NAT vesus NAP

Jak funguje NAT

Základní myšlenkou NAT je změna adres v procházejících datagramech. Bývá realizován například na směrovači připojujícím zákazníkovu lokální síť k síti poskytovatelově. Lokální síť pak může používat libovolné adresy, nejčastěji se jedná o neveřejné adresy podle RFC 1918.

Zařízení provádějící NAT potřebuje alespoň jednu veřejnou, globálně směrovatelnou adresu. Může jich mít k dispozici několik, ale často vyjde jen s jedinou. V takovém případě se jedná o adresu jeho rozhraní připojeného k poskytovateli.

Když některý počítač z lokální sítě odesílá paket do Internetu, odešle jej se svou (neveřejnou) adresou na místě odesílatele. Při průchodu NAT zařízením je paket změněn. NAT přepíše adresu a port odesílatele – vloží do nich svou vlastní veřejnou IP adresu a číslo portu, které přidělil odesílajícímu počítači. Zároveň si poznamená toto přidělení do své tabulky, jež obsahuje informace o vzájemných převodech adres.

Když později dorazí odpověď směřující na tento port, NAT opět přepíše část hlaviček – do cílové adresy a portu vloží informace podle převodní tabulky – a předá paket k doručení do lokální sítě. Odesílajícímu počítači tudíž dorazí odpověď s jeho adresou a dotyčný vůbec nepozná, že pakety byly během přenosu upravovány. Záznamy v převodní tabulce mají jistou životnost, takže při probíhající komunikaci bude tentýž počítač a port z lokální sítě mapován na stejný port v NATu (bude se používat stále stejná položka konverzní tabulky).

Hlavním problémem NATu je, že narušuje základní princip Internetu, podle nějž jsou všechny počítače jednoznačně adresovány a kdokoli s kýmkoli může komunikovat přímo. Počítače v lokální síti nemají veřejné adresy. Proto s nimi nelze zvenčí navázat spojení – není jak je identifikovat. Komunikace může být zahájena jen zevnitř sítě směrem do Internetu. Teprve v této situaci vznikne na NATu záznam v převodní tabulce a počítač z vnitřní sítě se naváže na některý port NATu. Od tohoto okamžiku bude zvenčí dosažitelný (po dobu platnosti záznamu).

Principy práce NATu popisuje RFC 3022.

Co je NAP

Zkratka NAP znamená Network Architecture Protection. Na rozdíl od NATu se nejedná o novou technologii, ale o sadu doporučení, jak využít existující nástroje IPv6 k dosažení podobných výhod, jaké přináší použití NATu. Protože NAT sice z hlediska principiálního představuje čiré zlo, ale jeho nasazení má i určité výhody (jak už to tak se zlem bývá).

Vzniká pod křídly pracovní skupiny IETF IPv6 Operations (V6OPS) a zatím je ve fázi pracovního návrhu (draft-ietf-v6ops-nap). Ten poslední má pořadové číslo 01 a je ještě teplý, pochází z června. Podívejme se na výhody NAT a jak podle NAP lze dosáhnout podobného efektu na půdě IPv6.

Výhody NATu a jejich realizace v IPv6

Úspora globálních adres

Toto je vlastní důvod existence NATu. Jedinou globální adresou lze obsloužit i poměrně rozlehlou lokální síť.

NAP: Nedostatek adres stál také u kolébky IPv6 a zde opravdu nehrozí. Tahle výhoda nemá pro IPv6 žádný smysl.

Jednoduchá brána do Internetu

NAT zařízení často nabízejí jednoduchou konfiguraci, kdy na jediném místě člověk nakonfiguruje vše potřebné pro připojení sítě k Internetu i přidělování adres v lokální síti.

NAP: Ve světě IPv6 podobnou službu odvede běžný směrovač v kombinaci s autokonfigu­račními mechanismy. Používané prefixy navíc i on může získat automaticky prostřednictvím DHCP-PD, rozšíření DCHP pro delegaci prefixů.

Bezpečnostní bonus

Přestože NAT není bezpečnostním mechanismem, určitý přínos k bezpečnosti sítě mu nelze upřít. Jelikož počítače uvnitř sítě nejsou globálně adresovatelné, nelze s nimi zvenčí navazovat spojení a zkoušet na ně různé triky. Také skenování portů lokální sítě zvenčí má velmi omezené pole působnosti. (Což útočníci řeší pomocí trojských koní nasazených do lokální sítě, kteří zajistí potřebnou spolupráci zevnitř.)

NAP: Pokud by bylo podobné chování žádoucí, v principu je lze realizovat pomocí stavového firewallu, jenž nedovolí navázání spojení zvenčí dovnitř sítě. Ovšem tento přístup nese stejné nevýhody jako NAT.

V běžné situaci je počítač dostupný po IPv6 vystaven stejnému ohrožení jako globálně adresovaný počítač v IPv4 síti. Proto se doporučuje používat firewally, systémy pro detekci vetřelců a další bezpečnostní „udělátka“. Ovšem přece jen má IPv6 co zajímavého nabídnout. Jednak lze používat krátkodobé adresy podle RFC3041, jež omezují dobu vystavení počítače útoku. Obludná velikost podsítí (k identifikaci rozhraní slouží 64 bitů, takže podsíť obsahuje 1,8.10¹⁹ různých adres) činí skenování prakticky neproveditelným. A pochopitelně bezpečnost lze nadále zvýšit použitím IPsec (doufejme, že se konečně zlepší jeho podpora, která je sice povinná, ale dosud často chybí).

Sledování uživatelů a aplikací

NAT zařízení většinou dovede zaznamenávat protokol o procházející datové komunikaci a v případě problémů lze zpětně dohledat datové přenosy jednotlivých uživatelů či programů. Ovšem vzhledem k náhodnému přiřazování portů není analýza těchto záznamů zcela triviální.

NAP: Také IPv6 umožňuje shromažďovat data o procházejících datových tocích. Používání globálních adres o něco zjednodušuje analýzu.

Skrývání topologie vnitřní sítě

Znalost topologie vnitřní sítě může útočníkovi usnadnit jeho pokusy. Jelikož NAT mapuje všechny počítače na tutéž adresu (nebo na skupinu adres, ovšem typicky zcela náhodně a bez vazeb na topologii lokální sítě), struktura lokální sítě zůstává před vnějším světem utajena. Také se částečně chrání soukromí lokálních uživatelů, když ve vnějším světě jejich počítače střídají adresy.

NAP: Z globálních adres, jež IPv6 používá, bude možné poznat, kdo je s kým v podsíti. Tomu se pravděpodobně nedá zabránit, ostatní informace o lokální síti je možné skrýt (např. nepropouštěním datagramů pro traceroute/ping). V dokumentu se sice píše o náhodném adresování počítačů a záznamech pro jednotlivé počítače ve směrovacích tabulkách, to je ovšem jednak dost šílené a jednak realizovatelné i v IPv4. Pokud se soukromí uživatelů tyče, nabízí IPv6 dočasné adresy podle RFC 3041, jež také způsobí střídání adres.

Nezávislá správa adres v lokální síti

Správce sítě nemusí nikde shánět adresní prostor, může používat zcela libovolné adresy. Jaké si to udělá, takové to má. NAT všechno skryje.

NAP: V IPv6 si můžete také vytvořit lokální adresy. Existuje návrh draft-ietf-ipv6-unique-local-addr, jak vyrábět lokální adresy s vysokou pravděpodobností globální jednoznačnosti, které lze používat pro lokální komunikaci. Nejsou ale směrovány v globálním Internetu. IPv6 ovšem podporuje více adres na tomtéž rozhraní, takže kdykoli později po připojení sítě do Internetu lze ke stávajícím jednoduše přidat adresy globální.

Navíc v IPv6 nejsou adresy vzácným zbožím, k jejich získání stačí požádat. Snazší je i správa podsítí, kterých je spousta a jsou obrovské.

Usnadňuje multihoming a přeadresování

Pokud síť mění poskytovatele nebo je připojena k několika poskytovatelům současně, nijak se to netýká vnitřní sítě. Stačí jen upravit konfiguraci NATu.

NAP: IPv6 vznikalo s cílem umožnit přeadresování sítě co nejsnadněji, pomáhají v tom především autokonfigurační mechanismy. Multihoming stále představuje tvrdý oříšek, a přestože pro něj existuje několik návrhů a technických realizací, nelze jej rozhodně prohlásit za definitivně vyřešený.

Sečteno a podtrženo: pro valnou většinu výhod NATu má IPv6 své vlastní mechanismy, jimiž lze dosáhnout podobného výsledku. Pro nasazení NATu i do IPv6 sítí tedy příliš důvodů není. Stýskat se nám nebude.