Avec un peu plus de 4 milliards d'adresses publiques uniques dans le système IPv4 et plus de 10 milliards d'appareils aujourd'hui, de nombreux fournisseurs de services de communication (FSC) attribuent des adresses privées aux abonnés et utilisent une traduction d'adresse réseau de qualité opérateur (CG-NAT) pour permettre à ces adresses privées de circuler à travers une seule adresse IP publique. Pour les forces de l'ordre qui enquêtent sur un délit commis sur l'internet public ou qui suivent des pistes dans ce domaine, l'utilisation d'un NAT présente des difficultés majeures. Avec des milliers d'abonnés (ou de points d'extrémité) sur un réseau de FSC partageant une adresse IP publique, la connaissance de cette seule adresse n'est pas suffisante pour isoler l'appareil d'un seul abonné ou d'une seule personne d'intérêt. Pour ce faire, il faut avoir une visibilité sur le trafic d'acheminement au sein du réseau privé du FSC. La plateforme SS8 fournit cette visibilité, en révélant de manière transparente les détails de l'identité qui seraient autrement cachés.
Identité cachée dans les réseaux IP privés
Le système d'adressage IPv4 familier "x.x.x.x" est limité à un peu plus de 4 milliards d'adresses et, dans les premiers temps de l'internet, ce nombre était plus que suffisant pour attribuer une adresse publique unique à chaque appareil. Cependant, l'explosion de l'internet a rapidement montré que le nombre d'adresses n'était pas suffisant. L'un des moyens de remédier à cette pénurie a consisté à réserver des plages d'adresses IP privées à l'usage exclusif du réseau domestique d'un appareil. Dans cette topologie, un réseau s'identifie à l'extérieur à l'aide d'une adresse IP publique unique. Pour les réseaux externes, chaque entité de ce réseau est identifiée par cette adresse unique. Au sein du réseau, les appareils et les autres entités ont chacun une adresse IP privée unique. Les adresses IP peuvent donc être réutilisées dans des réseaux privés distincts sans conflit.
L'interface entre les schémas d'adressage IP public et privé est un mappage simple, de un à plusieurs, qui est effectué par un service de traduction d'adresses réseau (NAT) fonctionnant sur une infrastructure de réseau telle qu'un routeur ou un pare-feu, ou en tant que fonction de réseau virtualisé. Le NAT peut attribuer une adresse IP privée statique à un hôte donné ou utiliser le protocole de configuration dynamique des hôtes (DHCP) pour attribuer automatiquement des adresses IP privées en fonction des besoins.
La traduction d'adresses publiques (PAT), dans le contexte du renseignement légal, désigne la technologie complémentaire qui fonctionne dans le sens inverse de la NAT. En d'autres termes, alors que le NAT fait correspondre une seule adresse IP publique à plusieurs adresses privées, le PAT fait correspondre les multiples adresses de ce réseau privé à l'adresse publique en utilisant des informations sur les ports et d'autres données.
Les fournisseurs de services de communication utilisent une version entreprise de cette technologie, appelée Carrier-grade NAT (CG-NAT), pour partager de petits pools d'adresses IP publiques entre un grand nombre de clients. Le CG-NAT étant réalisé par le fournisseur de services de communication, les adresses IP publiques uniques ne sont pas associées à des clients finaux individuels. Au lieu de cela, les abonnés sont identifiés par des adresses IP privées, administrées par le FSC, dont beaucoup sont réattribuées régulièrement.
Du point de vue de l'interception légale et de la médiation, l'adressage IP privé peut masquer l'identité des terminaux au sein du réseau du FSC. Par exemple, un organisme chargé de l'application de la loi peut demander à Facebook l'adresse IP utilisée pour une activité illicite donnée. Toutefois, si cette adresse appartient à un FSC qui utilise le CG-NAT, elle peut être partagée par des milliers d'utilisateurs, ce qui rend impossible l'identification de la personne concernée à l'aide des adresses IP publiques.
Extension de la visibilité et de la divulgation des renseignements licites
L'incapacité d'identifier un abonné individuel associé à une activité spécifique sur son réseau peut exposer un FSC à des sanctions importantes. Dans le cas d'un FSC utilisant le CG-NAT, le renseignement légal nécessite des enregistrements provenant des flux de données privés et publics, qui peuvent être fournis directement par le service CG-NAT ou par d'autres moyens.
La plateforme d'intelligence légale du SS8 permet d'accéder aux flux de données publics et privés et aux analyses permettant d'associer l'activité Internet publique illicite à l'appareil d'un abonné. En intégrant ces capacités dans une plateforme plus large de renseignement légal, les effets du NAT/PAT sur l'identification de l'utilisateur ou de l'appareil peuvent être minimisés ou éliminés. L'interopérabilité avec des flux de travail plus larges signifie également que les FSC n'ont pas à coder, intégrer ou maintenir eux-mêmes les fonctionnalités logicielles associées.
La solution NAT/PAT de SS8 est intégrée à sa plateforme plus large d'intelligence légale, à laquelle les CSP et les LEA font confiance depuis plus de vingt ans dans le monde entier. La solution est à l'épreuve du temps pour s'aligner sur n'importe quelle combinaison d'architecture réseau requise par un CSP, qu'il s'agisse de solutions sur site ou hébergées ou de solutions natives de l'informatique en nuage, et elle fournit des contrôles pour s'assurer que les garanties légales sont utilisées pour prévenir les abus.
Conclusion
Pour prolonger la durée de vie du schéma IPv4, les FSC utilisent des services NAT/PAT pour faire correspondre les adresses IP privées et internes des abonnés à leurs réseaux publics. Cela a pour effet malheureux d'obscurcir l'identité des utilisateurs individuels et de créer des problèmes pour les autorités chargées de l'application de la loi qui enquêtent sur des activités en ligne illicites. La plateforme SS8 traduit les schémas d'adressage IP à la fois pour le réseau public des FSC et pour les pools d'adresses privées qu'ils attribuent à leurs abonnés individuels. Elle intègre cette capacité dans son opération plus large de renseignement légal, ce qui aide les autorités chargées de l'application de la loi à se concentrer sur les enquêtes au lieu d'être distraites par les détails du réseau.
À propos de Kevin McTiernan
Kevin a plus de 20 ans d'expérience dans les secteurs des télécommunications et de la sécurité des réseaux. Chez SS8, Kevin est le vice-président des solutions gouvernementales et est responsable de la vision, de la conception et de la livraison des solutions gouvernementales de SS8, y compris le portefeuille de conformité Xcipio®. Vous pouvez en savoir plus sur Kevin sur son profil LinkedIn en cliquant ici.
À propos de Rory Quann
Rory Quann est responsable des ventes internationales chez SS8 Networks et apporte avec lui plus de 10 ans d'expérience dans le secteur de l'interception légale et de l'analyse des données. Il est responsable des politiques, des objectifs et des initiatives de vente internationale de l'entreprise au Moyen-Orient, en Asie et en Europe de l'Est.
Avant de rejoindre SS8 en 2013, Rory a travaillé pour BAE System Applied Intelligence où il s'est concentré sur les déploiements gouvernementaux à grande échelle de solutions de renseignement. Rory a occupé plusieurs postes dans le domaine du renseignement légal, allant d'ingénieur de déploiement à consultant système, en passant par ingénieur commercial, en se concentrant sur les déploiements passifs à l'échelle d'un pays. Rory est ingénieur certifié Microsoft MCSA et ingénieur de déploiement certifié EMC. Vous pouvez en savoir plus sur Rory sur son profil LinkedIn en cliquant ici.
À propos de SS8 Networks
SS8 fournit des plateformes de renseignement légal. Elle travaille en étroite collaboration avec les principales agences de renseignement, les fournisseurs de communication, les organismes chargés de l'application de la loi et les organismes de normalisation. Sa technologie intègre les méthodologies évoquées dans ce blog et les portefeuilles de produits Xcipio® et Intellego® XT sont utilisés dans le monde entier pour la capture, l'analyse et la fourniture de données dans le cadre d'enquêtes criminelles.
Tweetez-nous @SS8 Suivez-nous LinkedIn