پیمایش قابلیت NAT

پیمایش ترجمه آدرس شبکه یک تکنیک شبکه کامپیوتری برای ایجاد و حفظ اتصالات پروتکل اینترنت در سراسر دروازه هایی است که ترجمه آدرس شبکه(NAT) را پیاده سازی می کنند.

تکنیک‌های پیمایش NAT برای بسیاری از برنامه‌های شبکه، مانند اشتراک‌گذاری فایل‌های همتا به همتا و Voip لازم است.

ترجمه آدرس شبکه

دستگاه های NAT امکان استفاده از IP آدرس های خصوصی را برروی شبکه های خصوصی در پشت روتر با یک IP آدرس عمومی واحد رو به اینترنت را می دهند.

دستگاه های شبکه داخلی با تغییر آدرس منبع درخواست های خروجی به آدرس دستگاه NAT و بازگرداندن پاسخ ها به دستگاه مبدا,با میزبان های شبکه خارجی ارتباط برقرار می کنند.

این امر باعث می شود که شبکه درونی نامناسبی برای میزبانی سرورها داشته باشیم,همانطور که دستگاه های NAT هیچ روش خودکاری برای تشخیص میزبان درونی برای پکت های ورودی که مقصدشان معلوم است ندارند.این یک مشکل برای دسترسی به وب عمومی و ایمیل نیست.اگرچه برای,برنامه هایی مثل اشتراک فایل همتا به همتا,سرویس های VoIP و بازی کنسول ها نیاز است که کلاینت ها نیز سرور باشند.درخواست های ورودی به سادگی نمی توانند برای میزبان داخلی مناسب باشند.علاوه بر این,بسیاری از این نوع خدمات IP آدرس ها و اطلاعات شماره پورت را در دیتای برنامه حمل می کند,البته به طور بالقوه نیاز به جایگزینی با بازرسی بسته عمیق دارد.

فناوری های ترجمه آدرس شبکه استاندارد نیستند.در نتیجه روش هایی که برای پیمایش NAT استفاده می شوند,اغلب اختصاصی هستند و مستندات ضعیفی دارند.بسیاری از تکنیک های پیمایش نیاز به کمک سرور های خارج از شبکه پنهان شده دارند.برخی از روش ها تنها هنگام برقراری اتصال از سرور استفاده می کنند,

در حالی که برخی دیگر مبتنی بر انتقال همه داده ها از طریق آن هستند,که نیاز به پهنای باند و تاخیر را افزایش می دهد که برای ارتباطات صوتی و تصویری بلادرنگ مضر است.

تکنیک های پیمایش NAT معمولا سیاست های امنیتی سازمان را دور می زنند.

متخصصان امنیت سازمان تکنیک هایی که به طور واضح با NAT و فایروال ها همکاری می کنند را ترجیح می دهند,اجازه پیمایش NAT را می دهد و در عین حال مارشالینگ در NAT را برای اجرای سیاست های امنیتی سازمانی امکان پذیر می کند.استاندارد های IETF بر اساس این مدل امنیتی عبارتند از Realm-Specific IP(RSIP) و ارتباطات Middlebox(MIDCOM).

تکنیک

تکنیک های پیمایش NAT زیر در دسترس هستند:

• Socket Secure (SOCKS) فناوری ایجاد شده در اوایل دهه 1990 است که از سرورهای پراکسی برای انتقال ترافیک بین شبکه ها یا سیستم ها استفاده می کند.
• پیمایش با استفاده از رله در اطراف NAT (TURN) یک پروتکل رله است که به طور خاص برای پیمایش NAT طراحی شده است.
• سوراخ کردن NAT یک تکنیک کلی است که از نحوه مدیریت NAT ها با برخی از پروتکل ها (به عنوان مثال UDP، TCP یا ICMP) برای اجازه دادن به بسته های مسدود شده قبلی از طریق NAT استفاده می کند.
  • سوراخ کردن UDP
  • سوراخ کردن TCP
  • پانچ سوراخ ICMP
• Session Traversal Utilities for NAT (STUN) مجموعه ای استاندارد از روش ها و یک پروتکل شبکه برای سوراخ کردن NAT است. برای UDP طراحی شده بود اما به TCP نیز گسترش یافت.
• برقراری اتصال تعاملی (ICE) یک پروتکل کامل برای استفاده از STUN و/یا TURN برای انجام پیمایش NAT در حین انتخاب بهترین مسیر شبکه موجود است. برخی از قطعات و کاستی های گم شده را که در مشخصات STUN ذکر نشده اند را پر می کند.
• پروتکل دستگاه دروازه اینترنت UPnP (IGDP) توسط بسیاری از دروازه های کوچک NAT در تنظیمات خانه یا دفتر کوچک پشتیبانی می شود. این به دستگاهی در شبکه اجازه می‌دهد تا از روتر بخواهد یک پورت را باز کند.
• NAT-PMP پروتکلی است که توسط اپل به عنوان جایگزینی برای IGDP معرفی شده است.
• PCP جانشین NAT-PMP است.

• دروازه سطح برنامه (ALG) جزء یک فایروال یا NAT است که امکان پیکربندی فیلترهای عبور NAT را فراهم می کند.  بسیاری از افراد ادعا می کنند که این تکنیک بیشتر از آن که حل کند مشکلات ایجاد می کند.

متقارن NAT

گسترش اخیر NAT های متقارن,نرخ موفق پیمایش NAT را در بسیاری از موقعیت های عملی کاهش داده است.مانند تلفن همراه و اتصال شبکه بی سیم عمومی.

تکنیک سوراخکاری کلی,مانند STUN و ICE,در پیمایش NAT های متقارن بدون کمک ارتباط سرور,آنطور که در TURN پیش بینی می شد,شکست خورد.تکنیک هایی که NAT های متقارن را به وسیله تلاش برای پیش بینی پورت بعدی یه وسیله هر دستگاه NAT پیمایش می کند,در سال 2003 توسط Yutaka Takeda در آزمایشگاه تحقیقاتی ارتباطات پاناسونیک کشف شد و همچنین در سال 2008 توسط محققان در دانشگاه Waseda نیز کشف شد.تکنیک های پیشبینی پورت تنها با دستگاه های NAT که از الگوریتم های قطعیه شناخته شده برای انتخاب پورت استفاده می کنند,موثر هستند این طرح تخصیص پورت قابل پیش بینی و در عین حال غیراستاتیک در NAT های مقیاس بزرگ مانند آنهایی که در شبکه های 4G LTE استفاده می شوند غیر معمول است و بنابراین پیش بینی پورت تا حد زیادی درآن شبکه های پهن باند سیار بی اثر است.

IPsec

کلاینت های شبکه خصوصی مجازی IPsec از پیمایش ترجمه آدرس شبکه یا همان NAT استفاده می کند تا بسته های Payload امنیت محصورکننده NAT را طی کنند.IPsec از تعدادی پروتکل در عملکرد خود استفاده می کند که باید برای عبور از فایروال ها و مترجم آدرس شبکه(NAT) فعال شوند.

• تبادل کلید اینترنت (IKE) – پورت 500 پروتکل دیتاگرام کاربر (UDP).
• محفظه محموله امنیتی (ESP) – شماره پروتکل IP 50
• سربرگ احراز هویت (AH) – شماره پروتکل IP 51
• پیمایش NAT IPsec – پورت UDP 4500، اگر و فقط در صورتی که پیمایش NAT در حال استفاده باشد

بسیاری از روترها قابلیت های واضحی را ارائه می کنند که اغلب IPsec Passthrough نامیده می شود. ^{[نیازمند منبع]}

در ویندوز XP پیمایش NAT به طور پیش فرض فعال شده است,اما در ویندوز XP با نسخه Service Pack 2 به طور پیش فرض برای مواقعی که سرور وی پی ان همچنان در پشت دستگاه NAT است,غیرفعال شده است و این کار به دلیل یک مسئله امنیتی نادر و بحث برانگیز است.وصله های IPsec NAT-T همچنین برای ویندوز 2000,ویندوز NT و ویندوز 98 موجود است. ^{[نیازمند منبع]}

پیمایش NAT و IPsec ممکن است برای فعالسازی رمزنگاری فرصت طلبانه ترافیک بین سیستم ها استفاده شود.پیمایش NAT به سیستم های پشت NAT اجازه می دهد تا در صورت تقاضا,اتصالات امن را درخواست کرده و برقرار کنند.

پیمایش NAT میزبانی شده است

پیمایش NAT میزبان(HNT) مجموعه ای از مکانیسم ها,از جمله انتقال رسانه و قفل است که به دلایل تاریخی و عملی به طور گسترده توسط ارائه‌دهندگان ارتباطات استفاده می شود.IETF توصیه می کند که از استفاده از قفل در اینترنت استفاده نکنید و ICE را به دلایل امنیتی توصیه می کند.

اسناد استاندارد IETF

• RFC 1579  – Firewall Friendly FTP
• RFC 2663  – IP Network Address Translator (NAT) Terminology and Considerations
• RFC 2709  – Security Model with Tunnel-mode IPsec for NAT Domains
• RFC 2993  – Architectural Implications of NAT
• RFC 3022  – Traditional IP Network Address Translator (Traditional NAT)
• RFC 3027  – Protocol Complications with the IP Network Address Translator (NAT)
• RFC 3235  – Network Address Translator (NAT)-Friendly Application Design Guidelines
• RFC 3715  – IPsec-Network Address Translation (NAT) Compatibility
• RFC 3947  – Negotiation of NAT-Traversal in the IKE^{[نیازمند شفاف‌سازی]}
• RFC 5128  – State of Peer-to-Peer (P2P) Communication across Network Address Translators (NATs)
• RFC 5245  – Interactive Connectivity Establishment (ICE): A Protocol for Network Address Translator (NAT) Traversal for Offer/Answer Protocols

همچنین ببینید

• Session border controller (SBC)
• Hole punching
• UDP hole punching
• TCP hole punching
• ICMP hole punching
• NAT Port Mapping Protocol (NAT-PMP)
• Port Control Protocol (PCP)
• Port Forwarding

منابع

1.Firewall and NAT Traversal Explained". Eyeball Networks Inc. 2013-07-05. Archived from the original on 2013-10-19. Retrieved 2013-10-10.

لینک های خارجی

• مشکلات و واقعیت در مورد سیستم های پیمایش NAT امروزی
• پیمایش خودکار NAT - ارتباط NAT به NAT بدون شخص ثالث
• دانشگاه کرنل - تعیین و اندازه گیری پیمایش TCP از طریق NAT ها و فایروال ها
• دانشگاه کلمبیا - تحلیلی از تلفن اینترنتی همتا به همتا اسکایپ
• ارتباط همتا به همتا در مترجمان آدرس شبکه (UDP Hole Punching)