases
IPv6 Les BasesIPv6 Les Bases
IPv6 Les Bases
 
Administration des services réseaux
Administration des services réseauxAdministration des services réseaux
Administration des services réseaux
 
09 01 configuration du serveur samba
09 01 configuration du serveur samba09 01 configuration du serveur samba
09 01 configuration du serveur samba
 
Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6
 
Configuration dns
Configuration dnsConfiguration dns
Configuration dns
 

Similaire à Nat principe

DHCP sous fedora
DHCP sous fedora DHCP sous fedora
DHCP sous fedora Souhaib El
 
Couche Réseau.pptx
Couche Réseau.pptx Couche Réseau.pptx
Couche Réseau.pptxZinaAknouche1
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPChapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPTarik Zakaria Benmerar
 
Le service dhcp
Le service dhcpLe service dhcp
Le service dhcpDGMALY
 
Socket tcp ip client server on langace c
Socket tcp ip client server on langace c Socket tcp ip client server on langace c
Socket tcp ip client server on langace c mouad Lousimi
 
Architecture réseaux
Architecture réseauxArchitecture réseaux
Architecture réseauxSaifEJJILALI
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauPRONETIS
 
CCNP Route - OSPF
CCNP Route - OSPFCCNP Route - OSPF
CCNP Route - OSPFmdyabi
 
Translation d'adresse réseau (NAT)
Translation d'adresse réseau (NAT)Translation d'adresse réseau (NAT)
Translation d'adresse réseau (NAT)Manassé Achim kpaya
 
Configuration ospf
Configuration ospfConfiguration ospf
Configuration ospfJoeongala
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueAmadou Dia
 
Bisatel comme marche la voip
Bisatel comme marche la voipBisatel comme marche la voip
Bisatel comme marche la voipBisatel
 

Similaire à Nat principe (20)

Ccna4
Ccna4Ccna4
Ccna4
 
DHCP sous fedora
DHCP sous fedora DHCP sous fedora
DHCP sous fedora
 
Couche Réseau.pptx
Couche Réseau.pptx Couche Réseau.pptx
Couche Réseau.pptx
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPChapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IP
 
8 adressage ip
8 adressage ip8 adressage ip
8 adressage ip
 
Le service dhcp
Le service dhcpLe service dhcp
Le service dhcp
 
Socket tcp ip client server on langace c
Socket tcp ip client server on langace c Socket tcp ip client server on langace c
Socket tcp ip client server on langace c
 
Exonet adressagei pv6
Exonet adressagei pv6Exonet adressagei pv6
Exonet adressagei pv6
 
Architecture réseaux
Architecture réseauxArchitecture réseaux
Architecture réseaux
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
 
CCNP Route - OSPF
CCNP Route - OSPFCCNP Route - OSPF
CCNP Route - OSPF
 
Ccna 2-module-2-v4
Ccna 2-module-2-v4Ccna 2-module-2-v4
Ccna 2-module-2-v4
 
Ccna1 chapitre 4
Ccna1 chapitre 4Ccna1 chapitre 4
Ccna1 chapitre 4
 
Translation d'adresse réseau (NAT)
Translation d'adresse réseau (NAT)Translation d'adresse réseau (NAT)
Translation d'adresse réseau (NAT)
 
SDE 10 - Reseau
SDE 10 - ReseauSDE 10 - Reseau
SDE 10 - Reseau
 
3200612.ppt
3200612.ppt3200612.ppt
3200612.ppt
 
SdE 11 - Reseau
SdE 11 - ReseauSdE 11 - Reseau
SdE 11 - Reseau
 
Configuration ospf
Configuration ospfConfiguration ospf
Configuration ospf
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
 
Bisatel comme marche la voip
Bisatel comme marche la voipBisatel comme marche la voip
Bisatel comme marche la voip
 

Dernier

Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipM2i Formation
 
Evaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxEvaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxAsmaa105193
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxTxaruka
 
Saint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxSaint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxMartin M Flynn
 
Présentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxPrésentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxrababouerdighi
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptxSAID MASHATE
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.Franck Apolis
 
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Txaruka
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETMedBechir
 
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIEBONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIEgharebikram98
 
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETCours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETMedBechir
 
Le Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeLe Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeXL Groupe
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertChristianMbip
 

Dernier (14)

Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadership
 
Pâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie PelletierPâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie Pelletier
 
Evaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxEvaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. Marocpptx
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptx
 
Saint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxSaint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptx
 
Présentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxPrésentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptx
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.
 
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSET
 
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIEBONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
 
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETCours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
 
Le Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeLe Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directe
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expert
 

Nat principe

  • 1. RE16 1 Répartition des adresses IP • Le problème de la répartition des adresses IP dans le réseau doit être résolu avec comme objectifs : – de rendre le réseau aussi lisible que possible (facilité de maintenance et modifications) – s’accommoder de la pénurie des adresses IP publiques – participer à la sécurité
  • 2. RE16 2 Répartition des adresses IP • Les outils utilisés pour faire les choix de répartition des adresses sont : – la translation d’adresses (Network Address Translation NAT) et translation de ports (Port Address Translation PAT) – le protocole DHCP • Ces outils permettent d’organiser le réseau pour qu’un minimum d’adresses publiques soit utilisées, ce qui est : – bon pour la sécurité – satisfaisant dans le contexte de pénurie d’adresses
  • 3. RE16 3 RFC 1918 • Toutes les infos sur les classes privées peuvent être trouvées sur : http://www.unoverica.com/documentation/ucm/mt211ai6.html
  • 4. RE16 4 NAT : définitions • Le NAT permet d’attribuer des adresses privées aux machines internes du réseau, et cependant de leur permettre d’accéder à Internet • Dans un contexte NAT, pour comprendre une transmission, il faut faire intervenir 4 adresses IP : – adresse locale interne – adresse locale externe – adresse distante externe – adresse distante interne
  • 5. RE16 5 NAT pur • On utilise dans ce cas autant d’adresses publiques qu’il y a d’adresses privées • Cette technique n’est jamais utilisée sous cette forme, elle est montrée ici pour expliquer le fonctionnement • On parle aussi dans ce cas de NAT statique
  • 6. RE16 6 NAT pur AS : 10.0.0.3 1 Table de translation … … 10.0.0.1 200.0.0.1 10.0.0.2 200.0.0.2 10.0.0.3 200.0.0.3 10.0.0.4 200.0.0.4 … … AS : 200.0.0.3 2 AD : 200.0.0.3 3 AD : 10.0.0.3 4
  • 7. RE16 7 NAT pur 1. Une machine locale envoie un paquet avec comme adresse source son adresse privée 2. Le routeur chargé de la translation fait correspondre à chaque adresse privée, une adresse publique. Il envoie vers l’extérieur le paquet IP en changeant l’adresse source privée par son correspondant publique 3. Le destinataire reçoit un paquet IP dont il pense qu’il vient d’une machine ayant une adresse publique et va donc y répondre 4. Le routeur reçoit la réponse, fait la correspondance dans le sens adresse publique – adresse privée et retransmet le paquet modifié à la bonne machine interne
  • 8. RE16 8 NAT et PAT • Il est illusoire de chercher à faire correspondre une adresse publique à chaque adresse privée • Il faut combiner le NAT et le PAT pour utiliser en sortie un nombre d’adresses IP publiques largement inférieur au nombre des adresses privées à translater : La translation se fait à la fois sur l’adresse IP et le numéro de port
  • 9. RE16 9 NAT et PAT • Dans le cas de la translation vers une seule adresse IP en sortie, on parle de PAT pur • Dans le cas de la translation vers plusieurs adresses en sortie (mais quand même beaucoup moins nombreuses que les adresses internes), on parle de NAT dynamique
  • 10. RE16 10 PAT pur • Dans le cas du PAT pur, toutes les adresses privées sont translatées vers une seule adresse publique • Le routeur retrouvera la bonne adresse privée grâce au numéro de port TCP
  • 11. RE16 11 PAT pur AS : 10.0.0.3:1031 1 Table de translation 10.0.0.1:1441 200.0.0.1:1518 10.0.0.2:3712 200.0.0.1:1519 10.0.0.3:1030 200.0.0.1:1520 10.0.0.4:1714 200.0.0.1:1521 10.0.0.3:1031 200.0.0.1:1522 … … AS : 200.0.0.1:1522 2 AD : 10.0.0.3:1031 4 AD : 200.0.0.1:1522 3 2
  • 12. RE16 12 PAT pur 1. Une machine locale envoie un paquet IP en mettant son adresse privée comme source et en utilisant un certain numéro de port TCP 2. Le routeur local crée une ligne de plus dans sa table de translation, dans laquelle il inscrit : • l’adresse privée source avec le numéro de port TCP utilisé par l’utilisateur interne • l’adresse publique et le numéro de port qu’il utilise pour translater 1. Le serveur distant répond au routeur sans se rendre compte de quoi que ce soit 2. Le routeur procède à la translation inverse en cherchant la bonne entrée dans sa table de translation
  • 13. RE16 13 NAT et PAT • Dans le cas général, on utilise plusieurs adresses publiques en sortie, mais elles sont toujours beaucoup moins nombreuses que les adresses privées internes • Le routeur applique un algorithme pour répartir les adresses et choisir les numéros de ports qu’il utilise
  • 14. RE16 14 NAT et PAT AS : 10.0.0.3:1031 1 Table de translation 10.0.0.1:1441 200.0.0.1:1518 10.0.0.2:3712 200.0.0.2:2512 10.0.0.3:1030 200.0.0.2:2513 10.0.0.4:1714 200.0.0.3:7421 10.0.0.3:1031 200.0.0.4:6665 … … AS : 200.0.0.1:1522 2 AD : 10.0.0.3:1031 4 AD : 200.0.0.1:1522 3 2N adresses possibles n (<N) adresses possibles
  • 15. RE16 15 Serveurs publics • Le NAT peut aussi être utilisé pour des serveurs publics • Un administrateur peut faire le choix de donner des adresses privées à ses serveurs publics • Il doit alors installer une translation statique pour les rendre visibles depuis l’Internet • La translation peut alors être vue comme un autre niveau de filtrage, en plus des ACLs, dans le sens où, les paquets qui ne peuvent être translatés sont tout simplement ignorés
  • 16. RE16 16 Serveurs publics Table de translation des serveurs … … 192.168.0.2:80 193.50.230.241:80 … … Table de translation des utilisateurs 172.16.0.14:1441 193.50.230.241:1518 172.16.10.2:3712 193.50.230.241:1519 172.16.0.3:1030 193.50.230.241:1520 172.16.0.3:1714 193.50.230.241:1521 172.16.11.58:1031 193.50.230.241:1522 … …
  • 17. RE16 17 Translation du DNS • Le serveur DNS pose un problème particulier pour la translation • En effet, le DNS est utilisé à la fois : – par les postes internes pour lesquels les serveurs publics doivent être visibles par leur @IP privée – et par les utilisateurs externes pour lesquels les serveurs publics doivent être visibles par leur @IP publique • Cela signifie que le DNS doit fournir des réponses différentes, en fonction de l’origine de la requête ! • Certains administrateurs choisissent d’installer deux DNS pour le même domaine : – un pour les utilisateurs internes – un autre pour les utilisateurs externes
  • 18. RE16 18 Cas d’une requête externe Table de translation des serveurs … 192.168.0.1:53 193.50.230.241:53 192.168.0.2:80 193.50.230.241:80 … … AD : 193.50.230.241:53 1 AD : 192.168.0.1:532 AS : 192.168.0.1:53 dns : www.utt.fr ? dns : www.utt.fr ? www.utt.fr : 193.50.230.241 3 AS : 193.50.230.241 www.utt.fr : 193.50.230.241 4 Connu du DNS demandeur
  • 19. RE16 19 Cas d’une requête interne AD : 192.168.0.1:53 1 AS : 192.168.0.1:53 dns : www.utt.fr ? www.utt.fr : 192.168.0.2 2 Connu par les paramètres TCP/IP
  • 20. RE16 20 Translation du DNS • Certains firewall sont capables de changer les adresses IP contenues dans les réponses DNS ! • Dans ce cas il n’est pas utile d’en installer deux • Cette technique est aussi utile pour d’autres protocoles • Elle est nécessaire pour tous les protocoles qui transportent des adresses IP comme argument
  • 21. RE16 21 NAT et FTP • FTP transporte des adresses IP comme argument : par exemple la commande PORT • Au récepteur, le serveur verra un paquet IP avec une adresse source qui sera différente de celle passée en argument : cela risque de poser des problèmes ! Il faut que le translateur remplace l’adresse transmise en argument
  • 22. RE16 22 NAT et FTP • L’adresse argument est codée en ASCII • Ce code est de taille variable selon l’adresse • Le translateur doit donc : – Repérer l’@IP dans les données – Mettre l’@IP de translation à la place – Recalculer tous les cheksum – Changer les numéros de séquence puisque le paquet IP peut changer de taille
  • 23. RE16 23 NAT et autres applications • Le même problème se pose pour d’autres applications : – ICMP – DNS – rlogin – Rsh – SMTP – etc …
  • 24. RE16 24 NAT et équilibrage de charge • Le NAT peut permettre l’équilibrage de charge entres plusieurs serveurs • Grâce au NAT, les clients voient un seul serveur, alors que physiquement, plusieurs se partagent le travail Grâce au NAT
  • 25. RE16 25 NAT et équilibrage de charge • Le cleint se connecte en utilisant toujours la même adresse IP, celle donnée par le DNS • Le translateur à l’entrée du réseau des serveurs translate l’@IP destination de la requête vers l’adresse de l’un des serveurs physiques • Le choix du srveur physique repose sur un algorithme d’équilibrage de charge exécuté par le translateur • Ainsi le translateur doit : – Suivre les sessions TCP pour diriger les bon,s paquets vers les bons serveurs – Mesurer la charge sur chaque serveur (en comptant les paquets par exemple) – Décider de la translation vers le serveur le moins chargé
  • 26. RE16 26 NAT et serveurs de secours • Comme pour l’équilibrage de charge, le translateur peut « cacher » plusieurs serveurs physiques derrière un serveur « virtuel » • Cela permet la redondance des serveurs et donc une meilleure disponibilité
  • 27. RE16 27 NAT PAT : avantages • Permet d’utiliser des adresses privées pour le réseau interne : – donne toute la souplesse utile pour le choix des adresses – rend les machines internes indétectables de l’extérieur • Permet d’utiliser des adresses privées pour les serveurs publics : – permet de « cacher » plusieurs serveurs derrière une seule adresse – oblige l’administrateur à expliciter toutes les connexions autorisées • Dans les deux cas, le changement des adresses publiques (pour cause de changement de FAI) se fera simplement en modifiant le NAT, et pas toutes les machines
  • 28. RE16 28 Bénéfices pour la sécurité • Les paquets qui entrent dans le réseau sont translatés seulement si l’entrée correspondante existe dans la table NAT • Dans le cas contraire, les paquets sont simplement ignorés • Ainsi, une connexion qui n’a pas été initiée par une requête sortante ne rentrera pas sur le réseau privé (sauf dans le cas des serveurs publics) Cette propriété n’est cependant pas très performante pour la sécurité !
  • 29. RE16 29 Bénéfices pour la sécurité • Seules les connexions initiées depuis l’intérieur seront translatées en entrée, mais aucun compte n’est tenu des numéros de séquence/acquittement TCP Il ne s’agit donc pas du tout d’un vrai suivi de session TCP comme peuvent le faire certaines ACLs ! • Aucune protection n’est apportée par rapport au contenu des données • Le contrôle des utilisateurs autorisés à initier des connexions depuis l’intérieur ne se fait qu’avec une ACL rudimentaire • Il est souvent utile de préciser quels flux pourront être translatés en sortie en ajoutant des ACLs plus évoluées en plus du NAT
  • 30. RE16 30 Bénéfices pour la sécurité • Le NAT est utile d’abord pour donner une grande souplesse dans le choix des adresses IP des machines et des serveurs • Le NAT présente des propriétés utiles pour la sécurité • Pour la sécurité, l’utilisation du NAT n’est jamais suffisante, et ne dispense jamais la mise en place des autres outils (filtrage, firewall) En aucun cas une stratégie de sécurité ne doit reposer que sur le NAT
  • 31. RE16 31 Conclusion • Puis-je identifier les techniques utiles parmi toutes les combinaisons des paramètres suivants : – Translation statique / dynamique – Translation adresse source / destination ? – Translation sur les requêtes / réponses ? • Quels paramètres sont à régler pour mettre en œuvre la translation ? • La translation remet-elle en cause le filtrage ? • Quelle décision dois-je prendre avec le DNS ? • Dans quels cas le translateur doit-il suivre les sessions TCP ? • Que dire alors des segments TCP fragmentés ?