جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

NAT چگونه به شما دروغ می گوید؟ پنهان سازی و تغییر حقیقت در NAT

این حقیقت دارد : عملکرد NAT با دروغ گفتن است. به تصویر پایین نگاه کنید دو کاربر از رنج شبکه private با آدرس 10.0.0.0 استفاده می کنند و روتر از طریق اینترفیس G01 به این شبکه متصل است. همچنین روتر از طریق اینترفیس G20 خود از طریق ISP به اینترنت متصل است. از دیدگاه امنیتی ، اینترفیس G01 به شبکه مورد اطمینان یعنی شبکه داخلی متصل است و اینترفیس G20 به شبکه غیرمطمئن یعنی شبکه خارجی متصل است. براساس این تصویر روتر با توجه به IP که از طریق آن به اینترنت متصل است (در این مثال IP 34.0.0.3) مشکلی برای ارتباط با اینترنت ندارد و این IP از طریق اینترنت قابل دسترس است اما دو کاربر در این مثال همانند روتر نمی توانند به اینترنت متصل شوند چون از رنج شبکه private استفاده می کنند این رنج آدرس به صورت مستقیم در اینترنت قابل استفاده نیست.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. Inside ، Outside ، Local، Global
وب سایت توسینسو

بنابراین اگر کاربران بخواهد به منابع موجود در اینترنت دسترسی پیدا کنند آنها بسته های خود را به default gateway خود ارسال می کنند که در تصویر بالا R1 به عنوان default gateway محصوب می شود. اگر تنظیمات مورد نیاز برای R1 انجام شده باشد ، R1 آدرس IP بسته ها تغییر می دهد به این صورت که آدرس IP اصلی مبدا بسته را با آدرس IP خود که از ISP دریافت کرده (IP 34.0.0.3) جایگزین می کند و این IP از طریق اینترنت قابل دسترس است.به طور معمول دستگاه های اصلی که از NAT استفاده می کنند روتر ها و فایروال ها هستند. NAT تنها برای مخفی کردن کاربران پیشت یک IP آدرس کاربرد ندارد و جهت محافظت از این کاربران نیز کاربرد دارد این محافظت به این خاطر است که از طریق دنیای خارجی یا همان شبکه اینترنت نمیدانند که دستگاه ها داخلی شبکه دقیقا از چه IP آدرسی استفاده می کنند .

بنابراین ایجاد یک ارتباط از شبکه خارجی به شبکه داخلی بسیار سخت است.درک این موضوع که NAT یا PAT به تنهایی به عنوان یه مکانیزم امنیتی در نظر گرفته نمی شود بسیار مهم است و اجازه عبور یا عدم اجازه عبور به ترافیک با استفاده از ACL انجام می شود. واژه های هستند که در NAT کاربرد دارند و اغلب باعث گیج شدن می شوند کلماتی مانند inside ، outside ، local و global. قبلا از اینکه بخواهیم به صورت خاص به این کلمات بپردازیم گزینه هایی وجود دارد که می توان با NAT انجام داد که این گزینه برای درک این کلمات به ما کمک می کنند.

Inside ، Outside ، Local، Global

شما می توانید IP آدرس user 1 را ترجمه کنید تا بسته های آنرا به سمت اینترنت ارسال کنید. این یک مثال از inside NAT است که ترجمه آدرس برای بسته های یک host داخلی انجام می شود. در اینجا برخی واژه هایی کاربردی در NAT را توضیح می دهیم :

  1. Inside local : آدرس IP واقعی که برای host های داخلی مشخص شده است مانند user 1
  2. Inside global : آدرس جهانی که روتر در عمل NAT از آنها استفاده می کند. از طریق شبکه خارجی user 1 را با این آدرس می بینند.
  3. Outside local : آدرسی هایی که دستگاه های داخل شبکه ، دستگاه های خارج از شبکه را با آن می بینیم و می تواند آدرس Private باشد. نکته ای که وجود دارد این آدرس از طریق شبکه داخلی قابل مسیریابی است.
  4. Outside global : آدرس IP واقعی که برای host های شبکه خارجی مشخص شده است مانند IP سرور A

واژه هایی که ما استفاده می کنیم به خاطر ایجاد یک نقطه مرجع است. Inside و outside نشان دهنده این است که آدرس های IP در کجا قرار دارند و مشخص می شود که در شبکه ما و در کنترل ما هستند یا خیر. Local و global نشان دهنده آدرس هایی هستند که قبل یا بعد ، توسط NAT دستکاری می شوند. inside local address که در جدول بالا نشان داده شد در شبکه داخلی ما و تحت کنترل ما است و به عنوان آدرس های محلی شبکه ما شناخته می شود و آدرس های قبل از NAT می باشند. اما آدرس های بعد از NAT را inside global تشکیل می دهند. که مربوط به شبکه ما است اما دیدگاه جهانی دارد.مثال زیر خروجی مقادیر برای دو static NAT را نشان می دهد که یکی برای user 1 و دیگری برای سرور A است. در این مثال ، سرور A با آدرس 10.0.0.3 برای کاربر داخلی map شده است. User1 خودش را به کاربران شبکه خارجی با آدرس 34.0.0.11 نشان می دهد.

وب سایت توسینسو

NAT علاوه بر امنیتی که فراهم می کند اجازه برقراری ارتباط بین دو شبکه که دارای IP آدرس های ناسازگار(مانند overlapping) هستند را فراهم می کند. همچنین با استفاده از PAT امکان افزایش طول عمر IPv4 را حداقل برای یک دهه دیگر فراهم می کند.

وب سایت توسینسو

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات