Як працює NAT, Криптографія, Security & Hack, статті

Якщо Ви читаєте цей документ, то швидше за все ви під’єднані до Інтернету, і використовуєте трансляцію мережевих адрес (Network Address Translation, NAT) Прямо зараз! Інтернет став настільки величезним, ніж будь-хто міг собі уявити. Хоча точний розмір невідомий, поточна оцінка це приблизно 100 000 000 хостів та більше ніж 350 мільйонів користувачів, активно працюють в Інтернеті. Фактично, норма зростання така, що Інтернет ефективно подвоюється в розмірі щороку. Для комп’ютера, щоб спілкуватися з іншими комп’ютерами та Web-серверами в Інтернеті, він повинен мати IP адресу. IP адреса (IP означає Інтернет Протокол) – це унікальне 32-бітове число, яке ідентифікує розташування вашого комп’ютера на мережі. В основному це працює точно так само як ваш вуличний адреса: спосіб точно з’ясувати, де ви знаходитеся і доставити вам інформацію. Теоретично, можна мати 4,294,967,296 унікальних адрес (2 ^ 32). Фактичне число доступних адрес є меншим (десь між 3.2 і 3.3 мільярда) через спосіб, яким адреси розділені на класи і потреби відвести деякі з адрес для мультівещанія, тестування або інших визначених потреб. Зі збільшенням домашніх мереж і ділових мереж, число доступних IP адрес уже не достатньо. Очевидне рішення полягає в тому, щоб перепроектувати формат адреси, щоб врахувати більше можливих адрес. Таким чином, розвивається протокол IPv6, але, це розвиненіша займе кілька років, тому що вимагає модифікації всієї інфраструктури Інтернету.


Як працює NAT - Мережева безпека - Мережі та інтернет - Програмування, исходники, операційні системи

Ось де приходить NAT нам на спасіння. В основному, мережевих адрес, дозволяє єдиному пристрою, типу маршрутизатора, діяти як агент між Інтернетом (або “публічної сетю”) та локальної (Або “приватної”) мережею. Це означає, що потрібно тільки єдиний унікальний IP адресу, щоб представляти всю групу комп’ютерів чогось поза їх мережі. Брак IP адрес – тільки одна причина використовувати NAT. Два інших серйозних підстави це безпека та адміністрування

Ви дізнаєтеся про те, як можна отримати вигоду з NAT, але спочатку, давайте познайомимося з NAT трохи ближче і подивимося, що він може робити.


Маскування


NAT схожий на секретаря великого офісу. Скажімо, ви залишили інструкції секретарю, щоб не перенаправляти вам ніякі дзвінки, до тих пір, поки ви не попросите про це. Пізніше, ви телефонуєте потенційному клієнту і залишаєте повідомлення для нього, щоб він передзвонив вам. Ви говорите секретарю, що очікуєте дзвінок від цього клієнта і дзвінок потрібно перекласти. Клієнт дзвонить на основний номер вашого офісу, який є єдиним номером, який він знає. Коли клієнт говорить секретарю, кого він шукає, секретар перевіряє свій список співробітників, щоб знайти відповідність імені і його номера розширення. Секретар знає, що ви запитували цей дзвінок, тому він переводить того, хто телефонував на ваш телефон.


Розроблена технологія Cisco, Трансляція мережевих адрес використовується пристроєм (міжмережевим екраном, маршрутизатором або комп’ютером), яке знаходитися між внутрішньою мережею і іншою частиною світу. NAT має багато форм і може працювати кількома способами:

Статичний NAT – Відображення незареєстрованого IP адреси на зареєстрований IP адреса на підставі один до одного. Особливо корисно, коли пристрій повинен бути доступним зовні мережі.

У статичному NAT, комп’ютер з адресою 192.168.32.10 буде завжди транслюватиметься на адресу 213.18.123.110:
 
Як працює NAT - Мережева безпека - Мережі та інтернет - Програмування, исходники, операційні системи

Динамічний NAT – Відображає незареєстрований IP адреса на зареєстровану адресу від групи зареєстрованих IP адрес. Динамічний NAT також встановлює безпосереднє відображення між незареєстрованим та зареєстрованим адресою, але відображення може змінюватися в залежності від зареєстрованої адреси, доступного в пулі адрес, під час комунікації.


У динамічному NAT, комп’ютер з адресою 192.168.32.10 транслюється в перший доступномий адресу в діапазоні від 213.18.123.100 до 213.18.123.150
 
Як працює NAT - Мережева безпека - Мережі та інтернет - Програмування, исходники, операційні системи

Перевантаження (Overload) – Форма динамічного NAT, який відображає кілька незареєстрованих адрес в єдиний зареєстрований IP адреса, використовуючи різні порти. Відомий також як PAT (Port Address Translation)


При перевантаженні, кожен комп’ютер в приватної мережі транслюється в той же самий адресу (213.18.123.100), але з різним номером порту
 
Як працює NAT - Мережева безпека - Мережі та інтернет - Програмування, исходники, операційні системи

Перекриття – Коли IP адреси, використовувані в вашої внутрішньої мережі, також використовуються в іншій мережі, маршрутизатор повинен тримати таблицю пошуку цих адрес так, щоб він міг перехопити і замінити їх зареєстрованими унікальними IP адресами. Важливо відзначити, що NAT маршрутизатор повинен транслювати “внутрішні” адреси в зареєстровані унікальні адреси, а також повинен транслювати “зовнішні” зареєстровані адреси в адреси, які є унікальними для приватної мережі. Це може бути зроблено або через статичний NAT, або ви можете використовувати DNS і реалізувати динамічний NAT.


Приклад:
Внутрішній діапазон IP (237.16.32.xx) є також зареєстрований діапазоном, який використовується іншою мережею. Тому, маршрутизатор транслює адреси, щоб уникнути потенційного конфлікту. Він також транслюватиме зареєстровані глобальні IP адреси назад до незареєстрованих локальним адресами, коли пакети надсилаються у внутрішню мережу
 
Як працює NAT - Мережева безпека - Мережі та інтернет - Програмування, исходники, операційні системи

Внутрішня мережа – це зазвичай LAN (Локальна мережа), частіше за все, звана, тупиковим доменом. Тупиковий домен це LAN, яка використовує внутрішні IP адреси. Більшість мережевого трафіку в такому домені є локальним, він не залишає меж внутрішньої мережі. Домен може включати як зареєстровані так і незареєстровані IP адреси. Звичайно, будь-які комп’ютери, які використовують незареєстровані IP адреси, повинні використовувати NAT, щоб спілкуватися з іншою частиною світу.


NAT може бути налаштований різними способами. У прикладі нижче NAT-маршрутизатор конфигурирована так, щоб транслювати незареєстровані IP адреси (локальні внутрішні адреси), які постійно знаходяться в приватній (внутрішньої) мережі в зареєстровані IP адреси. Це трапляється щоразу, коли пристрій на внутрішній частині з незареєстрованим адресою має спілкуватися з зовнішньою мережею.


NAT-перевантаження (overloading) використовує особливість стека протоколу TCP / IP, таку як мультиплексування, яке дозволяє комп’ютеру підтримувати декілька паралельних підключень з віддаленим комп’ютером, використовуючи різні TCP або UDP порти. Пакет IP має заголовок, який містить таку інформацію:



IP адреси визначають дві машини з кожного боку, в той час як номери портів гарантують, що з’єднання між цими двома комп’ютерами має унікальний ідентифікатор. Комбінація цих чотирьох чисел визначає єдине з’єднання TCP / IP. Кожен номер порту використовує 16 бітів, що означає, що сушествует 65536 (2 ^ 16) можливих значення. В дійсності, тому що різні виробники відображають порти трохи різними способами, ви можете очікувати приблизно 4000 доступних портів.


Приклади динамічного NAT і NAT з перевантаженням

Нижче показано як працює динамічний NAT.


Клацніть на одну із зелених кнопок, щоб послати успішний пакет або в, або з внутрішньої мережі. Натисніть на одну з червоних кнопок, щоб послати пакет, який буде відкинутий маршрутизатором через недопустимого адреси.
Далі подивимося як працює перевантаження

Число одночасних трансляцій, які маршрутизатор буде підтримувати, визначається головним чином кількістю DRAM (Динамічна пам’ять довільного доступу). Так як типова запис в таблиці трансляцій займає приблизно 160 байт, маршрутизатор з 4 Мбайтами RAM може теоретично обробити 26214 одночасних з’єднань, що є більш ніж достатньо для більшості додатків.


Безпека та Адміністрування


Реалізація динамічного NAT автоматично створює міжмережевий захист між вашою внутрішньою мережею та зовнішніми мережами або Інтернет. Динамічний NAT дозволяє тільки підключення, які породжуються в локальній мережі. По суті, це означає, що комп’ютер на зовнішньої мережі не може з’єднатися з вашим комп’ютером, якщо ваш комп’ютер не почав з’єднання. Таким чином, ви можете працювати в Інтернеті і з’єднатися з сайтом, і навіть вивантажити файл. Але більше ніхто не може просто зазіхнути на ваш IP адреса і використовувати його, щоб з’єднатися з портом на вашому комп’ютері.


Статичний NAT, також званий вхідним мапінга (inbound mapping), дозволяє підключення, ініційовані зовнішніми пристроями до комп’ютерів в LAN при певних обставинах. Наприклад, ви можете відобразити внутрішній глобальний адреса на певний внутрішній локальний адресу, яку призначено на ваш Web-сервер.

Статичний NAT дозволяє комп’ютеру в LAN підтримувати певну адресу, спілкуючись з пристроями поза мережею:


Як працює NAT - Мережева безпека - Мережі та інтернет - Програмування, исходники, операційні системи

Деякі NAT маршрутизатори передбачають широку фільтрацію і логування трафіку. Фільтрація дозволяє вашій компанії контролювати, які сайти на Мережі відвідують працівники, перешкоджаючи їм переглядати сумнівний матеріал. Ви можете використовувати реєстрацію трафіку, щоб створити журнал, які сайти відвідуються і на підставі цього генерувати різні звіти.


Іноді мережевих адрес плутають з проксі-серверами, де є певні відмінності. NAT прозорий для комп’ютерів джерела і приймача. Ніхто з них не знає, що це має справу з третім пристроєм. Але проксі сервер не прозорий. Вихідний комп’ютер знає, що це робить запит на проксі. Комп’ютер адресата думає, що проксі сервер – це вихідний комп’ютер і має справу з безпосередньо ним. Крім того, проксі-сервери зазвичай працюють на рівні 4 (Transport) моделі OSI або вище, у той час як NAT – це протокол рівня 3 (Network). Робота на більш високих рівнях робить проксі-сервери повільніше ніж NAT пристрою в більшості випадків.

Реальна вигода NAT очевидна в мережевому адмініструванні. Наприклад, Ви можете перемістити ваш Web-сервер або сервер FTP до іншого комп’ютера, не хвилюючись про розірваних з’єднаннях. Просто змініть вхідний мапінг на новий внутрішній локальну адресу в маршрутизаторі, щоб відобразити новий хост. Ви можете також робити зміни в вашої внутрішньої мережі оскільки будь-який ваш зовнішній IP адресу або належить маршрутизатору або пулу глобальних адрес.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*