Lectures for 2008 - KTH
Lectures for 2008 - KTH
Lectures for 2008 - KTH
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS<br />
___________________________________________________________________________<br />
ursprungsadress, ursprungsport, översatt adress, översatt port samt viss metadata såsom<br />
tidsstämplar. När svar ankommer den översatta port och IP-adressen möjliggör NAT-regeln<br />
översättning och vidaretransport av paketet till frågans ursprungsavsändare.<br />
Det finns olika översättningsstrategier för NAT. En metod är en många-till-mångaöversättning<br />
där varje privat adress på insidan översätts till motsvarande, fast unik, publik<br />
adress på utsidan. En annan metod många-till-en-översättning där privata adresser på insidan<br />
översätts till en enda publik adress, andressöversättarens egen adress, på utsidan. Se även<br />
portöversättning nedan.<br />
Figur 16 Adressöversättare som gömmer intern RFC 1918-nät och utåt nyttjar officiell<br />
adress<br />
Många applikationer och applikationsprotokoll fungerar inte med NAT. Applikationer som<br />
anropar dynamiskt tilldelade portnummer på adressöversättarens insidesnät fungerar inte.<br />
Protokoll som i datadelen skickar med en kopia på domännamn, IP-adresser, portnummer<br />
eller snarlik in<strong>for</strong>mation får problem. Det vanligaste exemplet på en applikation som har<br />
problem med NAT av denna anledning är filöverföringsprotokollet FTP, som skickar med IPadress<br />
och portnummer vid start av filöverföring. Ett annat problem med NAT är protokoll<br />
som nyttjar kryptering, tunnlar eller kombinationen krypterade tunnlar. Det vanligaste<br />
exemplet är problemet med IPSec i transportmod. Några andra exempel är:<br />
• IKE/ISAKMP kräver att avsändaradressen är satt till 500, så att adressöversätta påverkar<br />
avsändaradressen.<br />
• Berkley r-tjänster (rsh, rlogin och rcp) kräver en avsändaradress < 1024. Översatta NATportar<br />
brukar nästan alltid bli > 1024.<br />
• Applikationer som anropar dynamiskt tilldelade portnummer på adressöversättarens<br />
insidesnät fungerar inte.<br />
Avancerade brandväggars NAT-funktion brukar även ha specialstöd för standardprokoll,<br />
såsom FTP, så att dessa fungerar tillsammans med adressöversättningen. Egenutvecklade eller<br />
mindre spridda applikationer kan dock ha problem och måste stödjas via en egenutvecklad<br />
proxylösning.<br />
Adressöversättning är i sig inte någon garanti för att man har ett skydd på nätverksnivå. I<br />
princip kan adressöversättning tillåta envägs- eller tvåvägsöversättning av nya uppkopplingar.<br />
I en tvåvägs, dubbelriktad, adressöversättning sker översättning både för uppkopplingar i alla<br />
trafikriktningar, vilket gör att system som anslutits bakom adressöversättaren kan bli<br />
åtkomliga. När man installerar en utrustning som använder sig av adressöversättning som ett<br />
Copyright (c) 2003-<strong>2008</strong> Robert Malmgren AB. All rights reserved Sid 70 (139)