IPsec VPN et NAT apportent la sécurité sous divers angles, mais peut-on les utiliser côte à côte dans l’infrastructure réseau ? Hélas non, en raison de certaines incompatibilités entre eux.
Il y a des incompatibilités entre les identificateurs d’adresses IKE et NAT. Chaque côté s’identifie lui-même pendant la
NAT peut casser IPsec
négociation IKE. Le récepteur vérifie que l’adresse IP source du paquet correspond à l’identité avancée par l’expéditeur. S’il y a discordance, le paquet est rejeté. L’unité NAT change l’adresse IP du paquet ; par conséquent, les négociations IKE n’aboutissent pas si le pair ne parvient pas à reconnaître la présence d’unités NAT au milieu.
Le port de transport ne peut pas être changé dans NAT si un paquet TCP est crypté. Grâce au cryptage des données, ESP contribue à la confidentialité des données. Comme on le voit dans la figure 1, tout ce qui vient après l’en-tête IP et l’en-tête ESP est crypté, y compris le numéro de port dans l’en-tête du protocole d’application, les en-têtes TCP, et les en-têtes UDP. Par conséquent, l’unité NAT n’a aucun moyen de trouver ne serait- ce que l’information du numéro de port, et encore moins de la modifier comme devrait le faire Masquerade NAT.
NAT casse les protocoles qui protègent les adresses IP contre toute modification. IPsec utilise la vérification d’authentification et d’intégrité pour protéger contre tout tripatouillage des paquets. Par ailleurs, l’unité NAT modifie l’adresse IP du paquet en transit, comme c’est son rôle. Ce faisant, NAT empêche le calcul ICV dans AH, lequel, comme nous l’avons vu précédemment, assure l’authentification en vérifiant que le contenu d’un datagramme ne change pas en cours de route. Vous vous demandez peutêtre pourquoi le même problème existe pour ESP. ESP n’a pas à authentifier l’en-tête IP, qui contient l’adresse IP modifiée. Cependant, l’information de numéro de port dans l’en-tête TCP/UDP fait partie d’ICV pour l’authentification. Par conséquent, l’authentification ESP échoue si l’on utilise Masquerade NAT. En outre, NAT peut casser les totaux de contrôle de IP et de TCP.
Pour régler ces problèmes de compatibilité et pour permettre la coexistence de NAT et d’IPsec, la solution consiste à utiliser deux standards Internet et à créer un Firewall Friendly VPN.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
- Cyberattaques : 46% des entreprises françaises perdent du chiffre d’affaires dès le premier jour
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
