NAT: Sikker, effektiv & enkel internett-tilkobling

by
Tweet
Share
Share
Pin
0 Shares

Hva er egentlig Network Address Translation (NAT)?

Network Address Translation, forkortet NAT, er en effektiv metode som både privatpersoner og organisasjoner kan benytte for å skape en sikker, kostnadseffektiv og lettvint forbindelse til internett. NAT tilbyr ikke bare forbedret sikkerhet, men også fleksibilitet, skalerbarhet og høyere hastighet for kommunikasjon med nettet. Ved å bruke NAT bidrar du også til å bevare de offentlige IP-adressene som finnes. La oss se nærmere på hva NAT faktisk innebærer og hvorfor det kan være fordelaktig å forstå eller bruke det.

I denne artikkelen skal vi se nærmere på dette.

La oss starte med å definere hva NAT er.

Definisjon av Network Address Translation (NAT)

Network Address Translation (NAT) innebærer å omforme en rekke IP-adresser til en annen ved å endre nettverksadresseinformasjonen under dataoverføring. Kort sagt, NAT tillater at en unik IP-adresse (Internet Protocol) representerer en enkelt datamaskin eller en gruppe datamaskiner. Dette betyr at flere enheter i et nettverk kan dele én felles IP-adresse utad, selv om de har private IP-adresser internt i det samme nettverket.

Denne metoden ble opprinnelig utviklet for å eliminere behovet for å gi hver enkelt maskin en ny IP-adresse dersom internettleverandøren (ISP) ble endret, eller et nettverk ble flyttet. Uavhengig av endringer, forblir nettverkets eksterne IP-adresse den samme.

Et interessant aspekt er at en NAT-gateway kan tilby en enkelt, rutbar IP-adresse som kan brukes for et helt privat nettverk. Ettersom NAT endrer IP-adresseinformasjonen under overføring, finnes det ulike NAT-implementeringer med varierende oppførsel i forskjellige adresseringsscenarier, noe som kan ha ulike effekter på nettverkstrafikken.

Hva er NAT sin funksjon?

I et NAT-oppsett tildeler en nettverksenhet, som en NAT-brannmur eller en ruter, en offentlig IP-adresse til én datamaskin eller en gruppe datamaskiner i et privat nettverk. Dermed tillater NAT én enhet å fungere som bindeledd mellom offentlige, private og lokale nettverk.

Hva gjør NAT?

NAT kan spare IP-adresser ved å tillate private IP-er å koble seg til internett ved hjelp av ikke-registrerte adresser. Før data overføres mellom tilkoblede nettverk, oversetter NAT de lokale, private nettverksadressene til unike, globale og gyldige adresser.

Med NAT-konfigurasjoner vil kun én IP-adresse være synlig utad, selv om den representerer hele nettverket. Dette skjuler det interne nettverket og gir økt sikkerhet og personvern. NAT-implementeringer er mest gunstige i miljøer med ekstern tilgang.

Hvordan fungerer NAT?

Nettverksadresseoversettelse fungerer ved at en enhet, som en NAT-ruter eller brannmur, fungerer som et mellomledd mellom det interne nettverket (lokalt nettverk) og eksterne nettverk (internett). Dette tillater at en hel gruppe med enheter kan fremstå med samme IP-adresse når de utfører handlinger utenfor nettverket.

Tenk på NAT som en resepsjonist i en organisasjon som bestemmer hvilke besøkende eller anrop som skal slippes inn, settes på vent eller holdes utenfor, basert på gitte instrukser. Alle forespørsler kommer inn via den offentlige porten og IP-adressen. NAT-instruksjonene bestemmer hvor forespørselen skal dirigeres, samtidig som den private IP-adressen til destinasjonen holdes skjult.

NAT velger gatewayer mellom to ulike lokale nettverk: det eksterne og det interne nettverket. Alle systemer på innsiden vil ha IP-adresser som ikke kan rutes til et eksternt nettverk. Videre vil noen av de eksternt gyldige IP-adressene bli allokert til gatewayen, slik at utgående trafikk fremstår som om den kommer fra en gyldig ekstern IP-adresse.

Deretter behandler NAT den inngående trafikken og overfører den til det korrekte interne systemet. Dette etablerer sikkerhet, da innkommende og utgående forespørsler må gjennomgå en oversettelsesprosess. Det er en god måte å validere innkommende trafikk og matche den med utgående strømmer.

Eksempel på NAT-prosessen

La oss se på et eksempel på hvordan NAT fungerer i praksis.

En bruker kobler sine enheter til hjemmets Wi-Fi-nettverk. Hjemmeruteren gir enheten en privat IP-adresse som kun er gyldig innenfor dette nettverket.

Når brukeren forsøker å laste en nettside, går forespørselen via ruteren til den aktuelle nettsiden. Her endrer NAT-ruteren avsenderadressen til nettverkets offentlige IP-adresse, fra enhetens private IP-adresse. En NAT-tabell lagrer denne oversettelsen, og gatewayen bruker denne tabellen for å finne ut om datapakken møter oversettelseskravene.

Serveren brukeren prøver å få tilgang til, returnerer den etterspurte datapakken til nettverkets offentlige adresse. Ruteren endrer deretter destinasjonsadressen til enhetens private IP, og sender datapakken til brukerens enhet.

Ulike typer NAT

Det finnes forskjellige typer NAT som kan brukes til ulike formål.

#1. SNAT

Statisk NAT (SNAT) oversetter en privat IP-adresse til en offentlig IP-adresse og bruker konsekvent den samme offentlige IP-adressen for oversettelsen.

SNAT kan kartlegge en ikke-registrert IP-adresse til en registrert IP-adresse gjennom en-til-en NAT. Dette innebærer at alle enhetene i nettverket vil bruke den samme offentlige adressen. Kun to elementer i nettverksadressen endres: overskriften og selve IP-adressen.

Dette er nyttig for enheter som brukere trenger tilgang til fra et eksternt nettverk, ved tilkobling av to ulike IP-nettverk med inkompatible adresser, og i webhotell. Vanligvis benytter privatpersoner og mindre organisasjoner SNAT med færre enheter for å holde kostnadene nede.

#2. DNAT

Dynamisk NAT (DNAT) tilordner en privat IP-adresse til en gruppe offentlige IP-adresser. I motsetning til SNAT, bruker DNAT ikke den samme IP-adressen hver gang, men en annen hver gang den oversetter. Den bruker imidlertid en en-til-en-tilkobling slik som SNT.

I et DNAT-oppsett har brannmuren eller ruteren et utvalg av offentlige, registrerte IP-adresser tilgjengelig. Når DNAT oversetter en nettverksadresse fra privat til offentlig, lar den ruteren velge en tilgjengelig offentlig IP-adresse fra dette utvalget. Deretter kartlegger den en ikke-registrert adresse til den valgte registrerte IP-adressen.

DNAT muliggjør at en enhet kan ha forskjellige IP-adresser for hver oversettelse. Dette innebærer at du ikke kan vite hvilken global IP-adresse en privat adresse har blitt tildelt. Dette er en effektiv løsning da du kan koble flere enheter til nettverket.

Dette kan imidlertid være kostbart da du må investere i et utvalg offentlige IP-adresser. Antallet datapakker som kan overføres er også begrenset til antallet offentlige IP-adresser som er tilgjengelige i utvalget. Denne løsningen passer best for større organisasjoner med flere interne nettverk, eller hvis du har et fast antall brukere som trenger internettilgang.

#3. PAT

Port Address Translation (PAT), også kalt NAT-overbelastning, er der hver intern enhet deler en felles offentlig IP-adresse. Hver private IP-adresse tildeles imidlertid en unik port.

PAT bruker ulike porter for å kartlegge forskjellige lokale, ikke-registrerte og private IP-adresser til bare én registrert IP-adresse, noe som skiller nettverkstrafikken som tilsvarer de ulike IP-adressene.

PAT er en type NAT der datapakker får endret kildeadresse når de går fra et privat til et offentlig nettverk, og endret destinasjonsadresse når de går tilbake fra et offentlig til et privat nettverk. Portnumrene i datapakker vil også endres for å sikre at oversettelsen er tydelig. Denne kombinasjonen av endret IP-adresse og portnummer tilordnes ved hjelp av en registrert privat IP-adresse.

Mange anser PAT som mer kostnadseffektivt enn NAT. Dette er fordi mange brukere kan koble seg til nettet ved å bruke kun én offentlig IP-adresse. Det er derfor en god løsning for alle størrelser av organisasjoner.

I tillegg til SNAT, DNAT og PAT, finnes også RNAT og overlappende NAT:

  • RNAT lar deg koble deg til nettverket ditt ved hjelp av det offentlige internett.
  • Overlappende NAT oppstår når to organisasjoners nettverk, som bruker RFC 1918 IP-er, slås sammen, eller når registrerte IP-er tildeles flere enheter eller brukes i flere interne nettverk. Her kobler overlappende NAT nettverkene uten å omadressere hver enhet.

Hvorfor er NAT viktig?

En enhet eller et nettverkssystem trenger en IP-adresse, en unik tallkombinasjon adskilt med punktum, for å kunne kommunisere med internett. Dette nummeret brukes til å identifisere og lokalisere en nettverksenhet, slik at brukere kan kommunisere med nettet.

Det finnes to typer IP-adresser: IPv4 og IPv6. Da internett ble lansert ble det opprettet rundt 4,3 milliarder IPv4-adresser. Imidlertid kunne ikke alle disse tildeles enheten for å etablere kommunikasjon. Noen ble satt av for testing, militære formål og kringkasting, og de resterende 3 milliarder IP-adressene var tilgjengelige for kommunikasjon.

I 2019 tildelte RIPE NCC de siste IPv4-adressene fra den tilgjengelige beholdningen, og gikk tom for IPv4. IPv6-adressering ble lansert som et motsvar på dette. IPv6 gjenskaper IP-adressering og gir flere alternativer for tildeling av g-adresser. Det tok imidlertid mange år å endre eller implementere nettverkssystemet.

NAT kom med en løsning på problemet. Cisco introduserte NAT, som nå er bredt distribuert.

NAT har blitt en verdifull og populær måte å spare global adresseplass, særlig når IPv4-adresser er brukt opp. NAT brukes også for å skjule IP-adresseområder for private nettverk for kostnadseffektivitet og sikkerhet.

Fordeler med NAT

IP-adressebevaring

NAT bidrar til å bevare lovlig registrerte IP-adresser og forhindrer uttømming av dem. Med det økende antallet internettbrukere globalt sett, er dette et viktig tiltak for å gjøre nettet tilgjengelig for alle.

Sikkerhet

Med NAT kan du koble til nettet med forbedret sikkerhet og personvern, da den kan skjule enhetens IP-adresse fra det offentlige nettverket, selv under dataoverføring. NAT-hastighetsbegrensning lar deg også begrense det maksimale antallet NAT-operasjoner som utføres samtidig på ruteren din.

Dette gir bedre kontroll over bruken av NAT-adresser og reduserer effekten av virus, ormer, Denial of Service (DoS)-angrep osv. Ved å implementere dynamisk NAT (DNAT) opprettes automatisk en brannmur mellom internett og det interne nettverket. I tillegg tilbyr enkelte NAT-rutere sikkerhetsfunksjoner som trafikkfiltrering og logging.

Flere tilkoblinger

Ved å etablere flere internettilkoblinger opprettholdes nettverkets pålitelighet og reduserer sannsynligheten for driftsstans ved tilkoblingsfeil. Det bidrar også til belastningsbalansering ved å redusere antall enheter som bruker en enkelt tilkobling.

Multihomed nettverk kobler seg vanligvis til flere internettleverandører, som tildeler én eller flere IP-adresser til en organisasjon. Rutere kan også bruke NAT for å rute nettverk med forskjellige NAT-protokoller.

I tillegg kommuniserer et multihomed nettverk ved at ruteren utnytter en del av TCP- eller IP-protokollen, Border Gateway Protocol (BGP). Underdomenesider deler på samme måte ved hjelp av intern BGP (IBGP), mens rutere bruker ekstern BGP (EBGP) for å samhandle. Hvis en tilkobling mislykkes, omdirigerer multihoming data via en annen ruter.

Hastighet

NAT er mer transparent for kilde- og måldatamaskiner enn proxy-servere, noe som gir direkte gevinster i hastighet. Proxy-servere opererer også vanligvis på lag fire, eller transportlaget i OSI-modellen, eller enda høyere. Dette gjør dem tregere enn NAT, som opererer på lag tre eller nettverkslaget.

Skalerbarhet

Etter hvert som behovene dine øker, vil du trenge flere IP-adresser for brukere og enheter. I stedet for å be IANA om flere IP-adresser, kan du benytte NAT. Ved å bruke NAT med Dynamic Host Configuration Protocol (DHCP), blir skalering enklere.

Årsaken er at NAT og DHCP fungerer godt sammen for å tildele ikke-registrerte IP-adresser for underdomenet fra den tilgjengelige listen i henhold til dine behov. På denne måten kan du utvide det tilgjengelige IP-adresseområdet, og DHCP kan raskt konfigurere og gi plass til flere nettverksdatamaskiner.

Fleksibilitet og enkelhet

NAT tilbyr fleksibilitet i distribusjon og etablering av tilkoblinger. Den kan distribueres i et trådløst, offentlig LAN. Noen ganger, med statisk NAT (SNAT) og inngående kartlegging, kan du aktivere eksterne enheter for å opprette enhetstilkoblinger på underdomenet.

I tillegg reduserer NAT kompleksiteten og muliggjør enkle internettforbindelser, siden det ikke krever at du endrer IP-adresser etter at du har endret eller slått sammen et nettverk. NAT lar deg også bygge en virtuell vert i ditt interne nettverk som koordinerer TCP-belastningsbalansering.

Begrensninger ved NAT

Begrensninger for NAT

Her er noen av begrensningene med NAT:

  • Bruker ressurser: NAT kan kreve betydelige prosessorkapasitet og minneressurser. Dette er fordi den oversetter alle IPv4-adresser for innkommende og utgående IPv4-datagrammer, og lagrer alle oversettelsesdetaljer i minnet.
  • Funksjonalitet: Aktivering av NAT kan føre til redusert funksjonalitet for enkelte teknologier og applikasjoner.
  • Tunnelkomplikasjoner: NAT kan komplisere tunneleringsprotokoller. For dette kan du bruke IPsec for sikker oversettelse av nettverksadresser.
  • Lagproblemer: Når en ruter fungerer som en NAT-enhet, kan den blande seg inn i lag-4 eller transportlaget, for eksempel portnummer, da den er ment for lag-3 eller nettverkslaget.
  • Forsinkelser: Forsinkelser kan oppstå under oversettelse.

Noen vanlige begreper i NAT

  • Kildeadresse: Dette er IP-adressen til den initierende verten.
  • Kildeport: Dette er TCP/UDP-portnummeret som den initierende verten tildeler.
  • Destinasjonsadresse: Dette er IP-adressen til mottakeren.
  • Destinasjonsport: Dette er TCP- eller UDP-porten som en initierende vert ber mottakeren om å åpne.
  • Inne i lokal adresse: Dette er en privat IP-adresse tildelt en vert på et lokalt (internt) nettverk. En tjenesteleverandør tildeler den ikke. Det er den indre verten for et internt nettverk.
  • Global adresse: Dette er en IP-adresse som representerer en eller flere lokale IP-er. Det er den indre verten for det eksterne nettverket.
  • Utenfor lokal adresse: Den virkelige IP-adressen til destinasjonsverten ligger i et lokalt nettverk når oversettelsen er ferdig.
  • Ekstern global adresse: IP-adressen til den eksterne destinasjonsverten før oversettelse. Det er den eksterne verten for det eksterne nettverket.
  • Underdomene: En ikke-registrert privat IP-adresse som består av:
  • Utenfor lokale adresser som NAT-rutere distribuerer, og
  • Inne i lokale adresser som lokalnettverket bruker
    • NAT-tabell: NAT tilordner portnumre og IP-adresser på nytt og sporer dem ved hjelp av en NAT-oversettelsestabell.

    La oss si at en ruter har mottatt en datapakke fra en lokal enhet som har fått tildelt en offentlig IP-adresse. Ruteren endrer da IP-adressen til kildeenheten for å bruke sin egen IP-adresse. Deretter endrer den portnummeret til kilden for å vite hvor de mottatte pakkene må leveres. Denne omtildelingen av IP-adresser loggføres i NAT-oversettelsestabellen.

    Konklusjon

    Med det stadig økende antallet internettbrukere og sikkerhetsproblemer som sprer seg globalt, er det et behov for en tryggere og mer effektiv tilkoblingsmetode. NAT har som mål å imøtekomme dette. Det bidrar til å bevare offentlige IP-adresser, samtidig som du får fordelene av sikkerhet, hastighet, fleksibilitet og skalerbarhet når du kobler til internett.