1

TR2 : Technologies de l'Internet

Chapitre VINAT statique et dynamiqueOverloading (PAT)Overlapping, port ForwardingServeur Proxy, DMZ

2

NAT : Network Address Translation

Le NAT a été proposé en 1994 sous la RFC 1631 comme solution à court terme face au manque d'adresses IP.

Son objectif principal était de permettre aux adresses IP d'être partagées par un grand nombre de périphériques réseau.

En une dizaine d'années d'existence, il a donné le temps nécessaire pour concevoir le nouveau protocole d'adressage IPv6 et, aujourd’hui, le début de son déploiement.

3

Intérêt du NAT

Le NAT permet d'utiliser des adresses n'ayant pas de signification globale (par exemple des adresses privées définies dans la RFC 1918, non routables) pour se connecter à travers l'Internet en traduisant celles-ci en adresses globales routables

Rend possible l’accès à l’extérieur depuis et vers ces machines

4

Principe du NAT

Le routeur NAT de sortie va modifier l’entête IP de tout paquet provenant d’une machine locale interne en remplaçant l’adresse source IP privée par une adresse publique globale unique avant d'envoyer les paquets vers le réseau externe.

5

La portée du NAT

On peut utiliser le NAT dans différents cas :

On dispose d'une multitude d'hôtes adressées de manière privée et on a une seule ou quelques adresses IP globales (publiques).

Le NAT est configuré sur un routeur en bordure d'un réseau d'extrémité, étant identifié comme étant le côté interne(inside), qui connecte un réseau public comme l'Internet, identifié comme étant le côté externe (outside).

Le NAT permet aussi de fournir une solution élégante de renumérotation pour les organisations qui changent de fournisseur de service ou qui migrent vers le CIDR

6

La portée du NAT

Vu de l’extérieur, le routeur se fait passer pour la machine source : le réseau Intranet est invisible depuis l’extérieur

Il contribue à améliorer la sécurité des réseaux internes puisqu'il les cache.

On peut aussi rendre accessible des hôtes qui sont localement et globalement dans le même adressage, autrement dit on permet une connectivité d'adresses se chevauchant (overlapping) de part et d'autre du routeur NAT.

On peut utiliser également le NAT pour distribuer la charge TCP vers un hôte virtuel qui répond à la place de plusieurs serveurs réels selon un principe de type round-robin.

7

Traduction NAT statique

Fonctionne à l’aide d’une table statique

la correspondance @privée / @publique est fixe

A chaque @privée correspond à une @publique

8

Traduction NAT statique

le routeur se fait passer pour l’ensemble des machines d’adresses publiques au niveau des requêtes ARP du premier routeur extérieur

Proxy ARP: le routeur NAT met dans sa table ARP son adresse Ethernet pour toutes les adresses publiques

Au retour d’un paquet dans le routeur NAT, il redirige le paquet vers la bonne machine de l’Intranet

Administration en cas de changement de l’Intranet seulement sur le routeur

On n’économise pas d’adresses publiques (pour cela il faut alors faire de la NAT dynamique)

9

La terminologie de Cisco

Cisco emploie les termes inside local address pour spécifier le côté interne et inside global address pour spécifier le côté externe

10

Tables NAT statiques

Concrètement, on trouvera dans les tables NAT jusqu'à quatre types d'adresses :

Inside local address - L'adresse IP assignée à un hôte à l'intérieur d'un réseau d'extrémité. Il s'agit probablement d'une adresse privée, non routable.

Inside global address - La ou les adresses IP publiques qui représentent les adresses IP locales internes, les adresses IP routables du routeur NAT.

Outside local address - L'adresse IP d'un hôte telle qu'elle apparaît aux hôtes d'un réseau interne. Il ne s'agit pas nécessairement d'une adresse légitime routable.

Outside global address - L'adresse IP réelle routable d'un hôte qui se situe à l'extérieur du réseau du routeur NAT.

11

Configuration NAT statique Cisco

Définition du NAT statique

(config)#ip nat inside source static 10.1.1.1 200.1.1.1

(config)#ip nat inside source static 10.1.1.2 200.1.1.2

12

Configuration NAT statique Cisco

Définition des interfaces Inside/Outside

(config)#interface Ethernet 0/0 (config-if)#ip nat inside (config)# interface Serial 0/0 (config-if)#ip nat outside

Contrôle de la configuration des interfaces

(config)#show ip interface brief interface Ethernet 0/0 ip address 10.1.1.5 255.255.255.0 ip nat inside ! interface Serial 0/0 ip address 200.1.1.251 255.255.255.0 ip nat outside ! ip nat inside source static 10.1.1.2 200.1.1.2 ip nat inside source static 10.1.1.1 200.1.1.1

13

Traduction NAT dynamique

Appelée aussi IP masquerading

Permet d’attribuer (associer) dynamiquement lors des connexions des adresses IP publiques aux adresses privées

L’adresse source des paquets devient l’adresse externe du routeur

Problème : comment le routeur se rappelle-t-il des correspondances ?

La configuration définit un pool d’adresses globales internes et des critères pour désigner l’ensemble des adresses locales internes qui doivent être remplacées.

14

Traduction NAT dynamique

Pool d’adresses publiques NAT allouées à la demande

15

Association connexion/@privée

Le routeur alloue à la demande les adresses publiques (globales internes) du pool NAT à des adresses sources privées d’une plage bien définie

L’allocation se fait au moment du premier paquet qui sort en se rappelant le numéro de port source

16

Table dynamique NAT

Le routeur remplace l’adresse source et le port source par l’adresse prélevée dans le pool le port virtuel associés.

Le routeur alloue les adresses définies dans le pool jusqu’à épuisement de celles-ci

L’entrée dynamique demeure dans la table tant que du trafic est échangé entre ces deux adresses.

On peut configurer le délai d’expiration (durée pendant laquelle le routeur doit attendre en l’absence d’échanges avant de supprimer l’entrée)

ip nat translation timeout <seconds>

On peut aussi supprimer la table manuellement

clear ip nat translation

17

Configuration Cisco du NAT dynamique

Adresses locales soumises au NAT

(config)#access-list <access-list_num> permit <source_ip> <wildcard_mask>

Pool d'adresses globales

(config)#ip nat pool <name> <start_ip> <end_ip>

Définition du NAT

(config)#ip nat inside source list <access-list_num> pool <name>

Définition des interfaces Inside/Outside

(config)#interface <type> <number> (config-if)#ip nat inside (config)# interface <type> <number> (config-if)#ip nat outside

18

Exemple traduction NAT dynamique

19

Exemple traduction NAT dynamique

(config)#show ip interface brief interface Ethernet 0/0 ip address 10.1.1.5 255.255.255.0 ip nat inside ! interface Serial 0/0 ip address 200.1.1.251 255.255.255.0 ip nat outside ! ip nat pool monpool 200.1.1.1 200.1.1.2 netmask 255.255.255.252 ip nat inside source list 1 pool monpool ! access-list 1 permit host 10.1.1.2 access-list 1 permit host 10.1.1.1

20

Traduction PAT dynamique (overloading)

Dans la traduction NAT dynamique, il faut avoir suffisamment d’adresses publiques pour assurer une bonne connectivité des postes clients.

Autant d’adresses publiques que de clients (adr. privées) connectés en même temps.

Adapté à une utilisation de type « roulement ».

Pb si le nombre d’adresses publiques disponibles est inférieur à celui des clients à servir.

L’overloading, ou traduction PAT (Port Address Translation), permet à NAT de mieux s’adapter à l’augmentation des clients Internet d’une entreprise, au moyen de quelques adresses publiques seulement.

21

Overloading (PAT)

PAT tire parti du fait que le serveur ne fait pas la différence entre ces deux situations

22

Overloading (PAT)

Pour servir une grande quantité d’adresses locales internes à l’aide d’une ou quelques adresses globales internes enregistrées, la traduction étendue PAT emploie les ports en plus de l’adresse

23

Translation de port (port virtuel)

Substitution du port source initial par un port source virtuel unique à chaque connexion

Une seule adresse publique suffit alors pour un nombre quelconque de machines dans l’Intranet

Les ports virtuels différents attribués à chaque connexion permettent ainsi de différencier les destinataires des paquets entrants

24

PAT avec 1 seule adresse publique

Adresses locales soumises au NAT

(config)#access-list <access-list_num> permit <source_ip> <wildcard_mask>

Définition du NAT

(config)#ip nat inside source list <access-list_num> interface <type> <number> overload

Définition des interfaces Inside/Outside

(config)#interface <type> <number> (config-if)#ip nat inside (config)# interface <type> <number> (config-if)#ip nat outside

25

PAT avec 1 seule adresse publique

(config)#show ip interface brief interface Ethernet 0/0 ip address 10.1.1.5 255.255.255.0 ip nat inside ! interface Serial 0/0 ip address 200.1.1.251 255.255.255.0 ip nat outside ! ip nat inside source list 1 interface Serial 0/0 overload ! access-list 1 permit host 10.1.1.2 access-list 1 permit host 10.1.1.1

show ip nat translations pour afficher les tables

26

Chevauchement d’adresses (overlapping)

La traduction dynamique peut également être utilisé dans le cas où un réseau interne ne recourt pas aux adresses réservées à l’usage privé telles que définies dans la RFC 1918 mais à des adresses publiques déjà enregistrées par une autre société.

Exemple: Si une société se trouve malencontreusement dans cette situation ou elle utilise des adresses déjà enregistrées et utilisées sur le réseau public et que les hôtes internes se connectent à Internet, la traduction NAT apporte une solution à ce problème.

Dans ce cas, l’adresse source et destination sont remplacées (overlapping).

27

Chevauchement d’adresses (overlapping)

28

Port Forwarding (redirection de port)

Inconvénient du PAT : on ne peut pas initier une connexion depuis l’extérieur car on ne connait pas le port source réel (impossible d’avoir un serveur WEB par exemple dans l’Intranet)

Solution : port forwarding

Le port forwarding consiste à rediriger un paquet vers une machine précise en fonction du port de destination de ce paquet.

Ainsi, lorsque l'on n'a qu'une seule adresse publique avec plusieurs machines derrière en adressage privé, on peut initialiser une connexion de l'extérieur vers l'une de ses machines (une seule par port TCP/UDP)

29

Port Forwarding & port mapping

On met en dur dans la table NAT du routeur

port fixe: port privé/ adresse privée

Expl : la machine 10.0.0.1 possède un serveur Web.

Port Forwarding 80: 80/10.0.0.1 Les paquets arrivant de l’extérieur vers le routeur 195.0.0.254, 80 seront redirigés vers 10.0.0.1, 80

Pb si deux serveurs Web sur 2 machines différentes

Le “port mapping” consiste à mapper le port de la machine interne à un port fixe différent Ex : 8080:80/10.0.0.2 et serveur Web sur 10.0.0.2

30

Port Forwarding avec Cisco

Définition

ip nat inside source static { tcp | udp } <localaddr> <localport> <globaladdr> <globalport>

Exemple

ip nat inside source static tcp 10.0.0.1 80 195.0.0.254 80 ip nat inside source static tcp 10.0.0.2 80 195.0.0.254 8080

Dans cet exemple, les paquets arrivants depuis l’extérieur sur le port 80 sont envoyées au port 80 de la machine 10.0.0.1, et ceux arrivants depuis l’extérieur sur le port 8080 sont envoyées au port 80 de la machine 10.0.0.2

31

Problèmes Nat Dynamique

Applications n’utilisant pas UDP/TCP (pas de port)

Exemple ICMP

Il faut faire une configuration spéciale du routeur pour lui dire de se référer à autre chose que le port

Le numéro d’identifiant du paquet ICMP par exemple

Authentification et cryptage

Pas de mécanisme d’authentification de bout en bout puisque le paquet est modifié

Encryptage de l’entête IP à la source et vérification à l’arrivée

Possibilité de tunneling (mise en place de Tunnel IPSEC vers l’extérieur)

32

Problèmes NAT et FTP coté client

Problématique côté client

En mode FTP actif, la négociation des ports de transfert des données du client vers le serveur est initié par le serveur (port d'origine TCP 20) à destination d'un port TCP > 1024 vers le client.

Si le client est derrière un routeur NAT dynamique, ce trafic ne sera pas traduit car il ne fait pas partie d'une règle NAT pour un trafic initié de l'intérieur.

Le transfert de données ne sera pas possible, il n'y a pas de solution NAT

Solution : établir la connexion à partir du client en mode passif : le client initie la négociation du port de transfert

Il faut que le serveur supporte ce mode, ce qui est de plus en plus courant

33

Problèmes NAT et FTP coté client

34

Problèmes NAT et FTP coté serveur

Problématique côté serveur

A côté du premier problème côté client, on peut rencontrer un problème cumulatif côté serveur.

Il faut supposer que le serveur est hébergé derrière, lui aussi, un routeur NAT configuré avec un transfert de ports.

Si le client initie lui-même le transfert de données en mode passif vers des ports supérieurs à 1024 à destination du serveur, comment le routeur NAT du serveur peut-il traduire le trafic entrant à destination de ces ports qui ne font pas l'objet d'une configuration spécifique ?

35

Problèmes NAT et FTP coté serveur

36

NAT et FTP coté serveur

Heureusement les passerelles sont aujourd'hui capable de suivre le trafic FTP qui nécessite une inspection du trafic FTP lui-même au niveau de la couche applicative.

Sur les passerelles Linux, il faudra par exemple activer et configurer les modules ip_conntrack_ftp et ip_nat_ftp du noyau.

Un routeur Cisco avec un IOS récent supporte cette fonctionnalité nativement pour le trafic initié sur le port TCP 21, mais il n’en est pas de même pour les services FTP écoutant sur un autre port que le port légal.

37

Autres mécanismes de redirection : proxy

Serveur mandataire ou proxy : Serveur faisant l’intermédiaire entre un réseau local et Internet

Mandaté par une application pour effectuer des requêtes sur Internet à sa place

proxy http, proxy ftp, ...

Souvent multi-proxy: serveur qui gère l’ensemble des applications usuelles

Il faut spécifier au niveau des applications ou du système d’exploitation l’existence du proxy (effectué par l’utilisateur)

Mais il existe aussi des proxy-transparents (redirection au niveau routage et donc invisible à l’utilisateur)

38

Autres mécanismes de redirection : proxy

Analyse le contenu des données de l’application

Permet de faire du cache (proxy web : pages les plus souvent visitées)

Contrôle et filtre les requêtes - liste blanche (requêtes autorisées) - liste noire (requête interdites)

suivant les comptes utilisateurs (FTP par exemple)

suivant les adresses sources...

suivant le contenu des pages WEB ...

Assure l’authentification des utilisateurs pour gérer l’accès aux ressources externes.

Détecte les virus

Permet de faire des statistiques

suivi des connexions, logs utilisateurs

39

Autres mécanismes de redirection : proxy

Peut servir aussi pour faire des contournements de sécurité

Contourner un filtrage de requêtes Web dans un pays grâce à un proxy http situé dans un autre

Dans l’autre sens, permet à un utilisateur d’accéder à un site Web restreint à un pays

Compliquer l’identification d’un Hacker grâce à des relais de proxys en chaine.

Ne pas confondre l’utilisation d’un proxy avec celle :

d’un Firewall qui filtre au niveau des paquets IP et ne nécessite pas redirection au niveau des applications

d’un VPN (Virtual Private Network) qui permet à une machine ou à un réseau local de rejoindre un autre réseau local distant par protocole de « tunnel »

40

Autres mécanismes de redirection : DMZ

DMZ = Zone Démilitarisée : désigne à l’origine une zone neutre qui sépare la Corée du Nord de la Corée du Sud

Les serveurs situés dans la DMZ sont appelés « bastions » de par leur position d'avant poste dans le réseau interne.

41

Autres mécanismes de redirection : DMZ

Sous-réseau, séparé des réseaux locaux et isolé de ceux- ci et d'Internet par un ou plusieurs pare-feux.

Composé essentiellement de machines serveurs dont onveut contrôler l'accès intérieur et/ou extérieur.

DMZ privée : uniquement accessible par les sous-réseaux locaux : serveurs internes à l’entreprise

Expl : serveurs proxy, SMTP, Web intranet,…

DMZ publique : accessible à la fois depuis l’extérieur (internet) et l’intérieur (réseau interne de l’entreprise)

Contient les serveurs susceptibles d'être accédées depuis Internet.

Expl : serveurs Web externe, FTP, POP, proxy inverse (accès extérieur redirigé aux serveurs internes), …

En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local.

42

Autres mécanismes de redirection : DMZ

Architecture DMZ avec pare-feu à trois interfaces

Le pare-feu devient un point de défaillance unique pour le réseau et doit être capable de gérer tout le trafic vers la DMZ ainsi que vers le réseau interne

43

Autres mécanismes de redirection : DMZ

Architecture DMZ avec deux pare-feu

Le premier pare-feu (interne ou "front-end") est configuré pour ne gérer que le trafic destiné à la DMZ.

Le second pare-feu (externe ou "back-end") ne gère que le trafic de la DMZ au réseau interne.

44

Autres mécanismes de redirection : DMZ

La DMZ se définit comme une plage d'adresses IP (ou une seule adresse IP) n'étant pas soumise aux règles du pare-feu interne.

La DMZ permet à ses machines d'accéder à Internet et/ou de publier des services sur Internet sous le contrôle du pare-feu externe.

En cas de compromission d'une machine de la DMZ, l'accès vers le réseau local est encore contrôlé par le pare-feu interne

La DMZ correspond sur certain routeurs au fait de rediriger tous les ports (et donc tout le traffic entrant) vers une machine du réseau local