Network Address Translation

Network Address Translation Wat is N.A.T. ? ~ Routing : OSI : level 3 (+ 4 : ports) RFC 1631 & 3022 Network Address Translation

Network Address Translation Hoe werkt het ? inside host address : 10.6.1.20 NAT router translates address 10.6.1.20 => 171.69.68.10 (+ entry in nat table) Routes packets to outside host Outside host replies to translated address 171.69.68.10 NAT router translates (from NAT Table) : 171.69.68.10 => 10.6.1.20 Routes reply packets to internal host. Network Address Translation

Network Address Translation Verschillende vormen DYNAMIC NAT adres wordt gekozen uit ‘pool’ STATIC NAT Vertaling 1 adress => 1 ander adres Waarom private adressen ‘illegale’ addressen IPv4 => IPv6 IPX => IP … OVERLOADING NAPT : RFC 3022 Meerdere adressen => 1 adres Onderscheid dmv port numbers Network Address Translation

Network Address Translation NAT Overloading AKA Network Address Port Translation Port Address Translation Hier speelt OSI laag 4 mee. Network Address Translation

Network Address Translation Port Forwarding = toepassing van Network Address and Port Translation = interne host:service toegankelijk maken van buiten = map extern adress:portnr => intern adres:portnr. Network Address Translation

Network Address Translation Voor – en Nadelen Gebruik van private addressen Goedkoop Beperkt aantal publieke adressen (2^32) Ook toepasbaar op non-IP adressen Vb. IPX adressen => IP adressen Soms complexere implementaties noodzakelijk Bepaalde protocols / toepassingen geven adresinformatie mee als data (vb FTP, PPTP,…) Probleem met geëncrypteerde data Load balancing : distributie van inkomende packets over meerdere identieke machines. Stateless protocolls eg HTTP Network Address Translation

Voor – en Nadelen (vervolg) Afhankelijk van toepassing Goedkope elementaire firewall functionaliteit Meerdere hosts op internet via 1 account Adressering in intern LAN kan gewijzigd worden zonder konsequenties voor verkeer met externe hosts Load balancing : distributie van inkomende packets over meerdere identieke machines (mirrors / clones) Redundante internetverbinding : transparant gebruik van meerdere ISP Load balancing : distributie van inkomende packets over meerdere identieke machines. Stateless protocolls eg HTTP Network Address Translation

NAT voor delen van Internetverbinding Transparant, dus geen aanpassingen aan configuratie applications hebben geen weet van nivo 3 en 4, er zijn dus geen aanpassingen van de configuratie nodig. In tegenstelling tot bijv Proxy etc. Network Address Translation

NAT voor delen van Internetverbinding Goedkoop (1 account) Veilig Eenvoudig te implementeren Eenvoudig in onderhoud en gebruik Transparant Niet of nauwelijks te detecteren door ISP Nadelen 1 account Beperkte bandbreedte Beperkt volume Sommige toepassingen geven problemen (adressen/port nrs in payload) Niet toegelaten door de meeste ISP Transparant, dus geen aanpassingen aan configuratie applications hebben geen weet van nivo 3 en 4, er zijn dus geen aanpassingen van de configuratie nodig. In tegenstelling tot bijv Proxy etc. Network Address Translation

NAT als elementaire firewall Voordelen Snel en gemakkelijk op te zetten Heel veilig bij gebruik van private addressen Interne addressen zijn onbekend buiten het LAN Nadelen Alleen voor inkomende verbindingen te combineren met packet filtering, proxies, DMZ, enz … Network Address Translation

Network Address Translation Producten Software NAT routers Freesco ( ~ Linux on a floppy) Linux IP Masquerading WinRoute (Tiny Software) Windows : Internet Connection Sharing Win 2000 Server : NAT ( => Networking Services) Hardware NAT routers vb. Cisco : # ip nat … Network Address Translation

Network Address Translation Producten (vervolg) NAT Software dikwijls gecombineerd met DNS server of DNS caching, forwarding DHCP server of DHCP Relay Server Als onderdeel van een firewall Vb. winroute Network Address Translation

Network Address Translation NAT in Windows 2000 Server Routing and Remote Access service snap-in IP routing Right-click General : “New Routing Protocol” Select “Network Address Translation (NAT)” click OK Network Address Translation

NAT configureren (win2000) Interfaces configureren :. Right-click “Network Address Translation (NAT)” Choose “New Interface” Select the external interface and then click OK Specify this interface as the public interface and enable “Translate TCP/UDP Headers (recommended)” Repeat the process for the internal interface and specify this as the private interface Network Address Translation

Network Address Translation Conclusies Vrij eenvoudig te implementeren techniek, weinig onderhoud Goedkope oplossingen beschikbaar Open source oplossingen, … Diverse nuttige toepassingen Low budget internetverbinding, firewall Netwerkbeheer, servers (port mapping), … Meestal toe te passen in combinatie met andere technieken Als onderdeel van een firewall Bij beheer van serverpark, load balancing, redundante ISP, … Network Address Translation