K čemu je překlad síťových adres

Pete Loshin Jen se zeptejte kteréhokoli ekonoma: pokud je nedostatek nějaké komodity, má to řadu důsledků. Ceny rostou,...


Pete Loshin Jen se zeptejte kteréhokoli ekonoma: pokud je nedostatek nějaké
komodity, má to řadu důsledků. Ceny rostou, začne se zavádět přídělový systém a
lidé zoufale vyhledávají náhradní zboží. Ani globálně unikátní internetové
adresy, běžně nazývané IP adresy (podle internetového protokolu Internet
Protocol IP) nejsou výjimkou. Skupina IETF (Internet Engineering Task Force) si
již skoro deset let uvědomuje hrozící vyčerpání současného adresového prostoru
IPv4. Blížící se IPv6 je považován za dlouhodobé řešení pro neustále
expandující Internet, přesto byla v minulých letech oficiálně schválena jiná,
krátkodobá řešení. RFC 1631, nazvaný Překladač IP adres (The IP Network Address
Translator), vydaný v roce 1994, popisuje jedno takové řešení. V dávných
dobách, kdy vznikal Internet, byly firmy vlastnící síť nuceny žádat o globálně
unikátní adresy bez ohledu na to, zda se vůbec někdy do globální sítě Internet
připojily. Hlavní myšlenkou bylo předejít problémům přicházejícím v případě,
kdy by se interní firemní síť propojila s veřejně přístupným Internetem.
S tím, jak Internet geometrickou řadou rostl, začalo být přidělování
jednoznačných internetových adres ztrátou drahocenného virtuálního prostoru. V
rámci standardu Network Address Translation (NAT) jsou určité adresy IP
odloženy stranou, aby je mohly opakovaně používat intranetové sítě. Jak je
uvedeno v RFC 1597 věnovaném přidělování adres intranetovým sítím (Address
Allocation for Private Internets), každý uživatel může používat adresy v
následujících intervalech: 10.0.0.0 až 10.255.
255.255; 172.16.0.0 až 172.31.255.255; a 192.168.0.0 až 192.168.255.255. Podle
dohody nesmějí routery na tyto internetové adresy předávat žádné pakety. K
překladu adres mezi intranetem a globálním Internetem pak slouží zařízení s
podporou NAT.
Nejjednodušší zařízení NAT má dvě síťová připojení: jedno na Internet a jedno
na intranetovou (firemní) síť. Účastníci v intranetové síti, kteří používají
své soukromé IP adresy (někdy také nazývané "Network 10 addresses" podle adresy
10.0.0.0 určené pro soukromé použití), se připojují k Internetu tím, že pošlou
své pakety přímo do zařízení NAT. Na rozdíl od běžných routerů, které pouze
přečtou zdrojovou a cílovou adresu na každém paketu a potom jej pošlou dál,
zařízení NAT v podstatě modifikuje záhlaví paketů a mění adresu soukromé sítě
odesílatele na vlastní internetovou adresu. Nevýhody NAT
Při použití NAT vzniká dojem, že hostitelé na Internetu komunikují přímo se
zařízením NAT místo s hostitelem uvnitř soukromé sítě. Příchozí pakety se
posílají na IP adresu zařízení NAT a toto zařízení změní informaci v záhlaví
paketu ze své internetové adresy na adresu skutečného cílového hostitele
(příjemce).
Výsledkem je, že z teoretického pohledu může jedna globální unikátní IP adresa
být společná pro stovky, tisíce nebo možná miliony soukromých adres hostitelů.
V praxi se setkáváme s některými nedostatky tohoto řešení. Mnoho internetových
protokolů a aplikací např. závisí na síti, která musí být skutečně sítí typu
end-to-end, kde pakety jsou posílány bez jakékoli modifikace od odesílatele k
příjemci. Architektura zabezpečení IP nedokáže například obejít zařízení NAT,
protože je původní záhlaví se zdrojovou IP adresou digitálně podepsáno. Změníte-
li zdrojovou adresu, digitální podpis již nebude platit.
NAT také navozuje některé administrativní problémy. Přestože je NAT elegantním
řešením pro organizaci, pobočku nebo i malou kancelář, která nemůže získat
dostatek globálně unikátních internetových adres, začne být problémem ve
chvíli, kdy dojde k reorganizaci, nákupu, fúzím mezi firmami a vyvstane potřeba
konsolidovat dvě různé firemní sítě nebo několik firemních intranetů. Ačkoli v
praxi může zůstat organizační schéma firmy stejné, v systémech NAT mohou
bezděčně vzniknout smyčky, které jsou pro routery zlým snem. Prostředí okolo NAT
Zatímco hostitelé uvnitř soukromé sítě se obvykle připojují k externím serverům
bez obtíží, hostitelé na Internetu nemají ve své snaze o snadné připojení k
serverům uvnitř sítě vždy štěstí. Pokud jde o externí hostitele, ti komunikují
přímo pouze s jediným hostitelem tím je samotné zařízení NAT. Intranet je v
podstatě pro okolní svět neviditelný, neboť všichni mají dojem, že celý tok dat
z této sítě vzniká i končí v zařízení NAT.
Systém Network Address Port Translation (NAPT) pomáhá zmírnit tento problém
tak, že převádí nejen IP adresu, ale také port transportní vrstvy. To znamená,
že příchozí paket adresovaný portu 80 (obvykle používaný port pro pakety HTTP)
na zařízení NAPT může být přeložen a odeslán dál do síťového serveru v soukromé
síti. Bez možnosti převodu portu by zařízení NAT nemohlo identifikovat, kterému
účastníku v soukromé síti předat paket.
O zařízení NAT se často hovoří jako o bezpečnostním řešení. Koneckonců je
zřejmé, že soukromá síť není vidět, protože je díky překladu adres ukryta.
Kdyby ale nějaký narušitel, například hacker, získal kontrolu nad zařízením
NAT, pak by mu byl celý intranet vydán napospas. Proto nelze NAT zaměňovat za
firewall, přestože jednoduchá řešení obsahující NAT mohou být užitečná k
zajištění malých kancelářských i domácích sítí.
Ačkoli stoupenci proklamují, že NAT může dlouhodobě vyřešit problém s
nedostatkem adres IPv4, toto schéma se nadále řadí mezi krátkodobá řešení. Bez
ohledu na problémy s architekturou a rozšířením zůstává prostor adres IPv4
omezený a brzy může být zcela zaplněn, a to i tehdy, když se všechny sítě budou
ukrývat za zařízeními NAT.
1 0966 / pen

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.