Ministère de l Enseignement Supérieure et de la Recherche Scientifique. Ecole Nationale Supérieure d Informatique. Oued Smar Alger

Transcription

1 Ministère de l Enseignement Supérieure et de la Recherche Scientifique Ecole Nationale Supérieure d Informatique Oued Smar Alger Ecole Doctorale STIC Sciences et Technologies de l Information et de la Communication Mémoire En vue d obtention du diplôme de MAGISTER EN INFORMATIQUE Option : Informatique Répartie et Mobile (IRM) Présenté et soutenu le 30/06/2014 par : Mr. ZERROUKI Noureddine Gestion du passage des routeurs NAT et pare-feu Par le protocole de téléphonie SIP Directeur de mémoire : Mr. LOUDINI Malik Co-directrice : Mme YAHIAOUI Chafia Membres de jury : Mr. CHALLAL Yacine MCA ESI Président Mr. HADDADOU Hamid MCA ESI Examinateur Mr. MENACER Djamel Eddine MCB ESI Examinateur Mr. LOUDINI Malik Prof ESI Directeur de mémoire Année Universitaire 2013/2014

2 à la mémoire de mon père

3 REMERCIEMENTS Je remercie, avant tout, mon dieu Allah le tout puissant, qui m a donné la force et la patience pour l accomplissement de ce travail. Je tiens à remercier chaleureusement ma promotrice, Madame Chafia YAHIAOUI, pour m avoir proposé ce projet, en me faisant confiance, ainsi pour ses orientations, ses précieux conseils, ses remarques, et son entière disponibilité consacrée tout au long de ce travail. Je remercie vivement le directeur de mémoire Monsieur LOUDINI Malik, pour son aide, sa gentillesse, et les références précieuses qu il m'a fournies. Mes remerciements s adressent également au président et aux membres du jury de m avoir honoré en acceptant de juger ce modeste travail. Je voudrais exprimer toute ma gratitude envers mes proches en particulier ma très chère mère qui priait tout le temps pour moi, et a fait beaucoup plus encore... Finalement, tous ceux qui ont contribué de prés ou de loin, par leurs encouragements et conseils à l accomplissement de ce travail, trouvent ici l expression de ma profonde reconnaissance. Que Allah nous garde, nous pardonne et nous guide vers le droit chemin

4 Résumé Les récents progrès dans le domaine des télécommunications ont permis la convergence des différents réseaux hétérogènes, de nature mobile, fixe et d internet, ainsi que par la diversité des nouvelles applications multimédia nécessitant une bonne qualité de service telles que la téléphonie sur IP, la téléconférence, la vidéoconférence, la vidéo sur demande,...etc. Le protocole SIP (session Initiation Protocol) s avère être l'un des protocoles les plus prometteurs pour offrir les nouveaux services multimédia grâce à son extensibilité. En effet, SIP peut être combiné à d'autres protocoles de communication, afin de permettre un échange en temps réel de plusieurs médias entre usagers distants. Cependant, les dispositifs de sécurité tels que les pare-feu et les routeurs NAT qui ont été mis en place dans les réseaux conventionnels empêchent leur traversée par le protocole SIP. Cette problématique de la traversée des routeurs NAT et des pare-feu par le protocole SIP a suscité plusieurs travaux de recherches qui ont abouti à une multitude de solutions. Notre intérêt s est particulièrement porté sur le protocole NATFW NSLP de la plateforme NSIS (Next Steps In Signaling). Cependant l'approche adoptée par ce protocole fragilise le dispositif au point de vue sécurité. Afin d éviter tout usager non authentifié et tout accès non autorisé, des mécanismes d'authentification et d'autorisation doivent être intégrés à ce protocole. Dans ce travail, nous avons proposé deux mécanismes d'authentification, le premier, HMAC que nous avons intégré au protocole NATFW NSLP et grâce à une plateforme de test, nous avons ensuite évaluer ses métriques de performance en termes de temps de traitement, temps d'établissement de session, consommation du processeur et de la mémoire. Le second mécanisme appelé (E-MAC) s articule sur une fonction de hachage universelle UMAC, pour garantir l authentification et l'autorisation et qui, associé à un algorithme de chiffrement assure également la confidentialité des messages des usagers légitimes. Nous avons développé et proposé une méthodologie qui permet l intégration de ce nouveau mécanisme au protocole NATFW NSLP. Mots clés : SIP, NAT, Pare-feu, NSIS, NATFW NSLP, HMAC, UMAC

5 Abstract Recent advances in telecommunications have allowed the convergence of different heterogeneous networks, of mobile, fixed and internet nature, as well as a variety of new multimedia applications that require good quality of service such as voice over IP, teleconferencing, video conferencing, video on demand,... etc.. SIP ( Session Initiation Protocol ) appears to be one of the most promising protocols to offer new multimedia services through its extensibility. In fact, SIP can be combined with other communication protocols to allow a real-time media exchange between multiple remote users. However, security devices such as firewalls and NAT routers that have been implemented in conventional networks prevent them from passing through the SIP protocol. This problem of NAT and firewalls traversal for SIP has attracted several research work that led to a multitude of solutions. Our interest is particularly focused on NATFW NSLP protocol of NSIS platform (Next Steps In Signaling). However, the approach adopted by this protocol weakens the device from security point of view. To prevent unauthenticated users and unauthorized access, authentication and authorization mechanisms should be included in this protocol. In this work, we have proposed two authentication mechanisms, the first HMAC which we integrated with NATFW NSLP protocol in a test platform, we then evaluate its performance metrics in terms of processing time, session setup time, and CPU and memory usage. The second mechanism known as (E-MAC) is based on a universal hash function UMAC to ensure authentication and authorization and that, combined with an encryption algorithm that also ensures the confidentiality of legitimate users messages. We have developed and proposed a methodology that allows the integration of this new mechanism to NATFW NSLP protocol. Keywords : SIP, NAT, Firewall, NSIS, NATFW NSLP, HMAC, UMAC

6 Sommaire Introduction générale... 1 Chapitre 1 : Etude de la technique de translation d adresse : le NAT Introduction Définition et principe du NAT Les types du NAT Le NAT statique Le NAT dynamique Les types de NAT dynamique selon le port Le Port Forwarding Le Port Mapping Les types du NAT dynamique selon la restriction : NAT cône plein (Full Cone) NAT à cône restreint (Restricted Cone) NAT cône à restriction de port (Port Restricted Cone) NAT Symétrique Les Pare-feu Définition Fonctionnement général Types de filtrages Conclusion Chapitre 2 : Le protocole SIP (Session Initiation Protocol) Introduction Bref historique de SIP Introduction au fonctionnement de SIP Architecture et composants de SIP... 20

7 5. Transaction SIP Les requêtes SIP Les réponses SIP Format de messages SIP L'adressage Fonctionnement de SIP Enregistrement Etablissement et terminaison d'une session SIP Sécurité de SIP Exemples d attaques contre SIP Mécanismes de sécurisation Problématique de la traversée du NAT et les Firewalls La traversée du NAT Problème des Firewalls Conclusion Chapitre 3 : Les solutions de la traversée du NAT Introduction Les solutions basées sur le comportement du NAT Serveur d application Simple Traversal of UDP Through NAT devices (STUN) Traversal Using Relay NAT (TURN) Proxy RTP Session Border contrôler (SBC) Les solutions basées sur le contrôle du NAT Tunnel de données Universal Plug and Play (UPnP) Passerelle de couche applicative (ALG Application Layer Gateway)... 50

8 3.4. Realm Specific IP (RSIP) Middlebox Communication (MidCom) Les solutions combinant plusieurs techniques Interactive Connectivity Establishement (ICE) Serveur d application avec agent Synthèse Conclusion Chapitre 4 : Présentation de la plateforme NSIS et du protocole NATFW NSLP Introduction Le groupe de travail NSIS et la plateforme NSIS Le modèle en couches de NSIS Le concept fondamental de la signalisation de NSIS Les règles pour les NATs et les pare-feu Introduction au protocole NATFW NSLP Description du protocole NATFW NSLP Présentation générale Fonctionnement du protocole Comportement de NATFW NSLP avec SIP Rapports des évènements asynchrones Calcul de la durée de vie de session L'ordonnancement des messages Implémentation du protocole NATFW NSLP Vue générale sur l'implémentation Pare-feu : Netfilter/Iptables L'automate d'état fini (FSM Finite State Machine) Gestion d'état Menaces et mécanismes de sécurité... 86

9 5.1. Les menaces Mécanismes de sécurité du protocole NATFW NSLP L'authentification et l'autorisation Travaux précédents en relation Travaux de la RFC Description de l'objet d'autorisation de session Format de l'objet d'autorisation de session Format des attributs de l'objet d'autorisation de session Les types d'attributs Composants de l architecture utilisée dans la RFC Conclusion Chapitre 5 : Intégration des mécanismes d'authentification dans NATFW NSLP Introduction Premier mécanisme d'authentification adopté Fonctionnement du mécanisme HMAC L'objet SESSION_AUTH_OBJECT en utilisant le mécanisme HMAC Description des procédures d'authentification et d'autorisation L'architecture proposée Déroulement de la procédure d'authentification et d'autorisation Analyse de mécanisme et de l'architecture adoptés Description de deuxième mécanisme adopté E-MAC E-MAC dans la composition AtE E-MAC dans la composition E&A Le mécanisme E-MAC dans le NATFW NSLP L'objet d'autorisation en utilisant E-MAC Déroulement de la procédure d'authentification par E-MAC Performances de E-MAC

10 7. Conclusion Chapitre 6 : Evaluation des performances Introduction Implémentation de l'objet d'autorisation Plateforme de test Techniques utilisées Résultats et analyse Temps de traitement Temps d'établissement de session Consommation du CPU Consommation de la mémoire Conclusion Conclusion Générale REFERENCES WEBOGRAPHIE ANNEXE A Problématique de la traversée des NAT/FW par le protocole SIP ANNEXE B Les messages NATFW NSLP ANNEXE C Les objets NATFW NSLP ANNEXE D Installation et configuration de NSIS et NATFW NSLP

11 Liste des figures Figure 1 : Principe du NAT...5 Figure 2 : Principe du NAT statique...7 Figure 3 : Principe du NAT dynamique...8 Figure 4 : Port Forwarding...9 Figure 5 : Port Mapping...9 Figure 6 : Le NAT en plein cône...10 Figure 7 : NAT à cône restreint...11 Figure 8 : NAT cône à restriction de port...12 Figure 9 : NAT symétrique...12 Figure 10 : Principe de pare-feu...13 Figure 11 : Pare-feu protégeant LAN et DMZ...14 Figure 12 : Position de SIP dans le modèle OSI...21 Figure 13 : UAC et UAS...21 Figure 14 : Composants d'une architecture SIP...22 Figure 15 : Le processus d'enregistrement...28 Figure 16 : Etablissent et terminaison d'une session SIP...28 Figure 17 : Exemple d'un problème du NAT avec SIP...34 Figure 18 : La problématique des pare-feu...35 Figure 19 : Corps de la requête INVITE et sa réponse OK...36 Figure 20 : Serveur d'application dans un réseau privé...40 Figure 21 : Serveur d'application dans la zone DMZ...40 Figure 22 : Principe de STUN...42 Figure 23 : Principe de TURN...44 Figure 24 : Architecture de proxy RTP...45

12 Figure 25 : Exemple d'invitation à une session SIP...46 Figure 26 : Principe de tunnel de données...48 Figure 27 : Principe de ALG...51 Figure 28 : Principe de RSIP...52 Figure 29 : RSIP tunnel...52 Figure 30 : Principe de MidCom...53 Figure 31 : Principe de serveur d'application avec agent...55 Figure 32 : Les composants de NSIS...61 Figure 33 : Exemple du cheminement des flux de signalisation et de données...63 Figure 34 : Relation entre les entités NSIS...64 Figure 35 : Architecture de NSIS dans le cas du NAT/FW...66 Figure 36 : Exemple de topologie du NAT/FW dans les réseaux IP...67 Figure 37 : Interfonctionnement de NATFW NSLP...68 Figure 38 : Entête NSLP commun...70 Figure 39 : Entête d'objet NSLP commun...70 Figure 40 : Phase de création de session...72 Figure 41 : Flux des messages de réservation dans le cas où le DR se trouve derrière un NAT/FW..74 Figure 42 : Echange de rafraichissement de session, avec CREATE...75 Figure 43 : La suppression de session avec CREATE...76 Figure 44 : Interaction NATFW NSLP et SIP...77 Figure 45 : Exemple de calcul de durée de vie de session...80 Figure 46 : Architecture du NATFW NSLP...82 Figure 47 : L'attaque Man In the Middle dans NSIS...87 Figure 48 : Principe d'authentification et d'autorisation pour le NATFW NSLP...89 Figure 49 : Format de l'objet d'autorisation de session...91

13 Figure 50 : Format général d'un attribut d'autorisation...92 Figure 51 : Format de l'attribut AUTH_ENT_ID...93 Figure 52 : Format de l'attribut NSLP_OBJ_LIST...96 Figure 53 : Architecture de la RFC Figure 54 : Diagramme d échange de messages entre les nœuds...98 Figure 55 : Configuration de NAT/FW (CREATE, RESPONSE) Figure 56 : Déroulement du hachage avec HMAC Figure 57 : Vérification d'authenticité avec le MAC Figure 58 : Description de l objet SESSION_AUTH_OBJECT Figure 59 : L'architecture proposée pour l'authentification et l'autorisation Figure 60 : Diagramme d'échange des messages dans l'architecture proposée Figure 61 : Les modes : EtA (a), AtE (b) et E&A (c) Figure 62 : Structure de AtE avec E-MAC Figure 63 : Structure de E&A avec E-MAC Figure 64 : Nouveau format de l'objet d'autorisation de session Figure 65 : Plateforme de test Figure 66 : Temps de traitement (NI) Figure 67 : Temps de traitement (NF) Figure 68 : Temps d'établissement de session Figure 69 : Consommation de CPU (NI) Figure 70 : Consommation de CPU (NF) Figure 71 : Consommation de mémoire (NI) Figure 72 : Consommation de mémoire (NF)...129

14 Liste des Tableaux Tableau 1 : Différents états de NI : NI-FSM...84 Tableau 2 : Différents états de NF : NF-FSM...84 Tableau 3 : Différents états de NR : NR-FSM...85

15 Acronymes ACL ALG DMZ DR DS FW GIST HMAC HTTP ICE IETF IP MGCP MidCom NAT NATFW NSLP NF NI NSIS NTLP PAT PSTN QoS RFC Access Control List Application Layer Gateway DeMilitarized Zone Data Receiver Data Sender FireWall General Internet Signaling Transport keyed-hash message Authentication Code Hypertext Transfer Protocol Interactive Connectivity Establishement Internet Engineering Task Force group Internet Protocol Media Gateway Control Protocol Middlebox Communications Network Address Translation NATFireWall Nsis Signaling Layer Protocol Nsis Forwarder Nsis Initiator Next Steps In Signaling Nsis Transport Layer Protocol Port Address Translation Public Switched Telephone Network Quality of Service Request For Comments

16 RSIP RSVP RTC RTP SBC SCCP SDP SHA SIP SMTP SSL STUN TCP TLS ToIP TURN UAC/S UDP UMAC UPnP VoIP VPN Realm Specific IP Resource reservation Protocol Réseau Téléphonique Commuté Real-time Transport Protocol Session Border Controller Skinny Call Control Protocol Session Description Protocol Secure Hash Algorithm Session Initiation Protocol Simple Mail Transfer Protocol Secure Sockets Layer Simple Traversal Using UDP for NAT Transmission Control Protocol Transport Layer Security Telephony over IP Traversal Using Relay NAT User Agent Client/Server User Datagram Protocol Universal Message Authentication Code Universal Plug and Play Voice over IP Virtual Private Network

17 Introduction générale Les récents progrès dans le domaine des télécommunications ont permis la convergence des différents réseaux hétérogènes, de nature mobile et fixe et d internet, ainsi que par la diversité des nouvelles applications qui ont émergé. En effet, on dénombre des applications multimédia nécessitant une bonne qualité de service (hauts débits, faible latence,...etc.) telle que la téléphonie sur IP, la téléconférence, la vidéoconférence, la vidéo sur demande,...etc. Divers protocoles ont été mis en œuvre pour répondre aux exigences et aux contraintes de ces nouveautés, mais le protocole SIP (session Initiation Protocol) s avère comme étant l'un des protocoles les plus prometteurs pour offrir les nouveaux services multimédia grâce à son extensibilité. En effet, SIP peut être combiné à d'autres protocoles de communication, afin de permettre un échange en temps réel de plusieurs médias entre usagers distants. Le protocole SIP standard décrit dans le RFC3261, permet l'établissement, la terminaison et le changement de session dans une architecture poste à poste et client/serveur. Cependant, les dispositifs de sécurité tels que les pare-feu et les routeurs à translation d adresse (communément appelés routeurs NAT: Network Address Translation) qui ont été mis en place dans les réseaux conventionnels, ne se laissent pas traverser par le protocole SIP : ils ne sont pas adaptés à son fonctionnement. Cette problématique de la traversée du NAT et pare-feu par le protocole SIP a suscité plusieurs travaux de recherches qui ont abouti à une multitude de solutions : extension ou modification de protocole SIP, la modification du NAT, des méthodes permettant la découverte de comportement du NAT...etc. Dans ce mémoire, nous nous sommes intéressés à l étude des solutions élaborées, plusieurs approches ont été proposées telles que STUN, TURN, ICE, ALG, UPnP, MidCom etc, Cependant, à cause de la complexité du problème, de la variété des topologies réseau existantes, et le comportement du NAT lui même, aucune de ces approches ne s'adapte dans toutes les situations et différents cas de fonctionnement. De plus, certaines de ces solutions ajoutent des coûts de bande passante, augmentent la latence, et sont nuisibles aux performances des applications temps réel. D'autres, en particulier UPnP, sont dépourvues de toute sécurité. Suite à cette étude, notre intérêt s est particulièrement porté sur le protocole NATFW NSLP de la plateforme NSIS. Ce dernier se caractérise par sa robustesse face aux différents types de NATs, son efficacité et sa faculté de faciliter à SIP la traversée d une chaine de 1

18 NATs avec de bonnes performances, par conséquent, il s avère plus prometteur que les autres solutions proposées. Le principe de ce protocole consiste à configurer dynamiquement les routeurs NATs en effectuant un mappage d adresse et en ouvrant sur les pare feu, des trous d'épingle (ports) par lesquels passent le flux de signalisation SIP. Cette opération assez délicate, fragilise l'objectif principal de ces dispositifs et comporte un risque du point de vue sécurité, ce défi doit être pris en compte afin d éviter tout usager non authentifié et tout accès non autorisé. Afin de pallier à cette situation, un mécanisme d'authentification et d'autorisation doit être pris en charge par ce protocole. Dans le présent mémoire, nous proposons deux mécanismes d'authentification, la première, est le mécanisme HMAC, une fonction de hachage cryptographique, qui permet de fournir un haché utilisé par les NATs et pare-feu pour assurer l'authenticité des requêtes des usagers légitimes. La seconde, concerne un nouveau mécanisme appelé (E-MAC) qui s articule sur une fonction de hachage universelle UMAC, qui permet de fournir un haché pour garantir l authentification et, associé à un algorithme de chiffrement assure également la confidentialité des messages des usagers légitimes. Afin de mener ce travail, nous avons structuré notre mémoire autour de six chapitres. Organisation du mémoire Le premier chapitre est consacré à un état de l art qui a tout d abord porté sur les techniques de translation d'adresse (NAT). Pour cela, nous avons mené une synthèse comparative sur les différents types de NAT, en détaillant leur principe de fonctionnement selon les différentes architectures réseau. Par ailleurs, une présentation a été effectuée sur le principe de filtrage utilisé comme autre moyen de sécurité, au niveau des firewalls (parefeu). Dans le second chapitre, nous présentons le protocole d'initiation de session SIP. Nous commençons par décrire ce protocole, son architecture de base, ses composants, et ses différents messages. Nous décrivons ensuite son fonctionnement, suivi de l aspect sécurité, les menaces et les mécanismes de sécurisation. A la fin de ce chapitre, nous développons la problématique que pose ce protocole lors de la traversée des routeurs NATs et des pare-feu. Les solutions mises en place visant à permettre au protocole SIP de traverser les NATs et les pare-feu feront l'objet du troisième chapitre. Ces solutions sont regroupées en trois catégories, nous distinguons celles qui sont basées sur le comportement du NAT, celles basées sur le contrôle du NAT, et les solutions combinant plusieurs de ces techniques. Pour chaque solution proposée, nous présentons son principe de fonctionnement ainsi que ses avantages et inconvénients, et une synthèse générale est faite à la fin de ce chapitre. Le quatrième chapitre est consacré à la présentation de la plateforme NSIS qui inclut le protocole NATFW NSLP. Nous effectuons une étude détaillée de ce dernier : son fonctionnement, ses messages, ses différentes opérations telle que la création de session, son 2

19 implémentation avec ses principaux modules, et enfin les menaces de sécurité auxquelles peut être soumis ainsi que les travaux déjà réalisés pour sa sécurisation. Dans le chapitre 5, qui situe notre contribution, nous présentons les mécanismes d'authentification que nous avons adoptés : HMAC et E-MAC. Nous nous consacrons à leur adaptation au niveau de l'objet d'autorisation de session du protocole NATFW NSLP. Nous présentons ainsi les différents éléments du réseau impliqués dans ce mécanisme, en focalisant sur les diverses possibilités afin de parvenir à une authentification efficace qui ne dégrade pas les performances de l application. En dernier lieu, dans le chapitre 6, nous mettons en place l'implémentation et l évaluation de la solution proposée par le biais des différents métriques reflétant la préservation des performances des applications temps réel, prouvant ainsi l efficacité et l adaptation de la solution HMAC pour gérer de façon sécurisée la traversée (à travers les middleboxes) du protocole SIP. Nous terminons ce mémoire par une conclusion générale ainsi que des perspectives visant à compléter et améliorer ce travail. 3

20 Chapitre 1 Etude de la technique de translation d'adresse : le NAT Chapitre 1 Etude de la technique de translation d adresse : le NAT 4

21 Chapitre 1 Etude de la technique de translation d'adresse : le NAT 1. Introduction Avec le développement croissant de l'internet, et notamment des liaisons à connexions permanentes comme le câble ou l'adsl, de plus en plus d'entreprises utilisent le NAT (Network Address Translation) pour partager leur accès Internet. La traduction ou translation d'adresse permet aux hôtes au sein d'un réseau privé de communiquer de façon transparente avec des destinations sur un réseau externe et vice versa. Par ailleurs, le NAT a notamment été une réponse à la pénurie d'adresses IPv4. Le NAT malgré qu'il permet d'accéder à l'internet et de communiquer avec l'extérieur, cette ouverture est indispensable et dangereuse en même temps; car le fait d'ouvrir l'entreprise vers le monde signifie aussi laisser place ouverte aux étrangers pour essayer de pénétrer le réseau local de l'entreprise, et y accomplir des actions douteuses, de destruction, vol d'informations confidentielles...etc. Pour parer à ces attaques, une architecture sécurisée est nécessaire. Pour cela, le cœur d'une tel architecture doit être basé sur un pare-feu. Cette outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Dans ce premier chapitre, nous allons effectuer une présentation du NAT et des parefeu, leur principe et fonctionnement selon leurs différents types existants. 2. Définition et principe du NAT La translation d'adresse réseau est une technique par laquelle les adresses IP sont transposées d'un domaine d'adresse à un autre, fournissant un acheminement transparent aux hôtes d'extrémité [1]. Le principe du NAT consiste donc à utiliser une passerelle (routeur) de connexion à internet, possédant au moins une interface réseau connectée sur le réseau interne et au moins une interface réseau connectée à Internet (possédant une adresse IP routable), pour connecter l'ensemble des machines du réseau. Figure 1 : Principe du NAT 5

22 Chapitre 1 Etude de la technique de translation d'adresse : le NAT Il s'agit de réaliser, au niveau du routeur, une translation (traduction) des entêtes IP des paquets qui proviennent du réseau interne vers le réseau externe. Ainsi, chaque machine du réseau nécessitant d'accéder à internet est configurée pour utiliser le routeur NAT (en précisant l'adresse IP de routeur IP locale externe). Lorsqu'une machine du réseau effectue une requête vers Internet, le NAT effectue la requête à sa place, reçoit la réponse, puis la transmet à la machine destination, en échangeant l adresse IP de machine dans le réseau local (@ IP locale interne) par l une de ses adresses publiques (@ IP global interne). De ce fait, une machine avec une adresse privée (non routable sur Internet) pourra dialoguer avec une machine sur internet. En bref, Le routeur NAT de sortie modifie l entête IP de tout paquet provenant d une machine interne en remplaçant l adresse source IP privée par une adresse IP publique, et effectue l'opération inverse pour les paquets provenant de l'extérieur. Intérêt du NAT Possibilité d utilisation d adresses privées dans un réseau local. Tout en rendant possible l accès à l extérieur depuis et vers ces machines. Au départ, le NAT est conçu pour économiser les adresses publiques. Vue de l extérieur : Plage d adresse publique. Sécurité : Rend invisible la configuration d un Intranet. 3. Les types du NAT Il existe deux types de NAT : statique et dynamique Le NAT statique Principe Le principe du NAT statique consiste à associer à chaque adresse IP privée une adresse IP publique correspondante, ce qui permet à avoir autant d adresses privées que d adresses publiques [1, 2, 3]. La seule action qui sera effectuée dans ce type du NAT par le routeur est de remplacer l'adresse privée par l adresse publique. 6

23 Chapitre 1 Etude de la technique de translation d'adresse : le NAT Figure 2 : Principe du NAT statique Avantages et inconvénients du NAT statique Avantages Le NAT statique est un mécanisme simple et a permis facilement de rendre une machine accessible de l Internet en associant une adresse IP publique à une adresse IP privée. De plus, le NAT statique permet facilement de faire des modifications, changements, interventions sur le réseau local, sans perte d adresses, en changeant la correspondance entre les adresses privées et les adresses publiques pour rediriger les requêtes vers un serveur en état de marche. Inconvénient Le problème de la pénurie d'adresses IP n est pas régler par le NAT statique vu qu on est obligé d'avoir une adresse publique par machine voulant accéder à Internet Le NAT dynamique Principe Le NAT dynamique (appelée aussi IP masquerading) permet d attribuer dynamiquement lors des connexions des adresses IP publiques aux adresses privées [1,2,3]. Plus précisément, c est l association de m adresses privées à n adresses publiques (avec m > n, n >= 1) ; de ce fait, on peut associer une seule adresse publique à plusieurs adresses privées. 7

24 Chapitre 1 Etude de la technique de translation d'adresse : le NAT Figure 3 : Principe du NAT dynamique Dans le NAT dynamique, contrairement au NAT statique, le routeur qui effectue le NAT devra à la fois modifier les adresses IP mais aussi les ports TCP/UDP (on appelle la modification des ports PAT, Port Address Translation). En réalité on fait que du PAT également Avantages et inconvénients du NAT dynamique Avantages Permet l accès à Internet à des machines d un réseau local ayant des adresses privées (non routables). Permet de répondre le problème de la pénurie d'adresses IP vu qu on peut "cacher" un grand nombre de machines derrière une seule adresse publique. Permet d augmenter un peu le niveau de sécurité : les machines n'étant pas accessibles de l'extérieur, puisque la passerelle camoufle complètement l'adressage interne de réseau, et pour un observateur externe au réseau, toutes les requêtes semblent provenir de l'adresse IP de routeur. Inconvénients Ne peut pas marcher si la connexion est initialisée de l'extérieur. Ne permet pas à un serveur d être accessible de l'extérieur. 4. Les types de NAT dynamique selon le port Le NAT dynamique ne permet donc que de sortir sur Internet, et non pas d'être joignable. Il est donc utile pour partager un accès Internet, mais pas pour rendre un serveur accessible, la solution est alors consiste à inclure les ports TCP/UDP dans la translation (PAT) : 8