Welcome to Scribd. Sign in or start your free trial to enjoy unlimited e-books, audiobooks & documents.Find out more
Download
Standard view
Full view
of .
Look up keyword
Like this
3Activity
0 of .
Results for:
No results containing your search query
P. 1
Négociation de la fonction NAT-T de IPSec

Négociation de la fonction NAT-T de IPSec

Ratings: (0)|Views: 966|Likes:
Published by Sylvain MARET

Ce document décrit comment il est possible de détecter une ou plusieurs translations d’adresses IP (NATs) entre des pairs IPSec. La négociation de l’encapsulation des paquets IPSec dans de l’UDP à travers des équipements NAT sera de même traitée. Ce document s’inspire du draft de l’IETF : draft-ietf-ipsec-nat-t-ike-05.txt.

Table des matières
Négociation de la fonction NAT-T de IPSec.............................................................. 2 Table

Ce document décrit comment il est possible de détecter une ou plusieurs translations d’adresses IP (NATs) entre des pairs IPSec. La négociation de l’encapsulation des paquets IPSec dans de l’UDP à travers des équipements NAT sera de même traitée. Ce document s’inspire du draft de l’IETF : draft-ietf-ipsec-nat-t-ike-05.txt.

Table des matières
Négociation de la fonction NAT-T de IPSec.............................................................. 2 Table

More info:

Published by: Sylvain MARET on Jul 09, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

03/08/2013

pdf

text

original

 

 
 
 
 

 
 
 
 NAT-Traversal et IPsec
Page 2
Négociation de la fonction NAT-T de IPSec
Ce document décrit comment il est possible de détecter une ou plusieurs translationsd’adresses IP (NATs) entre des pairs IPSec. La négociation de l’encapsulation despaquets IPSec dans de l’UDP à travers des équipements NAT sera de même traitée.Ce document s’inspire du draft de l’IETF :
draft-ietf-ipsec-nat-t-ike-05.txt 
.
Table des matières 
Négociation de la fonction NAT-T de IPSec..............................................................2Table des matières.................................................................................................2Introduction...........................................................................................................2Phase 1..................................................................................................................3Détection du support NAT-Traversal.................................................................3Détection de la présence de NAT.......................................................................3Modification du port IKE......................................................................................5Quick Mode..........................................................................................................7Négociation de l'encapsulation NAT-Traversal..................................................8Envoi des adresses IP source et destination originelles.......................................8Notification Initial Contact..................................................................................10Réstauration des correspondances NAT expirés...................................................10Considérations sur la sécurité..............................................................................10Mots clés.............................................................................................................11
Introduction 
Ce document est divisé en deux parties. La première partie décrit les besoins de laphase 1 IKE pour le support du NAT-Traversal (NAT-T). Un des besoins consiste àdétecter si l’autre pair IPSec supporte le NAT-T, et s’il y a des équipements NATentre les deux pairs.La deuxième partie décrit la négociation de l’encapsulation des paquets IPSec dansdes paquets UDP dans la phase Quick Mode du protocole IKE. Elle décrit de mêmecomment transmettre les adresses IP source et destination d’origine, si l’autre pair ena besoin. Les adresses IP source et destination peuvent être utilisées dans le modetransport pour la mise à jour incrémentale du checksum TCP/IP, afin de le fairecorrespondre après la transformation NAT. Le NAT ne peut pas le faire, car lechecksum TCP/IP se trouve à l’intérieur des paquets UDP contenant les paquetsIPSec.Le document
draft-ietf-ipsec-udp-encaps-06.txt 
décrit les détails de l’encapsulationUDP ; le document
draft-ietf-ipsec-nat-reqts-04.txt 
donne des informations et lesmotifs généraux sur le NAT-Traversal.
 
 
 NAT-Traversal et IPsec
Page 3
Phase 1
La détection du support pour le NAT-T et la détection du NAT au long ducheminement des paquets à lieu dans la phase 1 IKE.Le NAT est supposé déplacer le port UDP de IKE. Les pairs de la communication
doivent
être capables de traiter des paquets IKE, dont le port source est différent de500. Des fois le NAT n’a pas besoin de déplacer le port source. Ceci se vérifielorsqu’il y a un seul client IPSec derrière le NAT, soit pour le premier client IPSecutilisant le port 500 (les autres clients utilisant des ports flottants).Les pairs
doivent
répondre à l’adresse IP source du paquet. Ceci signifie de mêmeque quand le serveur fait un rekeying ou un envoi de notification vers le client, il
doit
 utiliser la même IP et port qui étaient utilisés lors de la dernière SA IKE (mêmes IP etports sources et destination).Par exemple, quand le serveur envoie un paquet ayant 500 comme port source etdestination, le NAT le modifie pour obtenir un paquets avec 12312 comme portsource et 500 comme port de destination. L’autre pair doit être capable de traiter cetype de paquets (avec ports source différent de 500), et il doit répondre avec unpaquets avec 500 comme ports source et 12312 comme port de destination. C’est leNAT qui va ensuite translater le message pour avoir un paquets avec 500 comme portsource et destination.
Détection du support NAT-Traversal
Cette fonctionnalité est déterminé avec l’échange de
Vendor Strings
. Si supportée lespairs doivent s’échanger dans les deux premier messages de la phase 1 IKE, le
Vendor ID
pour le NAT-T, c’est a dire le hash MD5 du texte suivant:

 Quand les deux pairs reçoivent le
Vendor ID
, la détection du NAT peut continuer.
Détection de la présence de NAT
L'objectif du NAT-D (NAT discovery) est double. Il ne détecte pas seulement laprésence du NAT entre deux pairs, mais il détecte aussi ou le NAT se trouve. Cettelocation est importante car le keepalive doit être initié par le pair derrière le NAT.Pour détecter la présence de NAT, on doit détecter les changements d'adresses IPpendant le cheminement des paquets. Ceci est fait avec l'envoi du hash des IP et desports source et destination entre les pairs. Il n'y pas de NAT quand les deuxcorrespondants obtiennent le même résultat que l'hachage. Si ce n'est pas le cas,quelqu'un a modifié l'IP ou les ports et on doit utiliser le NAT-T pour faire passerIPSec.Si l'instigateur de la connexion ne connaît pas son IP (dans le cas, par exemple, deplusieurs interfaces réseaux et d'une implémentation ne connaissant pas laquelle est

Activity (3)

You've already reviewed this. Edit your review.
1 hundred reads
1 thousand reads
Eric Simon liked this

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->