Применение технологии трансляции сетевых адресов

Трансляция сетевых адресов (NAT) — технология, которая позволяет маршрутизатору выполнять функцию прокси-сервера по сокрытию информа- ции об узлах внутренней сети. В целях сокрытия информации о внутренней сети, маршрутизатор с NAT функционирует следующим образом:

?    при передаче запросов клиентов защищаемой сети во внешнюю сеть за- меняет их IP-адреса на IP-адрес своего внешнего интерфейса (может исполь- зоваться и диапазон IP-адресов);

?    при возврате ответов серверов клиентам производит обратную замену:

свой адрес в поле получателя меняет на адрес клиента, отправившего исход-

ный запрос (рис. 3.26).

Рис. 3.26. Технология NAT

Преимущество использования трансляции сетевых адресов состоит в том, что при подключении внутренней сети к сети Интернет технология NAT позволяет существенно увеличить адресное пространство за счет использова- ния IP-адресов из диапазона частных сетей, не обрабатываемых маршрутиза- торами Интернет.

Существует несколько методов реализации NAT. Одни трансляторы ад-

ресов  осуществляют  это  посредством  статического  присваивания  адресов (static address assignment), при этом адрес клиента внутренней сети связывает- ся с фиксированным внешним IP-адресом. Другие трансляторы, функциони- рующие по принципу динамического присваивания адресов (dynamic address assignment), выделяют клиентам внутренней сети внешний IP-адрес по мере поступления запросов. После освобождения клиентом внешнего IP-адреса он возвращается маршрутизатором в список свободных адресов и может быть предоставлен другому клиенту.

Концепция трансляции сетевых адресов, о которой шла речь до сих пор,

обычно называется базовой трансляцией адресов (basic NAT). Ее реализация требует наличия нескольких внешних IP-адресов для обеспечения одновре-

менной работы нескольких клиентов  внутренней сети. Это означает, что чис-

ло внешних IP-адресов маршрутизатора с NAT должно быть равно макси- мально возможному числу активных исходящих соединений. Чтобы расши- рить число возможных исходящих соединений и при этом не увеличивать ко- личество отведенных маршрутизатору внешних адресов в новой форме NAT, которая называется трансляцией портов сетевых адресов (NAPT), использует- ся замена одновременно и IP-адреса и номера порта отправителя. Таким обра- зом, один IP-адрес можно распределить между множеством клиентов внут- реннней сети просто за счет изменения номера порта отправителя. Иногда для обозначения NAPT употребляются термины «PAT» (трансляция адресов пор- тов) и «Overloading NAT».

Пусть для защиты внутренней сети используется схема МЭ на основе фильтрующего маршрутизатора с включенной функцией NAT. В учебных це-

лях для пакетного фильтра никакие правила фильтрации не определяются.

ВЫПОЛНИТЬ!

17. На маршрутизаторе «FW-W98» включить функцию NAT для внешнего се- тевого интерфейса МЭ. В программе WinRoute функция NAT включается посредством диалогового окна, которое вызывается командой  меню Set-

tings ? Interface Table… (рис. 3.27).

Рис. 3.27. Включение функции NAT в WinRoute

18. Проверить, что для внутренних клиентов существует возможность досту-

па к внешним серверам «OUT1» и «OUT2».

19. Проверить, что для внешних клиентов отсутствует возможность доступа к внутреннему серверу «IN».

20. Одновременно на двух клиентах внутренней сети запустить команду Ping с параметром -t к одному и тому же внешнему узлу. Объяснить, на какой информации основывается решение МЭ по распределению обратного тра- фика между клиентами при выполнении функции NAT.

Технология, называемая векторизацией адресов («address vectoring») или перенаправлением портов («port mapping»), по сути, является обратной NAT и

служит для обеспечения возможности доступа извне к некоторым узлам за- щищаемой с помощью NAT сети. МЭ с включенной функцией перенаправле- ния портов принимает запрос на соединение от внешнего клиента и в случае

допустимости поступившего запроса переадресовывает его во внутреннюю сеть на указанный в таблице перенаправления узел, причем порт назначения внутреннего узла не обязательно должен совпадать с портом назначения в за-

просе внешнего узла (рис. 3.28).

Рис. 3.28. Технология векторизации адресов

Пусть при начальных условиях предыдущей задачи необходимо допол- нительно предоставить доступ внешних клиентов «OUT1» и «OUT2» к серве- рам Web и FTP на внутреннем узле «IN» соответственно.

В программе WinRoute функция векторизации адресов включается по-

сле добавления записей в таблицу переназначения портов посредством диало-

гового окна, которое вызывается командой меню Settings ? Advanced ? Port

Mapping… (рис. 3.29). Прослушиваемый IP-адрес (Listen IP) можно оставить в

значении по умолчанию, а для указания узлов, которым разрешен доступ во внутреннюю сеть (поле «Allow access only from»), необходимо предваритель-

но создать адресную группу.

Рис. 3.29. Создание таблицы векторизации адресов

ВЫПОЛНИТЬ!

21. Создать адресную группу для web-сервиса, включив в нее узел «OUT1».

22. Создать адресную группу для FTP-сервиса, включив в нее узел «OUT2».

В программе WinRoute для создания адресных групп используется пункт ме-

ню Settings ? Advanced ? Address Groups…

23. Создать соответствующие задаче записи таблицы переназначения портов.

24. Проверить, что для клиента «OUT1» существует возможность доступа к

web-серверу на внутреннем узле «IN».

25. Проверить, что для клиента «OUT2» существует возможность доступа к

FTP-серверу на внутреннем узле «IN».

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий