NAT

Na década de 90 do século XX, assistiu-se ao crescimento exponencial do número de dispositivos ligados à Internet, muitos deles através de redes locais de instituições de média e grande dimensão. Tal crescimento ameaçou esgotar rapidamente o espaço de endereçamento IPv4, uma vez que os 32 bits usados nos campos de endereçamento revelavam-se inesperadamente insuficientes.

Esta escassez de endereços IP levou ao desenvolvimento de duas soluções. Uma consistiu no desenvolvimento de uma nova versão do protocolo IP (IPv6 ou IP versão 6), que entre outras características, possui campos de endereçamento com 128 bits. Este protocolo resolve eficazmente o problema, mas, infelizmente, a migração do IPv4 para IPv6 tem de ser progressiva, uma vez que é necessário mudar a configuração de milhões de dispositivos e muitos deles ainda nem suportam a versão 6 do protocolo IP. Se quiser saber mais sobre este novo protocolo Internet, leia este artigo.

A outra solução para este problema é a tradução de endereços de rede ou NAT (Network Address Translation). Esta tecnologia consiste fundamentalmente na utilização de endereços privados nas redes internas e na sua tradução para endereços IP públicos quando é necessária a conectividade com a Internet. Desta forma, os dispositivos das redes internas não necessitam de gastar preciosos endereços IP públicos.

Os endereços privados são definidos pelo RFC 1918 e consistem nas seguintes gamas:

10.0.0.0 /8 (10.0.0.0 a 10.255.255.255);
172.16.0.0 /12 (172.16.0.0 a 172.31.255.255);
192.168.0.0 /16 (192.168.0.0 a 192.168.255.255);

Estes endereços não são utilizados na Internet, pelo que a sua atribuição não é regulada e qualquer entidade pode usá-los livremente nas suas redes internas. Obviamente, a localização destes endereços não é conhecida na Internet, até porque existem inúmeras redes internas a usar os mesmos endereços. Assim, para manter a conectividade à Internet, cada rede necessita de, pelo menos, um endereço IP público, que seja único na Internet e conhecido por todos os routers da Internet.

NAT (Network Address Translation) - Tradução de endereços

A tradução de endereços baseia-se em tabelas de tradução que associam endereços privados da rede interna a endereços públicos. Estas tabelas podem ser preenchidas de forma estática ou dinâmica.

(imagem)

Quando um pacote IP originado na rede interna é enviado para a Internet, o endereço de origem desse pacote é substituído pelo endereço público respetivo, de acordo com a tabela de tradução. Quando as respostas da Internet relacionadas com este pacote chegam, o endereço de destino é substituído pelo endereço privado. A imagem acima ilustra esse procedimento.

A redução do número de endereços IP públicos necessários depende, acima de tudo, da expectativa relativamente ao número total de computadores com acesso simultâneo à Internet. De facto, como cada endereço IP público só pode ser usado por um único computador da rede interna num determinado período de tempo, o número de dispositivos da rede interna que pode usar a Internet em simultâneo está limitado ao número de endereços públicos disponíveis.

Tipos de NAT:

Estático
Dinâmico
PAT

Tradução de portas (PAT):

Na tecnologia NAT, a posse exclusiva do endereço IP pode ser problemática em redes com um elevado número de acessos concorrenciais. Este problema foi resolvido com o desenvolvimento da tecnologia de tradução de portas ou PAT, que faz a tradução ao nível das ligações lógicas TCP e UDP. Basicamente, cada endereço IP público é partilhado e as várias portas UDP e TCP disponíveis são distribuídas pelos vários dispositivos internos à medida que vão sendo necessárias para novas sessões.

Por cada nova sessão, é usada apenas uma porta de um dos endereços IP públicos, o que significa que um único endereço IP público pode permitir milhares de sessões em simultâneo, servindo múltiplos dispositivos. A tecnologia PAT é tão eficaz, que, na maior parte dos casos, basta um único endereço IP público para ligar à Internet uma rede empresarial de média dimensão.

A próxima imagem mostra um exemplo da tecnologia PAT. Como se pode observar, a tabela de tradução guarda não apenas os endereços IP, mas também as portas abertas em cada sessão.

Neste exemplo, o endereço IP privado e a porta de origem são trocados pelo endereço IP público e uma nova porta de origem que esteja disponível. Quando chega a resposta, é feita a troca inversa. A mudança da porta de origem não influencia em nada a comunicação, porque a porta de origem do lado dos clientes, ao contrário da porta de destino, não possui nenhuma associação ao serviço que é pretendido, sendo apenas um número que serve para identificar uma sessão lógica no computador cliente.


Redirecionamento de pacotes (Port Forwarding)

Por vezes, é útil desviar determinados pacotes para servidores específicos. Por exemplo, quando se pretende implementar um sistema de proxy interceptor, uma das soluções é redirecionar todo o tráfego para um servidor proxy local. Neste caso, os computadores clientes não precisam de nenhuma configuração de proxy e nem sequer se apercebem da presença desse servidor.

Normalmente, o redirecionamento de pacotes é feito no mesmo dispositivo que implementa o NAT.

O NAT/PAT como factor de segurança

As tecnologias NAT/PAT foram desenvolvidas para reduzir as necessidades de endereços IP públicos. A sua utilização é bastante comum e quase todas as ligações à Internet recorrem a estas técnicas, inclusivamente os routers domésticos de acesso à Internet.

Curiosamente, a utilização de NAT/PAT apresenta efeitos secundários benéficos para a segurança das redes internas. Por um lado, é impossível estabelecer ligações da Internet para os computadores da rede interna, a menos que tal seja configurado explicitamente no router. Por outro lado, mesmo que sejam permitidas algumas ligações para a rede interna, o NAT/PAT dificulta bastante as operações de reconhecimento. De facto, a partir da Internet, os dispositivos apenas "vêem" os endereços IP públicos: os endereços IP e as portas internas nunca são visíveis. Desta forma, é muito difícil obter informações sobre o endereçamento e topologias de rede internas, o que melhora significativamente a segurança dos dispositivos internos relativamente a ataques do exterior. A rede social Facebook utiliza esta técnica.