NAT-PAT
Sitio: | Facultad de Ingeniería U.Na.M. |
Curso: | Comunicaciones 2 ET544 |
Libro: | NAT-PAT |
Imprimido por: | Invitado |
Día: | miércoles, 4 de diciembre de 2024, 23:10 |
1. Introducción
NAT proporciona traducción de direcciones privadas a direcciones públicas, como se muestra en la figura. Esto permite que un dispositivo con una dirección IPv4 privada acceda a recursos fuera de su red privada, como los que se encuentran en Internet. NAT, combinado con direcciones IPv4 privadas, ha sido el método principal para preservar las direcciones IPv4 públicas. Una sola dirección IPv4 pública puede ser compartida por cientos, incluso miles de dispositivos, cada uno configurado con una dirección IPv4 privada única.
Existen tres tipos de traducción NAT:
- Traducción estática de direcciones (NAT estática): asignación de direcciones uno a uno entre una dirección local y una global.
- Traducción dinámica de direcciones (NAT dinámica): asignación de varias direcciones a varias direcciones entre direcciones locales y globales.
- Traducción de la dirección del puerto (PAT): asignación de varias direcciones a una dirección entre direcciones locales y globales. Este método también se conoce como «sobrecarga» (NAT con sobrecarga).
2. Network Address Translation NAT
Cuando un dispositivo dentro de la red auxiliar quiere comunicarse con un dispositivo fuera de su red, el paquete se reenvía al enrutador de borde.
El enrutador perimetral realiza el proceso NAT, traduciendo la dirección privada interna del dispositivo en una dirección pública externa enrutable.
Existen tres implementaciones.
NAT Estática:
NAT Dinámica.
-
¿Qué pasa si la misma máquina quiere acceder al mismo servidor dos veces simultáneamente desde una sola aplicación? . Por ejemplo un navegador Web.
- ¿Cómo quedaría la tabla de NAT?.
3. Port Address Translation (PAT)
PAT (NAT con Sobrecarga)
PAT garantiza que los dispositivos usen un número de puerto TCP distinto para cada sesión con un servidor en Internet. Cuando llega una respuesta del servidor, el número de puerto de origen, que se convierte en el número de puerto de destino en la devolución, determina a qué dispositivo el router reenvía los paquetes. El proceso de PAT también valida que los paquetes entrantes se hayan solicitado, lo que añade un grado de seguridad a la sesión.
Proceso de PAT
Para poder hacer esto el router hace uso de los puertos. En los protocolos TCP y UDP se disponen de 65.536 puertos para establecer conexiones. De modo que cuando una máquina quiere establecer una conexión, el router guarda su IP privada y el puerto de origen y los asocia a la IP pública y un puerto al azar. Cuando llega información a este puerto elegido al azar, el router comprueba la tabla y lo reenvía a la IP privada y puerto que correspondan.
- 192.168.10.10:1444 , 209.165.200.225:1444
- 192.168.10.11:1444 , 209.165.200.225:1445
- 192.168.10.10:2345 , 142.250.79.68:80
- 192.168.10.10:2356 , 142.250.79.68:80
4. NAT Masivo (CGNAT)
Introducción
Carrier-Grade NAT (CGN o CG-NAT) también conocido como NAT masivo o NAT a gran escala (Large-Scale NAT o LSN), es una herramienta de diseño de redes IPv4 donde los extremos de la comunicación, en concreto, las redes residenciales, se configuran con direcciones de red privadas, que se traducen a direcciones públicas mediante equipos de traducción que se interponen dentro de la red del proveedor entre el usuario e Internet.
Estos dispositivos permiten compartir conjuntos pequeños de direcciones públicas entre muchos usuarios finales. Esto cambia el lugar tradicional donde se hace y se configura la función de NAT desde el equipo de casa del cliente, hacia la red del proveedor de acceso a Internet.
De esta manera el proveedor "ahorra" direcciones IP públicas V4, las cuales YA no hay mas y tienen un costo.
Notar que esta implementación incorpora una caída de eficiencia ya que debe hacer NAT en el ISP y NAT en el Modem o ONU. Otra cosa es que la Liberación de algún puerto para un cliente lleva a una configuración específica, lo que implica tiempo, y conocimientos.
QUÉ ES CGNAT Y POR QUÉ SE UTILIZA
CGNAT son las siglas
de Carrier-grade NAT, una técnica utilizada para alargar el tiempo de
vida de las direcciones IPv4. ¿Sabes por qué se realiza esta práctica? Te
explicamos qué es CGNAT y si afecta a tu conexión de internet.
¿Qué es CGNAT?
Internet conecta a diario millones de equipos, pero el número de direcciones disponibles para cada equipo conectado es limitado. Por tanto, el protocolo utilizado actualmente (IPv4) es insuficiente para cubrir la demanda actual de servicios de acceso a internet.
Para dar solución a este problema surgió IPv6, pero la migración a este protocolo representa un gran desafío para los operadores, pues la red de internet no está preparada para soportarlo. Por ejemplo, una de las desventajas de este método (IPv6) es que no se podría navegar en un gran porcentaje de webs, ya que estas no están preparadas para soportar esta nueva tecnología.
Para acabar con los inconvenientes que se han creado por el agotamiento a nivel mundial de IPv4, se ha diseñado NAT a gran escala o CG-NAT, una solución que permitiría conectar a Internet varios equipos utilizando únicamente una dirección IPv4. Esta herramienta permite que las redes se configuren con direcciones de red privadas y se traduzcan a direcciones públicas mediante equipos de traducción que se interponen entre el usuario e internet.
Gracias a la CG-NAT las empresas con decenas de equipos se podrían conectar a Internet utilizando muy pocas direcciones IP.
¿Por qué se aplica CGNAT?
Sería muy sencillo seguir utilizando el protocolo de internet versión 4 (IPv4). Pero el creciente uso de internet hace imposible seguir utilizando este método, porque no hay suficientes direcciones IP para todos los equipos del mundo.
Esta
limitación mundial ha hecho que muchas compañías de telecomunicaciones
adopten medidas que ayuden a afrontar el futuro estableciendo la tecnología CGNAT para mejorar la experiencia y la seguridad de los usuarios.
Aunque el protocolo de internet versión 6 (IPv6) se señala como una alternativa al CGNAT, la realidad es que actualmente muy pocas webs permiten navegar bajo este protocolo, como hemos mencionado anteriormente.
¿Cómo afecta CGNAT a mi conexión a internet? Mitos y verdades
Como cliente, lo más importante que debes de tener en cuenta es que tu experiencia de usuario no se verá afectada por el uso de la tecnología GNAT en ningún aspecto. Es una solución acorde a la legislación vigente, de hecho, esta herramienta lleva funcionando en algunos operadores desde hace muchos años. Todas las conexiones a internet desde dispositivos móviles se hacen mediante CGNAT.
¿Eres gamer y quieres saber si CGNAT te afecta? Puedes estar tranquilo, la totalidad de juegos funcionan con CGNAT. De hecho, las nuevas versiones de juegos están especialmente diseñadas para soportarlo.
Si estás pensando en las consecuencias que puede tener la aplicación de CGNAT sobre la domótica, tampoco supone ningún problema, pues en la actualidad todas las soluciones de domótica no implican que se acceda directamente a los equipos domotizados mediante IP pública, sino que el acceso se hace mediante los servidores que proporcionan los fabricantes. Hoy en día no se utilizan sistemas en los que se accede directamente al aparato en cuestión debido a los graves problemas de seguridad detectados sobre todo en cámaras IP (secuestro de terminales).
Seguridad y privacidad
La solución GNAT no permite abrir puertos con el objetivo de aumentar la seguridad de los usuarios.
Por esta razón, este protocolo mejora la seguridad ante ataques que puedan recibir los usuarios, notar que este argumento puede hacer que no se preste atención en un trasfondo económico como el de migrar a IPv6 definitivamente.
Algunas personas se preguntan: si algún usuario con el que comparto IP realiza una actividad ilegal, ¿vendrá la policía u otro organismo y me hará una investigación? La respuesta es no. Los operadores se encargan de homologar con los organismos gubernamentales pertinentes para que ante estos casos se pueda localizar rápidamente a la persona que realizó esa acción ilegal a través de internet.
Las cámaras de seguridad también son un asunto muy importante en materia de IP. La provisión de IP pública a clientes de convergencia permite que éstos puedan realizar lo que habitualmente se llama 'apertura de puertos'. Al realizar esta configuración, cualquiera podría tener acceso a tus cámaras. De hecho, algunas páginas conocidas como insecam pinchan cámaras IP de cualquier lugar del planeta que tienen fallos de seguridad y que pueden ser atacadas fácilmente.
La ventaja de CGNAT es que impide que cualquier usuario malicioso pueda acceder a los dispositivos que tiene el cliente detrás de su router porque no permite que ningún usuario inicie una conexión contra un equipo detrás del router de ese usuario.
Por tanto, CGNAT no sólo ayuda a aumentar la seguridad de los clientes y elimina la posibilidad de un ciberataque, sino que también es la mejor opción para navegar eficientemente y sin preocupaciones.
Resumiendo:
Ventajas:
- Seguridad, permite que sea mucho más complicado que cualquier persona externa pueda hurgar en los equipos de la red interna.
Desventajas:
- Gestión personalizada: No permite abrir los puertos del router sin tener que solicitar al ISP.
- Mayor Latencia.
- Mayor costo para el usuario en caso de no querer ser parte del DG-NAT.
5. Ventajas -Desventajas
Recordemos que la NAT/PAT es solo un parche, no una solución al verdadero problema
Ventajas:
- La primera y más obvia, el gran ahorro de direcciones IPv4 que supone, recordemos que podemos conectar múltiples máquinas de una red a Internet usando una única dirección IP pública.
- Seguridad. Las máquinas conectadas a la red mediante NAT no son visibles desde el exterior, por lo que un atacante externo no podría averiguar si una máquina está conectada o no a la red.
- Mantenimiento de la red. Sólo sería necesario modificar la tabla de reenvío de un router para desviar todo el tráfico hacia otra máquina mientras se llevan a cabo tareas de mantenimiento.
Desventajas:
- Checksums TCP y UDP: El router tiene que volver a calcular el checksum de cada paquete que modifica. Por lo que se necesita mayor potencia de computación.
- No todas las aplicaciones y protocolos son compatibles con NAT. Hay protocolos que introducen el puerto de origen dentro de la zona de datos de un paquete, por lo que el router no lo modifica y la aplicación no funciona correctamente.
6. Implementaciones
- Muchos de los nombres y de las configuraciones son propias de cada marca y modelo, así que SOLO mostraremos algunos ejemplos, lo mismo es para términos que se utilizan que pueden no ser técnicamente correctos.
- Si se re-direcciona el puerto 80 que se usa normalmente para acceder a la página (servidor Web) del Router, esto puede hacer que no se pueda acceder.
Port Forwarding (NAT Estática)
El Port Forwarding permite a los ordenadores que están en Internet conectarse a un ordenador o servicio específico dentro de una red de área local privada (LAN).
Para lograr eso en el Router debemos programar "ALGO" que permita que cuando desde Internet se quiera acceder a un puerto determinado, eso es redireccionado a un puerto específico de una IP Privada.
Veamos para una Huawei:
Para un TP-Link (https://www.tp-link.com/ar/support/emulator/):
OBSERVACIÓN: La configuración y denominación de muchos de estos campos cambia de un router a otro, esta imagen a ilustrativa.
Una alternativa es el uso de P2P, pero recordar que esto es TODO un problema derivado del parche NAT/PAT.
Virtual Servers.
El servidor virtual le permite dirigir el tráfico entrante desde el lado de la WAN (identificado por el protocolo y el puerto externo) al servidor interno con una dirección IP privada en el lado de la LAN.
El puerto interno es necesario solo si el puerto externo debe convertirse a un número de puerto diferente utilizado por el servidor en el lado de la LAN.