NAT transversal - NAT traversal

Traversal de tradução de endereço de rede é uma técnica de rede de computador para estabelecer e manter conexões de protocolo de Internet em gateways que implementam conversão de endereço de rede (NAT).

As técnicas de passagem de NAT são necessárias para muitos aplicativos de rede, como compartilhamento de arquivos ponto a ponto e voz sobre IP .

Tradução do Endereço da Rede

Os dispositivos NAT permitem o uso de endereços IP privados em redes privadas atrás de roteadores com um único endereço IP público voltado para a Internet . Os dispositivos de rede interna comunicam-se com hosts na rede externa alterando o endereço de origem das solicitações de saída para aquele do dispositivo NAT e retransmitindo as respostas de volta ao dispositivo de origem.

Isso deixa a rede interna inadequada para hospedar servidores, já que o dispositivo NAT não tem um método automático de determinar o host interno para o qual os pacotes de entrada são destinados. Isso não é um problema para acesso geral à web e e-mail. No entanto, aplicativos como compartilhamento de arquivos ponto a ponto , serviços VoIP e consoles de videogame exigem que os clientes também sejam servidores. As solicitações de entrada não podem ser facilmente correlacionadas ao host interno adequado. Além disso, muitos desses tipos de serviços carregam informações de endereço IP e número de porta nos dados do aplicativo, exigindo potencialmente a substituição com inspeção profunda de pacotes .

As tecnologias de tradução de endereços de rede não são padronizadas. Como resultado, os métodos usados ​​para NAT traversal são geralmente proprietários e mal documentados. Muitas técnicas de passagem requerem assistência de servidores fora da rede mascarada. Alguns métodos usam o servidor apenas ao estabelecer a conexão, enquanto outros se baseiam na retransmissão de todos os dados por meio dele, o que aumenta os requisitos de largura de banda e a latência, prejudicial às comunicações de voz e vídeo em tempo real.

As técnicas de passagem de NAT geralmente contornam as políticas de segurança corporativa. Os especialistas em segurança corporativa preferem técnicas que cooperam explicitamente com o NAT e os firewalls, permitindo a travessia do NAT e, ao mesmo tempo, permitindo o empacotamento no NAT para fazer cumprir as políticas de segurança da empresa. Os padrões IETF baseados neste modelo de segurança são Realm-Specific IP (RSIP) e comunicações middlebox (MIDCOM).

Técnicas

As seguintes técnicas de passagem de NAT estão disponíveis:

• Socket Secure (SOCKS) é uma tecnologia criada no início dos anos 1990 que usa servidores proxy para retransmitir o tráfego entre redes ou sistemas.
• Traversal usando relés em torno de NAT (TURN) é um protocolo de retransmissão projetado especificamente para travessia de NAT.
• O furador de NAT é uma técnica geral que explora como os NATs lidam com alguns protocolos (por exemplo, UDP, TCP ou ICMP) para permitir pacotes bloqueados anteriormente por meio do NAT.
  • Perfuração UDP
  • Perfuração TCP
  • Perfuração ICMP
• O Session Traversal Utilities for NAT (STUN) é um conjunto padronizado de métodos e um protocolo de rede para NAT. Ele foi projetado para UDP, mas também foi estendido para TCP.
• O estabelecimento de conectividade interativa (ICE) é um protocolo completo para usar STUN e / ou TURN para fazer travessia de NAT enquanto escolhe a melhor rota de rede disponível. Ele preenche algumas das peças ausentes e deficiências que não foram mencionadas pela especificação do STUN.
• O protocolo de dispositivo de gateway da Internet UPnP (IGDP) é compatível com muitos pequenos gateways NAT em configurações de casa ou pequenos escritórios . Ele permite que um dispositivo em uma rede peça ao roteador para abrir uma porta.
• NAT-PMP é um protocolo introduzido pela Apple como alternativa ao IGDP.
• O PCP é um sucessor do NAT-PMP.
• O gateway de nível de aplicativo (ALG) é um componente de um firewall ou NAT que permite a configuração de filtros de passagem NAT. Muitas pessoas afirmam que essa técnica cria mais problemas do que resolve.

NAT simétrico

A recente proliferação de NATs simétricos reduziu as taxas de sucesso de passagem de NAT em muitas situações práticas, como para conexões WiFi públicas e móveis. As técnicas de perfuração, como STUN e ICE, falham ao atravessar NATs simétricos sem a ajuda de um servidor de retransmissão, como é praticado no TURN . Técnicas que atravessam NATs simétricos tentando prever a próxima porta a ser aberta por cada dispositivo NAT foram descobertas em 2003 por Yutaka Takeda no Laboratório de Pesquisa de Comunicações da Panasonic e em 2008 por pesquisadores da Universidade Waseda. As técnicas de previsão de porta são eficazes apenas com dispositivos NAT que usam algoritmos determinísticos conhecidos para seleção de porta. Esse esquema de alocação de porta previsível, porém não estático, é incomum em NATs de grande escala, como os usados ​​em redes 4G LTE e, portanto, a previsão de porta é amplamente ineficaz nessas redes de banda larga móvel.

IPsec

Os clientes da rede privada virtual IPsec usam o NAT traversal para que os pacotes Encapsulating Security Payload atravessem o NAT. O IPsec usa vários protocolos em sua operação, que devem ser habilitados para atravessar firewalls e tradutores de endereço de rede:

• Internet Key Exchange (IKE) - Porta 500 do protocolo de datagrama do usuário (UDP)
• Encapsulating Security Payload (ESP) - protocolo IP número 50
• Cabeçalho de autenticação (AH) - protocolo IP número 51
• IPsec NAT traversal - porta UDP 4500, se e somente se NAT traversal estiver em uso

Muitos roteadores fornecem recursos explícitos, geralmente chamados de passagem de IPsec.

No Windows XP, o NAT traversal é habilitado por padrão, mas no Windows XP com Service Pack 2 ele foi desabilitado por padrão para o caso em que o servidor VPN também está atrás de um dispositivo NAT, devido a um raro e controverso problema de segurança. Os patches IPsec NAT-T também estão disponíveis para Windows 2000, Windows NT e Windows 98.

O NAT traversal e o IPsec podem ser usados ​​para habilitar a criptografia oportunista do tráfego entre os sistemas. O NAT traversal permite que os sistemas por trás dos NATs solicitem e estabeleçam conexões seguras sob demanda.

NAT traversal hospedado

O traversal de NAT hospedado (HNT) é um conjunto de mecanismos, incluindo retransmissão e travamento de mídia, amplamente utilizado por provedores de comunicações por razões históricas e práticas. O IETF desaconselha o uso de travamento na Internet e recomenda o ICE por razões de segurança.

Documentos de padrões IETF

• RFC  1579  - FTP compatível com firewall
• RFC  2663  - Terminologia e considerações do conversor de endereço de rede IP (NAT)
• RFC  2709  - Modelo de segurança com IPsec em modo túnel para domínios NAT
• RFC  2993  - Implicações arquitetônicas do NAT
• RFC  3022  - Conversor de endereço de rede IP tradicional (NAT tradicional)
• RFC  3027  - Complicações de protocolo com o conversor de endereço de rede IP (NAT)
• RFC  3235  - Network Address Translator (NAT) - Diretrizes de design de aplicativos amigáveis
• RFC  3715  - Compatibilidade IPsec-Network Address Translation (NAT)
• RFC  3947  - Negociação de NAT-Traversal no IKE
• RFC  5128  - Estado da comunicação ponto a ponto (P2P) entre conversores de endereços de rede (NATs)
• RFC  5245  - Estabelecimento de Conectividade Interativa (ICE): Um Protocolo para Conversor de Endereço de Rede (NAT) Traversal para Protocolos de Oferta / Resposta

Veja também

Referências

links externos

• Problemas e fatos sobre os sistemas modernos de passagem NAT
• Traversal de NAT autônomo - comunicação de NAT para NAT sem terceiros
• Cornell University - Caracterização e medição de TCP Traversal por meio de NATs e firewalls
• Columbia University - Uma Análise da Telefonia Skype Peer-to-Peer Internet
• Comunicação ponto a ponto entre conversores de endereços de rede (UDP Hole Punching)