NAT-T

En réseau informatique, NAT-T (NAT traversal dans le cadre de l'IKE) est une méthode permettant aux datagrammes IPsec de traverser un réseau utilisant du NAT.

En effet, le PAT est un type de NAT qui ne s'applique qu'aux protocoles UDP et TCP (couche 4 du modèle OSI) pour discriminer les différents flux IP. Or IPSec (Internet Protocol Security) est un protocole de couche 3 uniquement, il ne possède pas de couche 4. De ce fait, il n'est pas compatible avec le PAT.

Cependant, il est toujours possible d'utiliser le protocole NAT-T qui encapsule les paquets IPsec dans des paquets UDP permettant à ces derniers de traverser un réseau « natté » avec du PAT. La négociation du NAT-T durant l'IKE est définie par la RFC 3947^[1] et l'encapsulation proprement dite est quant à elle définie dans la RFC 3948^[2].

Cisco a développé son propre protocole de tunnel pour traverser un réseau naté. Il permet d'utiliser IPSec sur TCP ou bien UDP.

Les principaux constructeurs de matériel réseau supportent le NAT-T pour l'IKEv1. En outre, cette fonctionnalité existe aussi dans Microsoft Windows XP avec le SP2, mais elle doit être activée volontairement^[3], en raison de problèmes de sécurité^[4].

Références

• (en) « IPsec-Network Address Translation (NAT) Compatibility Requirements », Request for comments n^o 3715, mars 2004

1. (en) « Negotiation of NAT-Traversal in the IKE », Request for comments n^o 3947, janvier 2005
2. (en) « UDP Encapsulation of IPsec ESP Packets », Request for comments n^o 3948, janvier 2005
3. « support.microsoft.com/kb/81804… »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}.
4. « support.microsoft.com/kb/88534… »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}.

•   Portail de la cryptologie
•   Portail de la sécurité informatique