Oversettelse av nettverksadresse

I datanettverk sies det at en ruter gjør NAT- oversettelse (NAT) når den samsvarer med IP-adresser med andre IP-adresser. Spesielt er et vanlig tilfelle å tillate maskiner med private adresser som er en del av et intranett og som hverken er unike eller internettomfattelige, kan kommunisere med resten av Internett ved hjelp av ormer utenfor offentlige, unike og rutbare eksterne adresser.

Dermed er det mulig å matche en enkelt ekstern offentlig adresse som er synlig på Internett med alle adressene til et privat nettverk , for å kompensere for utmattelsen av IPv4-adresser .

NAT-funksjonen i en integrert tjeneruter (ISR) oversetter en intern kilde-IP-adresse til en global IP-adresse.

Denne prosessen er mye brukt av Internett-boksen (eller modem ruter ) av leverandører for å skjule personlige datamaskiner bak en enkelt offentlig identifikasjon. Den brukes også på samme måte i virtuelle private nettverk .

Eksempel

En campus består av 1000 verter (datamaskiner, skrivere osv.), Fordelt på 4 delnett. Uten bruk av NAT, ville en slik campus kreve tildeling av nesten 1000  unike og rutede IPv4-adresser .

Ved å koble en slik campus til Internett via en ruter som implementerer NAT, er det mulig å endre den interne adresseringsplanen og bruke ikke-unike (brukes andre steder i verden) og ikke-rutbare adresser på Internett (se RFC  1918). . Vi snakker også om offentlige adresser (unike i verden) og private (unike bare i det private nettverket ). Et av målene med NAT er å gjøre private adresser usynlige fra Internett.

Bare noen få hundre adresser vil bli tildelt alle de eksterne NAT-adressene, vel vitende om at skrivere (og bestemt annet utstyr) ikke trenger å kommunisere med utsiden permanent (derfor trenger ikke adressene deres å være, trenger ikke å bli oversatt) .

NAT reduserer derfor antall unike IP-adresser som brukes.

NAT-implementering

Korrespondansene mellom de private adressene (interne) og offentlige (eksterne) lagres i en tabell som par ( intern adresse , ekstern adresse ). Når en ramme sendes fra en intern adresse til utsiden, passerer den gjennom NAT-ruteren som i toppteksten til TCP / IP- pakken erstatter avsenderens adresse med den eksterne IP-adressen. Omvendt erstatning gjøres når en ramme som tilsvarer denne forbindelsen, må rutes til den interne adressen. Vi kan også gjenbruke en oppføring i NAT-korrespondansetabellen hvis ingen trafikk med disse adressene har krysset ruteren i en viss tid (konfigurerbar).

Intern IP	Ekstern IP	Varighet ( er )	Gjenbrukbar?
10.101.10.20	193.48.100.174	1200	Nei
10.100.54.251	193.48.101.8	3.601	Ja
10.100.0.89	193.48.100.46	0	Nei

Her er for eksempel en forenklet NAT-tabell. Det antas at en oppføring kan gjøres gjeldende hvis oversettelsen ikke har blitt brukt i mer enn 3600 sekunder.

Den første linjen indikerer at den interne maskinen med IP-adressen 10.101.10.20 er oversatt til 193.48.100.174 når den snakker med omverdenen. Hun har ikke sendt en pakke på 1200 sekunder, men grensen er 3600, denne tabelloppføringen er fortsatt tildelt henne. Den andre maskinen har vært inaktiv i mer enn 3600 sekunder, den kan være av, en annen maskin kan ta over denne oppføringen (ved å endre den første kolonnen siden den ikke vil ha samme interne IP). Endelig er den siste maskinen for tiden i samtale med utsiden, varighet- feltet er 0.

De fleste brannmurer og rutere implementerer NAT slik at flere maskiner kan dele en offentlig IP-adresse.

Fordeler med NAT

Interne adresser kan velges blant adressene som er definert i RFC 1918 . Dermed kan flere nettsteder ha samme interne adressering og kommunisere med hverandre ved hjelp av denne mekanismen. Siden de interne adressene blir gjenbrukt, lagrer vi offentlige IP-adresser, hvis belegg i IPv4 når metning.

Vi kan ha færre adresser i settet med eksterne adresser enn det vi har som IP-adresser inne i nettverket, hvis vi får på plass en mekanisme for å gjenopprette ubrukt adresser etter en viss tid (dette kalles en leieavtale). Mer presist, hvis en oppføring i oversettelsestabellen ikke brukes i en viss tid (kan konfigureres i nettverkets DHCP- server ), kan denne oppføringen brukes på nytt: en annen maskin med en intern adresse vil hente den eksterne adressen.

NAT anses noen ganger å være til fordel for et sikkerhetsmessig synspunkt fordi interne adresser er skjult. Sikkerheten til enhetene bak en NAT er imidlertid ikke større enn det en stateful brannmur kan gi.

Iboende problemer

Selv om noen applikasjoner takler uten problemer, er NAT ikke gjennomsiktig for nettverksapplikasjoner og gir ekstra kompleksitet til driften av applikasjoner ( RFC  2993, RFC  3027):

• Kommunikasjon mellom arbeidsstasjoner som ligger bak NAT, utgjør et problem, slik tilfellet er med peer-to-peer- protokoller .
• Den mulige fragmenteringen av pakker i nettverket er også et problem når en NAT krysses, ettersom det ikke er mulig for en vert som mottar fragmenter med samme fragment-ID og identiske kilde-IP-adresser å identifisere at de tilhører. Faktisk til to forskjellige verter bak en NAT.
• Noen protokoller, for eksempel rlogin, krever at kildeporten er satt til 512. NAT-traversal forhindrer deretter mer enn en utgående økt per offentlig adresse.
• IPSec utgjør også problemer når du krysser NAT ettersom toppteksten som er godkjent av AH er ødelagt av NAT.
• X Window- protokollen er også et problem, fordi TCP-tilkoblinger initieres av klienter til skjermen.
• rsh og rlogin bruker en serverinitiert stikkontakt til klienten for standardfeilen.

Et stort problem oppstår når en kommunikasjonsprotokoll overfører IP-adressen til kildeverten i en pakke eller portnumre. Siden denne adressen ikke er gyldig etter at den har gått gjennom NAT-ruteren, kan den ikke brukes av målmaskinen. Disse protokollene sies å "  passere brannmurer med vanskeligheter  " fordi de utveksler informasjon på applikasjonsnivå (FTP) av informasjon på IP-nivå (utveksling av adresser) eller TCP-nivå (utveksling av porter), noe som bryter med separasjonsprinsippet av nettverkslag .

Noen slike protokoller er: FTP , H.323 , peer- to- peer ( IRC-DCC ) protokoller, nettverksadministrasjonsprotokoller, DNS , noen ICMP- meldinger , traceroute , SIP- protokoll .

For å overvinne denne ulempen, må NAT-rutere inspisere innholdet; de fungerer deretter som en Application-Level Gateway (ALG) og håndterer pakker som passerer gjennom dem for å erstatte IP-adressene som er spesifisert av de eksterne adressene. Dette innebærer å vite formatet på protokollen.

NAT betyr at delta i sikkerhetspolitikk området, og dette er ikke dens hovedmål: Når oversettelsen er etablert, er det toveis. NAT er derfor ikke en erstatning for brannmuren.

Den hairpinning er et problem med NAT.

Ulike typer NAT

Statisk NAT

Hvor et sett med interne adresser oversettes til et sett med samme størrelse på eksterne adresser. Disse NAT-ene sies å være statiske fordi tilknytningen mellom en intern adresse og dens eksterne peer er statisk (første interne adresse med den første eksterne osv.). Assosiasjonstabellen er ganske enkel, en-til-en, og inneholder bare adresser. Disse NAT-ene brukes til å gi tilgang til interne servere fra utsiden.

Det er tre typer statiske NAT-er  :

• Enveisk statisk NAT som bare overfører forbindelser fra utsiden til innsiden (vær forsiktig, returpakker overføres også). Ofte når den interne maskinen initierer en forbindelse til utsiden, blir forbindelsen oversatt av en annen dynamisk NAT.
• Toveis statisk NAT som videresender forbindelser i begge retninger.

• Statisk NAT PAT ( Port Address Translation av serveren port ). Kombinasjon av uni eller toveis statisk NAT og serverport oversettelse. Navnet PAT kommer av det faktum at serveren / destinasjonsporten blir videresendt; ikke forveksles med dynamisk NAT PAT . Port Address Translation (PAT) gjør det mulig å knytte en TCP- eller UDP-port på grensesnittet til ruteren på Internett-siden til en intern vert fra paret på en statisk / fast måte (og ikke dynamisk som i grunnleggende NAT) av informasjon: IP-adresse og TCP / UDP-port. Vi snakker også om Statisk NAT , eller Port Forwarding . I statisk NAT eller PAT er den tilknyttede TCP / UDP-porten løst. Det vil være det samme hver gang informasjon overføres fra intranettverten til en Internett-vert. Dette selv i tilfelle reversgir. Så hvis ruteren mottar en pakke på den angitte TCP / UDP-porten, vil den oversette denne pakken for å overføre den til intranettverten og til TCP / UDP-porten til denne intranettverten. I prinsippet er PAT et sikkerhetsproblem fordi det tillater verter på Internett å bli med verter på intranettet. For å unngå dette anbefales det på det sterkeste ikke å bruke verter i intranett-sonen, men heller de i DMZ- sonen som huser servere som er konfigurert og beskyttet for å imøtekomme eksterne tilkoblinger i motsetning til intranett-sonen.

Dynamisk NAT

Hvor et sett med interne adresser overføres til et mindre sett med eksterne adresser. Disse NAT-ene sies å være dynamiske fordi tilknytningen mellom en intern adresse og dens eksterne motpart opprettes dynamisk når forbindelsen startes. Dette er portnumrene som vil identifisere oversettelsen på plass: kildeportnummeret (det til den interne maskinen) vil bli endret av ruteren. Han vil bruke den til å identifisere den interne maskinen.

Det finnes flere typer dynamiske NAT-er  :

• Dynamisk NAT PAT ( Port Address Translation av klient / source port ) hvor de eksterne adresser er likegyldig (oftest rekke adresser som din aksessleverandør har tildelt deg). Navnet PAT kommer av det faktum at kildeporten er endret; ikke forveksles med statisk NAT PAT .
• Masquerading hvor IP-adressen til ruteren er den eneste som brukes som en ekstern adresse. Den maskeraden er en under tilfelle av PAT dynamisk .
• Source NAT- bassenget er det eldste av NAT-ene. Den første forbindelsen fra innsiden tar den første eksterne adressen, den neste den andre, til det ikke er noen ekstern adresse. I dette eksepsjonelle tilfellet endres ikke kildeporten. Denne typen NAT brukes ikke lenger.
• Destination NAT- bassenget tillater lastbalansering mellom flere servere. Få eksterne adresser er derfor tilknyttet de interne adressene til serverne. Den brannmuren klarer å fordele de forbindelser mellom de forskjellige servere.

En annen måte å kategorisere NAT på

• Kilde NAT der bare kilden er oversatt. Kilder NAT er derfor for eksempel:
  • Dynamisk NAT PAT ,
  • Dynamisk NAT- maskering ,
  • Dynamisk NAT kilde basseng
• Destinasjon NAT der bare destinasjonen er oversatt. Destinasjonen NAT er derfor for eksempel:
  • Enveisk statisk NAT (kan, men i sjeldne tilfeller, være kilde NAT ),
  • Dynamisk NAT reisemålet basseng
• Tjeneste eller port NAT lar deg endre serverporten til tilkoblingen. Denne typen NAT blandes ofte med andre typer NAT.

Noen finesser:

• For kilde- og destinasjonstyper tas bare retningen til den første pakken med en forbindelse i betraktning (glem returpakker).
• Toveis statiske NAT-regler er ikke klassifiserbare, verken i kilden eller i destinasjonen fordi de gjør begge deler.
• De tre typene NAT kan blandes, de fire mulighetene er mulige (S + D, S + P, D + P, S + D + P). Når kilde og destinasjon blandes, snakker vi om dobbelt NAT .

Carrier Grade NAT

På grunn av utmattelse av IPv4-adresser , vurderer internettleverandører å bruke storskala NAT ( carrier-grade NAT eller stor skala NAT ), noe som ikke er uten konsekvenser for visse applikasjoner.

NAT traversal

I mangel av eksplisitt konfigurasjon avviser NAT-er generelt innkommende tilkoblinger, noe som forårsaker problemer spesielt for peer-to-peer- applikasjoner .

To protokoller er utviklet for å tillate klientarbeidsstasjoner å be om åpning og videresending av bestemte porter fra NAT-ruteren:

• Enkel gjennomgang av UDP gjennom NAT (STUN, RFC  3489)
• Universal Plug and Play (UPnP) via Internet Gateway Device Protocol  (en)

Programvare som Skype bruker andre teknikker for kommunikasjon mellom jevnaldrende bak NAT. pwnat bruker en variant som bruker ICMP-meldinger for klientoppdagelse.

NAT og IPv6

Den IETF fraråder NAT med IPv6 på grunn av de iboende problemer og fordi IPv6-adresseområdet er slik at adresse sparing ikke er nødvendig.

Merknader og referanser

• Denne artikkelen er delvis eller helt hentet fra artikkelen med tittelen "  Port Address Translation  " (se oversikt over forfattere ) .

1. (in) "  Adressetildeling for private internett  " Forespørsel om kommentarer nr .  1918Februar 1996.
2. (no) Stéphane Bortzmeyer , "  Adresseoversettelsen (NAT) hun gir virkelig sikkerhet?  " ,16. september 2012(åpnet 8. november 2012 )
3. (in) "  Architectural Implications of NAT  " Forespørsel om kommentarer nr .  2993,november 2000.
4. (in) "  Protokollkomplikasjoner med IP Network Address Translator  " Forespørsel om kommentarer nr .  3027Januar 2001.
5. (in) "  STUN - Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs)  " Forespørsel om kommentarer nr .  3489,Mars 2003.
6. (in) En analyse av Skype Peer-to-Peer Internet Telephony Protocol [PDF] , Salman A. Baset og Henning Schulzrinne,15. september 2004.
7. pwnat .
8. RFC 3002 P26

Se også

Relaterte artikler

• Internett protokoll
• IP adresse
• Ruter
• Hårnål
• Brannmur
• Nettverksprotokoll vanskelig å sende brannmurer
• End-to-end-prinsipp

Eksterne linker

• RFC 1631 - IP Network Address Translator (NAT)
• RFC 1918 - Adressetildeling for private internett
• RFC 2663 - IP Network Address Translator (NAT) Terminologi og hensyn
• RFC 2709 - Sikkerhetsmodell med tunnelmodus IPsec for NAT-domener
• RFC 2993 - Arkitektoniske implikasjoner av NAT
• RFC 3022 - Tradisjonell IP-nettverksadresseoversetter (tradisjonell NAT)
• RFC 3027 - Protokollkomplikasjoner med IP Network Address Translator (NAT)
• RFC 3235 - Network Address Translator (NAT) - vennlige retningslinjer for applikasjonsdesign
• RFC 3715 - IPsec-Network Address Translation (NAT) kompatibilitet
• RFC 3947 - Forhandling av NAT-Traversal i IKE
• RFC 5128 - Status for Peer-to-Peer (P2P) kommunikasjon på tvers av nettverksadresseoversettere (NAT)
• (in) NAT og nettverk
• (en) NAT i alle detaljer