Обход NAT

редактировать

Обход трансляции сетевых адресов - это компьютерный сетевой метод установления и поддержания Интернет-протокола соединений через шлюзы, реализующие преобразование сетевых адресов (NAT).

Методы обхода NAT требуются для многих сетевых приложений, таких как одноранговая совместное использование файлов и передача голоса по IP.

Содержание

  • 1 Трансляция сетевых адресов
  • 2 Методы
    • 2.1 Симметричный NAT
  • 3 IPsec
  • 4 Обход размещенного NAT
  • 5 Документы стандартов IETF
  • 6 См. Также
  • 7 Ссылки
  • 8 Внешние ссылки

Сеть преобразование адресов

Устройства NAT позволяют использовать частные IP-адреса в частных сетях за маршрутизаторами с одним общедоступным IP-адресом, выходящим на Интернет. Внутренние сетевые устройства связываются с хостами во внешней сети, изменяя адрес источника исходящих запросов на адрес устройства NAT и ретранслируя ответы обратно на исходное устройство.

Это делает внутреннюю сеть непригодной для размещения серверов, поскольку устройство NAT не имеет автоматического метода определения внутреннего хоста, для которого предназначены входящие пакеты. Это не проблема для обычного доступа в Интернет и электронной почты. Однако такие приложения, как одноранговая совместное использование файлов, услуги VoIP и игровые консоли, требуют, чтобы клиенты также были серверами. Входящие запросы не могут быть легко соотнесены с надлежащим внутренним хостом. Кроме того, многие из этих типов услуг несут информацию об IP-адресе и номере порта в данных приложения, потенциально требуя замены с помощью глубокой проверки пакетов.

Технологии преобразования сетевых адресов не стандартизированы. В результате методы, используемые для обхода NAT, часто являются частными и плохо документированы. Многие методы обхода требуют помощи серверов вне замаскированной сети. Некоторые методы используют сервер только при установлении соединения, в то время как другие основаны на ретрансляции всех данных через него, что увеличивает требования к пропускной способности и задержку, что отрицательно сказывается на передаче голоса и видео в реальном времени.

Методы обхода NAT обычно обходят политику безопасности предприятия. Эксперты по корпоративной безопасности предпочитают методы, которые явно взаимодействуют с NAT и брандмауэрами, позволяя обход NAT, но при этом позволяя маршалинг на NAT для обеспечения соблюдения политик безопасности предприятия. Стандарты IETF, основанные на этой модели безопасности, - это IP-адрес, зависящий от области (RSIP), и связь промежуточных ящиков (MIDCOM).

Методы

Доступны следующие методы обхода NAT:

  • Socket Secure (SOCKS) - это технология, созданная в начале 1990-х годов, которая использует прокси-серверы для ретрансляции трафика между сетями или
  • Обход с использованием реле вокруг NAT (TURN) - это протокол ретрансляции, разработанный специально для обхода NAT.
  • Пробивка отверстий NAT - это общий метод, который использует то, как NAT обрабатывает некоторые протоколы (например, UDP, TCP или ICMP), чтобы разрешить ранее заблокированные пакеты через NAT.
  • Утилиты обхода сеанса для NAT (STUN) - это стандартизированный набор методов и сетевой протокол для пробивки отверстий NAT. Он был разработан для UDP, но также был расширен до TCP.
  • Interactive Connectivity Establishment (ICE) - это полный протокол для использования STUN и / или TURN для прохождения NAT при выборе наилучшего доступного сетевого маршрута. Он восполняет некоторые недостающие части и недостатки, которые не были упомянуты в спецификации STUN.
  • UPnP Протокол устройства шлюза Интернета (IGDP) поддерживается многими небольшими шлюзами NAT в доме или небольшого офиса. Он позволяет устройству в сети запрашивать у маршрутизатора открытие порта.
  • NAT-PMP - это протокол, представленный Apple в качестве альтернативы IGDP.
  • PCP является преемником NAT- PMP.
  • Шлюз уровня приложения (ALG) - это компонент межсетевого экрана или NAT, который позволяет настраивать фильтры обхода NAT. Многие утверждают, что этот метод создает больше проблем, чем решает.

Симметричный NAT

Недавнее распространение симметричных NAT снизило вероятность успешного прохождения NAT во многих практических ситуациях, например, для мобильных и общедоступных подключений Wi-Fi. Методы перфорации, такие как STUN и ICE, не позволяют проходить симметричные NAT без помощи сервера ретрансляции, как это практикуется в TURN. Методы, которые пересекают симметричные NAT, пытаясь предсказать следующий порт, который будет открыт каждым устройством NAT, были обнаружены в 2003 году Ютакой Такеда из исследовательской лаборатории Panasonic Communications и в 2008 году исследователями из университета Васэда. Методы прогнозирования портов эффективны только с устройствами NAT, которые используют известные детерминированные алгоритмы для выбора порта. Эта предсказуемая, но нестатическая схема распределения портов не характерна для крупномасштабных NAT, таких как те, которые используются в сетях 4G LTE, и поэтому прогнозирование портов в этих мобильных широкополосных сетях в значительной степени неэффективно.

IPsec

IPsec клиенты виртуальной частной сети используют обход NAT, чтобы пакеты Encapsulating Security Payload проходили через NAT. IPsec в своей работе использует несколько протоколов, которые должны быть включены для прохождения межсетевых экранов и трансляторов сетевых адресов:

Многие маршрутизаторы предоставляют явные функции, часто называемые сквозным IPsec.

В Windows XP обход NAT включен по умолчанию, но в Windows XP с пакетом обновления 2 он был отключен по умолчанию для случая, когда сервер VPN также находится за устройством NAT из-за редких и спорный вопрос безопасности. Патчи IPsec NAT-T также доступны для Windows 2000, Windows NT и Windows 98.

Обход NAT и IPsec могут использоваться для включения гибкого шифрования трафика между системами. Обход NAT позволяет системам, находящимся за NAT, запрашивать и устанавливать безопасные соединения по запросу.

Обход размещенного NAT

Обход размещенного NAT (HNT) - это набор механизмов, включая ретрансляцию и фиксацию мультимедиа, используемых посредниками. IETF не рекомендует использовать фиксацию через Интернет и рекомендует ICE по соображениям безопасности.

документы стандартов IETF

  • RFC 1579 - FTP с поддержкой межсетевого экрана
  • RFC 2663 - Терминология и соображения транслятора сетевых IP-адресов (NAT)
  • RFC 2709 - Модель безопасности с IPsec в туннельном режиме для доменов NAT
  • RFC 2993 - Архитектурные последствия NAT
  • RFC 3022 - Традиционный преобразователь сетевых адресов IP (традиционный NAT)
  • RFC 3027 - Сложности протокола с преобразователем сетевых IP-адресов (NAT)
  • RFC 3235 - Преобразователь сетевых адресов (NAT) - Дружественное приложение Рекомендации по проектированию
  • RFC 3715 - Совместимость IPsec с преобразованием сетевых адресов (NAT)
  • RFC 3947 - Согласование NAT-Traversal в IKE
  • RFC 5128 - Состояние однорангового узла. Одноранговая (P2P) связь через трансляторы сетевых адресов (NAT)
  • RFC 5245 - Установление интерактивного соединения (ICE): протокол для обхода транслятора сетевых адресов (NAT) для Of Протоколы fer / Answer

См. также

Ссылки

Внешние ссылки

Последняя правка сделана 2021-05-31 06:19:41
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте