> Tech > NAT mono-adresse

NAT mono-adresse

Tech - Par iTPro - Publié le 24 juin 2010
email

NAT mono-adresse et NAT multi-adresses relèvent du même concept. Tout comme NAT multi-adresse, NAT mono-adresse permet de définir son réseau IP interne comme on l'entend: pas besoin d'utiliser les adresses IP attribuées par un ISP. A l'instar de NAT multi-adresse, NAT mono-adresse remplace l'adresse IP interne par une adresse IP

NAT mono-adresse

externe pour permettre l’accès à  Internet. Mais, contrairement à  NAT multi-adresse,
NAT mono-adresse permet à  des systèmes multiples de partager une adresse IP externe
unique.

NAT mono-adresse convient particulièrement bien aux environnements SOHO. Un routeur
NAT mono-adresse peut appeler Internet, obtenir de la part de l’ISP une adresse
attribuée dynamiquement, puis utiliser celle-ci pour le trafic Internet concernant
tous les systèmes du réseau SOHO. NAT mono-adresse est aussi fréquemment utilisé
dans des firewalls.

Bien entendu, NAT mono-adresse est un peu plus compliqué que NAT multi-adresse,
relativement simple parce qu’il maintient une relation de un à  un entre les adresses
IP internes et externes. La résolution d’adresse se ramène à  une simple consultation
de table. En revanche, NAT mono-adresse gère une relation de un à  plusieurs. Comment
NAT mono-adresse peut-il savoir quel trafic est destiné à  quel système, si tous
les systèmes partagent la même adresse IP? En utilisant la partie port source
de l’en-tête IP.

Dans toute connexion entre deux systèmes IP, il existe deux ensembles importants
de composants. Le premier, à  l’évidence, est constitué par les adresses IP des
systèmes émetteurs et récepteurs. Le second est une attribution de port pour les
systèmes émetteurs et récepteurs. Dans un système donné (comme l’AS/400) le trafic
IP est dirigé vers des ports spécifiques. Par exemple: port 23 pour Telnet, port
25 pour SMTP (Simple Mail Transfer Protocol) et port 80 pour HTTP (Hypertext Transfer
Protocol). L’adresse et le port se combinent pour constituer un « socket » destiné
à  une connexion.

Le plus souvent, seul le port de destination est intéressant, parce que le système
émetteur a déjà  établi un port qu’il utilisera pour communiquer avec le système
récepteur. Par exemple, quand on initie une connexion Telnet, on se connecte toujours
au port 23 du serveur Telnet, mais on
ne se connecte pas à  partir du port
23: on se connecte à  partir de n’importe quel port disponible sur le système au
moment de l’initiation de la requête.

Alors devinez ce que NAT mono-adresse utilise pour garder une trace du trafic?
Eh oui: NAT attribue une nouvelle valeur de port source, insère la valeur dans
la table NAT, et la place dans l’en-tête IP au lieu de la valeur de port source
réelle. NAT utilise des ports situés hors de la plage des services normaux, comme
Telnet, pour éviter tout conflit avec les services existants. Comme le trafic
en retour est renvoyé au port et à  l’adresse IP d’origine, NAT peut utiliser la
valeur de port pour déterminer l’adresse IP d’origine puis remplacer l’adresse
IP interne et la valeur de port d’origine. La figure 2 illustre ce processus.

NAT mono-adresse est une solution efficace pour du trafic quittant le réseau interne,
mais ne convient pas pour du trafic dont l’origine est située à  l’extérieur du
réseau.
Par exemple, on ne peut pas configurer un serveur Web interne en utilisant NAT
mono-adresse: le trafic externe ne trouvera pas son chemin jusqu’au serveur.
De même, NAT mono-adresse ne convient pas pour certaines applications Internet
peer-to-peer, comme l’audioconférence et la vidéoconférence. Dans les applications
peer-to-peer, la connexion peut provenir du système extérieur, ne fournissant
à  NAT aucun moyen de déterminer le système interne vers lequel doit être acheminée
la connexion. Le fait que NAT mono-adresse ne fonctionne que pour le trafic quittant
le réseau IP interne peut sembler gênant, mais c’est en fait un bon moyen de protection
pour tenir tout trafic Internet indésirable à  l’écart.

En fait, le port n’est pas le seul moyen d’établir la correspondance entre une
adresse IP externe et plusieurs adresses IP internes. Certaines solutions NAT
mono-adresse utilisent l’adresse de l’adaptateur réseau de la carte d’origine
pour suivre le trafic; d’autres utilisent des zones différentes de l’en-tête IP.
L’important n’est pas de comprendre toutes les différentes technologies existantes,
mais les avantages et les inconvénients de la technologie envisagée.

Pour en savoir plus sur NAT, vous pouvez lire le RFC (request for comment) NAT
à  l’adresse http://info.internet.isi.edu:80/in-notes/rfc/files/rfc1631.txt.
Pour plus d’informations sur les caractéristiques et les produits NAT, voir l’encadré
« Informations produits NAT ».

Téléchargez cette ressource

Guide de cybersécurité en milieu sensible

Guide de cybersécurité en milieu sensible

Sur fond de vulnérabilités en tout genre, les établissements hospitaliers, pharmacies, laboratoires et autres structures de soin font face à des vagues incessantes de cyberattaques. L’objectif de ce livre blanc est de permettre aux responsables informatiques ainsi qu’à l’écosystème des sous-traitants et prestataires du secteur médical de se plonger dans un état de l’art de la cybersécurité des établissements de santé. Et de faire face à la menace.

Tech - Par iTPro - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT