Options de la sécurité NAT

Dans les paramètres avancés de WinRoute (build 20 et plus), il y a un menu d'options concernant la sécurité NAT et qui comprend un mode silence (silent mode). Ce mode permet de faire que WinRoute, pour certains types de requêtes, ignore les paquets et rende ainsi votre réseau invisible du monde extérieur.

Requête écho ICMP entrante (Incoming ICMP echo request):

Internet Control Message Protocol (ICMP) est le protocole d'information qui permet de faire des requêtes simples sur l'état du réseau (UN ping, par exemple - ping 206.86.211.32). Lorsqu'un ordinateur essaye de pinger l'ordinateur WinRoute, les options de sécurité NAT proposent deux comportements possibles :

• Si vous sélectionnez l'option “send ICMP echo reply" l'ordinateur ayant fait la requête recevra une réponse.
• Si vous sélectionnez l'option “drop request (silent mode)” le datagramme sera saute, comme s'il avait été perdu pendant le transite. L'ordinateur ayant fait la requête recevra alors le message “destination host unreachable.” (l'ordinateur distant ne peut être atteint).

Paquets entrant non identifiés dans la table de NAT (Incoming packets with no entry in the NAT table):

WinRoute inspecte tout le trafic entrant et sortant du réseau. Si WinRoute doit appliquer la translation d'adresse (NAT) sur un paquet, il l'examinera et enregistrera certaines informations comme le numéro de port et l'adresse IP dans la table de NAT. Ainsi, lorsque le paquet revient, WinRoute peut le comparer avec les entrées de la table de NAT, et ainsi déterminer vers qui router le paquet. Si le paquet n'est pas un paquet de retour (paquet non initialisé), WinRoute le comparera avec la table de NAT et déterminera qu'il n'est pas initialisé. Si aucun port mapping n'est créé, WinRoute sera incapable de router le paquet vers qui que ce soit à l'intérieur du LAN.

• L'option “send denying packet” renverra simplement le paquet à l'envoyeur en indiquant que la connexion n'a pu être établie.
• L'option “drop packet (silent mode)" éliminera simplement le paquet sans envoyer de paquet en retour. De cette manière, l'ordinateur WinRoute, ainsi que tout le réseau derrière lui, seront invisibles et sembleront inexistants.

Paquet entrant UDP:

Certaines applications qui utilisent le protocole UDP (User Datagram Protocol) ont besoin d'envoyer des paquets UDP à un serveur central. WinRoute enregistre la source et la destination de tous les paquets UDP sortants vers le serveur choisi par l'application envoyant le paquet. Dans certains cas, le serveur peut passer votre adresse IP et votre numéro de port a un autre serveur qui vous enverra alors un paquet UDP contenant les informations que vous avez demandées. Bien que cet ordinateur aléatoire possède une adresse IP différente de celle du serveur, il peut cependant envoyer des paquets UDP parce qu'il connaît l'adresse IP et le port à utiliser.

• En utilisant cet exemple, si vous sélectionnez “can pass through NAT with any source IP address” le paquet UDP passera à travers WinRoute.
• Pour augmenter le niveau de sécurité, vous pouvez sélectionner “can pass through NAT only if it comes from source IP address that was recorded when first outgoing packet from LAN was sent.” Cela indiquera à WinRoute de seulement laisser passer les paquets UDP en provenance du serveur central.

Options d'audit de NAT (logging options):

Dans les options avancées de sécurité, vous avez la possibilité d'enregistrer des informations sur les paquets arrivant sur le réseau sans avoir êtes demandés par quelqu'un à l'intérieur du LAN. Cela concerne typiquement les réseaux comportant des serveurs Web, FTP, DNS ou autres, derrière WinRoute. Cela aide à déterminer la source d'un problème.

Auditer les paquets entrant sans référence dans la table de translation (NAT table):

WinRoute propose deux options pour auditer les paquets TCP non présents dans la table de NAT.

• Si vous choisissez d'auditer "only packets with SYN flag" (synchronize), le paquet TCP sera audité seulement si une connexion à été établie entre l'émetteur et le destinataire.
• L'option "all TCP packets" audite tous les paquets TCP entrant, sans se préoccuper de la connexion. Comme les paquets UDP n'utilise pas de flags, tous les paquets UDP non initialisés seront audités si vous avez choisi d'auditer les paquets UDP.

Auditer dans un fichier ou dans une fenêtre (Logging to a file or window):

• Si vous sélectionnez “log into security window” vous pouvez voir les information d'audit depuis l'application d'administration de WinRoute en affichant les audits de sécurité (view-logs-security log).
• Si vous choisissez "log to a file", WinRoute enregistrera toutes les informations d'audit dans le fichier d'audit de sécurité situé dans le répertoire logs de WinRoute Pro (typiquement C:\Program Files\WinRoute Pro\Logs)