Сурков Л.В. - Построение защищенных сетей с использованием брандмауэров

Министерство образования и науки Российской ФедерацииМосковский Государственный Технический Университетим. Н.Э. БауманаФакультет «Информатика и системы управления»Кафедра «Компьютерные системы и сети»Сурков Л.В.Методические указанияк лабораторной работе по курсуКорпоративные сетиРазделПостроение защищенных сетей с использованием брандмауэровТехнология Network Address Translation.2011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Технология Network Address Translation» Rev. 01Технология Network Address Translation.Теоретические основы.Обзор трансляции адресовТрансляция сетевых адресов – технология преобразования адресов и/или портовисточника и/или получателя IP-пакета.

Эти преобразования отслеживаются всоответствующих таблицах, что позволяет при получении ответного пакета выполнитьобратную трансляцию адреса/порта. Технология NAT имеет два важных достоинства:1.При NAT-адресации внутренние хосты могут совместно использовать одинили несколько зарегистрированных внешних IP-адресов. При этом требуетсяотносительно немного внешних адресов для поддержки большого числавнутренних хостов, что экономит IP-адреса.2.NAT позволяет маскировать (скрыть) внутреннюю структуру локальной сети.За счёт выполнения трансляции адресов запросы компьютеров локальной сетик внешним хостам выглядят так, будто выполняются с одного и того жекомпьютера.

Также можно с помощью трансляции адреса совместно с портомосуществлять сокрытие серверной инфраструктуры.Важно отметить, что некоторые протоколы не поддерживают трансляцию адресов(например, PPTP), либо использование трансляции накладывает ограничения наиспользование некоторых служб. Для обхода таких проблем NAT-маршрутизатордолжен иметь возможность разбирать пакеты, вносить изменения и собирать их снова;Различают два способа трансляции адресов: Network Address Translation (NAT) – замена адреса источника на адресмаршрутизатора.

При этом порт остаётся неизменным. Static Address Translation (SAT) – замена адрес источника или приёмника нанекоторый адрес, при этом возможна одновременная замена порта.SAT подразделяется на два типа: Source SAT – трансляция внутреннего адреса источника (Inside local) взарегистрированный адрес источника (Inside global). Destination SAT – трансляция внешнего адреса назначения (Outside local)в адрес назначения (Outside global).Адресация NAT обычно функционирует на маршрутизаторе Cisco, соединяя двесети и транслируя частные локальные адреса внутренней сети в открытыезарегистрированные адреса внешней сети и обратно. Как показано на рисунке 1,внутреннему узлу требуется обменяться данными с внешним узлом (128.23.2.2).NAT выполняет преобразование локального адреса (10.0.0.2) в глобальный(179.9.8.80) и сохраняет это в своей NAT-таблице.

Аналогично внутренний адрес(10.0.0.3) преобразуется в глобальный (179.9.8.81).МГТУ им. БауманаКафедра ИУ-620112Сурков Л.В.Корпоративные сетиЛабораторный практикум «Технология Network Address Translation» Rev. 01Рис.1. Адресная таблица NATNAT принимает ответный пакет, направленный из внешней сети вовнутреннюю, просматривает свою адресную таблицу для нахождения преобразованияданного глобального адреса в локальный.

Такая статическая NAT-адресация взаимногооднозначного преобразования локальных и глобальных адресов (адрес - адрес) обычноиспользуется для внутренних IP-узлов, которые должны быть постоянно доступны извнешей сети (например, Internet), таких как сервер DNS или сервер электронной почты(e-mail server).Адресация NAT может быть сконфигурирована для представления толькоодного внешнего адреса для всей внутренней сети с помощью однозначногопреобразования номеров портов (много адресов – один адрес с назначенным портом).Эта функция адресации NAT называется PAT (Port Address Translation). Такой способэффективно скрывает внутреннюю структуру сети от внешней сети и повышаетуровень безопасности.Использование адресации NAT позволяет выполнить трансляцию рядавнутренних адресов, в то время как PAT может транслировать лишь один илинесколько внешних адресов. Как показано на рисунке 2, хосты 10.0.0.2 и 10.0.0.3посылают пакеты во внешнюю сеть, используя один IP-адрес 179.9.8.80 и разныепорты.Рисунок 2.

Таблица NAT/PATПоскольку номер порта записывается двумя байтами, общее количествовнутренних адресов, которые могут быть транслированы в один внешний адрес, прииспользовании PAT теоретически может достигать 65 536 для каждого IР-адреса. PATпытается сохранить первоначальный порт источника. Если порт источника ужеприсвоен, то адресация PAT пытается найти первый доступный номер порта вМГТУ им. БауманаКафедра ИУ-620113Сурков Л.В.Корпоративные сетиЛабораторный практикум «Технология Network Address Translation» Rev. 01соответствующей группе портов 0-511, 512-1023 или 1024-65535. Если всоответствующей группе нет доступных портов и конфигурируется более одного IPадреса, то PAT переходит к следующему IP-адресу и пытается вновь найтипервоначальный порт источника.

Это процесс продолжается до тех пор, пока PAT неисчерпает доступные порты и внешние IP-адреса.Cisco определила для NAT-адресации следующие термины. Внутренние локальные адреса (Inside local address) — IP-адреса, назначенныехосту во внутренней сети, соответствующие RFC 1918. Внутренние глобальные адреса (Inside global address) —зарегистрированные IPадреса, назначаемые провайдером службы или выделяемые из региональногорегистра Internet (Regional Internet Registries, RIR).

Они предоставляют одинили более внутренних локальных IР-адресов для связи с внешней сетевойсредой. Внешние локальные адреса (Outside local address) — IP-адреса внешних узлов,в том виде как они известны узлам внутренней сети. Внешние глобальные адреса (Outside global address) — IP-адрес, назначаемыйвладельцем узла, этому узлу для использования во внешней сети.Конфигурирование NAT и PATВ настоящем разделе рассматриваются следующие вопросы конфигурирования. Статическая трансляция; Динамическая трансляция; Перезагрузка NAT (PAT).Статическая трансляцияПод статической трансляцией понимается ручное конфигурирование адресов впросмотровой таблице. Для каждого внутреннего локального адреса при использованиистатической NAT требуется внутренний глобальный адрес.

Для того, чтобысконфигурировать статическую трансляцию внутреннего адреса, требуется выполнитьдействия, описанные ниже.1. Задать статическую трансляцию внутреннего локального адреса во внутреннийглобальный адрес.Router (config)#ip nat inside source static local-ip global-ip2. Задать внутренний интерфейс и указать его, как принадлежащий к внутренней сетиRouter (config)#interface type numberRouter (config-if)#ip nat inside3. Задать выходной интерфейс и указать его, как подсоединенный извнеRouter (config)#interface tуре numberRouter(config-if)#ip nat outsideМГТУ им.

БауманаКафедра ИУ-620114Сурков Л.В.Корпоративные сетиЛабораторный практикум «Технология Network Address Translation» Rev. 01Пример статической NAT-адресации:Рисунок 3. Статическая NAT-адресация:Динамическая трансляция адресовПри использовании динамической трансляции адресов преобразования адресов несуществуют в NAT-таблице до тех пор, пока маршрутизатор не получит данные, длякоторых такая трансляция требуется. Динамические преобразования адресов являютсявременными и в конечном итоге устаревают и удаляются. Для того, чтобысконфигурировать трансляцию внутренних адресов, следует выполнить действия,описанные ниже.1.

Задать пул глобальных адресов, которые будут использоваться по меренеобходимости.Router (config)#ip nat pool имя нач-ip конеч-ip {netmask маска | prefix-length длинапрефикса}2. Создать стандартный список доступа для идентификации тех адресов, которыенужно будет транслировать.Router (config)#access-list номер-списка permit источник [шаблон-источник]3. Сконфигурировать динамический NAT на основе адресов источникаRouter (config)#ip nat inside source list номер-списка-дост pool имя4.Указать внутренний интерфейсRouter (config)#interface type numberRouter (config-if)#ip nat inside5.

Указать внешний интерфейсRouter (config)#interface tуре numberМГТУ им. БауманаКафедра ИУ-620115Сурков Л.В.Корпоративные сетиЛабораторный практикум «Технология Network Address Translation» Rev. 01Router(config-if)#ip nat outsideСписок доступа должен определять только те адреса, которые следуеттранслировать. Следует помнить о том, что неявная команда deny all присутствует вкаждом списке доступа. Недостаточно строгий список доступа может привести кнепредсказуемым результатам. Рекомендуется не конфигурировать списки доступа, накоторые ссылаются команды NAT с permit any (т.е.

разрешить трансляцию для всех).Использование permit any может привести к тому, что NAT будет потреблять слишкоммного ресурсов маршрутизатора, что может вызвать проблемы в сети.Приведенные ниже команды конфигурируют соответствующие интерфейсы длявыполнения внутренних и внешних функций.Пример динамической NAT-адресации:Рисунок 4.. Динамическая NAT-адресация.В примере происходит трансляция всех адресов, проходящих через список доступа1 (имеющие адрес источника от 10.0.0.0/16) в адрес из пула с именем nat-pool. Этот пулсодержит адреса из диапазона от 179.9.8.80/28 до 179.9.8.95/28.Перезагрузка NATОдной из наиболее мощных функций NAT является способность использовать PAT.Это иногда называется NAT-адресацией "много-в-один" или перегрузкой адреса.

Прииспользовании перегрузки (overloading) сотни узлов с частными адресами могутполучать доступ к внешней сети (Internet), используя лишь один глобальный адрес.NAT-маршрутизатор отслеживает различные сеансы связи, устанавливая соответствиеTCP и UDP номеров портов в таблице трансляции.Для того, чтобы сконфигурировать перегрузку внутренних глобальных адресов,следует выполнить действия, описанные ниже.1. Определить стандартный список доступа, разрешающий те адреса, которые должнытранслирроватьсяМГТУ им. БауманаКафедра ИУ-620116Сурков Л.В.Корпоративные сетиЛабораторный практикум «Технология Network Address Translation» Rev.

01Router (config)#access-list номер-списка permit источник [шаблон-источник]2. Сконфигурировать динамический NAT на основе адресов источников, указатьсписок доступа, определенный на предыдущем этапе.Router (config)#ip nat inside source list номер-списка-дост interface интерфейсoverload3.

Задать набор глобальных адресов, которые будут использоваться для перезагрузки.Router (config)#ip nat pool имя ip-адрес {netmask маска | prefix-length длина-префикса}4. Задать трансляцию с перезагрузкой.Router (config)#ip nat inside source list номер-списка-дост pool имя overload5.Указать внутренний интерфейсRouter (config)#interface type numberRouter (config-if)#ip nat inside6. Указать внешний интерфейсRouter (config)#interface tуре numberRouter(config-if)#ip nat outsideПример перезагрузки NAT1. Перезагрузка на интерфейсе.2. Перезагрузка с использованием пула.Информация о трансляции.МГТУ им.