May 6th, 2012 
admin
Трансляция сетевых адресов (NAT) — технология, которая позволяет маршрутизатору выполнять функцию прокси-сервера по сокрытию информа- ции об узлах внутренней сети. В целях сокрытия информации о внутренней сети, маршрутизатор с NAT функционирует следующим образом:
? при передаче запросов клиентов защищаемой сети во внешнюю сеть за- меняет их IP-адреса на IP-адрес своего внешнего интерфейса (может исполь- зоваться и диапазон IP-адресов);
? при возврате ответов серверов клиентам производит обратную замену:
свой адрес в поле получателя меняет на адрес клиента, отправившего исход-
ный запрос (рис. 3.26).
Рис. 3.26. Технология NAT
Преимущество использования трансляции сетевых адресов состоит в том, что при подключении внутренней сети к сети Интернет технология NAT позволяет существенно увеличить адресное пространство за счет использова- ния IP-адресов из диапазона частных сетей, не обрабатываемых маршрутиза- торами Интернет.
Существует несколько методов реализации NAT. Одни трансляторы ад-
ресов осуществляют это посредством статического присваивания адресов (static address assignment), при этом адрес клиента внутренней сети связывает- ся с фиксированным внешним IP-адресом. Другие трансляторы, функциони- рующие по принципу динамического присваивания адресов (dynamic address assignment), выделяют клиентам внутренней сети внешний IP-адрес по мере поступления запросов. После освобождения клиентом внешнего IP-адреса он возвращается маршрутизатором в список свободных адресов и может быть предоставлен другому клиенту.
Концепция трансляции сетевых адресов, о которой шла речь до сих пор,
обычно называется базовой трансляцией адресов (basic NAT). Ее реализация требует наличия нескольких внешних IP-адресов для обеспечения одновре-
менной работы нескольких клиентов внутренней сети. Это означает, что чис-
ло внешних IP-адресов маршрутизатора с NAT должно быть равно макси- мально возможному числу активных исходящих соединений. Чтобы расши- рить число возможных исходящих соединений и при этом не увеличивать ко- личество отведенных маршрутизатору внешних адресов в новой форме NAT, которая называется трансляцией портов сетевых адресов (NAPT), использует- ся замена одновременно и IP-адреса и номера порта отправителя. Таким обра- зом, один IP-адрес можно распределить между множеством клиентов внут- реннней сети просто за счет изменения номера порта отправителя. Иногда для обозначения NAPT употребляются термины «PAT» (трансляция адресов пор- тов) и «Overloading NAT».
Пусть для защиты внутренней сети используется схема МЭ на основе фильтрующего маршрутизатора с включенной функцией NAT. В учебных це-
лях для пакетного фильтра никакие правила фильтрации не определяются.
ВЫПОЛНИТЬ!
17. На маршрутизаторе «FW-W98» включить функцию NAT для внешнего се- тевого интерфейса МЭ. В программе WinRoute функция NAT включается посредством диалогового окна, которое вызывается командой меню Set-
tings ? Interface Table… (рис. 3.27).
Рис. 3.27. Включение функции NAT в WinRoute
18. Проверить, что для внутренних клиентов существует возможность досту-
па к внешним серверам «OUT1» и «OUT2».
19. Проверить, что для внешних клиентов отсутствует возможность доступа к внутреннему серверу «IN».
20. Одновременно на двух клиентах внутренней сети запустить команду Ping с параметром -t к одному и тому же внешнему узлу. Объяснить, на какой информации основывается решение МЭ по распределению обратного тра- фика между клиентами при выполнении функции NAT.
Технология, называемая векторизацией адресов («address vectoring») или перенаправлением портов («port mapping»), по сути, является обратной NAT и
служит для обеспечения возможности доступа извне к некоторым узлам за- щищаемой с помощью NAT сети. МЭ с включенной функцией перенаправле- ния портов принимает запрос на соединение от внешнего клиента и в случае
допустимости поступившего запроса переадресовывает его во внутреннюю сеть на указанный в таблице перенаправления узел, причем порт назначения внутреннего узла не обязательно должен совпадать с портом назначения в за-
просе внешнего узла (рис. 3.28).
Рис. 3.28. Технология векторизации адресов
Пусть при начальных условиях предыдущей задачи необходимо допол- нительно предоставить доступ внешних клиентов «OUT1» и «OUT2» к серве- рам Web и FTP на внутреннем узле «IN» соответственно.
В программе WinRoute функция векторизации адресов включается по-
сле добавления записей в таблицу переназначения портов посредством диало-
гового окна, которое вызывается командой меню Settings ? Advanced ? Port
Mapping… (рис. 3.29). Прослушиваемый IP-адрес (Listen IP) можно оставить в
значении по умолчанию, а для указания узлов, которым разрешен доступ во внутреннюю сеть (поле «Allow access only from»), необходимо предваритель-
но создать адресную группу.
Рис. 3.29. Создание таблицы векторизации адресов
ВЫПОЛНИТЬ!
21. Создать адресную группу для web-сервиса, включив в нее узел «OUT1».
22. Создать адресную группу для FTP-сервиса, включив в нее узел «OUT2».
В программе WinRoute для создания адресных групп используется пункт ме-
ню Settings ? Advanced ? Address Groups…
23. Создать соответствующие задаче записи таблицы переназначения портов.
24. Проверить, что для клиента «OUT1» существует возможность доступа к
web-серверу на внутреннем узле «IN».
25. Проверить, что для клиента «OUT2» существует возможность доступа к
FTP-серверу на внутреннем узле «IN».
Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс
Опубликовано в рубрике