Qu'est-ce qu'un pare-feu NAT et comment fonctionne-t-il ?
Dans le domaine des réseaux informatiques, NAT signifie N réseau UN robe T traduction. En termes simples, NAT permet à de nombreux appareils d'un réseau privé de partager un seul passerelle a l'Internet. À leur tour, tous ces appareils auront le même adresse IP publique - celui de la passerelle - et unique adresses IP privées . Ces passerelles se trouvent couramment sur les routeurs wifi et certains services VPN. Par exemple, tous les appareils connectés à un routeur Wi-Fi compatible NAT ont des adresses IP privées différentes, mais partagent l'adresse IP publique du routeur.
ALLER DIRECTEMENT À : Les meilleurs VPN avec pare-feu NAT
Lorsque vous visitez un site Web, votre appareil envoie une requête au routeur, s'identifiant grâce à son adresse IP privée. Le routeur traduit ensuite la demande et la transmet au serveur du site Web avec son adresse IP publique, en notant l'adresse privée d'origine. Le serveur répond au routeur avec une copie du site Web, que votre routeur transmet ensuite à votre appareil via l'adresse IP privée.
UN pare-feu est une couche de protection qui empêche les communications indésirables entre les appareils sur un réseau, comme Internet.
UN Pare-feu NAT fonctionne en autorisant le trafic Internet à passer par la passerelle uniquement si un appareil du réseau privé le demande. Toutes les demandes ou paquets de données non sollicités sont rejetés, empêchant ainsi la communication avec des appareils potentiellement dangereux sur Internet. Si le trafic Internet entrant n'a pas d'adresse IP privée vers laquelle transférer au-delà de la passerelle, le pare-feu NAT sait que le trafic n'est pas sollicité et doit être ignoré.
Les ordinateurs et les serveurs sur Internet ne peuvent voir que l'adresse IP publique du routeur et aucune des adresses IP privées d'appareils spécifiques, comme les téléphones, les ordinateurs portables, les téléviseurs intelligents, les appareils Internet des objets et les consoles de jeux. Ceci est également connu sous le nom Masquage d'adresse IP .
Comment savoir si je suis derrière un pare-feu NAT
Vous ne savez pas si votre routeur wifi dispose d'un pare-feu NAT activé ? Essayez de connecter deux appareils au même réseau Wi-Fi, comme un ordinateur portable et un smartphone.
Maintenant, sur chacun d’eux, lancez une recherche Google pour « quelle est mon IP ?
Si vous voyez la même adresse IP pour les deux appareils, vous êtes probablement derrière un pare-feu NAT. Vos appareils ont des adresses IP privées (locales) différentes, mais la même adresse IP publique.
Sur un VPN, il peut être plus difficile de déterminer si un pare-feu NAT est utilisé, mais vous pouvez généralement le savoir quelque part dans la documentation de votre fournisseur VPN. Vous pourriez avoir la possibilité d'activer ou de désactiver un pare-feu NAT dans les paramètres de votre application VPN, ou d'en acheter un en option.
Pare-feu NAT et VPN
Un VPN, ou réseau privé virtuel, crypte le trafic Internet d’un appareil et l’achemine via un serveur intermédiaire situé à l’emplacement choisi par l’utilisateur. Étant donné que tout le trafic Internet est « canalisé » via le VPN avant d’atteindre Internet, le pare-feu NAT de votre routeur Wi-Fi ne peut pas faire la distinction entre le trafic demandé et non sollicité. Parce que tout est crypté depuis le serveur VPN, tout se ressemble, rendant le pare-feu NAT de votre routeur inutile.
Pour cette raison, de nombreux VPN implémentent des pare-feu NAT. Au lieu que votre routeur wifi filtre le trafic indésirable, le serveur VPN le fait à sa place. Parfois, les pare-feu NAT sont un supplément facultatif, et parfois ils sont intégrés par défaut aux VPN.
Tout le monde n’est pas d’accord sur le fait que les pare-feu NAT et les VPN constituent une bonne combinaison.
Les fournisseurs de VPN se répartissent généralement en deux camps : ceux qui utilisent des pare-feu NAT et ceux qui utilisent des pare-feu PAT. Nous expliquerons ce dernier plus loin.
Un VPN qui utilise un pare-feu NAT attribue à chaque utilisateur une adresse IP privée unique. Il étend tous les avantages du pare-feu NAT d’un routeur wifi, comme indiqué ci-dessus, à votre connexion VPN.
L’inconvénient est que même si vous êtes protégé contre les communications indésirables, votre appareil pourrait être plus facilement suivi par le fournisseur VPN ou par un tiers.
La méthode alternative consiste à attribuer la même adresse IP publique à tous les utilisateurs VPN connectés au même serveur, sans adresses IP privées uniques. Cela ajoute une couche importante d’anonymat, car l’activité en ligne ne peut pas être retracée jusqu’à une personne ou un appareil individuel par une adresse IP.
ExpressVPN est un fournisseur qui s'oppose aux pare-feu NAT. La société affirme utiliser une politique de blocage de ports au lieu d'un pare-feu NAT :
« Les serveurs d'ExpressVPN mémorisent toutes les requêtes et les diffusent depuis différents ports du serveur. L'utilisateur reçoit une réponse d'ExpressVPN, mais les autres ports restent fermés. Garder les ports fermés protège les utilisateurs comme le ferait un pare-feu.
Traduction d'adresse de port
De nombreux systèmes appelés pare-feu NAT sont en réalité des pare-feu PAT. PAT signifie P. emplacement UN robe T traduction. Semblable au NAT, il permet à une passerelle réseau avec une seule adresse IP de représenter plusieurs ordinateurs. La différence est que chaque appareil se voit attribuer un numéro de port au lieu d'une adresse IP privée.
Lorsqu'une passerelle réseau reçoit une adresse sortante d'un ordinateur sur le réseau, elle remplace l'adresse de retour de l'ordinateur par sa propre adresse compatible Internet et ajoute un numéro de port à l'extrémité. La passerelle crée ensuite une entrée dans sa table de traduction afin de savoir que le numéro de port qu'elle a utilisé représente un ordinateur spécifique sur le réseau.
Ce système est très populaire car il réduit le nombre d’adresses IP Internet qu’une entreprise doit posséder. C’est également un très bon système pour les services VPN, car tout le trafic quittant la passerelle VPN aura la même adresse de retour. Comme de nombreux services VPN ont des centaines de clients connectés au même endroit en même temps, il est impossible de savoir de quel abonné provient chaque demande.
Pare-feu NAT et torrenting
Étant donné que les pare-feu NAT empêchent le trafic non sollicité d'atteindre les appareils des utilisateurs finaux, ils peuvent causer des problèmes lors du torrenting. Lorsque vous êtes derrière un, vous ne pourrez peut-être pas télécharger de fichiers (de départ) pour que d'autres utilisateurs de torrent puissent les télécharger. À l’inverse, vous ne pourrez peut-être pas vous connecter à autant de pairs à partir desquels vous pourrez télécharger (sangsue) des fichiers. Un pare-feu NAT peut vous couper de l’accès à une partie importante des utilisateurs d’un essaim torrent. Il en va de même pour les pare-feu PAT.
Cependant, cela ne veut pas dire que le torrenting est impossible avec un pare-feu NAT. De nos jours, la plupart des pare-feu NAT ne sont pas si stricts qu’ils ont un impact significatif sur les performances de téléchargement. Vous trouverez peut-être des pare-feu plus stricts dans les lieux publics comme les hôtels ou les écoles, mais la plupart des routeurs domestiques et des services VPN ne limitent pas le torrent de cette manière.
Si un pare-feu NAT sur votre réseau local vous empêche de télécharger des torrents, vous pouvez utiliser un VPN pour le contourner. Rappelez-vous que, comme tout le trafic entrant passe par le VPN et est crypté, votre pare-feu NAT local ne peut pas faire la distinction entre le trafic sollicité et non sollicité. Même si le VPN dispose de son propre pare-feu NAT, il sera probablement moins strict que celui de votre réseau privé.
Une poignée de VPN vous permettent de configurer la redirection de port pour contourner les restrictions du pare-feu NAT pendant le torrent, mais il est important de noter que cela compromet la sécurité. L’ouverture de ports vous rend plus vulnérable aux attaques et, comme vous utilisez un port spécial, votre trafic Internet se distingue plus facilement de celui des autres utilisateurs VPN. Cela vous rend plus facile à suivre.
Redirection de port est également une fonctionnalité courante sur les clients torrent comme uTorrent, mais les mêmes risques s'appliquent.
Meilleur VPN avec un pare-feu NAT : IPVanish
Applications disponibles :
- PC
- Mac
- IOS
- Android
- Linux
Site web:www.IPVanish.com
Garantie de remboursement:30 JOURS
TousIPVanishles serveurs utilisent des pare-feu NAT pour permettre aux utilisateurs de partager leurs adresses IP publiques. Les applications vous permettent même de changer d'adresse IP à intervalles réguliers. En raison du pare-feu NAT, vous ne pouvez pas transférer l'accès à votre appareil lorsque vous êtes connecté. Pour certains, il s’agit d’une mesure de sécurité utile. Pour d’autres, c’est un obstacle. IPVanish indique que la plupart des utilisateurs ne font pas de transfert de port et ne seront pas affectés.
Outre le pare-feu NAT, IPVanish est un VPN de qualité avec des normes de sécurité rigoureuses et une politique de non-journalisation. Vous pouvez connecter jusqu’à 10 appareils à la fois, soit le double de ce que proposent la plupart des VPN. IPVanish crée des applications pour Windows, MacOS, iOS, Android et Amazon Fire TV.
MEILLEUR VPN AVEC PARE-FEU NAT : Malgré le blocage de la redirection de port, IPVanish a été conçu dès le départ en pensant au torrent : rapide et privé. Il est accompagné d'une garantie de remboursement de 7 jours.
Lisez notre revue complète d'IPVanish.
Finaliste : VyprVPN
Applications disponibles :
- PC
- Mac
- IOS
- Android
- Linux
Site web:www.VyprVPN.com
Garantie de remboursement:30 JOURS
VyprVPNoffre aux utilisateurs un pare-feu NAT pour protéger les utilisateurs des pirates informatiques qui pourraient autrement atteindre votre système via les connexions laissées ouvertes par vos applications. De plus, vous pouvez définir manuellement les ports utilisés par le protocole OpenVPN. Si vous souhaitez vraiment personnaliser votre connexion VPN, VyprVPN pourrait être celui qu'il vous faut.
L’entreprise utilise un cryptage fort et n’enregistre aucune information ou activité d’identification. Elle possède plusieurs de ses propres serveurs et centres de données, répartis dans une soixantaine de pays.
VyprVPN crée des applications pour Windows, MacOS, iOS et Android. Vous pouvez connecter jusqu'à cinq appareils à la fois.
VPN PARE-FEU NAT : le pare-feu NAT de VyprVPN et d'autres mesures de sécurité fonctionnent pour vous permettre de naviguer et de télécharger en toute sécurité depuis n'importe où dans le monde. Vous pouvez le tester avec un essai gratuit de 3 jours.
Lisez notre revue complète de VyprVPN.
Meilleur VPN sans un pare-feu NAT : ExpressVPN
Applications disponibles :
- PC
- Mac
- IOS
- Android
- Linux
Site web:www.ExpressVPN.com
Garantie de remboursement:30 JOURS
ExpressVPNpropose un service d'adresse IP partagée et ajoute des mesures de sécurité en utilisant le protocole OpenVPN avec cryptage AES 256 bits. L'échange de clés AES est protégé par un cryptage RSA 4096 bits, impossible à déchiffrer.
ExpressVPN ne stocke aucun journal d’identification et le torrenting est autorisé sur tous les serveurs. Le service est rapide et comprend l'accès à des milliers de serveurs dans 94 pays. Il fonctionne en Chine et peut être utilisé pour débloquer de nombreux contenus géographiquement restreints sur des sites comme Netflix et Hulu.
ExpressVPN crée des applications pour Windows, MacOS, iOS, Android, Linux, Amazon Fire TV et certains routeurs wifi. Vous pouvez connecter jusqu'à trois appareils à la fois. Un routeur compte pour un appareil, quel que soit le nombre d’appareils qui y sont connectés.
MEILLEUR VPN SANS PARE-FEU : ExpressVPN est un VPN premium doté d'une sécurité robuste et d'excellentes capacités de déblocage pour démarrer. Il est accompagné d'une garantie de remboursement de 30 jours.
Lisez notre revue complète d'ExpressVPN.
Finaliste : NordVPN
Applications disponibles :
- PC
- Mac
- IOS
- Android
- Linux
- FireTV
Site web:www.NordVPN.com
Garantie de remboursement:30 JOURS
NordVPNutilise un modèle d'adresse IP partagée, mais quelques adresses IP dédiées sont disponibles dans les applications. Nord exploite plus de 5 000 serveurs dans plus de 60 pays. Il adhère à une politique stricte de zéro journal et ses applications sont aussi sécurisées que possible. C'est également un bon choix si vous essayez de débloquer du contenu verrouillé par région.
Quelques types de connexion alternatifs sont proposés pour une poignée de serveurs. Ceux-ci incluent des serveurs optimisés pour le P2P, bien que le torrenting soit acceptable sur chacun d'entre eux. D'autres options incluent Tor sur VPN et double VPN.
NordVPN autorise jusqu'à six connexions simultanées et crée des applications pour Windows, MacOS, iOS, Android, Linux et Amazon Fire TV.
VPN NAT : NordVPN propose un grand nombre de serveurs haut débit et une gamme de différents types de connexion. Il est accompagné d'une garantie de remboursement de 30 jours.
Lisez notre revue complète de NordVPN.
Limites du pare-feu NAT
Tous les ordinateurs derrière un pare-feu NAT ne sont pas à l'abri des virus. De nos jours, les pirates informatiques doivent inciter les utilisateurs d’ordinateurs à installer des chevaux de Troie. Ces programmes enverront des requêtes à l’ordinateur du pirate informatique. Étant donné que le message entrant du pirate informatique est envoyé en réponse à une demande provenant du réseau, la passerelle le laissera passer.
Les pare-feu NAT ne vous protègent pas contre les escroqueries par phishing, où vous recevez un e-mail de votre banque en ligne vous demandant d'appuyer sur un bouton dans l'e-mail pour vous connecter à votre compte. Dans cette astuce, l'e-mail ne provient pas de votre banque, mais d'un pirate informatique, et lorsque vous vous connectez à votre compte, vous entrez simplement vos informations d'identification dans une fausse page créée par le pirate informatique.
Un pare-feu NAT ne vous protégera pas d'une attaque de l'homme du milieu, dans laquelle un pirate informatique exécutant un faux point d'accès Wi-Fi capture tout votre trafic en se faisant passer pour les serveurs auxquels vous souhaitez vous connecter.
Il existe encore de nombreuses failles de sécurité dans toute connexion contre lesquelles les pare-feu NAT ne peuvent pas vous protéger. L’avantage d’utiliser un VPN est qu’il déploie de nombreuses procédures de sécurité différentes, notamment des certificats de cryptage et d’authentification pour vous empêcher d’être escroqué ou espionné.
Comment fonctionne la traduction d'adresse IP
Si tous les ordinateurs d’un réseau devaient se connecter directement à Internet, chacun aurait besoin d’une adresse IP unique au monde. Cependant, la configuration la plus courante consiste à canaliser toutes les communications Internet de tous les ordinateurs d'un réseau via une seule passerelle. Dans ce scénario, tous les ordinateurs ont besoin d’adresses IP qui doivent uniquement être uniques sur ce réseau.
D'autres réseaux privés peuvent utiliser les mêmes adresses, mais cela n'a pas d'importance car ces adresses seront chacune uniques au sein de leurs réseaux respectifs. Seule l’adresse IP de la passerelle doit être unique sur Internet.
La passerelle doit garder une trace de tous les ordinateurs du réseau privé qui ont envoyé des requêtes via Internet. Lorsqu'une réponse arrive, la passerelle recherche quel ordinateur a envoyé la requête dans son table de traduction d'adresses réseau afin qu'il sache où transmettre la réponse.
Lorsqu'un ordinateur du réseau envoie une requête à un serveur sur Internet, la passerelle réseau remplace l'adresse du réseau privé écrite dans ces communications par une adresse Internet unique. À la fin de la session, cette adresse privée est renvoyée au pool et sera attribuée à un autre ordinateur. Ainsi, les adresses Internet sur le réseau privé sont masquées et personne à l’extérieur ne peut savoir exactement quel ordinateur du réseau a envoyé la demande. La passerelle le sait car elle possède un enregistrement dans sa table de traduction d'adresses réseau.
À la fin de la connexion, lorsque l'adresse attribuée est renvoyée au pool, la passerelle supprime l'entrée NAT de cette adresse de sa table de traduction.
Autres avantages du NAT
NAT n’était pas initialement destiné à être utilisé comme pare-feu. Il a été inventé pour rendre les réseaux plus portables afin que tous les appareils n'aient pas besoin d'être réadressés en cas de déplacement du réseau. Seul le périphérique NAT, tel qu'un routeur, nécessiterait une nouvelle adresse IP publique, tandis que tous les périphériques qui y sont connectés pourraient continuer à utiliser les mêmes adresses IP privées.
Le NAT est désormais essentiel lorsqu'il s'agit de conserver l'espace d'adressage global. Le protocole IPv4, qui détermine la manière dont tous les appareils sur Internet communiquent, dispose d'un nombre limité d'adresses IP disponibles. Si chaque appareil qui se connecte à Internet nécessitait une adresse IP unique, nous en manquerions bientôt. La connexion de plusieurs appareils sur un réseau privé via une seule passerelle NAT n'utilise qu'une seule adresse IPv4.
IPv6 a été inventé pour remplacer à terme IPv4 par un espace d'adressage beaucoup plus grand, mais son adoption a été lente, le NAT est donc un outil très nécessaire pour maintenir Internet opérationnel.
Crédits images :
- ' CPT-NAT ' [dérivé de] Miles J Pool, CC BY 4.0
- Wikibooks anglais [domaine public], via Wikimédia Commons (1) , (deux)