Обход NAT - NAT traversal
Эта статья нужны дополнительные цитаты для проверка.Апрель 2010 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Обход трансляции сетевых адресов это компьютерная сетевая техника создания и поддержки Протокол Интернета связи через шлюзы которые реализуют преобразование сетевых адресов (NAT).
Методы обхода NAT требуются для многих сетевых приложений, таких как пиринговый обмен файлами и Голос по IP.[1]
Трансляция сетевых адресов
Устройства NAT позволяют использовать частные IP-адреса в частных сетях за маршрутизаторами с одним общедоступным айпи адрес лицом к лицу Интернет. Внутренние сетевые устройства связываются с хостами во внешней сети, изменяя адрес источника исходящих запросов на адрес устройства NAT и ретранслируя ответы обратно на исходное устройство.
Это делает внутреннюю сеть непригодной для размещения серверов, поскольку устройство NAT не имеет автоматического метода определения внутреннего хоста, для которого предназначены входящие пакеты. Это не проблема для обычного доступа в Интернет и электронной почты. Однако такие приложения, как пиринговый обмен файлами, VoIP услуги и игровые приставки требуют, чтобы клиенты тоже были серверами. Входящие запросы не могут быть легко соотнесены с надлежащим внутренним хостом. Кроме того, многие из этих типов услуг несут информацию об IP-адресе и номере порта в данных приложения, что может потребовать замены на глубокая проверка пакетов.
Технологии трансляции сетевых адресов не стандартизированы. В результате методы, используемые для обхода NAT, часто являются частными и плохо документированы. Многие методы обхода требуют помощи со стороны серверы вне замаскированной сети. Некоторые методы используют сервер только при установлении соединения, в то время как другие основаны на ретрансляции всех данных через него, что увеличивает требования к пропускной способности и задержку, что отрицательно сказывается на передаче голоса и видео в реальном времени.
Методы обхода NAT обычно обходят политику безопасности предприятия. Эксперты по корпоративной безопасности предпочитают методы, которые явно взаимодействуют с NAT и брандмауэрами, позволяя обход NAT, но при этом позволяя маршалинг на NAT для обеспечения соблюдения политик безопасности предприятия. IETF стандарты, основанные на этой модели безопасности, Специфический IP-адрес (RSIP) и средний ящик коммуникации (MIDCOM).
Методы
Доступны следующие методы обхода NAT:
- Socket Secure (SOCKS) - это технология, созданная в начале 1990-х годов, которая использует прокси-серверы для ретрансляции трафика между сетями или системами.
- Обход с использованием реле вокруг NAT (TURN) - это протокол ретрансляции, разработанный специально для обхода NAT.
- Пробивка отверстий NAT - это общий метод, который использует то, как NAT обрабатывает некоторые протоколы (например, UDP, TCP или ICMP), чтобы разрешить ранее заблокированные пакеты через NAT.
- Утилиты обхода сеанса для NAT (STUN) - это стандартизированный набор методов и сетевой протокол для пробивки отверстий NAT. Он был разработан для UDP, но также был расширен до TCP.
- Установление интерактивного подключения (ICE) - это полный протокол для использования STUN и / или TURN для прохождения NAT при выборе наилучшего доступного сетевого маршрута. Он восполняет некоторые недостающие части и недостатки, которые не были упомянуты в спецификации STUN.
- UPnP Протокол интернет-шлюза (IGDP) поддерживается многими небольшими шлюзами NAT в дом или небольшой офис настройки. Он позволяет устройству в сети запрашивать у маршрутизатора открытие порта.
- NAT-PMP - это протокол, представленный Apple в качестве альтернативы IGDP.
- PCP является преемником NAT-PMP.
- Шлюз уровня приложения (ALG) - это компонент брандмауэра или NAT, который позволяет настраивать фильтры обхода NAT.[2] Многие утверждают, что этот метод создает больше проблем, чем решает.[3]
Симметричный NAT
Недавнее распространение симметричные NAT снизила вероятность успешного прохождения NAT во многих практических ситуациях, например, для мобильных и общедоступных подключений WiFi. Методы пробивки отверстий, такие как STUN и ICE, не позволяют проходить симметричные NAT без помощи сервера ретрансляции, как это практикуется в ПОВЕРНУТЬ. Методы, которые пересекают симметричные NAT, пытаясь предсказать следующий порт, который будет открыт каждым устройством NAT, были обнаружены в 2003 году Ютакой Такеда из исследовательской лаборатории Panasonic Communications.[4] и в 2008 году исследователями из Университета Васэда.[5] Методы прогнозирования портов эффективны только с устройствами NAT, которые используют известные детерминированные алгоритмы для выбора порта. Эта предсказуемая, но нестатическая схема распределения портов необычна для крупномасштабных NAT, таких как те, которые используются в 4G LTE сети и, следовательно, прогнозирование портов в этих мобильных широкополосных сетях в значительной степени неэффективно.
IPsec
IPsec виртуальная частная сеть клиенты используют обход NAT, чтобы иметь Инкапсуляция полезной нагрузки безопасности пакеты проходят через NAT. IPsec в своей работе использует несколько протоколов, которые должны быть включены для прохождения межсетевых экранов и трансляторов сетевых адресов:
- Обмен ключами в Интернете (IKE) - Протокол дейтаграмм пользователя (UDP) порт 500
- Инкапсуляция полезной нагрузки безопасности (ESP) - Номер протокола IP 50
- Заголовок аутентификации (AH) - IP-протокол номер 51
- IPsec NAT traversal - UDP-порт 4500, если и только если используется NAT traversal
Многие маршрутизаторы предоставляют явные функции, часто называемые сквозной передачей IPsec.
В Windows XP NAT Обход по умолчанию включена, но в Windows XP с пакетом обновления 2 она была отключена по умолчанию в случае, когда сервер VPN также за NAT устройства, из-за редкого и спорным вопросом безопасности.[6] Патчи IPsec NAT-T также доступны для Windows 2000, Windows NT и Windows 98.
Обход NAT и IPsec могут использоваться для включения гибкое шифрование трафика между системами. Обход NAT позволяет системам, находящимся за NAT, запрашивать и устанавливать безопасные соединения по запросу.
Размещенный обход NAT
Обход размещенного NAT (HNT) - это набор механизмов, включая ретрансляцию и фиксацию мультимедиа, используемых посредниками.[нужна цитата ] В IETF советует не использовать фиксацию через Интернет и рекомендует ICE из соображений безопасности.[7]
Документы стандартов IETF
- RFC 1579 - FTP с поддержкой межсетевого экрана
- RFC 2663 - Терминология и соображения по транслятору сетевых IP-адресов (NAT)
- RFC 2709 - Модель безопасности с IPsec в туннельном режиме для доменов NAT
- RFC 2993 - Архитектурные последствия NAT
- RFC 3022 - Традиционный преобразователь сетевых IP-адресов (традиционный NAT)
- RFC 3027 - Сложности протокола с транслятором сетевых IP-адресов (NAT)
- RFC 3235 - Транслятор сетевых адресов (NAT) - Рекомендации по проектированию дружественных приложений
- RFC 3715 - Совместимость IPsec с трансляцией сетевых адресов (NAT)
- RFC 3947 - Согласование NAT-Traversal в IKE
- RFC 5128 - Состояние одноранговой (P2P) связи через трансляторы сетевых адресов (NAT)
- RFC 5245 - Установление интерактивного подключения (ICE): протокол для обхода транслятора сетевых адресов (NAT) для протоколов предложения / ответа
Смотрите также
Рекомендации
- ^ «Объяснение прохождения межсетевого экрана и NAT». Eyeball Networks Inc. 5 июля 2013 г. Архивировано из оригинал в 2013-10-19. Получено 2013-10-10.
- ^ «Методы прохождения NAT и одноранговые приложения». Хельсинкский технологический университет. CiteSeerX 10.1.1.103.1659. Цитировать журнал требует
| журнал =
(помощь) - ^ «Введение в NAT». Библиотека PJNATH. Получено 2016-05-30.
- ^ «Симметричное прохождение NAT с использованием STUN».
- ^ «Новый метод симметричного обхода NAT в UDP и TCP» (PDF). Архивировано из оригинал (PDF) на 2017-02-02. Получено 2016-05-14.
- ^ «IPSec NAT Traversal не рекомендуется для компьютеров Windows Server 2003, которые находятся за преобразователями сетевых адресов». База знаний Microsoft № 885348.
- ^ Блокировка: Обход размещенного NAT (HNT) для мультимедиа при обмене данными в реальном времени draft-ietf-mmusic-latching-04 2013-10-08
внешняя ссылка
- Проблемы и факты о современных системах обхода NAT
- Автономное прохождение NAT - связь NAT с NAT без участия третьей стороны
- Корнельский университет - Характеристика и измерение прохождения TCP через NAT и межсетевые экраны
- Колумбийский университет - Анализ одноранговой Интернет-телефонии Skype
- Одноранговая связь через трансляторы сетевых адресов (UDP Hole Punching)