NAT

NAT (z angl.  Network Address Translation – „překlad síťových adres“) je mechanismus v sítích TCP/IP , který umožňuje převádět IP adresy tranzitních paketů . Také nazývané IP Masquerading , Network Masquerading a Native Address Translation .

Funkční

Překlad adres metodou NAT může provádět téměř jakékoli směrovací zařízení - router [1] , přístupový server , firewall . Nejoblíbenější je SNAT, jehož podstatou mechanismu je nahrazení zdrojové adresy ( anglicky  source ) při průchodu paketu jedním směrem a zpětné nahrazení cílové adresy ( anglicky  destination ) v paketu odpovědi. Spolu se zdrojovou/cílovou adresou lze také nahradit čísla zdrojového a cílového portu .

Při příjmu paketu z místního počítače se router dívá na cílovou IP adresu. Pokud se jedná o lokální adresu, pak je paket předán jinému místnímu počítači. Pokud ne, paket musí být odeslán do Internetu. Ale koneckonců zpáteční adresa v paketu udává lokální adresu počítače, který nebude dostupný z internetu. Router tedy „za běhu“ přeloží (nahradí) návratovou IP adresu paketu na jeho externí (viditelnou z internetu) IP adresu a změní číslo portu (pro rozlišení paketů s odpovědí adresovaných různým lokálním počítačům). Kombinaci potřebnou pro zpětnou substituci router ukládá do své dočasné tabulky. Nějaký čas poté, co klient a server dokončí výměnu paketů, router smaže záznam o n-tém portu ve své tabulce pro promlčecí lhůtu.

Kromě zdrojového NAT (poskytující uživatelům místní sítě interní adresy pro přístup k Internetu ) se často používá také cílový NAT, kdy jsou hovory zvenčí vysílány firewallem do počítače uživatele v místní síti, která má vnitřní adresa , a proto není přímo přístupná zvenčí sítě (bez NAT).

Existují 3 základní koncepty překladu adres: statický ( Static Network Address Translation ), dynamický ( Dynamic Address Translation ), maškarní (NAPT, NAT Overload, PAT).

Statický NAT  – Mapování neregistrované IP adresy na registrovanou IP adresu na bázi jedna ku jedné. Zvláště užitečné, když zařízení potřebuje být přístupné zvenčí sítě.

Dynamic NAT  – Mapuje neregistrovanou IP adresu na registrovanou adresu ze skupiny registrovaných IP adres. Dynamic NAT také vytváří přímé mapování mezi neregistrovanými a registrovanými adresami, ale mapování se může změnit v závislosti na registrované adrese dostupné ve fondu adres během komunikace.

Overloaded NAT (NAPT, NAT Overload, PAT, maškaráda) je forma dynamického NAT, která mapuje více neregistrovaných adres na jednu registrovanou IP adresu pomocí různých portů. Také známý jako PAT (Port Address Translation). Při přetížení je každý počítač v privátní síti přeložen na stejnou adresu, ale s jiným číslem portu.

Mechanismus NAT je definován v RFC 1631 , RFC 3022 .

Typy NAT

Klasifikace NAT, se kterou se často setkáváme v souvislosti s VoIP . [2] Termín „spojení“ se používá ve smyslu „sériová výměna paketů UDP“.

Symetrický NAT (Symmetric NAT) - překlad, při kterém je každé spojení iniciované dvojicí "interní adresa: interní port" převedeno na volnou unikátní náhodně vybranou dvojici "veřejná adresa: veřejný port". Není však možné zahájit připojení z veřejné sítě.

Cone NAT, Full Cone NAT  - jednoznačný (vzájemný) překlad mezi dvojicemi "interní adresa: interní port" a "veřejná adresa: veřejný port". Jakýkoli externí hostitel může zahájit připojení k internímu hostiteli (pokud to pravidla brány firewall umožňují).

Address-Restricted cone NAT, Restricted cone NAT  - trvalý překlad mezi dvojicí "interní adresa: interní port" a "veřejná adresa: veřejný port". Jakékoli připojení iniciované z interní adresy mu umožňuje přijímat pakety z libovolného portu veřejného hostitele, na který paket(y) dříve odeslal.

Port-Restricted cone NAT  - překlad mezi dvojicí "interní adresa: interní port" a "veřejná adresa: veřejný port", ve kterém příchozí pakety jdou na interní hostitel pouze z jednoho portu veřejného hostitele - toho, na který vnitřní hostitel již paket odeslal.

Výhody

NAT plní tři důležité funkce.

1. Umožňuje uložit IP adresy (pouze při použití NAT v režimu PAT) převodem několika interních IP adres do jedné externí veřejné IP adresy (nebo několika, ale méně než interních). Většina sítí na světě je postavena na tomto principu: 1 veřejná (externí) IP adresa je přidělena malé oblasti domácí sítě místního poskytovatele nebo kanceláři, za kterou je rozhraní s privátní (interní) IP adresy fungují a získejte přístup.
2. Umožňuje vám zabránit nebo omezit přístup zvenčí k interním hostitelům a ponechává možnost přístupu zevnitř ven. Když je spojení zahájeno ze sítě, vytvoří se překlad. Pakety odpovědí přicházející zvenčí odpovídají vytvořenému překladu a jsou proto přeskočeny. Pokud neexistuje odpovídající překlad pro pakety přicházející zvenčí (a lze jej vytvořit při inicializaci nebo statickém připojení), nejsou přeskočeny.
3. Umožňuje skrýt určité interní služby interních hostitelů/serverů. Ve skutečnosti se stejný překlad výše provede na konkrétním portu , ale je možné nahradit interní port oficiálně registrované služby (například TCP port 80 ( HTTP server) externím portem 54055). Tedy mimo, na externí IP adrese, po překladu adresy na stránku (nebo fórum) pro znalé návštěvníky, bude možné se dostat na http://example.org:54055, ale na interním serveru za NAT bude fungovat na normálním portu 80. Zvýšení bezpečnosti a skrytí „neveřejných“ zdrojů.

Nevýhody

1. staré protokoly . Protokoly, které byly vyvinuty před masovým přijetím NAT, nefungují, pokud na cestě mezi komunikujícími hostiteli existuje překlad adres . Některé firewally pro překlad IP adres dokážou tento nedostatek napravit vhodným nahrazením IP adres nejen v IP hlavičkách, ale i na vyšších úrovních (například v příkazech protokolu FTP ). Viz Brána na úrovni aplikace .
2. Identifikace uživatele . Kvůli překladu adres z více na jednu se objevují další potíže s identifikací uživatele a nutností ukládat úplné protokoly překladu.
3. Iluze útoku DoS . Pokud se NAT používá k připojení mnoha uživatelů ke stejné službě, může to vyvolat iluzi DoS útoku na službu (více úspěchů a selhání). Například nadměrný počet uživatelů ICQ za NAT vede u některých uživatelů k problému s připojením k serveru z důvodu překročení povolené rychlosti připojení. Částečným řešením problému je použití fondu adres (skupiny adres), pro které se provádí překlad.
4. sítě peer-to-peer . V zařízeních NAT, která nepodporují technologii Universal Plug & Play , je v některých případech vyžadována další konfigurace (viz Překlad adresy portu ) při práci s peer-to-peer sítěmi a některými dalšími programy, ve kterých je nutné nejen spouštět odchozí spojení, ale také přijímat příchozí poštu.

Příklad

Překlad lokální sítě s rozsahem adres 172.16.14.0 /24 do globální sítě bude prováděn přes jednu externí IP adresu (adresu routeru provádějícího překlad).

Použití: IP síť přes jedinou IP adresu

• Na pracovních stanicích zadaná výchozí brána nebo brána
• Převádí hlavičky služeb, generuje identický IP paket
• Publikování místních zdrojů na externí IP síti

• Cenová výhoda z nákupu jediného připojení IP namísto sítě IP.

• Skrytí struktury vnitřní IP sítě před vnějším pozorovatelem.

• Organizace systému s rozloženou zátěží.

• Sdílení přes NAT transparentně přistupuje k chráněné vnitřní struktuře bez použití firewallu atd.

• Mnoho síťových protokolů funguje správně prostřednictvím NAT. Návrhové implementace (sdílení je NAT spojení) existuje hardwarová implementace NAT (firewally jsou integrovány).

NAT loopback

Význam technologie NAT loopback (neboli NAT hairpinning ) je jednoduchý: pokud paket přijde z vnitřní sítě na externí IP adresu routeru, má se za to, že přišel zvenčí – což znamená, že pravidla firewallu související s externím spojení fungují. A pokud paket úspěšně projde firewallem, NAT bude fungovat a převezme zprostředkování mezi dvěma intranetovými stroji. To dává dvě věci.

1. Přímo z místní sítě můžete zkontrolovat, jak jsou nakonfigurovány síťové služby.
2. Přístup na server umístěný v lokální síti podle názvu domény. Bez zpětné smyčky NAT byste museli upravit soubor hosts na každém počítači pro každou doménu a subdoménu, která se týká.

Nevýhodou NAT loopback je zvýšené zatížení rozbočovače a routeru (ve srovnání s přímým přístupem k serveru).

NAT Traversal

NAT Traversal (NAT traversal nebo auto-configuration) je sada funkcí, které umožňují síťovým aplikacím určit, že jsou za zařízením poskytujícím NAT, zjistit externí IP adresu tohoto zařízení a provést mapování portů pro předávání paketů z externího NAT. port na interní port používaný aplikací; to vše se děje automaticky, uživatel nemusí ručně konfigurovat mapování portů nebo provádět změny v jiných nastaveních. Existují však opatření, která těmto aplikacím důvěřují – získají rozsáhlou kontrolu nad zařízením, objeví se potenciální zranitelnosti.

Softwarová implementace NAT

Pokud již máte existující server se serverovým OS , je možné organizovat překlad adres bez nutnosti nákupu dalších hardwarových zařízení. Softwarová implementace NAT zpravidla vyžaduje alespoň dva síťové adaptéry na serveru (možné jsou možnosti s jedním, ale s trunk- VLAN ).

Všechny existující a používané serverové operační systémy podporují nejjednodušší překlad adres.

Z hlediska odolnosti proti chybám, flexibility a výkonu se používají operační systémy rodiny UNIX (většina systémů GNU / Linux, *BSD , stejně jako OpenSolaris atd.). V mnoha z nich je NAT k dispozici ihned po vybalení, v jiných jej lze implementovat přidáním modulů v kombinaci s firewally s funkcemi překladu adres ( IPFW , IPtables atd.). NAT také funguje hned po vybalení na operačních systémech řady Windows Server .

Viz také

• Proxy server
• Překlad adres portu (PAT)
• Brána na aplikační úrovni
• OMRÁČIT

Poznámky

1. ↑ Příručka síťových protokolů  . - 2. - Javvin Technologies Inc.. - S. 27. - ISBN 9780974094526 .
2. ↑ Andrej Žukov. Typy překladu síťových adres (NAT) Archivováno 8. května 2020 na Wayback Machine