Internetworking y NAT
Transcripción
Internetworking y NAT
Configuración Administración y Gestión de Redes de Computadores (CAR: Código 11580) Tema 7: Internetworking y Traducción de direcciones (NAT) 1 Índice • • • • 2 Internetworking Dispositivos Conexión entre LANs Traducción de direcciones (NAT) CAR Internetworking CAR • Unión de redes diferentes a cualquier nivel (físico, de enlace, etc.) • OBJETIVO: Desde los niveles superiores se aprecie como una única red homogénea. • Las redes pueden diferir en el medio físico o en la pila de protocolos utilizados : – Ethernet, Token Ring, LAN, WAN, etc. – TCP/IP, DECNET, SNA, IPv4, IPv6, etc. 3 CAR Dispositivos Aplicación Pasarelas de aplicación Presentación Sesión Transporte Red 4 Pasarelas de transporte Encaminadores, Conmutadores ATM Enlace Puentes, Conmutadores LAN Física Repetidores, concentradores, amplificadores Conexión entre dos LANs con encaminadores específicos CAR 64 Kb/s IP IP IP IP 64 Kb/s IPX IPX 5 IPX IPX Conexión entre dos LANs con multiplexores IP 64 Kb/s IP 64 Kb/s 6 IP IP 128 Kb/s MUX IPX 64 Kb/s IPX CAR MUX 64 Kb/s IPX IPX Conexión entre dos LANs con multiplexores multiprotocolo IP IPX 7 IP 128 Kb/s IP IPX CAR IP IPX IPX Traducción de direcciones (NAT) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 8 NAT: Traducción de direcciones de red Tipos de NAT Uso de NAT Recomendaciones NAT básico estático NAT básico dinámico PAT: Traducción de direcciones de puerto NAPT dinámico PAR: Redireccionamiento de direcciones de puerto NAPT estático Dificultades a tener en cuenta Problemas NAT Problemas con FTP Conclusiones del uso de NAT CAR NAT: Traducción de direcciones de red CAR • Se basa en traducir una dirección IP en otra de acuerdo con cierta tabla de equivalencias. • Se utiliza como mecanismo para ‘extender’ el rango de direcciones disponible en una red. – Por ejemplo usar una sola IP pública para dar acceso a cientos de ordenadores. • NAT se suele utilizar para conectar a Internet redes IP que utilizan rangos privados (RFC 1918): – 10.*.*.* – 172.16-31.*.* – 192.168.0-255.*. • Normalmente la traducción la realiza el dispositivo (encaminador) que conecta la red al exterior. 9 Tipos de NAT CAR • Según los campos que se modifican el NAT puede ser: – NAT Básico: sólo se cambia la dirección IP – NAPT (Network Address Port Translation): se modifica la dirección IP y el número de puerto (TCP o UDP). • Según la temporalidad de correspondencia entre la dirección privada y la pública el NAT puede ser: – Estático: la tabla de conversión de direcciones (y puertos) se carga al arrancar el equipo que hace NAT y el tráfico no la modifica. – Dinámico: la tabla de conversión se construye y modifica en función del tráfico recibido. • Las direcciones pueden reutilizarse. • Requiere mantener en el NAT información de estado. Normalmente es unidireccional. 10 CAR Uso de NAT Servidor Web Cliente 207.29.194.84 192.168.0.1 192.168.0.2 Cliente 206.245.160.1 Router NAT Tabla de traducción 192.168.0.3 Internet Servidor FTP 205.197.101.111 Direccionamiento privado 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 11 Direccionamiento público Recomendaciones CAR • La conexión al exterior debería realizarla un solo encaminador. – Dicho encaminador puede tener conexiones a varios Proveedores de servicios Internet (ISPs) • NAT sólo permite paquetes TCP, UDP e ICMP. !No se intercambia información de encaminamiento a través de un NAT! • Un NAT puede configurarse como: – NAT Tradicional o Unidireccional • Solo permite conexiones salientes, es decir sesiones iniciadas desde el interior (la red privada). – NAT Bidireccional • Permite que las sesiones se inicien desde la red privada o desde el exterior (la red pública). 12 CAR NAT básico estático Origen: 192.168.0.2:1108 Destino: 207.29.194.84:80 Origen: 206.245.160.2:1108 Destino: 207.29.194.84:80 Servidor Web Cliente 192.168.0.1 206.245.160.1 207.29.194.84 192.168.0.2 Router NAT Cliente 192.168.0.3 Tabla NAT estática Dentro Fuera 192.168.0.x 206.245.160.x Origen: 192.168.0.3:1108 Destino: 205.197.101.111:21 13 Internet Servidor FTP 205.197.101.111 Origen: 206.245.160.3:1108 Destino: 205.197.101.111:21 CAR NAT básico dinámico Origen: 192.168.0.2:1108 Destino: 207.29.194.84:80 Origen: 206.245.160.5:1108 Destino: 207.29.194.84:80 Servidor Web Cliente 192.168.0.1 206.245.160.1 207.29.194.84 192.168.0.2 Router NAT Cliente 192.168.0.3 Rango NAT: 206.245.160.5-10 Tabla NAT dinámica Dentro Fuera 192.168.0.2 206.245.160.5 192.168.0.3 206.245.160.6 Origen: 192.168.0.3:1108 Destino: 205.197.101.111:21 14 Internet Servidor FTP 205.197.101.111 Origen: 206.245.160.6:1108 Destino: 205.197.101.111:21 PAT: Traducción de direcciones de puerto • Problema de NAT: Nº IPs públicas < Nº IPs privadas – No pueden salir a Internet todas las máquinas a la vez • La solución es PAT (Port Address Translation): – Emplea una sola IP pública – Utiliza el nº de puerto para distinguir a la máquina de la intranet – Mapea IP:puerto ↔ puerto • • • • 15 Trabaja sólo con TCP y UDP Si dos máquinas usan el mismo puerto, uno se reasigna Es la forma de funcionamiento más usada de NAT Conocida también como: NAT many to one, NAT de sobrecarga, NAT de única dirección y NAPT (Network Address and Port Translation) o, simplemente, NAT CAR CAR NAPT dinámico Origen: 192.168.0.2:1108 Destino: 207.29.194.84:80 Origen: 206.245.160.1:61001 Destino: 207.29.194.84:80 Servidor Web Cliente 192.168.0.1 206.245.160.1 207.29.194.84 192.168.0.2 Router NAT Cliente 192.168.0.3 Tabla NAPT dinámica Dentro Fuera 192.168.0.2:1108 61001 192.168.0.3:1108 61002 Origen: 192.168.0.3:1108 Destino: 205.197.101.111:21 16 Internet Servidor FTP 205.197.101.111 Origen: 206.245.160.1:61002 Destino: 205.197.101.111:21 PAR: Redirección de direcciones de puerto CAR • Si nodos externos quieren acceder a un servidor de la intranet, PAT no funciona • PAT no usa los puertos bien conocidos. Además, asignación dinámica • Si tenemos un servidor Web (destino = 206.245.160.1:80), el router tratará de procesar la petición web • Solución: asignar un puerto fijo (estático) • Permite tener varios servidores del mismo servicio (p. ej. Web) • PAR (Port Address Redirection) = PAT/NAPT estático 17 CAR NAPT estático Origen: 211.23.5.6:1084 Destino: 192.168.0.4:21 Origen: 211.23.5.6:1084 Destino: 206.245.160.1:21 Cliente Servidor FTP 192.168.0.1 192.168.0.4 Servidor Web 192.168.0.5 Origen: 209.15.7.2:1067 Destino: 192.168.0.5:80 18 211.23.5.6 206.245.160.1 Router NAT Tabla NAPT estática Dentro Fuera 192.168.0.4:21 21 192.168.0.5:80 80 192.168.0.6:80 5000 Internet Cliente 209.15.7.2 Origen: 209.15.7.2:1067 Destino: 206.245.160.1:80 Dificultades a tener en cuenta CAR • Cuando se modifica la dirección IP es necesario: – Modificar la cabecera IP (dirección origen o destino ). Además se requiere calcular el nuevo checksum – Recalcular el checksum de la cabecera TCP o UDP (ya que la dirección IP, de la pseudocabecera, se utiliza para calcularlo). – En caso de utilizar NAPT hay que modificar el número de puerto TCP/UDP origen o destino. – Los mensajes ICMP contienen en la parte de datos la cabecera del mensaje al que hacen referencia. Con NAT el encaminador ha de buscar esas cabeceras y modificarlas. – Los mensajes SNMP incluyen direcciones IP entre los datos del paquete que hay que cambiar. 19 Problemas de NAT • • CAR Algunos protocolos de aplicación (ej. H.323, NetBIOS) incluyen las direcciones IP en diversos sitios de los datos del paquete. Esto requiere pasarelas del nivel de aplicación para funcionar a través de NAT. Generalmente las implementaciones de NAT van incorporando soporte para los nuevos protocolos estándar que aparecen y que utilizan direcciones IP en la parte de datos. – Cuando se usa NAT es especialmente importante utilizar las versiones de software más recientes. • El uso de NAPT plantea problemas adicionales – Por ejemplo, generalmente no se pueden enviar mensajes ICMP (comandos ping o traceroute) • 20 Con NAT no puede utilizarse la función AH de IPSec, salvo que se utilice IPSec en modo túnel y el NAT se haga antes, o en el mismo dispositivo donde se hace el túnel IPSec. Problemas con FTP CAR • En el inicio de la sesión FTP intercambia una serie de comandos de control en los que aparecen las direcciones IP de los hosts. • Estas direcciones han de localizarse en la parte de datos y modificarse. • Pero esas direcciones no están en el formato habitual binario de 32 bits, sino que están en texto ASCII. • Si la dirección a poner tiene menos caracteres que la que había, se rellena con ceros para mantener un número constante. • Pero si la dirección resultante tiene más caracteres es preciso intercalar bytes. – El router NAT ha de modificar todos los valores de número de secuencia y ACK en las cabeceras TCP para toda la vida de esa conexión. • Esto representa información de estado adicional que el router NAT ha de mantener para cada conexión TCP que pasa por él. 21 Conclusiones del uso del NAT CAR • El mejor NAT es el que no existe. – NAT impone restricciones al realizar cambios en la cabecera IP sin conocimiento del host. • Resolver los problemas de NAT adaptando el protocolo en el host o utilizando pasarelas a nivel de aplicación en el encaminador NAT es una solución compleja y no transparente que sólo debe aplicarse cuando sea inevitable. • La seguridad de NAT es sólo aparente. La verdadera seguridad, que se basa en utilizar IPSec y un firewall adecuado, se ve limitada cuando se utiliza NAT. • La solución definitiva al problema de escasez de direcciones no es NAT sino la migración de IPv4 a IPv6. 22