En termes de SSI, la translation d’adresse permet surtout de masquer la topologie IP de son réseau interne à l’extérieur. Comme le point d’accès obligé est généralement une machine...
unique, on peut en profiter pour réaliser des contrôles complémentaires (filtrages sur adresses et protocoles, contrôle de contenus etc.).
Ces techniques permettent surtout d’éviter la réservation d’un trop grand nombre d’adresses officielles.
En revanche, les mécanismes de translation d’adresse souffrent de certaines limitations de conceptions. En effet, l’Internet a été construit sur le principe du bout-en-bout (end-to-end principle). Ce principe fondamental veut que toute l’intelligence et toutes les manipulations s’effectuent à chaque extrémité d’une communication, le réseau étant supposé dénué d’intelligence,
en ce sens qu’il ne fait que relayer les communications d’un noeud à un autre jusqu’à leur destination ; les équipements intermédiaires ne sont donc pas censés modifier les paquets au cours de leur transit 9.
Le NAT viole délibérément ce principe en ré-écrivant les en-têtes des paquets IP, ce qui peut poser
des problèmes dans les deux situations suivantes :
· Les protocoles qui échangent des adresses : certains protocoles échangent des adresses IP parmi les données échangées. L’un des cas typiques de ce type de fonctionnement est celui du protocole de transfert de fichiers FTP. C’est à travers de commandes sur une connexion de contrôle que le client et le serveur vont négocier sur quel port de quelle adresse IP vont être transmises les données échangées. Si un client translaté demande au serveur d’ouvrir la connexion sur une adresse privée (qui correspond dans ce cas à son
adresse réelle), le serveur sera dans l’incapacité de contacter cette adresse puisqu’elle est privée. Un autre cas typique est celui du protocole H323, essentiellement utilisé pour la visio-conférence, et qui intègre dans ses champs protocolaires des informations sur les adresses IP et les ports TCP des machines. Dans ce cas, il est alors nécessaire de mettre en place un Proxy, ou relais, protocolaire, qui reconstruira proprement les protocoles de communication en fonction des règles de translation.
· Le chiffrement et l’intégrité des données : si les paquets transmis contiennent des données chiffrées, le mécanisme de translation d’adresses ne pourra aller substituer des adresses éventuellement présentes dans les données. En outre, certains protocoles intègrent un marquant d’intégrité cryptographique afin de détecter une modification des paquets en cours de transit : une modification des champs d’adresses constitue une atteinte en intégrité du paquet et sera donc détectée comme telle par les équipements terminaux,
qui le rejetteront.
unique, on peut en profiter pour réaliser des contrôles complémentaires (filtrages sur adresses et protocoles, contrôle de contenus etc.).
Ces techniques permettent surtout d’éviter la réservation d’un trop grand nombre d’adresses officielles.
En revanche, les mécanismes de translation d’adresse souffrent de certaines limitations de conceptions. En effet, l’Internet a été construit sur le principe du bout-en-bout (end-to-end principle). Ce principe fondamental veut que toute l’intelligence et toutes les manipulations s’effectuent à chaque extrémité d’une communication, le réseau étant supposé dénué d’intelligence,
en ce sens qu’il ne fait que relayer les communications d’un noeud à un autre jusqu’à leur destination ; les équipements intermédiaires ne sont donc pas censés modifier les paquets au cours de leur transit 9.
Le NAT viole délibérément ce principe en ré-écrivant les en-têtes des paquets IP, ce qui peut poser
des problèmes dans les deux situations suivantes :
· Les protocoles qui échangent des adresses : certains protocoles échangent des adresses IP parmi les données échangées. L’un des cas typiques de ce type de fonctionnement est celui du protocole de transfert de fichiers FTP. C’est à travers de commandes sur une connexion de contrôle que le client et le serveur vont négocier sur quel port de quelle adresse IP vont être transmises les données échangées. Si un client translaté demande au serveur d’ouvrir la connexion sur une adresse privée (qui correspond dans ce cas à son
adresse réelle), le serveur sera dans l’incapacité de contacter cette adresse puisqu’elle est privée. Un autre cas typique est celui du protocole H323, essentiellement utilisé pour la visio-conférence, et qui intègre dans ses champs protocolaires des informations sur les adresses IP et les ports TCP des machines. Dans ce cas, il est alors nécessaire de mettre en place un Proxy, ou relais, protocolaire, qui reconstruira proprement les protocoles de communication en fonction des règles de translation.
· Le chiffrement et l’intégrité des données : si les paquets transmis contiennent des données chiffrées, le mécanisme de translation d’adresses ne pourra aller substituer des adresses éventuellement présentes dans les données. En outre, certains protocoles intègrent un marquant d’intégrité cryptographique afin de détecter une modification des paquets en cours de transit : une modification des champs d’adresses constitue une atteinte en intégrité du paquet et sera donc détectée comme telle par les équipements terminaux,
qui le rejetteront.
0 com:
Enregistrer un commentaire
Suggérer des améliorations à apporter au blog, des articles, des commentaires ou des liens sur la sécurité informatique.Merci