L’Internet Engineering Task Force (IETF – ietf.org) a conçu deux standards pour traiter les incompatibilités qui existent entre IPsec VPN et NAT: la négociation NAT Transversal pour IKE (RFC 3947) et l’encapsulation UDP des paquets ESP (RFC 3948).
En bref, NAT Traversal dit à IKE comment détecter la
Application de Firewall Friendly VPN
présence et l’emplacement d’une ou plusieurs unité(s) NAT au milieu d’une connexion VPN. Si un NAT est détecté, IKE s’écoule du port 500 au port 4500 pour mettre fin à la négociation IKE. IKE envoie aussi des paquets de survie, que l’on peut assimiler aux battements de coeur du tunnel.
Un paquet IPsec est enveloppé à l’intérieur d’un nouvel en-tête IP/UDP puis envoyé sur le port UDP 4500 par un processus appelé encapsulation UDP. Lorsqu’elle traverse l’unité NAT, l’adresse du nouvel en-tête IP est traduite. Le nouveau port UDP est utilisé pour Masquerade NAT. Quand le paquet atteint sa destination, l’extrémité réceptrice enlève l’en-tête UDP, et le paquet IPsec original est décrypté.
La solution décrite dans le paragraphe précédent ne s’applique qu’aux paquets ESP en mode tunnel ou transport. AH a des problèmes d’incompatibilité avec NAT et ces deux standards ne peuvent pas les résoudre. La figure 3 montre le format d’un paquet ESP encapsulé UDP en mode tunnel et en mode transport. La figure 4 montre le flux sortant et entrant de l’encapsulation UDP.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Activer la mise en veille prolongée dans Windows 10
- Une baie de stockage c’est quoi ?
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
Les plus consultés sur iTPro.fr
- Les banques passent à l’action avec l’IA générative et le cloud
- DSI en assurance : gardien du temple ou moteur de la transformation ?
- Ransomware : persistance des cyberattaques à l’échelle mondiale
- Cybersécurité : l’IA générative rebat les cartes du cybercrime
- Le World Cyber Ranking, 1er classement mondial de la cybersécurité des entreprises
