 |
| Direcciones de red NAT |
Introducción
Los traductores de direcciones de red (NAT) permiten que los equipos de redes privadas tengan acceso a recursos de Internet que no están accesibles directamente desde Internet. Los NAT permiten reutilizar el espacio de direcciones privadas IPv4 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) en las redes privadas, reduciendo así la presión de tener que utilizar direcciones IPv4 públicas para todos los nodos que deseen tener acceso a recursos de Internet.
Originalmente, Internet se diseñó para un espacio de direcciones globalmente único. Todos los nodos que se conectan a Internet tienen una dirección exclusiva basada en la subred a la que estaba unido el nodo.
Independientemente de cómo se agrupen las subredes en las redes privadas unidas directamente a Internet, siempre se puede tener acceso al nodo a través de su dirección global exclusiva.
El uso de NAT y el espacio de direcciones privado constituye una infracción del espacio de dirección exclusiva global. Para cada red que utilice NAT, se vuelve a utilizar el espacio de dirección privada. Esto quiere decir que varios nodos conectados a distintas redes pueden tener la misma dirección. Si bien estas redes con direcciones privadas no son visibles desde Internet, podrían ser visibles entre sí.
Te podrás preguntar que entonces ya no es una dirección única por ordenador, pero NAT lo que hace es variar el puerto asociado a esa dirección IP, por lo que es válido asociar una sola IP a todo un grupo de ordenadores.
Funcionamiento de NAT
El funcionamiento básico de un NAT es el siguiente:
Para los paquetes salientes, el NAT cambia la dirección de origen privada a una dirección de origen pública y el número de puerto del Protocolo de control de transporte (TCP) o el Protocolo de datagramas de usuario (UDP) a un valor especificado por NAT.
Para los paquetes entrantes, el NAT cambia la dirección de destino pública a la dirección original pública y el número de puerto de destino TCP o UDP a su valor original.
Una tabla de traducción del NAT proporciona las asignaciones entre direcciones las públicas y privadas y los números de puerto TCP/UDP. El NAT elimina todo el tráfico entrante no destinado a una dirección asignada al NAT que no coincida con una de las entradas de la tabla de traducción.
 |
| Funcionamiento de NAT |
Si un equipo situado tras el NAT (conectado a una subred separada de Internet por el NAT) inicia la comunicación con un nodo de Internet, el NAT crea automáticamente la entrada adecuada en la tabla de traducción para permitir el reenvío del tráfico de respuesta al equipo de inicio.
Como ejemplo se puede citar un cliente Internet que explore Internet. El tráfico del Sistema de nombres de dominio (DNS) y del Protocolo de transferencia de hipertexto (HTTP) que inicia el equipo cliente crea automáticamente entradas en la tabla de traducción, con lo que permite que el equipo cliente tenga acceso a los recursos de Internet sin tener una conexión de acceso directa con Internet. Por lo tanto, los equipos cliente con NAT pueden, por lo general, tener acceso a servidores que son accesibles directamente en Internet sin que se produzcan problemas.
Para que los servidores situados tras un NAT sean accesibles desde Internet, debe configurar el NAT con entradas de traducción estáticas en la tabla.
NAT y la seguridad
Como los NAT rechazan todo el tráfico que no coincida con una entrada de la tabla de traducción, son considerados dispositivos de seguridad. Sin embargo, los NAT no pueden sustituir a los servidores de seguridad. Normalmente, hay dos conjuntos de puertos TCP y UDP abiertos en el NAT:
· El conjunto de puertos correspondiente al tráfico que se traduce, especificado en la tabla de traducción. Contiene los puertos dinámicos que abren los clientes situados tras el NAT y los puertos estáticos configurados para los servidores situados tras el NAT.
· El conjunto de puertos correspondiente a aplicaciones y servicios en ejecución en el NAT.
Los puertos estáticos para los servidores situados tras el NAT y los puertos para las aplicaciones y servicios que se ejecutan en el NAT lo hacen vulnerable a los ataques. Los puertos dinámicos no son tan vulnerables porque es difícil que un atacante adivine cuando se abrirán. Si el NAT es un equipo en lugar de un dispositivo dedicado (por ejemplo, un dispositivo de puerta de enlace de Internet), el equipo está expuesto a los ataques.
Por lo tanto, es recomendable que el NAT se use combinado con un servidor de seguridad y que los clientes de la red privada usen también servidores de seguridad basados en host para evitar la difusión de software malintencionado en la red privada.
No hay comentarios:
Publicar un comentario