Travesía NAT

Técnica para mantener la conexión a través de NAT

La traducción de direcciones de red es una técnica de redes informáticas que permite establecer y mantener conexiones de protocolo de Internet a través de puertas de enlace que implementan la traducción de direcciones de red (NAT).

Las técnicas de cruce de NAT son necesarias para muchas aplicaciones de red, como el intercambio de archivos entre pares y la voz sobre IP . ^[1]

Traducción de direcciones de red

La traducción de direcciones de red generalmente utiliza direcciones IP privadas en redes privadas con una única dirección IP pública para el enrutador que se conecta a Internet . El traductor de direcciones de red cambia la dirección de origen en los protocolos de red para las solicitudes salientes de la de un dispositivo interno a su dirección externa, de modo que los dispositivos internos puedan comunicarse con los hosts en la red externa, mientras retransmiten las respuestas al dispositivo de origen.

Esto hace que la red interna no sea adecuada para servicios de alojamiento, ya que el dispositivo NAT no tiene un método automático para determinar el host interno al que se destinan los paquetes entrantes de la red externa. Esto no es un problema para el acceso web general y el correo electrónico. Sin embargo, aplicaciones como el intercambio de archivos entre pares , los servicios de VoIP y las consolas de videojuegos requieren que los clientes también sean servidores. Las solicitudes entrantes no se pueden correlacionar fácilmente con el host interno adecuado. Además, muchos de estos tipos de servicios llevan información de dirección IP y número de puerto en los datos de la aplicación, lo que potencialmente requiere la sustitución con una inspección profunda de paquetes .

Las tecnologías de traducción de direcciones de red no están estandarizadas. Como resultado, los métodos utilizados para atravesar NAT suelen ser propietarios y estar mal documentados. Muchas técnicas de atravesar requieren la asistencia de servidores externos a la red enmascarada. Algunos métodos utilizan el servidor solo al establecer la conexión, mientras que otros se basan en la retransmisión de todos los datos a través de él, lo que aumenta los requisitos de ancho de banda y la latencia, lo que perjudica las comunicaciones de voz y video en tiempo real.

Las técnicas de cruce de NAT suelen eludir las políticas de seguridad de la empresa. Los expertos en seguridad empresarial prefieren técnicas que cooperen explícitamente con NAT y firewalls, lo que permite el cruce de NAT y al mismo tiempo permite la ordenación en NAT para aplicar las políticas de seguridad de la empresa. Los estándares IETF basados ​​en este modelo de seguridad son Realm-Specific IP (RSIP) y middlebox communications (MIDCOM).

Técnicas

Se han desarrollado varias técnicas de cruce de NAT:

• El protocolo de mapeo de puertos NAT (NAT-PMP) es un protocolo introducido por Apple como alternativa a IGDP.
• El Protocolo de Control de Puerto (PCP) es un sucesor de NAT-PMP.
• El protocolo de dispositivo de puerta de enlace de Internet UPnP (UPnP IGD) es compatible con muchas puertas de enlace NAT pequeñas en entornos domésticos o de pequeñas oficinas . Permite que un dispositivo de una red le solicite al enrutador que abra un puerto.
• El establecimiento de conectividad interactiva (ICE) es un protocolo completo para utilizar STUN o TURN para realizar una travesía de NAT mientras se elige la mejor ruta de red disponible. Completa algunas de las piezas faltantes y las deficiencias que no se mencionaron en la especificación STUN.
• Session Traversal Utilities for NAT (STUN) es un conjunto estandarizado de métodos y un protocolo de red para la perforación de orificios NAT. Fue diseñado para UDP pero también se amplió a TCP.
• Traversal Using Relays around NAT (TURN) es un protocolo de retransmisión diseñado específicamente para la travesía de NAT.
• La perforación de agujeros NAT es una técnica general que aprovecha el modo en que los NAT manejan algunos protocolos (por ejemplo, UDP, TCP o ICMP) para permitir que paquetes previamente bloqueados pasen por el NAT.
  • Perforación de orificios UDP
  • Perforación de orificios TCP
  • Perforación de agujeros ICMP
• Socket Secure (SOCKS) es una tecnología creada a principios de la década de 1990 que utiliza servidores proxy para retransmitir tráfico entre redes o sistemas.
• Las técnicas de puerta de enlace a nivel de aplicación (ALG) son un componente de un firewall o NAT que proporciona filtros transversales de NAT configurables. ^[2] Se afirma que esta técnica crea más problemas de los que resuelve. ^[3]

NAT simétrico

La reciente proliferación de NAT simétricos ha reducido las tasas de éxito de cruce de NAT en muchas situaciones prácticas, como para conexiones WiFi públicas y móviles. Las técnicas de perforación de agujeros, como STUN e ICE, fallan al atravesar NAT simétricos sin la ayuda de un servidor de retransmisión, como se practica en TURN . Las técnicas que atraviesan NAT simétricos al intentar predecir el próximo puerto que abrirá cada dispositivo NAT fueron descubiertas en 2003 por Yutaka Takeda en el Laboratorio de Investigación de Comunicaciones de Panasonic ^[4] y en 2008 por investigadores de la Universidad de Waseda. ^[5] Las técnicas de predicción de puertos solo son efectivas con dispositivos NAT que usan algoritmos deterministas conocidos para la selección de puertos. Este esquema de asignación de puertos predecible pero no estático es poco común en NAT de gran escala como los que se usan en redes 4G LTE y, por lo tanto, la predicción de puertos es en gran medida ineficaz en esas redes de banda ancha móvil.

IPsec

Los clientes de redes privadas virtuales IPsec utilizan la travesía de NAT para que los paquetes de carga de seguridad encapsulante puedan atravesar NAT. IPsec utiliza varios protocolos en su funcionamiento que deben estar habilitados para atravesar firewalls y traductores de direcciones de red:

• Intercambio de claves de Internet (IKE): puerto 500 del Protocolo de datagramas de usuario (UDP)
• Carga útil de seguridad encapsulante (ESP): protocolo IP número 50
• Encabezado de autenticación (AH): número de protocolo IP 51
• Travesía NAT de IPsec: puerto UDP 4500, si y solo si se utiliza la travesía NAT

Muchos enrutadores proporcionan funciones explícitas, a menudo llamadas IPsec Passthrough. ^{[ cita requerida ]}

En Windows XP, la travesía NAT está habilitada de manera predeterminada, pero en Windows XP con Service Pack 2 se ha deshabilitado de manera predeterminada para el caso en que el servidor VPN también esté detrás de un dispositivo NAT, debido a un problema de seguridad poco común y controvertido. ^[6] Los parches IPsec NAT-T también están disponibles para Windows 2000, Windows NT y Windows 98. ^{[ cita requerida ]}

La travesía de NAT y el protocolo IPsec se pueden utilizar para permitir el cifrado oportunista del tráfico entre sistemas. La travesía de NAT permite que los sistemas detrás de NAT soliciten y establezcan conexiones seguras a pedido.

Travesía NAT alojada

La travesía de NAT alojada (HNT) es un conjunto de mecanismos, que incluye retransmisión de medios y bloqueo, que los proveedores de comunicaciones utilizan ampliamente por razones históricas y prácticas. ^[7] La ​​IETF desaconseja el uso de bloqueo en Internet y recomienda ICE por razones de seguridad. ^[8]

Documentos de normas IETF

• RFC 1579 – FTP compatible con firewall
• RFC 2663 – Terminología y consideraciones sobre el traductor de direcciones de red (NAT) IP
• RFC 2709 – Modelo de seguridad con IPsec en modo túnel para dominios NAT
• RFC 2993 – Implicaciones arquitectónicas de NAT
• RFC 3022 – Traductor de direcciones de red IP tradicional (NAT tradicional)
• RFC 3027 – Complicaciones del protocolo con el traductor de direcciones de red IP (NAT)
• RFC 3235 – Pautas de diseño de aplicaciones compatibles con el traductor de direcciones de red (NAT)
• RFC 3715 – Compatibilidad entre IPsec y traducción de direcciones de red (NAT)
• RFC 3947 – Negociación de NAT-Traversal en IKE ^{[ aclaración necesaria ]}
• RFC 5128 – Estado de la comunicación punto a punto (P2P) a través de traductores de direcciones de red (NAT)
• RFC 5245 – Establecimiento de conectividad interactiva (ICE): un protocolo para la travesía del traductor de direcciones de red (NAT) para protocolos de oferta/respuesta

Véase también

• Controlador de borde de sesión (SBC)
• Reenvío de puertos

Referencias

1. "Explicación de Firewall y NAT Traversal". Eyeball Networks Inc. 5 de julio de 2013. Archivado desde el original el 19 de octubre de 2013. Consultado el 10 de octubre de 2013 .
2. "Técnicas de cruce de NAT y aplicaciones punto a punto". Universidad Tecnológica de Helsinki. CiteSeerX 10.1.1.103.1659 .  {{cite journal}}: Requiere citar revista |journal=( ayuda )
3. "Introducción a NAT". Biblioteca PJNATH . Consultado el 30 de mayo de 2016 .
4. "Traversal NAT simétrico usando STUN".
5. "Un nuevo método para la travesía NAT simétrica en UDP y TCP" (PDF) . Archivado desde el original (PDF) el 2017-02-02 . Consultado el 2016-05-14 .
6. "No se recomienda la travesía NAT de IPSec para equipos con Windows Server 2003 que estén detrás de traductores de direcciones de red". Base de conocimiento de Microsoft n.° 885348.^{[ enlace muerto ]}
7. Latching: Hosted NAT Traversal (HNT) para medios en comunicación en tiempo real, RFC 7362 2014-09-01
8. Establecimiento de conectividad interactiva (ICE): un protocolo para la travesía del traductor de direcciones de red (NAT), RFC 8445 2018-07-01

Enlaces externos

• Problemas y hechos sobre los sistemas de cruce de NAT actuales
• Travesía NAT autónoma: comunicación NAT a NAT sin un tercero
• Universidad de Cornell: caracterización y medición de la travesía TCP a través de NAT y firewalls
• Universidad de Columbia: Un análisis de la telefonía por Internet entre pares de Skype
• Comunicación punto a punto a través de traductores de direcciones de red (perforación UDP)