Network Address Translation (NAT)Carlos Vicentecvicente@ns.uoregon.edu

NAT: NecesidadEscasez de direcciones IP realesEsta idea es an debatible, peroEl hecho de que Internet empez en E.E.U.U signific una reparticin desbalanceadaDificultad en obtener bloquesNecesidad de NICs regionalesVer LACNIC:http://www.lacnic.netv

NAT: NecesidadSeguridadLos bloques RFC-1918 no son enrutadosLos routers suelen bloquear cualquier paquete con estas direcciones en origen o destinoNingn AS debe publicar estos bloquesSe enmascara la topologa de la red internaGestinProtegerse de los cambios de bloques del ISP

RFC 1918Asigna varios bloques para uso interno y privado

10.0.0.0 - 10.255.255.255 (10/8 prefix)

172.16.0.0 - 172.31.255.255 (172.16/12 prefix)

192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Consecuencias de usar o no usar estos bloques?

FuncionamientoNAT bsicoUna sola direccin pblicaEl router recibe el paquete y cambia la direccin origen (O) con la direccin pblica (P) y reenva el paquete al destino (D)Inserta una entrada en su tabla dinmicaD -> O Recibe el paquete de vuelta, busca la direccin remota en su tabla (D), cambia la direccin destino (P) por la original (O)

Terminologa (Cisco)Inside Local, Inside GlobalOutside Local, Outside Global

Terminologa (Cisco)

FuncionamientoProblema:Qu pasa si dos mquinas locales acceden a la misma mquina remota simultneamente?La tabla contendrD -> O1D -> O2A quin le devuelvo el paquete?

NAT mltipleUtiliza un rango de direcciones pblicas para traducirCada nuevo paquete saliente con direccin origen O1, 02,On es traducido en P1, P2,Pn etcPermite que n mquinas internas accedan a un mismo servidor simultneamente

NAPT/PATNAPT = Network Address Port TranslationOtra solucin es agregar ms informacin a la tablaTraducir tambin los nmeros de puerto origen y destino

NAPT/PATNAT mltiple y NAPT se pueden combinarCisco utiliza el comando overload, con el que el router utiliza otra direccin del rango slo si ha mapeado todos los puertos de la primera direccin en su tabla

NAT/PAT estticoSe configura una relacin fija entre una direccin privada y una pblicaGeneralmente slo es necesario cuando se quiere proveer un servicio desde la red internaLos puertos no tienen que coincidir necesariamenteEj: 192.168.0.5:80 -> 203.132.165.9:8080Los firewalls suelen usar esta tcnica

LimitacionesProtocolos que incluyen direcciones IP y nmeros de puerto en su campo de datosICMP (Destination Unreachable)FTP (incluye direccin y puerto del cliente para conexin de datos)H.323, SIP (videoconferencia, VOIP)RealAudioSNMP en algunos casosX-WindowsLas nuevas implementaciones resuelven algunos de stos El router tiene que inspeccionar el contenido del paquete IP (ms carga de procesamiento)

Problemas con cifradoTCP header checksumDirecciones IP en su pseudo-cabeceraCalcula un checksum de staComo las direcciones cambian, el checksum tiene que ser recalculadoQu pasa si est cifrado?Caso SSH/SSL vs. IPSEC end-to-end

ConsideracionesDecisin de usar NAT debe tomar en cuenta la relacin costo/beneficioQu tanto pesan las ventajas obtenidas en comparacin conComplejidadIncapacidad para proveer ciertos serviciosGestin ms difcilDescontento de usuarios

Ms informacinDocumentos IETF (www.ietf.org)RFC-1918: Address Allocation for Private InternetsRFC-1631:The IP Network Address Translator (NAT) RFC-2993: Architectural Implications of NAT RFC-3027: Protocol Complications with the IP Network Address Translator The Trouble with NAT, Internet Protocol Journal (Cisco)http://www.cisco.com/en/US/about/ac123/ac147/ac174/ac182/about_cisco_ipj_archive_article09186a00800c83ec.html