Passer au contenu

La translation d’adresses IP ouvre le LAN à Internet

Le protocole NAT facilite la connexion des réseaux IP à Internet, mais reste destiné aux applications simples, comme la navigation sur le web ou le courrier électronique.

L a fonction essentielle de la translation d’adresses IP (NAT, pour Network Adress Translation) est de réduire la complexité du plan d’adressage IP. NAT permet en fait de connecter les postes d’un réseau local à Internet, sans que leurs adresses soient enregistrées dans les tables de routage du réseau public. Implémenté au sein des routeurs ou des coupe-feu, NAT affecte une adresse publique (unique) à chaque adresse IP du réseau local. Pour chaque paquet IP entrant ou sortant, l’adresse IP réelle (privée) de l’expéditeur ou du destinataire est remplacée par une nouvelle adresse (publique). Cette substitution est statique (chaque poste disposera systématiquement de la même adresse publique) ou dynamique. NAT peut aussi servir à regrouper toutes les adresses IP du réseau local sous une seule adresse, visible sur le réseau public. Dans ce cas on parlera alors de ” NAT overloading “, ou de NATP, pour Network Adress Port Translation. La technique consiste à utiliser un numéro de port pour identifier les sessions issues des différentes machines du réseau. Son principal avantage consiste à limiter l’emploi du nombre d’adresses IP publiques. NAT possède donc une double fonction : de sécurité en masquant les adresses IP des postes connectés sur le réseau local, mais aussi de simplification du plan d’adressage de la table de routage, dans le cadre d’un réseau privé ou public. En effet, facile à maintenir pour un petit nombre de n?”uds ou de postes de travail, le plan d’adressage IP se complexifie de façon exponentielle, au fur et à mesure que le réseau s’étend. Par ailleurs, sur un réseau IP, la logique veut que chaque apparition ou disparition d’un poste de travail, ou d’un n?”ud sur le réseau, soit notifiée à l’ensemble des autres n?”uds, afin de mettre à jour les tables de routage. Cette obligation génère à elle seule un trafic, supportable pour un réseau local et un nombre limité d’usagers, mais inenvisageable pour des réseaux étendus ou Internet. En simplifiant cette procédure, NAT a contribué au développement rapide des réseaux IP dans les entreprises.

La transparence d’Internet remise en question

NAT ne présente pas que des avantages. La translation d’adresses affecte la transparence du réseau IP. Comme un coupe-feu, elle constitue un obstacle. C’est d’ailleurs à cette fin (masquer l’adresse IP réelle de l’utilisateur) qu’elle est proposée sur la plupart des routeurs du marché. L’émetteur et le destinataire ne dialoguent plus directement. Cela remet en question l’un des principaux avantages des réseaux IP. En effet, c’est cette transparence qui permet à l’émetteur et au récepteur d’un transfert IP d’en maîtriser le bon déroulement (la plupart des opérations, notamment le contrôle de flux TCP, sont réalisées par les postes de travail ou par les serveurs d’émission ou de réception). En définitive, si la fonction NAT vient à être défaillante, la transmission est coupée. Excepté pour la translation statique d’adresses, le service NAT, une fois rétabli, a toutes les chances d’utiliser une autre adresse, rendant impossible, pour l’émetteur comme pour le destinataire, la reprise de la communication. Par ailleurs, certains protocoles ou applications (MIB SNMP, FTP, H. 323, COPS) supposent par défaut que l’adresse de l’expéditeur est bien celle de l’équipement à l’origine de la communication. Non détectée, la substitution effectuée par NAT est alors une source d’erreur. Par ailleurs, la translation dynamique d’adresses peut entrer en conflit avec des procédures applicatives visant à réutiliser le même port TCP au cours de communications successives.

Incompatible avec IPSec

Aussi populaire soit-elle, parce qu’elle permet d’utiliser une seule adresse IP publique pour l’accès Internet d’un groupe d’utilisateurs, la translation d’adresses par multiplexage reste inadaptée aux applications sécurisées, telles que les RPV. La modification de l’adresse IP effectuée rend l’authentification réalisée par le protocole IPSec quasi irréalisable. Enfin, si le protocole NAT doit son succès à la facilité qu’il procure aux réseaux d’entreprises qui veulent accéder au web, il rend impossible la connexion aux machines du réseau local depuis l’extérieur et ne répond pas aux besoins d’applications plus complexes que la navigation.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


PAUL PHILIPON-DOLLET