Обход NAT

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Поиск источников: «NAT Traversal» - новости · газеты · книги · ученый · JSTOR ( апрель 2010 г. ) ( Узнайте, как и когда удалить это сообщение-шаблон )

Обход трансляции сетевых адресов - это метод компьютерной сети, позволяющий устанавливать и поддерживать соединения по Интернет-протоколу через шлюзы, которые реализуют трансляцию сетевых адресов (NAT).

Методы обхода NAT требуются для многих сетевых приложений, таких как одноранговый обмен файлами и передача голоса по IP . ^[1]

Преобразование сетевых адресов [ править ]

Устройства NAT позволяют использовать частные IP-адреса в частных сетях за маршрутизаторами с одним общедоступным IP-адресом, выходящим в Интернет . Внутренние сетевые устройства взаимодействуют с хостами во внешней сети, изменяя исходный адрес исходящих запросов на адрес устройства NAT и ретранслируя ответы обратно на исходное устройство.

Это делает внутреннюю сеть непригодной для размещения серверов, поскольку устройство NAT не имеет автоматического метода определения внутреннего хоста, для которого предназначены входящие пакеты. Это не проблема для обычного доступа в Интернет и электронной почты. Однако такие приложения, как одноранговый обмен файлами, услуги VoIP и игровые консоли, также требуют, чтобы клиенты были серверами. Входящие запросы не могут быть легко соотнесены с надлежащим внутренним хостом. Кроме того, многие из этих типов услуг несут информацию об IP-адресе и номере порта в данных приложения, что потенциально требует замены с помощью глубокой проверки пакетов .

Технологии трансляции сетевых адресов не стандартизированы. В результате методы, используемые для обхода NAT, часто являются частными и плохо документированы. Многие методы обхода требуют помощи серверов вне замаскированной сети. Некоторые методы используют сервер только при установлении соединения, в то время как другие основаны на ретрансляции всех данных через него, что увеличивает требования к пропускной способности и задержку, что отрицательно сказывается на передаче голоса и видео в реальном времени.

Методы обхода NAT обычно обходят политику безопасности предприятия. Эксперты по безопасности предприятия предпочитают методы, которые явно взаимодействуют с NAT и межсетевыми экранами, позволяя обход NAT, но при этом позволяя маршалинг на NAT для обеспечения соблюдения политик безопасности предприятия. IETF стандарты , основанные на этой модели безопасности являются Realm-Specific IP (RSIP) и middlebox связи (Midcom).

Методы [ править ]

Доступны следующие методы обхода NAT:

Socket Secure (SOCKS) - это технология, созданная в начале 1990-х годов, которая использует прокси-серверы для ретрансляции трафика между сетями или системами.
Обход с использованием реле вокруг NAT (TURN) - это протокол реле, разработанный специально для обхода NAT.
Пробивка отверстий NAT - это общий метод, который использует то, как NAT обрабатывает некоторые протоколы (например, UDP, TCP или ICMP), чтобы пропускать ранее заблокированные пакеты через NAT.
- Пробивка отверстий UDP
- Пробивка отверстий TCP
Утилиты обхода сеанса для NAT (STUN) - это стандартизированный набор методов и сетевой протокол для пробивки отверстий NAT. Он был разработан для UDP, но также был расширен до TCP.
Interactive Connectivity Establishment (ICE) - это полный протокол для использования STUN и / или TURN для прохождения NAT при выборе наилучшего доступного сетевого маршрута. Он восполняет некоторые недостающие части и недостатки, которые не были упомянуты в спецификации STUN.
UPnP Internet Gateway Device Protocol (IGDP) поддерживается многими небольшими шлюзами NAT в домашних условиях или в небольших офисах . Он позволяет устройству в сети запрашивать маршрутизатор об открытии порта.
NAT-PMP - это протокол, представленный Apple в качестве альтернативы IGDP.
PCP является преемником NAT-PMP.
Шлюз уровня приложения (ALG) - это компонент межсетевого экрана или NAT, который позволяет настраивать фильтры обхода NAT. ^[2] Многие утверждают, что этот метод создает больше проблем, чем решает. ^[3]

Симметричный NAT [ править ]

Недавнее распространение симметричных NAT снизило вероятность успешного прохождения NAT во многих практических ситуациях, например, для мобильных и общедоступных подключений WiFi. Методы пробивки отверстий, такие как STUN и ICE, не позволяют проходить симметричные NAT без помощи сервера ретрансляции, как это практикуется в TURN . Методы, которые пересекают симметричные NAT, пытаясь предсказать следующий порт, который будет открыт каждым устройством NAT, были обнаружены в 2003 году Ютакой Такеда из исследовательской лаборатории Panasonic Communications ^[4] и в 2008 году исследователями из университета Васэда. ^[5]Методы прогнозирования портов эффективны только с устройствами NAT, которые используют известные детерминированные алгоритмы для выбора порта. Эта предсказуемая, но нестатическая схема распределения портов не характерна для крупномасштабных NAT, таких как те, которые используются в сетях 4G LTE, и поэтому прогнозирование портов в этих мобильных широкополосных сетях в значительной степени неэффективно.

IPsec [ править ]

Клиенты виртуальной частной сети IPsec используют обход NAT, чтобы пакеты инкапсулирующей полезной нагрузки проходили через NAT. IPsec использует в своей работе несколько протоколов, которые должны быть включены для прохождения межсетевых экранов и трансляторов сетевых адресов:

Internet Key Exchange (IKE) - протокол пользовательских дейтаграмм (UDP) порт 500
Инкапсуляция полезной нагрузки безопасности (ESP) - IP-протокол номер 50
Заголовок аутентификации (AH) - номер протокола IP 51
IPsec NAT traversal - UDP-порт 4500, если и только если используется NAT traversal

Многие маршрутизаторы предоставляют явные функции, часто называемые сквозной передачей IPsec.

В Windows XP обход NAT включен по умолчанию, но в Windows XP с пакетом обновления 2 он был отключен по умолчанию для случая, когда сервер VPN также находится за устройством NAT из-за редкой и спорной проблемы безопасности. ^[6] Патчи IPsec NAT-T также доступны для Windows 2000, Windows NT и Windows 98.

Обход NAT и IPsec могут использоваться для обеспечения гибкого шифрования трафика между системами. Обход NAT позволяет системам, находящимся за NAT, запрашивать и устанавливать безопасные соединения по запросу.

Обход размещенного NAT [ править ]

Обход размещенного NAT (HNT) - это набор механизмов, включая ретрансляцию и фиксацию мультимедиа, используемых посредниками. ^{[ Править ]}IETF советует против использования защелкивания через Интернет и рекомендует ICE по соображениям безопасности. ^[7]

Документы стандартов IETF [ править ]

RFC 1579 - FTP с поддержкой межсетевого экрана
RFC 2663 - Терминология и соображения транслятора сетевых адресов IP (NAT)
RFC 2709 - Модель безопасности с IPsec в туннельном режиме для доменов NAT
RFC 2993 - Архитектурные последствия NAT
RFC 3022 - Традиционный преобразователь сетевых IP-адресов (традиционный NAT)
RFC 3027 - осложнения протокола с транслятором сетевых IP-адресов (NAT)
RFC 3235 - Транслятор сетевых адресов (NAT) - Рекомендации по проектированию дружественных приложений
RFC 3715 - Совместимость IPsec с трансляцией сетевых адресов (NAT)
RFC 3947 - Согласование прохождения NAT в IKE
RFC 5128 - Состояние одноранговой (P2P) связи через преобразователи сетевых адресов (NAT)
RFC 5245 - Установление интерактивного подключения (ICE): протокол для обхода транслятора сетевых адресов (NAT) для протоколов предложения / ответа

См. Также [ править ]

Пограничный контроллер сеанса (SBC)
Пробивка отверстий
Пробивка отверстий UDP
Пробивка отверстий TCP
Пробивка отверстий ICMP
Протокол сопоставления портов NAT (NAT-PMP)
Протокол управления портами (PCP)
Перенаправление порта

Ссылки [ править ]

^ «Объяснение прохождения межсетевого экрана и NAT» . Eyeball Networks Inc. 5 июля 2013 г. Архивировано из оригинала на 2013-10-19 . Проверено 10 октября 2013 .
^ «Методы обхода NAT и одноранговые приложения». Хельсинкский технологический университет. CiteSeerX 10.1.1.103.1659 . Цитировать журнал требует |journal=( помощь )
^ «Введение в NAT» . Библиотека PJNATH . Проверено 30 мая 2016 .
^ «Симметричный обход NAT с использованием STUN» .
^ «Новый метод симметричного обхода NAT в UDP и TCP» (PDF) . Архивировано из оригинального (PDF) 02.02.2017 . Проверено 14 мая 2016 .
^ «IPSec NAT Traversal не рекомендуется для компьютеров Windows Server 2003, которые находятся за преобразователями сетевых адресов» . База знаний Microsoft № 885348.
^ Блокировка: Обход хоста NAT (HNT) для мультимедиа в коммуникации в реальном времени draft-ietf-mmusic-latching-04 2013-10-08

Внешние ссылки [ править ]

Проблемы и факты о современных системах обхода NAT
Автономное прохождение NAT - связь NAT с NAT без участия третьей стороны
Корнельский университет - Характеристика и измерение прохождения TCP через NAT и межсетевые экраны
Колумбийский университет - Анализ одноранговой интернет-телефонии Skype
Одноранговая связь через трансляторы сетевых адресов (пробивка отверстий UDP)

[ntexpl-1] «Объяснение прохождения межсетевого экрана и NAT» . Eyeball Networks Inc. 5 июля 2013 г. Архивировано из оригинала на 2013-10-19 . Проверено 10 октября 2013 .

[techniquesHu-2] «Методы обхода NAT и одноранговые приложения». Хельсинкский технологический университет. CiteSeerX 10.1.1.103.1659 . Цитировать журнал требует |journal=( помощь )

[3] «Введение в NAT» . Библиотека PJNATH . Проверено 30 мая 2016 .

[draft-takeda-symmetric-nat-traversal-00-4] «Симметричный обход NAT с использованием STUN» .

[zieckey-study-code-5] «Новый метод симметричного обхода NAT в UDP и TCP» (PDF) . Архивировано из оригинального (PDF) 02.02.2017 . Проверено 14 мая 2016 .

[6] «IPSec NAT Traversal не рекомендуется для компьютеров Windows Server 2003, которые находятся за преобразователями сетевых адресов» . База знаний Microsoft № 885348.

[7] Блокировка: Обход хоста NAT (HNT) для мультимедиа в коммуникации в реальном времени draft-ietf-mmusic-latching-04 2013-10-08

[1]