Comment fonctionne le NAT ?
Le NAT fonctionne en ayant un pare-feu agir comme un intermédiaire pour le trafic entrant et sortant du réseau protégé. Le trafic entrant est dirigé vers une adresse IP publique, qui est traduite en une adresse IP interne au pare-feu avant d'envoyer le trafic vers sa destination. Les adresses sources du trafic sortant sont également mises à jour, passant d'adresses IP privées et internes à des adresses publiques et externes.
Cette technologie fonctionne de la même manière que les systèmes téléphoniques de nombreuses organisations. L'entreprise publie un numéro unique et public pour les appelants externes. Lorsqu'un client appelle ce numéro, il est transféré vers un téléphone interne spécifique en fonction des détails de sa demande.
Importance du NAT
Le NAT présente plusieurs avantages, mais l'un des plus importants est qu'il a considérablement augmenté l'évolutivité du système d'adressage IPv4. Le système IPv4 compte moins de 4,3 milliards d'adresses possibles, alors que plus de 20 milliards d'appareils sont connectés à l'internet.
Avec une correspondance univoque entre les adresses IP et les appareils, le pool d'adresses disponibles du protocole IPv4 aurait été épuisé depuis des années, ce qui aurait obligé à passer à l'IPv6. Cependant, grâce au NAT, de nombreux appareils connectés à l'internet peuvent partager la même adresse IPv4 publique, ce qui a permis à la norme IPv4 de s'adapter à la demande.
Types de traduction d'adresses de réseau
Le NAT peut être mis en œuvre de différentes manières, notamment :
- NAT statique : Le NAT statique associe une adresse IP interne à une adresse externe sur une base univoque. Cela ne contribue pas à l'évolutivité de l'IPv4, mais permet à un système d'être accessible depuis l'extérieur du réseau sans perturber les systèmes d'adressage internes.
- NAT dynamique : Avec la NAT dynamique, un pare-feu dispose d'une réserve d'adresses IP externes qu'il attribue aux ordinateurs internes en fonction des besoins. Comme la NAT statique, elle crée une correspondance univoque entre les adresses IP internes et externes, mais ces correspondances ne sont pas permanentes.
- Traduction d'adresse de port (PAT) : PAT est utilisé pour créer des correspondances de plusieurs à un entre les adresses IP internes et externes. Le pare-feu utilise la même adresse IP pour plusieurs systèmes, mais attribue un port TCP ou UDP différent à chacun d'entre eux. Étant donné qu'une seule adresse IP peut être associée à 65 535 ports, PAT permet à une seule adresse IP externe de représenter des milliers d'appareils sur un réseau privé. PAT est l'application de NAT qui permet aux adresses IPv4 d'évoluer.
Configuration NAT
Les détails d'une NAT configuration du pare-feu dépendent du type de NAT utilisé par l'organisation. Par exemple, le NAT statique et le PAT peuvent avoir une seule adresse IP externe, alors que le NAT dynamique en a plusieurs.
Pour toutes les configurations NAT, une organisation peut utiliser des adresses IP privées au sein de son réseau local (LAN). Les plages IPv4 10.0.0.0/8, 172.16. 0.0/12, et 192.168. 0.0/16 sont destinés à un usage interne uniquement. L'une de ces adresses peut être attribuée à un appareil au sein du réseau local d'une organisation, mais ces adresses ne peuvent pas être acheminées en dehors du réseau de l'organisation.
Le processus de traduction d'une adresse interne privée vers une adresse externe publique dépend du schéma NAT utilisé. Dans tous les cas, le trafic devra passer par un pare-feu qui effectue la traduction. Ce pare-feu peut réécrire les en-têtes des paquets entrants et sortants sur la base de tables de recherche internes, en convertissant les adresses IP ou en affectant le trafic à un port particulier sur une adresse partagée.
Comment la traduction d'adresses de réseau améliore-t-elle la sécurité ?
En plus d'améliorer l'évolutivité de l'IPv4, le NAT offre également des avantages significatifs en matière de sécurité. Il s'agit notamment de
- Application des règles de délimitation : Avec la NAT, les adresses IP privées utilisées à l'intérieur du réseau local de l'entreprise ne sont pas routables depuis l'extérieur. Cela renforce les frontières du réseau et oblige le trafic à passer par le pare-feu du réseau, car les systèmes externes ne savent pas quel ordinateur contacter, même s'ils avaient la possibilité de contourner le pare-feu. En forçant le trafic à passer par un Pare-feu de nouvelle génération (NGFW), le NAT garantit que tout le trafic entrant et sortant peut être inspecté avant d'être acheminé vers sa destination.
- Amélioration de la protection de la vie privée : Le NAT rend la structure du réseau interne d'une organisation opaque depuis l'extérieur du réseau. Les systèmes externes ne voient qu'une seule adresse IP ou un ensemble d'adresses qui changent fréquemment, ce qui rend difficile la création d'une carte du réseau interne d'une organisation en vue d'attaques ultérieures.
NAT dans Check Point NGFW
Le NAT peut contribuer à renforcer la sécurité d'une organisation en obligeant tout le trafic à passer par un pare-feu réseau. Toutefois, la sécurité n'est assurée que si le pare-feu peut détecter et bloquer le trafic réseau malveillant. Pour en savoir plus sur ce qu'il faut rechercher dans un NGFW, consultez le site suivant Guide de l’acheteur.
Check Point NGFWs offrent une fonctionnalité NAT très performante ainsi que des capacités de prévention des menaces de niveau professionnel. Pour voir Check Point pare-feu en action, vous pouvez consulter les sites suivants inscrivez-vous pour un démo gratuit.
Commentaires