TR2 : Technologies de l'internet Chapitre VI NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ 1
NAT : Network Address Translation Le NAT a été proposé en 1994 sous la RFC 1631 comme solution à court terme face au manque d'adresses IP. Son objectif principal était de permettre aux adresses IP d'être partagées par un grand nombre de périphériques réseau. En une dizaine d'années d'existence, il a donné le temps nécessaire pour concevoir le nouveau protocole d'adressage IPv6 et, aujourd hui, le début de son déploiement. 2
Intérêt du NAT Le NAT permet d'utiliser des adresses n'ayant pas de signification globale (par exemple des adresses privées définies dans la RFC 1918, non routables) pour se connecter à travers l'internet en traduisant celles-ci en adresses globales routables Rend possible l accès à l extérieur depuis et vers ces machines 3
Principe du NAT Le routeur NAT de sortie va modifier l entête IP de tout paquet provenant d une machine locale interne en remplaçant l adresse source IP privée par une adresse publique globale unique avant d'envoyer les paquets vers le réseau externe. 4
La portée du NAT On peut utiliser le NAT dans différents cas : On dispose d'une multitude d'hôtes adressées de manière privée et on a une seule ou quelques adresses IP globales (publiques). Le NAT est configuré sur un routeur en bordure d'un réseau d'extrémité, étant identifié comme étant le côté interne(inside), qui connecte un réseau public comme l'internet, identifié comme étant le côté externe (outside). Le NAT permet aussi de fournir une solution élégante de renumérotation pour les organisations qui changent de fournisseur de service ou qui migrent vers le CIDR 5
La portée du NAT Vu de l extérieur, le routeur se fait passer pour la machine source : le réseau Intranet est invisible depuis l extérieur Il contribue à améliorer la sécurité des réseaux internes puisqu'il les cache. On peut aussi rendre accessible des hôtes qui sont localement et globalement dans le même adressage, autrement dit on permet une connectivité d'adresses se chevauchant (overlapping) de part et d'autre du routeur NAT. On peut utiliser également le NAT pour distribuer la charge TCP vers un hôte virtuel qui répond à la place de plusieurs serveurs réels selon un principe de type round-robin. 6
Traduction NAT statique Fonctionne à l aide d une table statique la correspondance @privée / @publique est fixe A chaque @privée correspond à une @publique 7
Traduction NAT statique le routeur se fait passer pour l ensemble des machines d adresses publiques au niveau des requêtes ARP du premier routeur extérieur Proxy ARP: le routeur NAT met dans sa table ARP son adresse Ethernet pour toutes les adresses publiques Au retour d un paquet dans le routeur NAT, il redirige le paquet vers la bonne machine de l Intranet Administration en cas de changement de l Intranet seulement sur le routeur On n économise pas d adresses publiques (pour cela il faut alors faire de la NAT dynamique) 8
La terminologie de Cisco Cisco emploie les termes inside local address pour spécifier le côté interne et inside global address pour spécifier le côté externe 9
Tables NAT statiques Concrètement, on trouvera dans les tables NAT jusqu'à quatre types d'adresses : Inside local address - L'adresse IP assignée à un hôte à l'intérieur d'un réseau d'extrémité. Il s'agit probablement d'une adresse privée, non routable. Inside global address - La ou les adresses IP publiques qui représentent les adresses IP locales internes, les adresses IP routables du routeur NAT. Outside local address - L'adresse IP d'un hôte telle qu'elle apparaît aux hôtes d'un réseau interne. Il ne s'agit pas nécessairement d'une adresse légitime routable. Outside global address - L'adresse IP réelle routable d'un hôte qui se situe à l'extérieur du réseau du routeur NAT. 10
Configuration NAT statique Cisco Définition du NAT statique (config)#ip nat inside source static 10.1.1.1 200.1.1.1 (config)#ip nat inside source static 10.1.1.2 200.1.1.2 11
Configuration NAT statique Cisco Définition des interfaces Inside/Outside (config)#interface Ethernet 0/0 (config-if)#ip nat inside (config)# interface Serial 0/0 (config-if)#ip nat outside Contrôle de la configuration des interfaces (config)#show ip interface brief interface Ethernet 0/0 ip address 10.1.1.5 255.255.255.0 ip nat inside! interface Serial 0/0 ip address 200.1.1.251 255.255.255.0 ip nat outside! ip nat inside source static 10.1.1.2 200.1.1.2 ip nat inside source static 10.1.1.1 200.1.1.1 12
Traduction NAT dynamique Appelée aussi IP masquerading Permet d attribuer (associer) dynamiquement lors des connexions des adresses IP publiques aux adresses privées L adresse source des paquets devient l adresse externe du routeur Problème : comment le routeur se rappelle-t-il des correspondances? La configuration définit un pool d adresses globales internes et des critères pour désigner l ensemble des adresses locales internes qui doivent être remplacées. 13
Traduction NAT dynamique Pool d adresses publiques NAT allouées à la demande 14
Association connexion/@privée Le routeur alloue à la demande les adresses publiques (globales internes) du pool NAT à des adresses sources privées d une plage bien définie L allocation se fait au moment du premier paquet qui sort en se rappelant le numéro de port source 15
Table dynamique NAT Le routeur remplace l adresse source et le port source par l adresse prélevée dans le pool le port virtuel associés. Le routeur alloue les adresses définies dans le pool jusqu à épuisement de celles-ci L entrée dynamique demeure dans la table tant que du trafic est échangé entre ces deux adresses. On peut configurer le délai d expiration (durée pendant laquelle le routeur doit attendre en l absence d échanges avant de supprimer l entrée) ip nat translation timeout <seconds> On peut aussi supprimer la table manuellement clear ip nat translation 16
Configuration Cisco du NAT dynamique Adresses locales soumises au NAT (config)#access-list <access-list_num> permit <source_ip> <wildcard_mask> Pool d'adresses globales (config)#ip nat pool <name> <start_ip> <end_ip> Définition du NAT (config)#ip nat inside source list <access-list_num> pool <name> Définition des interfaces Inside/Outside (config)#interface <type> <number> (config-if)#ip nat inside (config)# interface <type> <number> (config-if)#ip nat outside 17
Exemple traduction NAT dynamique 18
Exemple traduction NAT dynamique (config)#show ip interface brief interface Ethernet 0/0 ip address 10.1.1.5 255.255.255.0 ip nat inside! interface Serial 0/0 ip address 200.1.1.251 255.255.255.0 ip nat outside! ip nat pool monpool 200.1.1.1 200.1.1.2 netmask 255.255.255.252 ip nat inside source list 1 pool monpool! access-list 1 permit host 10.1.1.2 access-list 1 permit host 10.1.1.1 19
Traduction PAT dynamique (overloading) Dans la traduction NAT dynamique, il faut avoir suffisamment d adresses publiques pour assurer une bonne connectivité des postes clients. Autant d adresses publiques que de clients (adr. privées) connectés en même temps. Adapté à une utilisation de type «roulement». Pb si le nombre d adresses publiques disponibles est inférieur à celui des clients à servir. L overloading, ou traduction PAT (Port Address Translation), permet à NAT de mieux s adapter à l augmentation des clients Internet d une entreprise, au moyen de quelques adresses publiques seulement. 20
Overloading (PAT) PAT tire parti du fait que le serveur ne fait pas la différence entre ces deux situations 21
Overloading (PAT) Pour servir une grande quantité d adresses locales internes à l aide d une ou quelques adresses globales internes enregistrées, la traduction étendue PAT emploie les ports en plus de l adresse 22
Translation de port (port virtuel) Substitution du port source initial par un port source virtuel unique à chaque connexion Une seule adresse publique suffit alors pour un nombre quelconque de machines dans l Intranet Les ports virtuels différents attribués à chaque connexion permettent ainsi de différencier les destinataires des paquets entrants 23
PAT avec 1 seule adresse publique Adresses locales soumises au NAT (config)#access-list <access-list_num> permit <source_ip> <wildcard_mask> Définition du NAT (config)#ip nat inside source list <access-list_num> interface <type> <number> overload Définition des interfaces Inside/Outside (config)#interface <type> <number> (config-if)#ip nat inside (config)# interface <type> <number> (config-if)#ip nat outside 24
PAT avec 1 seule adresse publique (config)#show ip interface brief interface Ethernet 0/0 ip address 10.1.1.5 255.255.255.0 ip nat inside! interface Serial 0/0 ip address 200.1.1.251 255.255.255.0 ip nat outside! ip nat inside source list 1 interface Serial 0/0 overload! access-list 1 permit host 10.1.1.2 access-list 1 permit host 10.1.1.1 show ip nat translations pour afficher les tables 25
Chevauchement d adresses (overlapping) La traduction dynamique peut également être utilisé dans le cas où un réseau interne ne recourt pas aux adresses réservées à l usage privé telles que définies dans la RFC 1918 mais à des adresses publiques déjà enregistrées par une autre société. Exemple: Si une société se trouve malencontreusement dans cette situation ou elle utilise des adresses déjà enregistrées et utilisées sur le réseau public et que les hôtes internes se connectent à Internet, la traduction NAT apporte une solution à ce problème. Dans ce cas, l adresse source et destination sont remplacées (overlapping). 26
Chevauchement d adresses (overlapping) 27
Port Forwarding (redirection de port) Inconvénient du PAT : on ne peut pas initier une connexion depuis l extérieur car on ne connait pas le port source réel (impossible d avoir un serveur WEB par exemple dans l Intranet) Solution : port forwarding Le port forwarding consiste à rediriger un paquet vers une machine précise en fonction du port de destination de ce paquet. Ainsi, lorsque l'on n'a qu'une seule adresse publique avec plusieurs machines derrière en adressage privé, on peut initialiser une connexion de l'extérieur vers l'une de ses machines (une seule par port TCP/UDP) 28
Port Forwarding & port mapping On met en dur dans la table NAT du routeur port fixe: port privé/ adresse privée Expl : la machine 10.0.0.1 possède un serveur Web. Port Forwarding 80: 80/10.0.0.1 Les paquets arrivant de l extérieur vers le routeur 195.0.0.254, 80 seront redirigés vers 10.0.0.1, 80 Pb si deux serveurs Web sur 2 machines différentes Le port mapping consiste à mapper le port de la machine interne à un port fixe différent Ex : 8080:80/10.0.0.2 et serveur Web sur 10.0.0.2 29
Port Forwarding avec Cisco Définition ip nat inside source static { tcp udp } <localaddr> <localport> <globaladdr> <globalport> Exemple ip nat inside source static tcp 10.0.0.1 80 195.0.0.254 80 ip nat inside source static tcp 10.0.0.2 80 195.0.0.254 8080 Dans cet exemple, les paquets arrivants depuis l extérieur sur le port 80 sont envoyées au port 80 de la machine 10.0.0.1, et ceux arrivants depuis l extérieur sur le port 8080 sont envoyées au port 80 de la machine 10.0.0.2 30
Problèmes Nat Dynamique Applications n utilisant pas UDP/TCP (pas de port) Exemple ICMP Il faut faire une configuration spéciale du routeur pour lui dire de se référer à autre chose que le port Le numéro d identifiant du paquet ICMP par exemple Authentification et cryptage Pas de mécanisme d authentification de bout en bout puisque le paquet est modifié Encryptage de l entête IP à la source et vérification à l arrivée Possibilité de tunneling (mise en place de Tunnel IPSEC vers l extérieur) 31
Problèmes NAT et FTP coté client Problématique côté client En mode FTP actif, la négociation des ports de transfert des données du client vers le serveur est initié par le serveur (port d'origine TCP 20) à destination d'un port TCP > 1024 vers le client. Si le client est derrière un routeur NAT dynamique, ce trafic ne sera pas traduit car il ne fait pas partie d'une règle NAT pour un trafic initié de l'intérieur. Le transfert de données ne sera pas possible, il n'y a pas de solution NAT Solution : établir la connexion à partir du client en mode passif : le client initie la négociation du port de transfert Il faut que le serveur supporte ce mode, ce qui est de plus en plus courant 32
Problèmes NAT et FTP coté client 33
Problèmes NAT et FTP coté serveur Problématique côté serveur A côté du premier problème côté client, on peut rencontrer un problème cumulatif côté serveur. Il faut supposer que le serveur est hébergé derrière, lui aussi, un routeur NAT configuré avec un transfert de ports. Si le client initie lui-même le transfert de données en mode passif vers des ports supérieurs à 1024 à destination du serveur, comment le routeur NAT du serveur peut-il traduire le trafic entrant à destination de ces ports qui ne font pas l'objet d'une configuration spécifique? 34
Problèmes NAT et FTP coté serveur 35
NAT et FTP coté serveur Heureusement les passerelles sont aujourd'hui capable de suivre le trafic FTP qui nécessite une inspection du trafic FTP lui-même au niveau de la couche applicative. Sur les passerelles Linux, il faudra par exemple activer et configurer les modules ip_conntrack_ftp et ip_nat_ftp du noyau. Un routeur Cisco avec un IOS récent supporte cette fonctionnalité nativement pour le trafic initié sur le port TCP 21, mais il n en est pas de même pour les services FTP écoutant sur un autre port que le port légal. 36
Autres mécanismes de redirection : proxy Serveur mandataire ou proxy : Serveur faisant l intermédiaire entre un réseau local et Internet Mandaté par une application pour effectuer des requêtes sur Internet à sa place proxy http, proxy ftp,... Souvent multi-proxy: serveur qui gère l ensemble des applications usuelles Il faut spécifier au niveau des applications ou du système d exploitation l existence du proxy (effectué par l utilisateur) Mais il existe aussi des proxy-transparents (redirection au niveau routage et donc invisible à l utilisateur) 37
Autres mécanismes de redirection : proxy Analyse le contenu des données de l application Permet de faire du cache (proxy web : pages les plus souvent visitées) Contrôle et filtre les requêtes - liste blanche (requêtes autorisées) - liste noire (requête interdites) suivant les comptes utilisateurs (FTP par exemple) suivant les adresses sources... suivant le contenu des pages WEB... Assure l authentification des utilisateurs pour gérer l accès aux ressources externes. Détecte les virus Permet de faire des statistiques suivi des connexions, logs utilisateurs 38
Autres mécanismes de redirection : proxy Peut servir aussi pour faire des contournements de sécurité Contourner un filtrage de requêtes Web dans un pays grâce à un proxy http situé dans un autre Dans l autre sens, permet à un utilisateur d accéder à un site Web restreint à un pays Compliquer l identification d un Hacker grâce à des relais de proxys en chaine. Ne pas confondre l utilisation d un proxy avec celle : d un Firewall qui filtre au niveau des paquets IP et ne nécessite pas redirection au niveau des applications d un VPN (Virtual Private Network) qui permet à une machine ou à un réseau local de rejoindre un autre réseau local distant par protocole de «tunnel» 39
Autres mécanismes de redirection : DMZ DMZ = Zone Démilitarisée : désigne à l origine une zone neutre qui sépare la Corée du Nord de la Corée du Sud Les serveurs situés dans la DMZ sont appelés «bastions» de par leur position d'avant poste dans le réseau interne. 40
Autres mécanismes de redirection : DMZ Sous-réseau, séparé des réseaux locaux et isolé de ceuxci et d'internet par un ou plusieurs pare-feux. Composé essentiellement de machines serveurs dont on veut contrôler l'accès intérieur et/ou extérieur. DMZ privée : uniquement accessible par les sous-réseaux locaux : serveurs internes à l entreprise Expl : serveurs proxy, SMTP, Web intranet, DMZ publique : accessible à la fois depuis l extérieur (internet) et l intérieur (réseau interne de l entreprise) Contient les serveurs susceptibles d'être accédées depuis Internet. Expl : serveurs Web externe, FTP, POP, proxy inverse (accès extérieur redirigé aux serveurs internes), En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local. 41
Autres mécanismes de redirection : DMZ Architecture DMZ avec pare-feu à trois interfaces Le pare-feu devient un point de défaillance unique pour le réseau et doit être capable de gérer tout le trafic vers la DMZ ainsi que vers le réseau interne 42
Autres mécanismes de redirection : DMZ Architecture DMZ avec deux pare-feu Le premier pare-feu (interne ou "front-end") est configuré pour ne gérer que le trafic destiné à la DMZ. Le second pare-feu (externe ou "back-end") ne gère que le trafic de la DMZ au réseau interne. 43
Autres mécanismes de redirection : DMZ La DMZ se définit comme une plage d'adresses IP (ou une seule adresse IP) n'étant pas soumise aux règles du pare-feu interne. La DMZ permet à ses machines d'accéder à Internet et/ou de publier des services sur Internet sous le contrôle du pare-feu externe. En cas de compromission d'une machine de la DMZ, l'accès vers le réseau local est encore contrôlé par le pare-feu interne La DMZ correspond sur certain routeurs au fait de rediriger tous les ports (et donc tout le traffic entrant) vers une machine du réseau local 44