Hlavní navigace

IPv6 NAT – chceme ho?

 Autor: 29
Pavel Satrapa 21. 10. 2010

Internet Architecture Board (IAB) v létě vydala RFC 5902, ve kterém vyjadřuje svůj názor na překlad adres (NAT) ve světě IPv6. Nejedná se o technický dokument, spíše o zhodnocení přínosů a problémů tohoto přístupu a z nich vycházející výzvu

Internet Architecture Board (IAB) v létě vydala RFC 5902, ve kterém vyjadřuje svůj názor na překlad adres (NAT) ve světě IPv6. Nejedná se o technický dokument, spíše o zhodnocení přínosů a problémů tohoto přístupu a z nich vycházející výzvu.

Není žádným velkým tajemstvím, že IAB, stejně jako většina odborníků, kteří se zabývají architekturou Internetu, není NATu příliš nakloněna a bere jej jako nutné zlo. Z tohoto hlediska je poměrně překvapivé, že zmiňované RFC se z velké části zabývá přednostmi mapování adres a důvody, pro které by mělo smysl o něm uvažovat i pro IPv6. Jsou rozpitvávány podrobněji, ale v podstatě je lze shrnout do tří skupin:

  • Šetří adresy. Tento přínos je pro IPv6 s jeho monumentálním adresním prostorem irelevantní, proto o něm v dokumentu není zmínka.

  • Zjednodušuje adresování. Překlad adres způsobí, že vnitřní adresy sítě jsou zcela nezávislé na okolí. Pokud síť změní poskytovatele Internetu, není nutné ji celou přeadresovávat, stačí jen změnit mapování na NATu. Podobně může NAT usnadnit připojení k několika poskytovatelům současně, čili multihoming. A do této kategorie spadá i snadnější poskytování podpory zákazníkům, kteří mají všichni ve svých sítích shodný adresní prostor („Máte v položce Výchozí brána nastaveno 10.0.0.1?“).

  • Přispívá k zabezpečení. Opakovaně se zdůrazňuje, že NAT není bezpečnostní mechanismus, nicméně jeho přínosy v této oblasti jsou neoddiskutovatelné. Skrývá uspořádání vnitřní sítě a omezuje přístup k jejím strojům, takže komplikuje snahu o její napadení. Ne nepřekonatelně, ale komplikuje.

Cenou, kterou platíme, je především špatná prostupnost NATu pro některé služby. Paradoxně především pro ty, které zahrnují přímou komunikaci koncových strojů (peer-to-peer systémy, IP telefonie, ICQ a spol. či online hry) a jsou velmi populární. Evidentně se s přítomností NATu dokáží vypořádat, ovšem významně to komplikuje jejich vnitřní mechanismy. A Internet je jeden obrovský příklad vítězství jednoduchých technologií nad složitějšími.

Technologickým garantem seriálu Pohněme s IPv6 je CZ.NIC.

Logo cz nic

Mám příležitost pohybovat se v obou prostředích, takže snad mohu srovnávat. Podílím se na správě poměrně velké sítě TU v Liberci, která je samozřejmě adresována veřejně. Obsahuje řadu serverů nabízejících to či ono, navíc jsou uživatelé kreativní a zkoušejí nejrůznější síťové služby. Spravovat NAT pro tento moloch by nutně znamenalo neustále se zabývat různými výjimkami a problémy (nebo nasadit velmi restriktivní politiku vůči uživatelům, což je ovšem na akademické půdě jen těžko myslitelné). Přeadresování, které jsme také absolvovali, protože kapacita některých podsítí přestala stačit a museli jsme změnit jejich uspořádání, bylo proti tomu procházkou růžovou zahradou. Sice představovalo velký zásah do vnitřností sítě, ovšem zásah jednorázový, který se odladil a je na dlouhou dobu klid.

Naopak doma mám – asi jako valná většina čtenářů – síť NATovanou s jedinou veřejnou adresou. Jelikož nemám potřebu z domova cokoli poskytovat, nikdy jsem to nevnímal jako příliš velkou újmu. Naopak mi přišlo vhod lehké posílení bezpečnosti, které to přináší. Ovšem pokud by se uživatel mohl spolehnout na to, že domácí krabička-všeuměl má od výrobce rozumně nastavené zabezpečení (jak doporučuje návrh draft-ietf-v6ops-cpe-simple-security), stane se bezpečnostní přínos NATu zanedbatelným a NAT samotný se přesune z kategorie „něco mi přináší“ do kategorie „nevadí mi“. A to je jako motivace pro nasazení dost málo.

Troufnu si zobecnit: Přínos NATu klesá s velikostí a rozmanitostí sítě, která se za ním nachází. Problémy, které přináší, ve velkých sítích obvykle převažují nad výhodami. Na NAT jsme si zvykli jako na nutné zlo, které oddaluje vyčerpání IPv4 adres. A když už ho máme, vidíme i některé jeho pozitivní stránky. Ale moc nevěřím, že správci sítí je budou považovat za natolik atraktivní, aby kvůli nim NAT nasadili i pro IPv6, kde budou mít adres habaděj.

Je záhodno poznamenat, že pokud by IPv6 NAT měl sloužit především pro nezávislost vnitřního adresního prostoru, zřejmě by pracoval odlišně, než jsme v současnosti zvyklí. Dnešní NAT je ve skutečnosti NAPT (Network Address and Protocol Translator), protože mění v procházejících paketech nejen IP adresu, ale i port. Důvodem je nedostatek veřejných IPv4 adres, obvykle si musí vystačit s jedinou. V IPv6 tento problém nejspíš nenastane, takže bude stačit jednoduše mapovat vnitřní IPv6 adresy na vnější a porty nechat být. Tím se jeho chování zjednoduší a poněkud se utlumí negativní, ale i pozitivní dopady (nebude už tak dobře skrývat identitu vnitřních počítačů).

Když se vrátíme k RFC 5902, IAB v něm upozorňuje, že je záhodno se dívat nejen na význam NATu pro koncovou síť, ale i na jeho dopady pro zbytek Internetu. To je postoj pro IAB sice pochopitelný, ale poměrně idealistický. Jestliže se správce sítě bude rozhodovat, zda nasadí IPv6 NAT, obávám se, že otázka „Co to způsobí zbytku Internetu?“ nebude mít v jeho úvahách příliš velkou váhu.

Závěr dokumentu se obecně nese v duchu budování vzdušných zámků. IAB konstatuje, že by bylo velmi žádoucí vyvinout koncepční mechanismy, které by umožnily větší nezávislost adresování vnitřní sítě na poskytovateli, usnadnily přeadresování a multihoming a odstranily tak motivaci pro nasazení NAT. To je jistě pravda, ovšem internetová komunita na nich pracuje odhadem tak 15 let, zatím bez výraznějších úspěchů.

Jak už jsem napsal, osobně doufám, že většina správců, když bude mít na vybranou, vyhodnotí život bez NATu jako jednodušší. Jinak nás do budoucna čeká podobně degradovaná síť, s jakou se potýkáme dnes. Že by problém vyřešila nějaká úžasná populární aplikace, která neprojede NATem a tudíž jej postaví mimo hru, příliš nevěřím. V současnosti si autor každé novinky dá pozor, aby vyřešil obcházení NATů. Bez něj nemá šanci masově prorazit.

Našli jste v článku chybu?

21. 10. 2010 9:57

davro (neregistrovaný)
To platí pouze do doby, než si někdo přitáhne do firmy nějaké hodně specializované zařízení za mnoho milionů, které prostě do té sitě připojit musí a používá nějaké obskurní protokoly. Jen tak z fleku mne napadají videokonferenční zařízení, mikroskopy nebo medicínské systémy využívající protokol DICOM.

21. 10. 2010 9:39

tigmac (neregistrovaný)
To je falešný pocit bezpečí, zjistit a nebo odhadnout vnitřní IP adresy není zdaleka nemožné. NAT je peklo, zejména v době rozvoje služeb, které fungují P2P a to nemám na mysli "stahovače", ale např. věci jako VoIP. Ano, ono VoIP "funguje" i s NATem, ale často je k tomu potřeba server někde "venku" zatímco bez NATu mohou jít pakety pěkně nejkratší cestou, což třeba SIP umí zařídit (když má možnost).
Zkrátka NAT je z nouze ctnost řešení a není to řešení bezpečnostní …
Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

120na80.cz: Jmelí je více léčivé než jedovaté

Jmelí je více léčivé než jedovaté

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Lupa.cz: České internetové uzly vtrhly na Slovensko

České internetové uzly vtrhly na Slovensko

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy