CONCOURS INTERNEDE TECHNICIEN DE CLASSE NORMALE

DES SYSTEMES D’INFORMATION ET DE COMMUNICATION

- Session 2017 -

Mardi 12 septembre 2017

Option « Infrastructures et réseaux »

Traitement de questions et résolution de cas pratiques, à partir d’un dossier,portant sur l’une des deux options suivantes choisie par le candidat le jour de l’épreuve :

- infrastructures et réseaux,- solutions logicielles et systèmes d’information.

Cette épreuve permet d’évaluer le niveau de connaissances du candidat, sacapacité à les ordonner pour proposer des solutions techniques pertinentes et à lesargumenter.

Le dossier ne peut excéder 20 pages.

(Durée : 3 heures – Coefficient 2)

Le dossier documentaire comporte 14 pages.

IMPORTANT

IL EST RAPPELE AUX CANDIDATS QU’AUCUN SIGNE DISTINCTIF NE DOITAPPARAITRE NI SUR LA COPIE NI SUR LES INTERCALAIRES.

ECRIRE EN NOIR OU EN BLEU - PAS D’AUTRES COULEURS

SUJET

QUESTIONS

Les réponses devront être rédigées. L’ensemble des questions sera noté sur 10 points.

Question 1 : Expliquer si chacune de ces URL a un format correct ou pas :- http://w.machintruc.fr:80/- mailto:toto@machintruc.fr

Question 2 : Comment écrit-on :- le nombre décimal 170 en binaire ?- le nombre binaire 11001100 en décimal ?

Question 3 : Quelle est la principale différence entre un serveur POP3 et un serveur IMAP ?

Question 4 : Décrire le three-way handshake d’une connexion TCP.

Question 5 : Donner deux procédés pour mener une attaque de type Man in the Middle.

Question 6 : Dans le protocole SSL, qu'appelle-t-on une authentification mutuelle ?

Question 7 : Un message est chiffré avec la clef publique de B et signé avec la clef privée de A ; que faut-il pour le déchiffer ?

Question 8 : Qu'est-ce qui distingue un code d'erreur HTTP 4XX d'un code d'erreur HTTP 5XX ?

Question 9 : Dans une architecture dite 3 tiers, à quoi correspond chaque tiers ?

Question 10 : Quel est l'intérêt de IPv6 par rapport à IPv4 ?

CAS PRATIQUES

Cas n°1 : (5 points)(Pour ce cas pratique vous utiliserez les documents 1 à 4).

A) Le réseau du groupe MOMAL est constitué de plusieurs VLAN.1. Combien d’adresses de machines sont disponibles pour les commerciaux ? (expliquer le

calcul)2. Que signifie l’acronyme VLAN, et à quoi sert un VLAN ?3. Expliquer la différence entre des VLAN de niveau 1, de niveau 2 et de niveau 3.4. Les VLAN du groupe sont affectés par port. Quel est donc le niveau correspondant ?

Le document 2 représente une partie du réseau du groupe MOMAL.

B) Sur le switch SW11. Créer le VLAN « LAN_ADM » et lui affecter les ports Fa0/2 à Fa0/52. Créer le VLAN correspondant à l’adresse 10.10.72.200 et lui affecter les ports Fa0/6 à

Fa0/12 3. La configuration ainsi effectuée est-elle conforme au schéma du document 2 ? Expliquer.4. Configurer la connexion vers le routeur RT1.

C) Sur le switch SW2 1. On a affecté au VLAN 752 les ports Fa0/2 à Fa0/8. Expliquer ce qui ne convient pas et

proposer une correction.2. Configurer la connexion vers le switch SW1.

D) En quoi le rôle du routeur RT1 est différent de celui des switchs SW1 et SW2 ?

E) Sur le routeur RT11. Quel dispositif doit-on mettre en œuvre pour que celui-ci remplisse son rôle alors qu’il n’est

en relation que par une seule liaison physique avec tous les VLAN ?2. Appuyer la réponse en configurant le nécessaire pour les VLAN 751 et 724.

Par convention, on utilisera la dernière adresse IP des VLAN respectifs.

F) Quels sont les paramètres à configurer pour le poste 10.10.77.11 (masque et passerelle) ?Comment peut-on vérifier depuis ce poste que la passerelle indiquée dans sa configuration estcorrecte ?

Cas n°2 : (5 points) (Pour ce cas pratique, vous utiliserez les documents 5 à 8)

L'entreprise MetroSec souhaite mettre en place un serveur mandataire (proxy) pour optimiser etcontrôler les accès à des sites Web externes à l'entreprise depuis le réseau local. Les adresses duréseau local sont privées.L'entreprise dispose déjà d'une connexion à Internet au travers d'un routeur ADSL souscrit auprèsd'un fournisseur d’accès à Internet (FAI). Ce routeur est équipé d'un service de NAT (Network Address Translator).Aucun filtrage n'est actif sur le routeur, le FAI prenant en charge la sécurité des accès.

Tou.te.s les utilisateur.rice.s ont la possibilité de modifier le paramétrage de leur navigateur Internet(passage par un proxy ou non, identification de l’adresse du proxy). Pour des raisonsorganisationnelles, certain.e.s utilisateur.rice.s privilégié.e.s ont les permissions suffisantes pourmodifier le paramétrage IP de leur poste (adresse IP, adresse de la passerelle).

Deux propositions d'architecture pour la mise en œuvre du proxy sont à l'étude. L’objectif estd'obliger tou.te.s les utilisateur.rice.s à passer par le service (pas seulement par le serveur !) proxypour accéder au Web.

En poste au service réseau et sécurité du département informatique, vous êtes chargé.e decontribuer à une réunion technique sur cette solution. Pour la préparer, vous devez répondre auxquestions ci-dessous pour chacune des solutions intitulées « Architecture 1 » et« Architecture 2 » (voir le document 5) :

• Le passage par le service proxy est-il obligatoire pour les utilisateur.rice.s nonprivilégié.e.s ? Si non, comment un.e utilisateur.rice non privilégié.e peut-il contourner le service proxy ?

• Le passage par le service proxy est-il obligatoire pour les utilisateur.rice.s privilégié.e.s ? Si non, comment un.e utilisateur.rice privilégié.e peut-elle/il contourner le service proxy ?

• Modifier ou ajouter les règles de filtrage ou de translation d’adresses (NAT) afind’empêcher le contournement du service proxy. La méthode d'écriture des règles est àfournir en reprenant le tableau du document 8.

Dossier documentaire :

Document 1 Noms et numéros des VLAN Page 1

Document 2 Schéma d’une partie du réseau Page 1

Document 3Configuration des VLAN par port sur un switch Ciscohttp://www.clemanet.com/switch-vlan-cisco.php

Pages 2 à 5

Document 4Routage inter VLANhttps://ciscotracer.wordpress.com/2015/03/27/routage-inter-vlan-partie-12-router-on-a-stick/

Pages 6 à 8

Document 5 Architecture 1 et architecture 2 Page 9

Document 6Installation d’un service mandatairehttp://www.linux-france.org/prj/edu/archinet/systeme/ch40.html

Pages 10 à 11

Document 7NAT – Network address translationhttps://fr.wikipedia.org/wiki/Network_address_translation Pages 12 à 13

Document 8 Exemple de table de filtrage Page 14

Document 1

Noms et numéros des VLAN

Nom du VLAN N° du VLAN Plages d’adresses IP Fonction

LAN_ADM 722 10.10.72.64 à 10.10.72.127 Service Administratif

LAN_FIN 724 10.10.72.192/26 Service Financier

LAN_NOM 752 10.10.75.128 à 10.10.75.255 Commerciaux Nomades

LAN_SED 751 10.10.75.0/25 Commerciaux Sedentaires

LAN_SI 773 10.10.77.128 à 10.10.77.191 SI

LAN_TEC 771 10.10.77.0 à 10.10.77.63 Service Technique

Document 2

Schéma d’une partie du réseau

1

Document 3http://www.clemanet.com/switch-vlan-cisco.php

Configuration des vlans par port sur un switch Cisco.Les commandes suivantes ont été testées sur des switchs série 2950, 2960, 3750 et 6500.

Rappel sur la notion de VLAN (Virtual Local Area Network)L'objectif d'une configuration de vlan est de permettre la configuration de réseaux différents sur un même switch.Il existe plusieurs façon de configurer les vlans. Cette page traitera uniquement du vlan par port.La norme utilisée ici porte l'identifiant 802.1q.Les avantages principaux de la segmentation par vlan sont la réduction des domaines de broadcast et l'accroissement de la sécurité (si des filtres sont mis en place pour la communication entre les réseaux).

Principe de fonctionnement du vlan par portUn tag de 4 octet est ajouté à la trame ethernet. Ce tag comprend entre autre l'identifiant de VLAN. Ainsi, la trame sera transmise uniquement aux ports appartenant au vlan identifié dans la trame.

Type de configuration des ports des switchs CiscoLe port est configuré en mode access ou en mode trunk. Le mode access est utilisé pour la connexion terminale d'un périphérique (pc, imprimante, serveur, ...) appartenant à un seul vlan. Le mode trunk est utilisé dans le cas ou plusieurs vlans doivent circuler sur un même lien. C'est par exemple le cas de la liaison entre deux switchs ou bien le cas d'un serveur ayant une interface appartenant à plusieurs vlans.

Cas particulier de la connexion d'un téléphone IP suivi d'un PC sur un portDans le cas de l'utilisation d'un ordinateur connecté à un téléphone IP (ce dernier étant connecté à un port du switch), le port aura deux vlans (un vlan dédié au réseau donnée et un vlan dédié au réseau voix). Le port sera configuré en général en mode access, une commande sera ajoutée pour la configuration du vlan voix (voice vlan).

VLAN non affecté à un port et présent sur le switchDes vlans peuvent être créés sur un switch et n'être affectés à aucun port. C'est le cas du vlan de management (une adresse IP sera configurée sur ce vlan). Un switch qui sert de liaison aura également les vlans qui doivent le traverser déclaré dans sa configuration.

2

Communication entre les vlansLa communication entre les vlans est possible en passant par un routeur ou un switch de niveau 3 (switch-routeur).Selon l'utilisation, il peut être conseillé de filtrer les réseaux au minimum au moyen d'ACLs (access control list).

VLAN natif: Le vlan appelé "natif" est le vlan par défaut du switch (en général le vlan 1). Sans configuration, tous les ports du switch sont placés dans ce VLAN. Ce vlan n'est pas marqué même si il passe sur une liaison trunk.

Configuration type d'un switch:

• La liaison entre les switchs est en mode trunk. • Les autres ports des switchs sont en mode access. • Le vlan dédié aux téléphones sera également configuré sur tous les ports en plus de leur vlan

data respectif.Un vlan dédié à l'administration et à la supervision du switch sera créé. L'adresse IP de supervision du switch sera associée à ce vlan.

• Ajout de vlan

Création du vlan 2 puis des vlans 3 à 52960-RG(config)#vlan 22960-RG(config-vlan)#name administration2960-RG(config-vlan)#ex2960-RG(config)#vlan 3,4,52960-RG(config-vlan)#ex2960-RG(config)#

• Suppression d'un vlan2960-RG(config)#no vlan 2

3

• Affichage des vlans ainsi que des affectations de port2960-RG#show vlan

VLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4Gi0/12 administration active3 VLAN0003 active4 VLAN0004 active Fa0/5, Fa0/6, Fa0/7, Fa0/85 VLAN0005 active10 VLAN0010 active Fa0/11002 fddi-default act/unsup1003 token-ring-default act/unsup

• Affectation d'un port à un vlan

Dans l'exemple ci-dessous le port est configuré en mode access puis il est placé dans le vlan 3.Pour un switch série 2950, 2960, 3750

2960-RG(config)#interface fastEthernet 0/12960-RG(config-if)#switchport mode access2960-RG(config-if)#switchport access vlan 32960-RG(config-if)#ex2960-RG(config)#

L'exemple suivant présente la configuration des ports 5 à 8 en mode access, puis configurés avec le vlan 4

2960-RG(config)#interface range fastEthernet 0/5-82960-RG(config-if-range)#switchport mode access2960-RG(config-if-range)#switchport access vlan 42960-RG(config-if-range)#end2960-RG#

Pour un switch série 65006500(config)#interface gi 0/26500(config-if-range)#switchport6500(config-if-range)#switchport mode access6500(config-if-range)#switchport access vlan 46500(config-if-range)#end6500#

4

• Configuration d'un port en mode trunk (par exemple une connexion entre deux switch)

Pour un switch série 2950 et 37503750(config)#interface gigabitEthernet 1/0/13750(config)#switchport trunk encapsulation dot1q3750(config-if)#switchport mode trunk3750(config-if)#

Pour un switch série 29602960-RG(config)#interface gigabitEthernet 1/0/12960-RG(config-if)#switchport mode trunk2960-RG(config-if)#

Pour un switch série 65006500(config)#interface gigabitEthernet 1/0/16500(config-if)#switchport6500(config-if)#switchport trunk encapsulation dot1q6500(config-if)#switchport mode trunk6500(config-if)#

• Filtrage des vlans sur un port uplinkPour les switchs série 2950, 2960, 3750, 6500 (dans l'exemple, on autorise les vlans 2,3 et 10 a être transportés sur le lien).

2960-RG(config)#interface gigabitEthernet 1/0/12960-RG(config-if)#switchport trunk allowed vlan add 2,3,102960-RG(config-if)#

Pour interdire un vlan de passer par le lien trunk (dans l'exemple, le vlan3):2960-RG(config-if)#switchport trunk allowed vlan remove 32960-RG(config-if)#

Pour supprimer la commande de filtrage:2960-RG(config-if)#no switchport trunk allowed vlan2960-RG(config-if)#

• Configuration d'un vlan dédié à la téléphonieLe protocole cdp doit préalablement être activé.

2960-RG(config)#vlan 102960-RG(config-vlan)#name voip2960-RG(config-vlan)#ex2960-RG(config)#int fastEthernet 0/12960-RG(config)#switchport voice vlan 10

• Suppression de la configuration d'un portComme d'habitude, il suffit de mettre la commande no devant les commandes entrées précédemment.Par exemple:

2960-RG(config)#int fastEthernet 0/12960-RG(config-if)#no switchport access vlan2960-RG(config-if)#no switchport mode acc2960-RG(config-if)#end

5

Document 4https://ciscotracer.wordpress.com/2015/03/27/routage-inter-vlan-partie-12-router-on-a-stick/

Routage inter VLAN – Router On a StickVoici une toute nouvelle mission : mettre en place du routage inter VLAN.

Dans cet article nous nous appuierons sur la maquette ci dessous. Le routage inter vlan se fera sur le routeur R1.

Cet article sera en quelque sorte la suite de celui-ci :https://ciscotracer.wordpress.com/2014/11/05/vlan-virtual-lan-local-area-network/

Voici la configuration du switch SW1 qui sera identique pour SW2 et SW3.SW1>enableSW1#configuration terminalSW1(config)#vlan 10SW1(config-vlan)#name LAN_BLEUSW1(config-vlan)#vlan 20SW1(config-vlan)#name LAN_VERTSW1(config-vlan)#interface fastethernet 0/2SW1(config-if)#switchport access vlan 10SW1(config-if)#interface fastethernet 0/3SW1(config-if)#switchport access vlan 20SW1(config-if)#interface fastethernet 0/1SW1(config-if)#switchport mode trunk

6

Voici maintenant la configuration du switch SW4Switch>enableSwitch#configure terminalSW1(config)#vlan 10SW1(config-vlan#name LAN_BLEUSW1(config-vlan#vlan 20SW1(config-vlan#name LAN_VERTSwitch(config#interface range fastEthernet 0/1-4Switch(config-if-range)#switchport mode trunk

Passons à présent à la partie principale : « La configuration du router. »

Nous activons tout d’abord l’interface physique fa0/0Router>enableRouter#configure terminalRouter(config)#interface fastEthernet 0/0Router(config-if)#no shutdown

Nous allons créer une interface virtuelle pour le VLAN 10Router(config-if)#interface fastEthernet 0/0.1

Nous modifions l’encapsulation en dot1Q et nous la taguons sur le VLAN 10Router(config-subif)#encapsulation dot1Q 10Router(config-subif)#ip address 192.168.10.254 255.255.255.0

Nous faisons la même commande pour le vlan 20Router(config-subif)#interface fastEthernet 0/0.2Router(config-subif)#encapsulation dot1Q 20Router(config-subif)#ip address 192.168.20.254 255.255.255.0

Nous pouvons afficher la configuration des interfaces avec la commande :Router# show ip interface brief

7

Configurons à présent l’adresse IP d’un PC du vlan 10

Configurons à présent l’adresse IP d’un PC du VLAN 20

La default gateway représente l’adresse IP configurée sur l’interface virtuelle du routeur. C’est notre passerelle pour sortir vers d’autres réseaux.Dans notre maquette :Les PCs dans le VLAN 10 auront une IP et une gateway en 192.168.10.XLes PCs dans le VLAN 20 auront une IP et une gateway en 192.168.20.X

Sur un PC du vlan 10 nous allons pinger un PC du vlan 20 :

8

Document 5

Architecture 1 - paramétrage implémenté :– le routeur effectue la traduction de toutes les adresses réseaux (fonction NAT)– le routeur n’a aucune règle de filtrage activée– la passerelle par défaut définie sur les postes des utilisateurs est 10.225.4.1– les navigateurs Internet des postes utilisateurs ont une configuration de proxy défini par l’IP

10.225.4.1

Architecture 2 - paramétrage implémenté :– le routeur effectue la traduction de toutes les adresses réseaux (fonction NAT)– le routeur n’a aucune règle de filtrage activée– les postes des utilisateurs n’ont pas de passerelle par défaut– les navigateurs Internet des postes utilisateurs ont une configuration de proxy défini par l’IP

10.225.4.1

9

Document 6http://www.linux-france.org/prj/edu/archinet/systeme/ch40.html

Installation d'un service mandataire (Proxy SQUID)Serveur mandataire et serveur de cache

Le serveur mandataire (proxy) est une machine souvent physiquement située entre un réseau et sonaccès à Internet. Il fait office à la fois de passerelle pour l'accès à Internet et de cache de pages web.

Passerelle, parce que tous les accès à Internet passent par le Proxy,

Cache, parce que le Proxy conserve en mémoire cache (sur disque), une copie des pages consultées par les utilisateurs du réseau. Cela évite de télécharger à nouveau la même page sur le site d'origine, si un utilisateur revient fréquemment dessus.

Si un hôte du réseau demande l'adresse d'un noeud distant situé sur un autre réseau, et que cet hôte passe par un service proxy, le proxy va renvoyer à l'hôte sa propre adresse Ethernet. Une fois cette opération réalisée, tous les paquets envoyés par l'hôte seront à destination de l'adresse Ethernet du proxy. Le proxy aura en charge de transmettre ces paquets à l'adresse effective du noeud distant.

Pour les réponses, un processus identique est mis en place. Le site consulté, ne retourne les réponsesqu'au serveur proxy. Le serveur proxy se charge de ventiler les pages au bon destinataire du réseau local.

Squid est un service serveur proxy-cache sous linux. Les objets consultés par les clients sur internet,sont stockés en cache disque par le serveur. A partir du deuxième accès, la lecture se fera en cache, au lieu d'être réalisée sur le serveur d'origine. De ce fait il permet “ d'accélérer ” vos connexions à l'internet en plaçant en cache les documents les plus consultés. On peut aussi utiliser la technique duservice serveur mandataire pour effectuer des contrôles d'accès aux sites.

Les services proxy peuvent être organisés de façon hiérarchique :

10

Les serveurs peuvent être paramétrés pour les autorisations d'accès et les synchronisations.

Les postes clients sont souvent configurés pour utiliser un serveur proxy. Le client s'adresse au serveur proxy, et c'est ce dernier qui traite la requête sur internet. Une fois la réponse reçue, le serveur met en cache la réponse et la retourne au client interne. Le service proxy est fréquemment configuré sur un routeur qui remplit aussi le service de translation d'adresse ou translation de port, mais toutes ces fonctions sont bien différentes.

Dans certains cas, on peut ne pas souhaiter que la configuration soit réalisée au niveau du client. Onsouhaite que celle-ci soit faite au niveau du serveur. Cela peut arriver par exemple si vous avez plusieurs centaines de postes à configurer ou bien si vous ne souhaitez pas que les utilisateurs puissent modifier ou avoir accès à cette partie de la configuration. On parlera de “ service proxy transparent ”. Le service serveur proxy peut être sur le routeur d'accès à l'internet ou sur une autre machine.

Sur la Figure 1, le service proxy est installé sur le routeur.

Sur la figure 2, les requêtes du client (1), sont redirigées vers le proxy par le routeur (2), qui retourne au client la réponse ou redirige vers le routeur (3) pour un envoi sur l'extérieur.

11

Document 7https://fr.wikipedia.org/wiki/Network_address_translation

NAT - Network address translationEn réseau informatique, on dit qu'un routeur fait du network address translation (NAT) lorsqu'il fait correspondre des adresses IP à d'autres adresses IP. En particulier, un cas courant est de permettre à des machines disposant d'adresses qui font partie d'un intranet et ne sont ni uniques ni routables à l'échelle d'Internet, de communiquer avec le reste d'Internet en semblant utiliser des adresses externes uniques et routables.

Ainsi, il est possible de faire correspondre une seule adresse externe publique visible sur Internet à toutes les adresses d'un réseau privé, afin de pallier l'épuisement des adresses IPv4.

La fonction NAT dans un routeur de service intégré (ISR) traduit une adresse IP source interne en adresse IP globale.

Ce procédé est très largement utilisé par les box internet (ou modem routeur) des fournisseurs d’accès pour cacher les ordinateurs domestiques derrière une seule identification publique. Il est également utilisé de façon similaire dans des réseaux privés virtuels.

ExempleUn campus est composé de 1 000 hôtes (ordinateurs, imprimantes, etc.), répartis dans 4 sous-réseaux. Sans utilisation du NAT, un tel campus nécessiterait l'attribution de presque 1 000 adresses IPv4 uniques et routées.En connectant un tel campus à Internet via un routeur qui implémente NAT, il est possible de changer le plan d'adressage interne et d'utiliser des adresses non uniques (utilisées ailleurs dans le monde) et non routables sur Internet (voir RFC 19181). On parle aussi d'adresses publiques (uniques au monde) et privées (uniques seulement dans le réseau privé). Un des buts du NAT est de rendre les adresses privées invisibles depuis Internet.

On n'assignera que quelques centaines d'adresses à l'ensemble des adresses externes du NAT, sachant que les imprimantes (et certains autres équipements) n'ont pas besoin de communiquer avecl'extérieur de façon permanente (donc leurs adresses n'ont pas besoin d'être traduites).

Le NAT permet donc de diminuer significativement le nombre d'adresses IP uniques utilisées.

Implémentation du NATLes correspondances entre les adresses privées (internes) et publiques (externes) sont stockées dans une table sous forme de paires (adresse interne, adresse externe). Lorsqu'une trame est émise depuisune adresse interne vers l'extérieur, elle traverse le routeur NAT qui remplace, dans l'en-tête du paquet TCP/IP, l'adresse de l'émetteur par l'adresse IP externe. Le remplacement inverse est fait lorsqu'une trame correspondant à cette connexion doit être routée vers l'adresse interne. Aussi, on peut réutiliser une entrée dans la table de correspondance du NAT si aucun trafic avec ces adresses n'a traversé le routeur pendant un certain temps (paramétrable).

12

IP interne IP externe Durée (s) Réutilisable ?10.101.10.20 193.48.100.174 1 200 non

10.100.54.251 193.48.101.8 3 601 oui10.100.0.89 193.48.100.46 0 non

Voici par exemple une table de NAT simplifiée. On supposera qu'une entrée pourra être réclamée si la traduction n'a pas été utilisée depuis plus de 3 600 secondes.

La première ligne indique que la machine interne, possédant l'adresse IP 10.101.10.20 est traduite en 193.48.100.174 quand elle converse avec le monde extérieur. Elle n'a pas émis de paquet depuis 1 200 secondes, mais la limite étant 3 600, cette entrée dans la table lui est toujours assignée. La seconde machine est restée inactive pendant plus de 3 600 secondes, elle est peut-être éteinte, une autre machine peut reprendre cette entrée (en modifiant la première colonne puisqu'elle n'aura pas lamême IP interne). Enfin, la dernière machine est actuellement en conversation avec l'extérieur, le champ de Durée étant 0.

La plupart des pare-feu et routeurs implémentent le NAT pour permettre à plusieurs machines de partager une seule adresse IP publique.

Bénéfices du NATLes adresses internes peuvent être choisies parmi les adresses définies dans la RFC 1918. Ainsi plusieurs sites peuvent avoir le même adressage interne et communiquer entre eux en utilisant ce mécanisme. Étant donné que les adresses internes sont réutilisées, on économise des adresses IP publiques, dont l'occupation, en IPv4, arrive à saturation.

On peut avoir moins d'adresses dans l'ensemble des adresses externes que ce qu'on a comme adresses IP à l'intérieur du réseau, si l'on met en place un mécanisme permettant de récupérer des adresses inutilisées après un certain temps (on appelle ceci un bail). Plus précisément, si une entrée dans la table des traductions n'est pas utilisée pendant un certain temps (paramétrable dans le serveur DHCP du réseau), cette entrée peut-être réutilisée : une autre machine avec une adresse interne va récupérer l'adresse externe.

On estime parfois que le NAT apporte un bénéfice en termes de sécurité car les adresses internes sont dissimulées. La sécurité des équipements derrière un NAT n'est cependant pas supérieure à celle qu'un pare-feu à états peut fournir.

13

Document 8

Exemple de table de filtrage

Le routeur parcours la table de filtrage. Dès qu’une règle s’applique elle est prise en compte et le parcours de la table s’arrête. Ainsi, seule la première règle applicable rencontrée est exécutée.Par définition, tout ce qui n'est pas autorisé est interdit ; si aucune règle ne s’applique,le paquet est donc refusé.

N° derègle

Interfaced'arrivée

Action AdresseSource

Portsource

AdresseDestination

Portdestination

Description

1 192.168.3.20 accepte 443Accepte les connexions HTTPS-443 entrantes

2 192.168.3.20 accepte 192.168.3.1 80Accepte les connexions HTTP-80 depuis l’IP sourceprécisée

14