Иллюстрированный самоучитель по Development of safety

       

Преобразование сетевых адресов


Другой способ скрыть конфигурацию внутренней сети заключается в использовании одних адресов для внутренних систем и преобразовании их при связи с Internet или другими внешними сетями. Такой механизм называется преобразованием сетевых адресов (NAT— Network Address Translation). Основная функция NAT заключается в использовании особого алгоритма формирования адресов при работе во внутренней сети организации, которые перед посылкой их в Internet должны быть преобразованы в другие адреса.

Почему необходимо преобразование сетевых адресов

Когда в начале 90 годов началось повсеместное использование Internet, стало очевидным, что такой бурный рост числа пользователей приведет к нехватке адресов доступа. Пытаясь замедлить этот процесс, рабочая группа инженеров Internet (IETF - Internet Engineering Task Force) опубликовала RFC 1631, Преобразователь сетевых адресов протокола IP (NAT- The IP Network Address Translator). В этом документе объяснялось, как создавать сеть, в которой используется отдельный список адресов для незарегистрированных систем, которые могут быть преобразованы в зарегистрированные или "реальные" адреса, маршрутизированные в Internet. После аннонсирования этого RFC профессионалы безопасности стали призывать использовать NАТ, чтобы прятать сетевую конфигурацию и масштаб работ организации, не изменяя открытой информации об организации или открытых сведений о ее инфраструктуре.

Один из распространенных способов использования NAT заключается в назначении сетевых адресов для систем организации, не пользующихся Internet, из отдельного блока, установленного для скрытых сетей, которые будут преобразовываться в легальные адреса. Адресами скрытых сетей являются:

  • 10.0.0.0-10.255.255.255. Отдельный блок адресов класса А.
  • 172.16.0.0-172.31.255.255. 16 смежных блоков адресов класса В.
  • 192.168.0.0-192.168.255.255. 255 смежных блоков адресов класса С.
  • При использовании NАТ пользователь получает стандартный доступ в Internet, но адрес скрытой сети перед передачей должен быть преобразован системой, которая обеспечивает подключение и модификацию адреса перед отправкой (рис. 5.3).


    Устройства системы NАТ не являются посредником в сеансах. Однако представлять NАТ в качестве промежуточного звена довольно удобно.



    Рис. 5.3. Преобразование адресов с помощью NАТ

    Не в каждой организации есть смысл применять NAT. Одна из проблем заключается в том, что если сеть разрастается, то может оказаться недостаточно легальных адресов для доступа в Internet. Администраторы сети должны провести тщательный анализ и решить, нужно ли использовать NAT. Но в том случае, если NAT будет использоваться, необходимо составить формулировку для документа политики в наиболее обобщенном виде, чтобы обеспечить архитекторам и администраторам сети максимальную свободу выбора. Формулировка может выглядеть следующим образом.

    Адреса внутренней сети организации должны оставаться скрытыми. Когда системы запрашивают доступ к другим сетям, скрытые адреса перед передачей должны быть преобразованы в легальные зарегистрированные адреса.


    Содержание раздела