Обход NAT

Обход трансляции сетевых адресов — это метод компьютерной сети, позволяющий устанавливать и поддерживать по Интернет-протоколу соединения между шлюзами , которые реализуют преобразование сетевых адресов (NAT).

Методы прохождения NAT необходимы для многих сетевых приложений, таких как одноранговый обмен файлами и передача голоса по IP . ^[1]

Трансляция сетевых адресов

При трансляции сетевых адресов обычно используются частные IP-адреса в частных сетях с одним общедоступным IP-адресом для маршрутизатора, выходящего в Интернет . Транслятор сетевых адресов изменяет исходный адрес в сетевых протоколах для исходящих запросов с адреса внутреннего устройства на его внешний адрес, чтобы внутренние устройства могли взаимодействовать с хостами во внешней сети, одновременно передавая ответы обратно на исходное устройство.

В результате внутренняя сеть становится непригодной для услуг хостинга, поскольку устройство NAT не имеет автоматического метода определения внутреннего хоста, которому предназначены входящие пакеты из внешней сети. Это не проблема для общего доступа в Интернет и электронной почты. Однако такие приложения, как одноранговый обмен файлами, службы VoIP и игровые консоли, требуют, чтобы клиенты также были серверами. Входящие запросы нелегко сопоставить с соответствующим внутренним хостом. Кроме того, многие из этих типов служб содержат информацию об IP-адресе и номере порта в данных приложения, что потенциально требует замены с помощью глубокой проверки пакетов .

Технологии трансляции сетевых адресов не стандартизированы. В результате методы, используемые для обхода NAT, часто являются патентованными и плохо документированы. Многие методы обхода требуют помощи серверов за пределами маскируемой сети. Некоторые методы используют сервер только при установлении соединения, другие основаны на ретрансляции всех данных через него, что увеличивает требования к пропускной способности и задержке, что вредно для голосовой и видеосвязи в реальном времени.

Методы обхода NAT обычно обходят политику безопасности предприятия. Эксперты по корпоративной безопасности предпочитают методы, которые явно взаимодействуют с NAT и межсетевыми экранами, позволяя проходить через NAT и в то же время обеспечивая маршаллинг в NAT для обеспечения соблюдения политик безопасности предприятия. IETF Стандартами , основанными на этой модели безопасности, являются IP-адрес, специфичный для конкретной области (RSIP), и связь промежуточного уровня (MIDCOM).

Техники

Были разработаны различные методы обхода NAT:

Протокол сопоставления портов NAT (NAT-PMP) — это протокол, представленный Apple в качестве альтернативы IGDP.
Протокол управления портами (PCP) является преемником NAT-PMP.
UPnP Протокол устройства шлюза Интернета (UPnP IGD) поддерживается многими небольшими шлюзами NAT в домашних условиях или небольших офисах . Это позволяет устройству в сети попросить маршрутизатор открыть порт.
Интерактивное установление соединения (ICE) — это полный протокол для использования STUN и/или TURN для обхода NAT при выборе наилучшего доступного сетевого маршрута. Он заполняет некоторые недостающие части и недостатки, которые не были упомянуты в спецификации STUN.
Утилиты обхода сеанса для NAT (STUN) — это стандартизированный набор методов и сетевой протокол для пробивания дыр в NAT. Он был разработан для UDP, но был также расширен до TCP.
Обход с использованием реле вокруг NAT (TURN) — это протокол ретрансляции, разработанный специально для обхода NAT.
Пробивка дыр NAT — это общий метод, который использует то, как NAT обрабатывает некоторые протоколы (например, UDP, TCP или ICMP), чтобы пропустить ранее заблокированные пакеты через NAT.
Socket Secure (SOCKS) — это технология, созданная в начале 1990-х годов, которая использует прокси-серверы для ретрансляции трафика между сетями или системами.
Методы шлюза уровня приложения (ALG) — это компонент брандмауэра или NAT, который обеспечивает настраиваемые фильтры прохождения NAT. ^[2] Утверждается, что этот метод создает больше проблем, чем решает. ^[3]

Симметричный NAT

Недавнее распространение симметричных NAT снизило показатели успешного прохождения NAT во многих практических ситуациях, например, для мобильных и общедоступных подключений Wi-Fi. Методы перфорации, такие как STUN и ICE, не позволяют пройти симметричные NAT без помощи сервера ретрансляции, как это практикуется в TURN . Методы прохождения симметричных NAT путем попытки предсказать следующий порт, который будет открыт каждым устройством NAT, были обнаружены в 2003 году Ютакой Такеда из исследовательской лаборатории коммуникаций Panasonic. ^[4] и в 2008 году исследователями из Университета Васэда. ^[5] Методы прогнозирования портов эффективны только с устройствами NAT, которые используют известные детерминированные алгоритмы для выбора порта. Эта предсказуемая, но нестатическая схема распределения портов редко встречается в крупномасштабных NAT, таких как те, которые используются в сетях 4G LTE , и поэтому прогнозирование портов в значительной степени неэффективно в этих сетях мобильной широкополосной связи.

IPsec

IPsec Клиенты виртуальной частной сети используют обход NAT, чтобы пакеты инкапсулирующей полезной нагрузки безопасности проходили через NAT. IPsec использует в своей работе несколько протоколов, которые необходимо включить для обхода межсетевых экранов и трансляторов сетевых адресов:

Интернет-обмен ключами (IKE) — протокол пользовательских дейтаграмм (UDP), порт 500
Инкапсуляция полезных данных безопасности (ESP) – IP-протокол номер 50
Заголовок аутентификации (AH) – номер IP-протокола 51
Обход IPsec NAT — порт UDP 4500, если и только если используется обход NAT.

Многие маршрутизаторы предоставляют явные функции, часто называемые сквозной передачей IPsec. ^{[ нужна ссылка ]}

В Windows XP прохождение NAT включено по умолчанию, но в Windows XP с пакетом обновления 2 оно по умолчанию отключено в случае, когда VPN-сервер также находится за устройством NAT, из-за редкой и спорной проблемы безопасности. ^[6] Исправления IPsec NAT-T также доступны для Windows 2000, Windows NT и Windows 98. ^{[ нужна ссылка ]}

Обход NAT и IPsec могут использоваться для обеспечения гибкого шифрования трафика между системами. Обход NAT позволяет системам за NAT запрашивать и устанавливать безопасные соединения по требованию.

Обход размещенного NAT

Hosted NAT traversal (HNT) — это набор механизмов, включая ретрансляцию и фиксацию мультимедиа, который широко используется провайдерами связи по историческим и практическим причинам. ^[7] IETF . не рекомендует использовать блокировку в Интернете и рекомендует ICE по соображениям безопасности ^[8]

Документы стандартов IETF

RFC 1579 – FTP, дружественный к брандмауэру
RFC 2663 – Терминология и соображения транслятора IP-сетевых адресов (NAT)
RFC 2709 – Модель безопасности с туннельным режимом IPsec для доменов NAT
RFC 2993 – Архитектурные последствия NAT
RFC 3022 – Традиционный преобразователь IP-адресов (традиционный NAT)
RFC 3027 – осложнения протокола с транслятором сетевых адресов IP (NAT)
RFC 3235 - Рекомендации по разработке приложений, дружественных к транслятору сетевых адресов (NAT)
RFC 3715 - совместимость IPsec-трансляции сетевых адресов (NAT)
RFC 3947 – Согласование NAT-обхода в IKE ^{[ нужны разъяснения ]}
RFC 5128 – Состояние одноранговой (P2P) связи через трансляторы сетевых адресов (NAT)
RFC 5245 - Установление интерактивного соединения (ICE): протокол обхода преобразователя сетевых адресов (NAT) для протоколов предложения/ответа

См. также

Ссылки

^ «Описание обхода брандмауэра и NAT» . Eyeball Networks Inc. 5 июля 2013 г. Архивировано из оригинала 19 октября 2013 г. Проверено 10 октября 2013 г.
^ «Методы обхода NAT и одноранговые приложения». Хельсинкский технологический университет. CiteSeerX 10.1.1.103.1659 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ «Введение в НАТ» . Библиотека ПИНАТХ . Проверено 30 мая 2016 г.
^ «Симметричное прохождение NAT с использованием STUN» .
^ «Новый метод симметричного обхода NAT в UDP и TCP» (PDF) . Архивировано из оригинала (PDF) 02 февраля 2017 г. Проверено 14 мая 2016 г.
^ «Проход IPSec NAT не рекомендуется для компьютеров под управлением Windows Server 2003, находящихся за трансляторами сетевых адресов» . База знаний Microsoft № 885348. ^{[ мертвая ссылка ]}
^ Фиксация: хостинг NAT Traversal (HNT) для мультимедиа в режиме реального времени, RFC 7362 1 сентября 2014 г.
^ Установление интерактивного подключения (ICE): протокол обхода транслятора сетевых адресов (NAT), RFC 8445, 1 июля 2018 г.

Внешние ссылки

[ntexpl-1] «Описание обхода брандмауэра и NAT» . Eyeball Networks Inc. 5 июля 2013 г. Архивировано из оригинала 19 октября 2013 г. Проверено 10 октября 2013 г.

[techniquesHu-2] «Методы обхода NAT и одноранговые приложения». Хельсинкский технологический университет. CiteSeerX 10.1.1.103.1659 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[3] «Введение в НАТ» . Библиотека ПИНАТХ . Проверено 30 мая 2016 г.

[draft-takeda-symmetric-nat-traversal-00-4] «Симметричное прохождение NAT с использованием STUN» .

[zieckey-study-code-5] «Новый метод симметричного обхода NAT в UDP и TCP» (PDF) . Архивировано из оригинала (PDF) 02 февраля 2017 г. Проверено 14 мая 2016 г.

[6] «Проход IPSec NAT не рекомендуется для компьютеров под управлением Windows Server 2003, находящихся за трансляторами сетевых адресов» . База знаний Microsoft № 885348. ^{[ мертвая ссылка ]}

[7] Фиксация: хостинг NAT Traversal (HNT) для мультимедиа в режиме реального времени, RFC 7362 1 сентября 2014 г.

[8] Установление интерактивного подключения (ICE): протокол обхода транслятора сетевых адресов (NAT), RFC 8445, 1 июля 2018 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]