Fonctions de sécurité du partage de connexion Internet

Traductions disponibles Traductions disponibles
Numéro d'article: 241570 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F241570
Agrandir tout | Réduire tout

Résumé

Cet article décrit les fonctions de sécurité du partage de connexion Internet (ICS). Bien que ICS ne puisse être considéré comme un pare-feu à proprement parler en termes de sécurisation, vous pouvez l'utiliser pour créer un environnement relativement sûr tout en assurant une connectivité Internet complète.

Plus d'informations

ICS utilise la technique de conversion d'adresses de réseau (NAT) pour acheminer les paquets TCP/IP entre deux réseaux. ICS relie un réseau interne (généralement un petit réseau local) et un réseau externe (généralement Internet). ICS associe un numéro de port TCP/UDP à une adresse IP (protocole Internet) sur le réseau interne. Le numéro de port associé à l'adresse IP est enregistré dans une table.

Par exemple, l'adresse IP pour l'adaptateur ICS interne est 192.168.0.1 et l'adaptateur ICS externe a une adresse IP de 156.59.23.100, laquelle est attribuée par le fournisseur de services Internet (ISP). Le client envoie un paquet TCP/IP vers une page Web à l'adresse 131.125.13.1 sur Internet au port 80. Le paquet contient les informations suivantes :
Adresse IP de destination= 131.125.13.1 (adresse de la destination Internet)
Adresse IP d'origine= 192.168.0.2
Port de destination= 80
Port d'origine= 2000 (défini par le programme)
L'adresse 131.125.13.1 n'étant pas située dans la plage d'adressage 192.168.0.x, le paquet est acheminé vers l'ordinateur ICS qui fait office de passerelle par défaut. L'ordinateur ICS génère un nouveau paquet à envoyer vers la page Web à l'adresse 131.125.13.1, paquet qui contient les informations suivantes :
Adresse IP de destination= 131.125.13.1
Adresse IP d'origine= 156.59.23.100 (il s'agit d'une adresse IP attribuée à l'adaptateur ICS externe par l'ISP)
Port de destination= 80
Source port= 3000
Notez que les valeurs pour l'adresse IP d'origine et le port d'origine ont changé. En d'autres termes, le port 3000 est mappé sur l'adresse IP 192.168.0.2 jusqu'à ce que la connexion soit fermée. Le mappage du port est enregistré dans une table. Après que la page Web a répondu, l'ordinateur ICS reçoit un paquet contenant les informations suivantes :
Adresse IP de destination= 156.59.23.100
Adresse IP d'origine= 131.125.13.1
Port de destination= 3000
Port d'origine= 80
L'ordinateur convertit ensuite le paquet et envoie le nouveau paquet à l'adresse IP 192.168.0.2 du client d'où le paquet initial provient. ICS détecte que le port 3000 est affecté à l'adresse IP, puisque cette information est enregistrée dans la table de mappage de ports. Le paquet envoyé au client contient les informations suivantes :
Adresse IP de destination= 192.168.0.2
Adresse IP d'origine= 131.125.13.1
Port de destination= 2000
Port d'origine= 80
Notez que le port de destination et l'adresse IP correspondent désormais à l'adresse IP et au numéro de port utilisés par le client d'où provient le paquet. Du fait de ce processus de conversion, Internet détecte le réseau local (tous les clients) derrière l'ordinateur ICS (y compris celui-ci) sous une seule adresse IP.

Un paquet en provenance d'Internet ne peut atteindre un client derrière un ordinateur ICS que de deux manières :
  • L'ordinateur ICS convertit un paquet entrant et envoie un nouveau paquet à l'ordinateur client en se basant sur une table de conversion. Un client doit d'abord envoyer un paquet (établissant, par là, un mappage de port) avant de pouvoir recevoir un paquet d'Internet par l'intermédiaire d'un ordinateur ICS.
  • L'ordinateur ICS est configuré pour diriger l'ensemble du trafic entrant sur un port spécifique vers un ordinateur client spécifique. Cette méthode nécessite une modification de la configuration par défaut.Pour plus d'informations, cliquez sur le numéro d'article ci-dessous afin de l'afficher dans la base de connaissances Microsoft :
    231162Procédure pour mapper un port dans ICS en utilisant un fichier .inf
    Pour plus d'informations sur la conversion d'adresses de réseau (NAT), reportez-vous à RFC 1631.
Sur l'ordinateur ICS, les ports 1 à 1024 ne sont pas bloqués spécifiquement, à l'exception du port TCP 135 et du port UDP 139. Le blocage de ces ports empêche les demandes de partage de fichiers et d'imprimantes (demandes SMB) de fonctionner sur l'adaptateur externe. Cela affecte les paquets TCP/IP entrants et sortants sur l'ordinateur ICS comme décrit ci-après.
  • Tous les paquets envoyés par l'ordinateur ICS ou reçus en provenance d'Internet qui utilisent un numéro de port supérieur à 1024 doivent être convertis, comme n'importe quel autre ordinateur client derrière l'ordinateur ICS. Par exemple, un paquet provenant de l'ordinateur ICS et le paquet réponse correspondant sur le port 5000 doivent subir le processus de conversion décrit plus haut dans cet article.
  • Tous les paquets envoyés par l'ordinateur ICS ou reçus en provenance d'Internet qu utilisent un numéro de port inférieur ou égal à 1024 sont transmis directement à Internet ou au programme sur l'ordinateur ICS sans être convertis. Par exemple, lorsque vous ouvrez la page d'accueil sur un ordinateur ICS, un paquet est envoyé sur le port 80 et routé directement vers Internet sans être converti. En outre, tout paquet reçu par l'ordinateur ICS sur le port 80 est envoyé directement au programme sur l'ordinateur ICS qui est activement " à l'écoute " du port 80 (un serveur Web, par exemple). Pour que l'ordinateur ICS réponde directement à une demande sur un port inférieur ou égal à 1024, un programme doit être en attente de paquets sur le même port que celui de la demande. Par défaut, l'ordinateur ICS ne répond pas aux demandes SMB (blocs de messages de serveur) sur les ports 135 et 139, car ceux-ci sont bloqués.
ICS ne délie pas le partage de fichiers et d'imprimantes de l'adaptateur externe sur l'ordinateur ICS. L'accès réseau distant (DUN) délie le partage de fichiers et d'imprimantes de l'adaptateur d'accès distant dans les cas où les adaptateurs Ethernet (pour les connexions DSL et câble par modem) ne délient pas la partage de fichiers et d'imprimantes par défaut. Les ports 135 et 139 sur l'ordinateur ICS sont bloqués par défaut sur l'adaptateur externe pour empêcher des ordinateurs distants sur Internet d'accéder aux partages et aux imprimantes du réseau local. Le blocage de ces ports n'affecte pas la capacité de l'ordinateur ICS à partager des fichiers et des imprimantes avec d'autres ordinateurs du réseau local (LAN). Le déblocage de ces ports expose les imprimantes et les partages du réseau local à Internet et n'est pas recommandé.

Propriétés

Numéro d'article: 241570 - Dernière mise à jour: mercredi 29 septembre 2004 - Version: 2.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 98 Deuxième Édition
  • Microsoft Windows Millennium Edition
Mots-clés : 
kbenv kbinfo kbwinme win98se KB241570
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Exclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Cet article concerne des produits pour lesquels Microsoft n'offre plus de support. Il est par conséquent fourni « en l'état » et ne sera plus mis à jour.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com