Network Address Translation (NAT).

La traduction d'adresses réseau associe des adresses IP privées internes à des adresses publiques utilisées sur Internet, et inversement. Le NAT traditionnel et la terminologie qui l'entoure sont décrits dans la RFC 3022 et la RFC 2663. La variante la plus courante, PAT (aussi appelée NAT overload), multiplexe des milliers d'hôtes internes derrière une seule adresse publique en réécrivant aussi les ports source et en maintenant une table de traduction indexée sur le 5-uplet. Le NAT a été introduit principalement pour ralentir l'épuisement d'IPv4, mais il masque aussi la topologie interne et bloque par défaut le trafic entrant non sollicité, offrant une opacité utile mais faible.

Le NAT n'est pas à lui seul une frontière de sécurité. Il complique les protocoles qui intègrent des adresses dans leurs charges utiles (SIP, FTP, IPsec), si bien que les routeurs embarquent des Application Level Gateways (ALGs) qui réécrivent ces charges utiles. L'attaque NAT Slipstreaming de Samy Kamkar en 2020 (CVE-2020-28041) a exploité précisément ce mécanisme : un JavaScript malveillant sur une page web piégeait le navigateur de la victime pour qu'il envoie des paquets forgés que l'ALG SIP du routeur interprétait mal, ouvrant un pinhole entrant vers n'importe quel port interne. Chrome (v87.0.4280.141) et Firefox (v85) ont publié des correctifs bloquant les ports détournés, et des chercheurs d'Armis ont ensuite publié un contournement v2.0.

Défenses : désactiver les ALGs inutiles, associer le NAT à un véritable pare-feu à états, et garder à l'esprit que le NAT s'efface en IPv6, où chaque hôte peut détenir une adresse routable globalement.

flowchart LR
  subgraph LAN [Private network]
    H1[192.168.1.10:51000]
    H2[192.168.1.11:51001]
  end
  H1 --> N[NAT router<br/>translation table]
  H2 --> N
  N -->|src 203.0.113.5:40001| I[Internet]
  N -->|src 203.0.113.5:40002| I