Hlavní navigace

NAT -- brzda rozvoje Internetu?

Michal Krsek 28. 6. 2001

Jen těžko zapomenout na poprask před několika lety, který byl způsoben potenciálním nedostatkem IP adres. Různí "analytici" předpovídali, že IP adresy dojdou do konce roku 2000, případně že díky tomu Internet skončí. Kromě jiných pravidel byla široce přijata idea NAT, která se ukazuje jako brzdící element rozvoje Internetu.

NAT je technologie, jejíž dopad je plíživý a netýká se (dopad) nejčastěji používaných služeb Internetu (web, elektronická pošta). Také proto zůstává v pozadí zájmu médií. Tuto technologii také implementovala velká část výrobců aktivních prvků a je rovněž k dispozici ve valné většině operačních systémů – počínaje Linuxem a konče Windows.

Tato technologie v podstatě umožňuje, aby se celá lokální síť tvářila do Internetu jako jedna IP adresa. Zatímco jsou v lokální síti přidělovány speciální adresy (například z bloků 10.0.0.0 nebo 192.168.0.0), do Internetu je propagována jedna adresa, obvykle adresa přístupového směrovače (NAT brána). Speciální adresy by se neměly vůbec objevit na Internetu a jsou speciálně určeny pro intranetové aplikace (a tudíž se uživatelé nemusejí ohlížet na to, jestli je někdo ve stejnou chvíli používá). Management všech spojení potom dělá NAT brána.

Takový princip fungování je poměrně jednoduchý pro provoz, který je iniciován zevnitř sítě, nicméně provoz, který by byl iniciován zvenčí, nemá NAT brána kam doručit, protože volající strana nemá k dispozici nic víc než IP adresu NAT brány – adresa volaného počítače v lokální síti není do Internetu propagována. NAT už tímto způsobem v podstatě zničil původní podobu protokolu FTP, v dnešní době se používá především tzv. pasivní mód – při omezené funkčnosti NAT bránou projde.

Kromě toho, že NAT ušetřil nějaké IP adresy a udělal tak radost LIR (Local Internet Registry – což jsou lidé, kteří IP adresy přidělují), vydělal peníze výrobcům železa a softwaru, zabránil či zpomalil rozvoj dalších, pokročilejších technologií, které by přinesly totéž, ale bez nežádoucích efektů – jako příklad můžeme uvést IPv6.

Častým argumentem pro nasazení NATu je také bezpečnost lokální sítě. Jde o jeden z velmi rozšířených omylů systémových administrátorů. NAT jako takový lokální síť nechrání a pokud se útočníkovi podaří přesvědčit NAT bránu, že i na druhé straně je patřičná síť s interními adresami, nestojí mu nic v cestě. Ano, takovému chování NAT brány pravděpodobně brání firewall běžící na stejném počítači, nicméně lokální síť potom brání firewall a nikoliv NAT.

Pokud potřebujeme, aby přes NAT „prošly“ aplikace, které se neslučují s jeho principem, je nutné pro každou takovou aplikaci napsat aplikační rozhraní, které umožní NAT bráně poznat, kam do lokální sítě má směrovat provoz. Problém je v tom, že pro každou aplikaci (či v lepším případě protokol) je potřeba zvláštní rozhraní. Kromě toho, že takováto funkčnost klade nároky na provozovaný hardware, existuje bezpečnostní riziko zanášení dalších a dalších kusů kódu do místa, kde ho má být co nejméně.

Je třeba říci, že NAT se podílí výrazným způsobem na změně internetového paradigmatu, jež se dá charakterizovat jako end-to-end konektivita (tj. principiální možnost propojení jakýchkoliv dvou počítačů). Každý může mít na to, jestli je to dobře nebo špatně, vlastní názor – například i díky NATu nedochází k masivnímu využívání všech vlastností peer-to-peer aplikací (počínaje Napsterem a konče ICQ) v komerčních společnostech. Klienti mohou využívat pouze omezenou funkčnost těchto aplikací (například dva uživatelé v různých sítích s NATem si přes ICQ chat nespustí).

I když pomineme přínos aplikací, jako je Napster nebo ICQ, rozvoji Internetu, zůstávají nám problémy s aplikacemi, které Internetu dodají další potenciál. Ano, mluvím o Voice-over-IP (a teď nikoliv o modelu, kdy propojíte dvě PBX přes Internet a říkáte tomu Voice-over-IP, ale o možnosti, kdy budete mít vedle počítače IP telefon). V takovém případě bude potřeba, aby kdosi zvenčí navázal spojení, když vám bude volat. Naprosto stejný problém představují videokonference – kdo by nestál například o to, aby videotelefony v sítích 3G (UMTS) mohly komunikovat s protějšky připojenými do Internetu? Pokud ale operátoři nasadí v 3G sítích klasické IPv4, bude to takřka jistě s NATem mezi 3G sítí a Internetem.

Zkrátka a dobře, NAT je technologie, bez které by se Internet obešel.

Našli jste v článku chybu?

4. 6. 2002 19:10

Sasha Nedvedicky (neregistrovaný)
V dobe kdy byl NAT navrzen (tusim asi polovina 90. let)
IPv6 nebylo ready, takze se do toho nikomu jit nechtelo. Zda
se, ze s IPv6 to zatim prilis vazne nemysli ani predni vyrobci sitovych routeru (CISCO, 3com, ...) IPv6 je zatim podporovan v otevrenych systemech *BSD, Linux, ..., MAC-OS-X.

Co se tyce odstraneni zasadnich nedostatku NATu (t.j. poruseni E2E) doporucuji precist si RFC k protokolu RSIP,
tusim, ze se jedna o RFC3102 - RFC3105. Je to velice zajimavy napad, i kdyz asi tesko rea…




3. 7. 2001 11:49

MK (neregistrovaný)
... pokud si myslite, ze NATem uvedene problemy vyresite, tak se muzete dockat pomerne neprijemneho preqapeni.
Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?