NAT -- brzda rozvoje Internetu?

NAT je technologie, jejíž dopad je plíživý a netýká se (dopad) nejčastěji používaných služeb Internetu (web, elektronická pošta). Také proto zůstává v pozadí zájmu médií. Tuto technologii také implementovala velká část výrobců aktivních prvků a je rovněž k dispozici ve valné většině operačních systémů – počínaje Linuxem a konče Windows.

Tato technologie v podstatě umožňuje, aby se celá lokální síť tvářila do Internetu jako jedna IP adresa. Zatímco jsou v lokální síti přidělovány speciální adresy (například z bloků 10.0.0.0 nebo 192.168.0.0), do Internetu je propagována jedna adresa, obvykle adresa přístupového směrovače (NAT brána). Speciální adresy by se neměly vůbec objevit na Internetu a jsou speciálně určeny pro intranetové aplikace (a tudíž se uživatelé nemusejí ohlížet na to, jestli je někdo ve stejnou chvíli používá). Management všech spojení potom dělá NAT brána.

Takový princip fungování je poměrně jednoduchý pro provoz, který je iniciován zevnitř sítě, nicméně provoz, který by byl iniciován zvenčí, nemá NAT brána kam doručit, protože volající strana nemá k dispozici nic víc než IP adresu NAT brány – adresa volaného počítače v lokální síti není do Internetu propagována. NAT už tímto způsobem v podstatě zničil původní podobu protokolu FTP, v dnešní době se používá především tzv. pasivní mód – při omezené funkčnosti NAT bránou projde.

Kromě toho, že NAT ušetřil nějaké IP adresy a udělal tak radost LIR (Local Internet Registry – což jsou lidé, kteří IP adresy přidělují), vydělal peníze výrobcům železa a softwaru, zabránil či zpomalil rozvoj dalších, pokročilejších technologií, které by přinesly totéž, ale bez nežádoucích efektů – jako příklad můžeme uvést IPv6.

Častým argumentem pro nasazení NATu je také bezpečnost lokální sítě. Jde o jeden z velmi rozšířených omylů systémových administrátorů. NAT jako takový lokální síť nechrání a pokud se útočníkovi podaří přesvědčit NAT bránu, že i na druhé straně je patřičná síť s interními adresami, nestojí mu nic v cestě. Ano, takovému chování NAT brány pravděpodobně brání firewall běžící na stejném počítači, nicméně lokální síť potom brání firewall a nikoliv NAT.

Pokud potřebujeme, aby přes NAT „prošly“ aplikace, které se neslučují s jeho principem, je nutné pro každou takovou aplikaci napsat aplikační rozhraní, které umožní NAT bráně poznat, kam do lokální sítě má směrovat provoz. Problém je v tom, že pro každou aplikaci (či v lepším případě protokol) je potřeba zvláštní rozhraní. Kromě toho, že takováto funkčnost klade nároky na provozovaný hardware, existuje bezpečnostní riziko zanášení dalších a dalších kusů kódu do místa, kde ho má být co nejméně.

Je třeba říci, že NAT se podílí výrazným způsobem na změně internetového paradigmatu, jež se dá charakterizovat jako end-to-end konektivita (tj. principiální možnost propojení jakýchkoliv dvou počítačů). Každý může mít na to, jestli je to dobře nebo špatně, vlastní názor – například i díky NATu nedochází k masivnímu využívání všech vlastností peer-to-peer aplikací (počínaje Napsterem a konče ICQ) v komerčních společnostech. Klienti mohou využívat pouze omezenou funkčnost těchto aplikací (například dva uživatelé v různých sítích s NATem si přes ICQ chat nespustí).

I když pomineme přínos aplikací, jako je Napster nebo ICQ, rozvoji Internetu, zůstávají nám problémy s aplikacemi, které Internetu dodají další potenciál. Ano, mluvím o Voice-over-IP (a teď nikoliv o modelu, kdy propojíte dvě PBX přes Internet a říkáte tomu Voice-over-IP, ale o možnosti, kdy budete mít vedle počítače IP telefon). V takovém případě bude potřeba, aby kdosi zvenčí navázal spojení, když vám bude volat. Naprosto stejný problém představují videokonference – kdo by nestál například o to, aby videotelefony v sítích 3G (UMTS) mohly komunikovat s protějšky připojenými do Internetu? Pokud ale operátoři nasadí v 3G sítích klasické IPv4, bude to takřka jistě s NATem mezi 3G sítí a Internetem.

Zkrátka a dobře, NAT je technologie, bez které by se Internet obešel.