La traduction d’adresses réseau (NAT) représente une solution efficace pour les individus et les organisations souhaitant établir une connexion internet sécurisée, économique et aisée.
Le NAT ne se limite pas à la sécurité ; il offre également une grande flexibilité, une adaptabilité face à l’évolution des besoins et une rapidité de communication avec le web.
L’utilisation du NAT contribue également à la préservation des adresses IP publiques, une ressource limitée et précieuse.
Mais qu’est-ce que le NAT précisément ? Et pourquoi est-il important de le comprendre ou de l’utiliser ?
Cet article se propose de répondre à ces interrogations.
Commençons donc par définir ce qu’est le NAT.
Qu’est-ce que la traduction d’adresses réseau (NAT) ?
La traduction d’adresses réseau (NAT) consiste à faire correspondre un ensemble d’adresses IP à un autre en modifiant les informations d’adresse réseau lors du transit des données.
Autrement dit, le NAT permet à une unique adresse IP (protocole internet) de représenter un ordinateur ou un groupe d’ordinateurs. Cela signifie que plusieurs appareils peuvent partager publiquement une seule adresse IP sur un réseau, même s’ils possèdent des adresses IP privées au sein de ce même réseau.
À l’origine, cette technique était utilisée pour éviter de devoir attribuer une nouvelle adresse IP à chaque hôte individuellement en cas de changement de fournisseur d’accès internet (FAI) ou de déplacement du réseau. Cependant, l’adresse IP du réseau demeure inchangée.
Il est intéressant de noter qu’une passerelle NAT peut fournir une seule adresse IP routable utilisable par l’ensemble d’un réseau privé. Étant donné que le NAT modifie les données d’adresse IP en transit, différentes implémentations de NAT existent, avec des comportements variables selon les cas d’adressage et des effets sur le trafic réseau.
Que fait le NAT ?
Dans le contexte du NAT, un périphérique réseau tel qu’un pare-feu NAT ou un routeur attribue une adresse IP publique à un ordinateur ou à un groupe d’ordinateurs situés sur un réseau privé. Ainsi, le NAT permet à un appareil de servir d’intermédiaire entre les réseaux publics, privés et locaux.
Plus précisément, que fait le NAT ?
Le NAT permet de préserver les adresses IP en autorisant des adresses IP privées à se connecter en utilisant des adresses non enregistrées. Avant de transférer les paquets de données entre les réseaux connectés, le NAT traduit les adresses de réseau privé local en adresses uniques, globales et valides.
Grâce aux configurations NAT, une seule adresse IP est visible depuis l’extérieur, alors qu’elle représente en réalité l’ensemble du réseau. Cela a pour effet de masquer l’intégralité du réseau interne, améliorant ainsi la sécurité et la confidentialité. Les implémentations de NAT sont particulièrement adaptées aux environnements d’accès à distance.
Comment fonctionne le NAT ?
La traduction d’adresses réseau permet à un périphérique, comme un routeur NAT ou un pare-feu, de jouer le rôle d’intermédiaire entre le réseau interne (réseau local) et les réseaux externes (internet). Cela permet à un ensemble d’appareils de refléter la même adresse IP lorsqu’ils interagissent avec l’extérieur du réseau.
Le NAT agit un peu comme une réceptionniste dans une entreprise, qui décide quels visiteurs ou appels transférer, mettre en attente ou interdire en fonction de règles spécifiques. Le NAT fonctionne de la même manière : toutes les requêtes arrivent au port public et à l’adresse IP. Ensuite, les instructions NAT déterminent où la requête doit être dirigée, tout en masquant l’adresse IP privée de la destination.
Le NAT sélectionne des passerelles entre deux réseaux locaux distincts : le réseau externe et le réseau interne. Tous les systèmes situés à l’intérieur du réseau auront des adresses IP qui ne peuvent pas être acheminées vers un réseau externe. De plus, certaines adresses IP valides en externe seront attribuées à la passerelle, ce qui fait que le trafic sortant semble provenir d’une adresse IP externe valide.
Ensuite, le NAT traite le trafic entrant et le transmet au bon système interne. De cette façon, la sécurité est assurée. Comme les demandes entrantes et sortantes doivent subir un processus de traduction, le NAT offre un excellent moyen de valider le trafic entrant et de le faire correspondre aux flux sortants.
Exemple de processus NAT
Voici un exemple concret du fonctionnement du NAT.
Un utilisateur connecte ses appareils à son réseau Wi-Fi domestique. Le routeur domestique attribuera une adresse IP privée à chaque appareil, qui ne sera utilisée que dans le cadre de ce réseau.
Ainsi, lorsque l’utilisateur essaie de charger une page web, l’appareil envoie la requête à la page web de destination par l’intermédiaire du routeur. Le routeur NAT modifie l’adresse source de la requête en utilisant l’adresse IP publique de son réseau au lieu de l’adresse IP privée de l’appareil. Une table NAT enregistre cette traduction afin de permettre à la passerelle de déterminer si le paquet de données remplit les conditions de traduction.
De plus, le serveur auquel l’utilisateur tente d’accéder renvoie le paquet de données demandé à l’adresse publique de son réseau. Le routeur modifie alors l’adresse de destination en l’adresse IP privée de l’appareil, tout en acheminant les paquets de données vers l’appareil de l’utilisateur.
Types de NAT
Le NAT se décline en plusieurs types, chacun étant adapté à des usages spécifiques.
#1. SNAT
Le NAT statique (SNAT) est un type de NAT qui traduit une adresse IP privée en une adresse IP publique. Il utilise systématiquement la même adresse IP publique à chaque fois qu’il effectue la traduction.
Le SNAT peut établir une correspondance un-à-un entre une adresse IP non enregistrée et une adresse IP enregistrée. Cela implique que tous les appareils de ce réseau auront la même adresse publique. Dans ce cas, seules deux informations de l’adresse réseau sont modifiées : l’en-tête et l’adresse IP.
Il est utile pour les appareils auxquels les utilisateurs doivent accéder depuis le réseau externe. Il est également utilisé lors de l’interconnexion de deux réseaux IP différents ayant des adresses incompatibles. De plus, il est employé dans l’hébergement web. En général, les particuliers et les petites entreprises utilisent le SNAT avec un nombre réduit d’appareils afin de minimiser les coûts.
#2. DNAT
Le NAT dynamique (DNAT) est un type de NAT qui fait correspondre une adresse IP privée à un groupe d’adresses IP publiques. Contrairement au SNAT, il n’utilise pas la même adresse IP à chaque traduction, mais une adresse différente, tout en conservant une correspondance un-à-un comme le SNAT.
Dans ce scénario, le pare-feu ou le routeur DNAT dispose d’un ensemble d’adresses IP publiques et enregistrées. Ainsi, lorsque le DNAT traduit une adresse réseau de privée à publique, il permet au routeur de choisir n’importe quelle adresse IP publique disponible dans cet ensemble. Il commence ensuite à faire correspondre une adresse IP non enregistrée à l’adresse IP enregistrée.
Par conséquent, le DNAT permet à un appareil d’avoir une adresse IP différente pour chaque traduction. Cela signifie qu’il est impossible de connaître l’adresse IP globale à laquelle une adresse privée a été associée. C’est une solution efficace, car elle permet de connecter davantage d’appareils au réseau.
Cependant, cette méthode peut être coûteuse car elle nécessite d’investir dans un ensemble d’adresses IP publiques. De plus, le nombre de paquets de données pouvant être transmis est limité. Il n’est possible d’envoyer et de recevoir qu’un nombre de paquets de données égal au nombre total d’adresses IP publiques disponibles dans l’ensemble.
Il convient aux grandes organisations ayant plusieurs réseaux internes. Il est également très utile lorsque vous avez un nombre fixe d’utilisateurs souhaitant accéder à internet.
#3. PAT
La traduction d’adresse de port (PAT), également appelée surcharge NAT, est un mécanisme dans lequel chaque périphérique interne utilise une adresse IP publique commune. Cependant, chaque adresse IP privée se voit attribuer un port différent.
Dans le cadre du PAT, différents ports sont utilisés pour faire correspondre différentes adresses IP locales, non enregistrées et privées à une seule adresse IP enregistrée. Le PAT permet également de distinguer quel trafic réseau correspond à quelle adresse IP.
Le PAT est une forme de NAT où les paquets de données ont des adresses sources modifiées lorsqu’ils transitent du réseau privé vers le réseau public. De plus, ils auront une adresse de destination modifiée lorsqu’ils passent du réseau public au réseau privé.
De surcroît, les paquets de données ont des numéros de port modifiés pour garantir une traduction claire. Cette combinaison d’adresse IP et de numéro de port modifiés est mise en correspondance à l’aide d’une adresse IP privée enregistrée.
Le PAT est généralement considéré comme plus rentable que le NAT. En effet, de nombreux utilisateurs peuvent se connecter au web en utilisant une seule adresse IP publique. Il est donc adapté aux organisations de toute taille : grandes, petites ou moyennes.
Outre le SNAT, le DNAT et le PAT, vous pouvez également rencontrer le RNAT et le NAT qui se chevauchent.
- Le RNAT vous permet de vous connecter à votre réseau en utilisant l’internet public ou internet.
- Le chevauchement de NAT se produit lorsque les réseaux de deux organisations utilisant des adresses IP RFC 1918 fusionnent. Il peut aussi se produire lorsque des adresses IP enregistrées sont attribuées à plusieurs appareils ou utilisées dans plusieurs réseaux internes. Dans ce cas, le chevauchement NAT permet de connecter les réseaux sans devoir réattribuer d’adresses à chaque appareil.
Pourquoi le NAT est-il important ?
Un appareil ou un système de mise en réseau a besoin d’une adresse IP, un ensemble unique de chiffres séparés par des points, pour communiquer avec le web. Ce numéro est utilisé pour identifier et localiser un périphérique réseau et permettre aux utilisateurs de communiquer avec le web.
Il existe deux types d’adresses IP : IPv4 et IPv6. Au début d’internet, seules 4,3 milliards d’adresses IPv4 ont été créées. Cependant, elles n’ont pas toutes pu être attribuées aux appareils pour établir la communication. Certaines ont été réservées pour les tests, l’armée et la diffusion, ce qui a laissé 3 milliards d’adresses IP disponibles pour la communication.
En 2019, le RIPE NCC a alloué les dernières adresses IPv4 restantes du pool disponible, se retrouvant ainsi à court d’IPv4. L’adressage IPv6 a été introduit pour pallier ce problème. IPv6 recrée l’adressage IP et offre plus de possibilités pour allouer des adresses. Cependant, il a fallu de nombreuses années pour modifier ou mettre en œuvre le système de mise en réseau.
C’est là qu’intervient le NAT. Cisco a introduit le NAT entre-temps, et il est aujourd’hui largement déployé.
Le NAT est devenu un moyen précieux et populaire de préserver l’espace d’adressage global, en particulier depuis l’épuisement des adresses IPv4. Le NAT est aussi utilisé pour masquer les plages d’adresses IP du réseau privé à des fins de rentabilité et de sécurité.
Avantages du NAT
Préservation de l’adresse IP
Le NAT contribue à préserver les adresses IP enregistrées légalement et empêche leur épuisement. Compte tenu du nombre croissant d’internautes dans le monde, il s’agit d’une excellente initiative pour faire du web un espace accessible à tous.
Sécurité
Avec le NAT, vous pouvez accéder au web avec une sécurité et une confidentialité renforcées, car il peut masquer l’adresse IP de votre appareil au réseau public, même pendant la transmission des paquets de données. La limitation du débit NAT permet également de limiter le nombre maximal d’opérations NAT effectuées simultanément sur votre routeur.
De cette manière, vous obtenez un meilleur contrôle de l’utilisation des adresses NAT et pouvez minimiser les effets des virus, des vers, des attaques par déni de service (DoS), etc. L’implémentation du NAT dynamique (DNAT) crée automatiquement un pare-feu entre internet et le réseau interne. En outre, certains routeurs NAT offrent des fonctions de sécurité telles que le filtrage du trafic et la journalisation.
Connexions multiples
L’établissement de plusieurs connexions internet contribue à maintenir la fiabilité du réseau et réduit le risque d’interruptions en cas de panne de connexion. Cela favorise également l’équilibrage de charge en diminuant le nombre d’appareils utilisant une seule connexion.
De plus, les réseaux multirésidents se connectent généralement à plusieurs FAI qui attribuent une ou plusieurs adresses IP à une organisation. Par ailleurs, les routeurs peuvent utiliser le NAT pour router des réseaux avec des protocoles NAT différents.
Un réseau multi-hébergé communique en permettant au routeur d’exploiter une partie du protocole TCP ou IP, Border Gateway Protocol (BGP). De même, les sites de sous-domaine partagent à l’aide de BGP internes (IBGP) tandis que les routeurs utilisent des BGP externes (EBGP) pour interagir. En cas de défaillance d’une connexion, le multi-homing redirigera les données par l’intermédiaire d’un autre routeur.
La rapidité
Le NAT est plus transparent pour les ordinateurs source et de destination que les serveurs proxy. Cela permet un traitement direct à grande vitesse. Les serveurs proxy fonctionnent généralement au niveau de la couche quatre ou de la couche de transport du modèle OSI, voire au-dessus. Cela les rend plus lents que le NAT, qui se situe au niveau de la couche trois ou de la couche réseau.
Adaptabilité
Lorsque vos besoins augmentent, il vous faut davantage d’adresses IP pour vos utilisateurs et appareils. Ainsi, vous pouvez tirer parti du NAT au lieu de demander davantage d’adresses IP à l’IANA. Et lorsque vous utilisez le NAT avec le protocole DHCP (Dynamic Host Configuration Protocol), la mise à l’échelle devient plus facile.
La raison en est que le NAT et le DHCP fonctionnent en harmonie pour allouer des adresses IP non enregistrées au sous-domaine à partir de la liste disponible en fonction de vos besoins. De cette manière, vous pouvez étendre la plage d’adresses IP disponibles, et le DHCP peut rapidement configurer et libérer de l’espace pour davantage d’ordinateurs du réseau.
Flexibilité et simplicité
Le NAT offre une flexibilité lors du déploiement et de l’établissement de connexions. Vous pouvez le déployer dans un LAN public sans fil. Dans certains cas, grâce au NAT statique (SNAT) et au mappage entrant, vous pouvez permettre à des appareils externes d’établir des connexions avec des appareils sur le sous-domaine.
De plus, le NAT simplifie les connexions internet, car il n’est pas nécessaire de renuméroter les adresses IP après avoir modifié ou fusionné un réseau. Le NAT permet également de créer un hôte virtuel dans votre réseau interne qui coordonne l’équilibrage de charge TCP.
Limites du NAT
Limites du NAT
Voici certaines limitations du NAT :
- Consommation de ressources : le NAT peut consommer une part importante de l’espace processeur et des ressources mémoire. En effet, il traduit toutes les adresses IPv4 pour vos datagrammes IPv4 entrants et sortants et enregistre tous les détails de la traduction en mémoire.
- Fonctionnalités : l’activation du NAT peut entraîner une réduction des fonctionnalités de certaines technologies et applications.
- Complications du tunneling : le NAT peut compliquer les protocoles de tunneling. Pour y remédier, il est possible d’utiliser IPsec pour la traduction sécurisée des adresses réseau.
- Problèmes de couche : lorsqu’un routeur fonctionne comme un périphérique NAT, il peut interférer avec la couche 4 (couche de transport) en manipulant les numéros de port, alors qu’il est conçu pour fonctionner au niveau de la couche 3 (couche réseau).
- Retards : des retards de chemin peuvent se produire pendant la traduction.
Quelques termes courants utilisés avec le NAT
- Adresse source : il s’agit de l’adresse IP de l’hôte initiateur.
- Port source : il s’agit du numéro de port TCP/UDP attribué par l’hôte initiateur.
- Adresse de destination : il s’agit de l’adresse IP du destinataire.
- Port de destination : il s’agit du port TCP ou UDP qu’un hôte initiateur demande au récepteur d’ouvrir.
- Adresse locale interne : il s’agit d’une adresse IP privée attribuée à un hôte sur un réseau local (interne). Elle n’est pas attribuée par un fournisseur de services. C’est l’hôte interne d’un réseau interne.
- Adresse globale interne : il s’agit d’une adresse IP représentant une ou plusieurs adresses IP locales. C’est l’hôte interne pour le réseau extérieur/externe.
- Adresse locale externe : il s’agit de la véritable adresse IP de l’hôte de destination qui se trouve dans un réseau local une fois la traduction terminée.
- Adresse globale externe : il s’agit de l’adresse IP de l’hôte de destination externe avant la traduction. C’est l’hôte extérieur pour le réseau extérieur/externe.
- Sous-domaine : il s’agit d’une adresse IP privée non enregistrée composée de :
- Table NAT : le NAT réattribue les numéros de port et les adresses IP, et effectue un suivi à l’aide d’une table de traduction NAT.
Supposons qu’un routeur reçoive un paquet de données d’un périphérique local auquel une adresse IP publique a été attribuée. Le routeur va modifier l’adresse IP du périphérique source en lui permettant d’utiliser sa propre adresse IP. Ensuite, il modifie le numéro de port de la source pour avoir l’information nécessaire sur la destination des paquets reçus. Cette réattribution des adresses IP est enregistrée dans la table de traduction NAT.
Conclusion
Compte tenu du nombre croissant d’utilisateurs d’internet et des problèmes de sécurité qui se répandent dans le monde entier, il est nécessaire de disposer d’une méthode de connexion plus sûre et plus efficace. C’est précisément ce à quoi vise le NAT. Il permet de préserver les adresses IP publiques tout en offrant des avantages en matière de sécurité, de vitesse, de flexibilité et d’adaptabilité lors de la connexion à internet.