Ignorer les liens de navigation | |
Quitter l'aperu | |
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Utilisation de la protection des liens dans des environnements virtualisés
3. Serveurs Web et protocole SSL (Secure Sockets Layer)
4. IP Filter dans Oracle Solaris (présentation)
6. Architecture IPsec (présentation)
Associations de sécurité IPsec
Mécanismes de protection IPsec
ESP (Encapsulating Security Payload, association de sécurité)
Considérations de sécurité lors de l'utilisation de AH et ESP
Authentification et chiffrement dans IPsec
Algorithmes d'authentification dans IPsec
Algorithmes de chiffrement dans IPsec
Stratégies de protection IPsec
Modes Transport et Tunnel dans IPsec
Réseaux privés virtuels et IPsec
IPsec et les zones Oracle Solaris
7. Configuration d'IPsec (tâches)
8. Architecture IPsec (référence)
9. Protocole IKE (présentation)
IKE peut négocier des SA IPsec dans une zone NAT Cela permet aux systèmes de se connecter en toute sécurité à partir d'un réseau distant, même lorsqu'ils résident derrière un périphérique NAT. Par exemple, les employés travaillant à domicile ou se connectant depuis un site de conférence peuvent protéger leur trafic à l'aide d'IPsec.
NAT est l'acronyme de Network Address Translation (translation d'adresse réseau). Un routeur NAT permet d'associer une adresse interne privée à une adresse Internet unique. Les routeurs NAT équipent de nombreux points d'accès publics à Internet, comme ceux qu'on trouve dans les hôtels. Pour plus d'informations, reportez-vous à la section Utilisation de la fonctionnalité NAT d'IP Filter.
L'utilisation d'IKE lorsqu'un routeur NAT figure entre les systèmes de communication correspond au NAT-T (NAT traversal). NAT-T présente les restrictions suivantes :
Le protocole AH dépend d'un en-tête IP permanent, ce qui empêche son fonctionnement avec NAT-T. Le protocole ESP s'utilise avec NAT-T.
Le routeur NAT n'applique pas de règles de traitement particulières. Un routeur NAT obéissant à des règles de traitement IPsec pourrait intervenir dans l'implémentation de NAT-T.
NAT-T fonctionne uniquement lorsque l'initiateur IKE est le système derrière le routeur NAT. Un répondeur IKE ne peut pas se trouver derrière un routeur NAT, à moins que celui-ci ne soit programmé pour transférer des paquets IKE au système adéquat figurant derrière lui.
Les documents RFC suivants décrivent la fonctionnalité NAT et les restrictions de NAT-T. Vous pouvez obtenir des copies des RFC à l'adresse suivante : http://www.rfc-editor.org.
RFC 3022, "Traditional IP Network Address Translator (Traditional NAT)", janvier 2001
RFC 3715, "IPsec-Network Address Translation (NAT) Compatibility Requirements", mars 2004
RFC 3947, "Negotiation of NAT-Traversal in the IKE", janvier 2005
RFC 3948, "UDP Encapsulation of IPsec Packets", janvier 2005
Pour une utilisation conjointe d'IPsec et NAT, reportez-vous à la section Configuration du protocole IKE pour les systèmes portables (liste des tâches).