El cruce de traducción de direcciones de red es una técnica de redes informáticas para establecer y mantener conexiones de protocolo de Internet a través de puertas de enlace que implementan la traducción de direcciones de red (NAT).
Las técnicas de NAT transversal son necesarias para muchas aplicaciones de red, como el intercambio de archivos de igual a igual y la Voz sobre IP . [1]
Traducción de Direcciones de Red
Los dispositivos NAT permiten el uso de direcciones IP privadas en redes privadas detrás de enrutadores con una única dirección IP pública frente a Internet . Los dispositivos de la red interna se comunican con los hosts de la red externa cambiando la dirección de origen de las solicitudes salientes a la del dispositivo NAT y transmitiendo las respuestas al dispositivo de origen.
Esto deja a la red interna inadecuada para alojar servidores, ya que el dispositivo NAT no tiene un método automático para determinar el host interno al que están destinados los paquetes entrantes. Esto no es un problema para el acceso web general y el correo electrónico. Sin embargo, las aplicaciones como el intercambio de archivos de igual a igual , los servicios de VoIP y las consolas de videojuegos requieren que los clientes también sean servidores. Las solicitudes entrantes no se pueden correlacionar fácilmente con el host interno adecuado. Además, muchos de estos tipos de servicios llevan información sobre la dirección IP y el número de puerto en los datos de la aplicación, lo que puede requerir la sustitución por una inspección profunda de paquetes .
Las tecnologías de traducción de direcciones de red no están estandarizadas. Como resultado, los métodos utilizados para el cruce de NAT suelen ser propietarios y están mal documentados. Muchas técnicas transversales requieren la asistencia de servidores fuera de la red enmascarada. Algunos métodos utilizan el servidor solo cuando se establece la conexión, mientras que otros se basan en transmitir todos los datos a través de él, lo que aumenta los requisitos de ancho de banda y la latencia, perjudicando las comunicaciones de voz y video en tiempo real.
Las técnicas de NAT transversal generalmente pasan por alto las políticas de seguridad empresarial. Los expertos en seguridad empresarial prefieren técnicas que cooperen explícitamente con NAT y cortafuegos, lo que permite el cruce de NAT y, al mismo tiempo, permite la clasificación en NAT para hacer cumplir las políticas de seguridad empresarial. IETF normas basadas en este modelo de seguridad son Realm-específico IP (RSIP) y middlebox comunicaciones (MIDCOM).
Técnicas
Están disponibles las siguientes técnicas de NAT transversal:
- Socket Secure (SOCKS) es una tecnología creada a principios de la década de 1990 que utiliza servidores proxy para retransmitir el tráfico entre redes o sistemas.
- Traversal Using Relays around NAT (TURN) es un protocolo de retransmisión diseñado específicamente para NAT transversal.
- La perforación de agujeros NAT es una técnica general que aprovecha la forma en que los NAT manejan algunos protocolos (por ejemplo, UDP, TCP o ICMP) para permitir paquetes previamente bloqueados a través de NAT.
- Session Traversal Utilities for NAT (STUN) es un conjunto estandarizado de métodos y un protocolo de red para NAT. Fue diseñado para UDP pero también se extendió a TCP.
- El establecimiento de conectividad interactiva (ICE) es un protocolo completo para usar STUN y / o TURN para realizar un cruce de NAT mientras se elige la mejor ruta de red disponible. Completa algunas de las piezas faltantes y deficiencias que no se mencionaron en la especificación STUN.
- El Protocolo de dispositivo de puerta de enlace de Internet UPnP (IGDP) es compatible con muchas puertas de enlace NAT pequeñas en entornos domésticos o de oficinas pequeñas . Permite que un dispositivo en una red solicite al enrutador que abra un puerto.
- NAT-PMP es un protocolo introducido por Apple como alternativa a IGDP.
- PCP es un sucesor de NAT-PMP.
- La puerta de enlace de nivel de aplicación (ALG) es un componente de un firewall o NAT que permite configurar filtros transversales de NAT. [2] Numerosas personas afirman que esta técnica crea más problemas de los que resuelve. [3]
NAT simétrico
La reciente proliferación de NAT simétricas ha reducido las tasas de éxito del cruce de NAT en muchas situaciones prácticas, como para las conexiones WiFi públicas y móviles. Las técnicas de perforación, como STUN e ICE, fallan al atravesar NAT simétricas sin la ayuda de un servidor de retransmisión, como se practica en TURN . Las técnicas que atraviesan NAT simétricas al intentar predecir el próximo puerto que abrirá cada dispositivo NAT fueron descubiertas en 2003 por Yutaka Takeda en el Laboratorio de Investigación de Comunicaciones de Panasonic [4] y en 2008 por investigadores de la Universidad de Waseda. [5] Las técnicas de predicción de puertos solo son efectivas con dispositivos NAT que utilizan algoritmos deterministas conocidos para la selección de puertos. Este esquema de asignación de puertos predecible pero no estático es poco común en NAT a gran escala, como las que se usan en las redes 4G LTE y, por lo tanto, la predicción de puertos es en gran medida ineficaz en esas redes de banda ancha móvil.
IPsec
Los clientes de red privada virtual IPsec utilizan NAT transversal para que los paquetes de carga útil de seguridad encapsulada atraviesen NAT. IPsec utiliza varios protocolos en su operación que deben estar habilitados para atravesar firewalls y traductores de direcciones de red:
- Intercambio de claves de Internet (IKE): puerto 500 del Protocolo de datagramas de usuario (UDP)
- Carga útil de seguridad encapsulada (ESP): protocolo IP número 50
- Encabezado de autenticación (AH): protocolo IP número 51
- Cruce de NAT IPsec: puerto UDP 4500, si y solo si está en uso el cruce de NAT
Muchos enrutadores proporcionan características explícitas, a menudo llamadas IPsec Passthrough.
En Windows XP, el cruce de NAT está habilitado de forma predeterminada, pero en Windows XP con Service Pack 2 se ha deshabilitado de forma predeterminada para el caso en que el servidor VPN también está detrás de un dispositivo NAT, debido a un problema de seguridad poco común y controvertido. [6] Los parches IPsec NAT-T también están disponibles para Windows 2000, Windows NT y Windows 98.
Se pueden utilizar NAT transversal e IPsec para permitir el cifrado oportunista del tráfico entre sistemas. El cruce de NAT permite que los sistemas detrás de NAT soliciten y establezcan conexiones seguras bajo demanda.
Cruce de NAT alojado
El recorrido de NAT alojado (HNT) es un conjunto de mecanismos, incluida la retransmisión y el enclavamiento de medios, que los proveedores de comunicaciones utilizan ampliamente por razones históricas y prácticas. [7] El IETF desaconseja el uso de pestillos en Internet y recomienda ICE por razones de seguridad. [8]
Documentos de estándares IETF
- RFC 1579 - FTP compatible con cortafuegos
- RFC 2663 - Terminología y consideraciones del traductor de direcciones de red IP (NAT)
- RFC 2709 - Modelo de seguridad con IPsec en modo túnel para dominios NAT
- RFC 2993 - Implicaciones arquitectónicas de NAT
- RFC 3022 - Traductor de direcciones de red IP tradicional (NAT tradicional)
- RFC 3027 - Complicaciones del protocolo con el traductor de direcciones de red IP (NAT)
- RFC 3235 - Traductor de direcciones de red (NAT) - Directrices de diseño de aplicaciones amigables
- RFC 3715 - Compatibilidad con traducción de direcciones de red (NAT) IPsec
- RFC 3947 - Negociación de NAT-Traversal en el IKE
- RFC 5128 - Estado de la comunicación de igual a igual (P2P) a través de traductores de direcciones de red (NAT)
- RFC 5245 - Establecimiento de conectividad interactiva (ICE): un protocolo para el traspaso del traductor de direcciones de red (NAT) para los protocolos de oferta / respuesta
Ver también
- Controlador de borde de sesión (SBC)
- Perforación de agujeros
- Perforación de orificios UDP
- Perforación de agujeros TCP
- Perforación de agujeros ICMP
- Protocolo de asignación de puertos NAT (NAT-PMP)
- Protocolo de control de puertos (PCP)
- Reenvío de puertos
Referencias
- ^ "Explicación de cortafuegos y NAT transversal" . Eyeball Networks Inc. 2013-07-05. Archivado desde el original el 19 de octubre de 2013 . Consultado el 10 de octubre de 2013 .
- ^ "Técnicas de NAT transversal y aplicaciones peer-to-peer". Universidad Tecnológica de Helsinki. CiteSeerX 10.1.1.103.1659 . Cite journal requiere
|journal=
( ayuda ) - ^ "Introducción a NAT" . Biblioteca PJNATH . Consultado el 30 de mayo de 2016 .
- ^ "NAT transversal simétrico usando STUN" .
- ^ "Un nuevo método para NAT simétrico transversal en UDP y TCP" (PDF) . Archivado desde el original (PDF) el 02/02/2017 . Consultado el 14 de mayo de 2016 .
- ^ "IPSec NAT Traversal no se recomienda para equipos con Windows Server 2003 que están detrás de traductores de direcciones de red" . Base de conocimientos de Microsoft n.o 885348.
- ^ Enclavamiento: NAT transversal alojado (HNT) para medios en comunicación en tiempo real, RFC 7362 2014-09-01
- ^ Establecimiento de conectividad interactiva (ICE): un protocolo para el transversal del traductor de direcciones de red (NAT), RFC 8445 2018-07-01
enlaces externos
- Problemas y hechos sobre los sistemas transversales NAT de hoy en día
- Transversal de NAT autónomo: comunicación de NAT a NAT sin un tercero
- Universidad de Cornell: caracterización y medición de TCP transversal a través de NAT y firewalls
- Universidad de Columbia: análisis de la telefonía de Internet punto a punto de Skype
- Comunicación de igual a igual a través de traductores de direcciones de red (perforación UDP)