Print this chapterPrint this chapter

NAT-PAT

3. Port Address Translation (PAT)

En el capítulo anterior vimos el tema de NAT , en el mismo NO EXISTÍAN PUERTOS , solo direcciones IP que se traducían.

El concepto de puerto está relacionado con capa 4 : TCP.


PAT (NAT con Sobrecarga)

La traducción de la dirección del puerto (PAT), también conocida como NAT con sobrecarga, asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a algunas direcciones. Esto es lo que hace la mayoría de los routers domésticos. El ISP asigna una dirección al router, no obstante, varios miembros del hogar pueden acceder a Internet de manera simultánea. Esta es la forma más común de NAT. En este tipo de implementación aparece el concepto de PUERTO ( Capa 4) .

Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que cada dirección privada también se rastrea con un número de puerto. Cuando un dispositivo inicia una sesión TCP/IP, genera un valor de puerto de origen TCP o UDP para identificar la sesión de forma exclusiva. Cuando el router NAT recibe un paquete del cliente, utiliza su número de puerto de origen para identificar de forma exclusiva la traducción NAT específica.
PAT garantiza que los dispositivos usen un número de puerto TCP distinto para cada sesión con un servidor en Internet. Cuando llega una respuesta del servidor, el número de puerto de origen, que se convierte en el número de puerto de destino en la devolución, determina a qué dispositivo el router reenvía los paquetes. El proceso de PAT también valida que los paquetes entrantes se hayan solicitado, lo que añade un grado de seguridad a la sesión.

Proceso de PAT




Supongamos que una máquina de la red LAN intenta navegar, abre dos pestañas en el navegador, cada una  en google.com. ¿ Como se podría identificar ese flujo si las direcciones de Origen IP Privada y las de Destino IP Publica son las mismas?.
Es evidente que para este escenario NO sería posible, esto por que tenemos UNA IP PRIVADA y UNA IP PÚBLICA ( la de google.com)  para diferenciar DOS FLUJOS DISTINTOS.
El concepto de PUERTO ES NECESARIO, esto concluye PAT o NAT con sobrecarga, en el cual aparece el concepto de puerto.
Con este nuevo concepto es totalmente posible que el navegador de una maquina con una IP Privada se conecte a DOS sitios iguales,  el flujo será diferenciado por los puertos de Origen solamente. Recordar el concepto de Socket.

La NAT con sobrecarga o PAT (Port Address Translation) es el más común de todos los tipos, ya que es el utilizado en los hogares. Se pueden mapear múltiples direcciones IP privadas a través de una dirección IP pública, con lo que evitamos contratar más de una dirección IP pública. Además del ahorro económico, también se ahorran direcciones IPv4, ya que aunque la subred tenga muchas máquinas, todas salen a Internet a través de una misma dirección IP pública.

Para poder hacer esto el router hace uso de los puertos. En los protocolos TCP y UDP se disponen de 65.536 puertos para establecer conexiones. De modo que cuando una máquina quiere establecer una conexión, el router guarda su IP privada y el puerto de origen y los asocia a la IP pública y un puerto al azar. Cuando llega información a este puerto elegido al azar, el router comprueba la tabla y lo reenvía a la IP privada y puerto que correspondan.

PAT garantiza que los dispositivos usen un número de puerto TCP distinto para cada sesión con un servidor en Internet.  Capa 4!!!

Cuando llega una respuesta del servidor, el número de puerto de origen, que se convierte en el número de puerto de destino en la devolución, determina a qué dispositivo el router reenvía los paquetes.

Veamos un ejemplo:




veamos otro ejemplo:

Dos equipos distintos.

Podemos ver en esta figura que el Socket es distinto para cada equipo:
  • 192.168.10.10:1444 , 209.165.200.225:1444
  • 192.168.10.11:1444 , 209.165.200.225:1445
El router de borde REGISTRA en una tabla , para luego hacer la conversión inversa cuando el paquete regrese.

Veamos como sería el Socket si  la PC de IP 192.168.10.10 abre DOS PESTAÑAS de google.com ( IP: 142.250.79.68)

  • 192.168.10.10:2345 ,  142.250.79.68:80
  • 192.168.10.10:2356 ,  142.250.79.68:80

Los puertos efímeros, que toman valores temporales permiten identificar el Flujo de datos para cada pestaña del navegador!!


QUÉ ES CGNAT Y POR QUÉ SE UTILIZA

CGNAT son las siglas de Carrier-grade NAT, una técnica utilizada para alargar el tiempo de vida de las direcciones IP. ¿Sabes por qué se realiza esta práctica? Te explicamos qué es CGNAT y si afecta a tu conexión de internet. ¡Sigue leyendo!

¿Qué es CGNAT?

Internet conecta a diario millones de equipos, pero el número de direcciones disponibles para cada equipo conectado es limitado. Por tanto, el protocolo utilizado actualmente (IPv4) es insuficiente para cubrir la demanda actual de servicios de acceso a internet.

Para dar solución a este problema surgió IPv6, pero la migración a este protocolo representa un gran desafío para los operadores, pues la red de internet no está preparada para soportarlo.  Por ejemplo, una de las desventajas de este método (IPv6) es que no se podría navegar en un gran porcentaje de webs, ya que estas no están preparadas para soportar esta nueva tecnología.

Para acabar con los inconvenientes que se han creado por el agotamiento a nivel mundial de IPv4, se ha diseñado NAT a gran escala o CG-NAT, una solución que permitiría conectar a Internet varios equipos utilizando únicamente una dirección IPEsta herramienta permite que las redes se configuren con direcciones de red privadas y se traduzcan a direcciones públicas mediante equipos de traducción que se interponen entre el usuario e internet.

Gracias a la CG-NAT las empresas con decenas de equipos se podrían conectar a Internet utilizando muy pocas direcciones IP.

¿Por qué se aplica CGNAT?

Sería muy sencillo seguir utilizando el protocolo de internet versión 4 (IPv4). Pero el creciente uso de internet hace imposible seguir utilizando este método, porque no hay suficientes direcciones IP para todos los equipos del mundo.

Esta limitación mundial ha hecho que muchas compañías de telecomunicaciones adopten medidas que ayuden a afrontar el futuro estableciendo la tecnología CGNAT para mejorar la experiencia y la seguridad de los internautas.

Aunque el protocolo de internet versión 6 (IPv6) se señala como una alternativa al CGNAT, la realidad es que actualmente muy pocas webs permiten navegar bajo este protocolo, como hemos mencionado anteriormente.

¿Cómo afecta CGNAT a mi conexión a internet? Mitos y verdades

Como cliente, lo más importante que debes de tener en cuenta es que tu experiencia de usuario no se verá afectada por el uso de la tecnología GNAT en ningún aspecto. Es una solución acorde a la legislación vigente, de hecho, esta herramienta lleva funcionando en algunos operadores desde hace muchos años. Todas las conexiones a internet desde dispositivos móviles se hacen mediante CGNAT.

¿Eres gamer y quieres saber si CGNAT te afecta? Puedes estar tranquilo, la totalidad de juegos funcionan con CGNAT. De hecho, las nuevas versiones de juegos están especialmente diseñadas para soportarlo.

Si estás pensando en las consecuencias que puede tener la aplicación de CGNAT sobre la domótica, tampoco supone ningún problema, pues en la actualidad todas las soluciones de domótica no implican que se acceda directamente a los equipos domotizados mediante IP pública, sino que el acceso se hace mediante los servidores que proporcionan los fabricantes. Hoy en día no se utilizan sistemas en los que se accede directamente al aparato en cuestión debido a los graves problemas de seguridad detectados sobre todo en cámaras IP (secuestro de terminales).

Seguridad y privacidad

La solución GNAT no permite abrir puertos con el objetivo de aumentar la seguridad de los usuarios. Por esta razón, este protocolo mejora la seguridad ante ataques que puedan recibir los usuarios.

Algunas personas se preguntan: si algún usuario con el que comparto IP realiza una actividad ilegal, ¿vendrá la policía u otro organismo y me hará una investigación? La respuesta es no. Los operadores se encargan de homologar con los organismos gubernamentales pertinentes para que ante estos casos se pueda localizar rápidamente a la persona que realizó esa acción ilegal a través de internet.

Las cámaras de seguridad también son un asunto muy importante en materia de IP. La provisión de IP pública a clientes de convergencia permite que éstos puedan realizar lo que habitualmente se llama 'apertura de puertos'. Al realizar esta configuración, cualquiera podría tener acceso a tus cámaras. De hecho, algunas páginas conocidas como insecampinchan cámaras IP de cualquier lugar del planeta que tienen fallos de seguridad y que pueden ser atacadas fácilmente.

La ventaja de CGNAT es que impide que cualquier usuario malicioso pueda acceder a los dispositivos que tiene el cliente detrás de su router porque no permite que ningún usuario inicie una conexión contra un equipo detrás del router de ese usuario.

Por tanto, CGNAT no sólo ayuda a aumentar la seguridad de los clientes y elimina la posibilidad de un ciberataque, sino que también es la mejor opción para navegar eficientementey sin preocupaciones.

En MÁSMÓVIL trabajamos cada día para ofrecerte las mejores ofertas de internet, efectivas y seguras. Si tienes alguna duda relacionada con el protocolo CGNAT, estaremos encantados de ayudarte en el 2373 o en nuestros perfiles sociales.