La traducción de direcciones de red es una técnica de redes informáticas que permite establecer y mantener conexiones de protocolo de Internet a través de puertas de enlace que implementan la traducción de direcciones de red (NAT).
Las técnicas de cruce de NAT son necesarias para muchas aplicaciones de red, como el intercambio de archivos entre pares y la voz sobre IP . [1]
La traducción de direcciones de red generalmente utiliza direcciones IP privadas en redes privadas con una única dirección IP pública para el enrutador que se conecta a Internet . El traductor de direcciones de red cambia la dirección de origen en los protocolos de red para las solicitudes salientes de la de un dispositivo interno a su dirección externa, de modo que los dispositivos internos puedan comunicarse con los hosts en la red externa, mientras retransmiten las respuestas al dispositivo de origen.
Esto hace que la red interna no sea adecuada para servicios de alojamiento, ya que el dispositivo NAT no tiene un método automático para determinar el host interno al que se destinan los paquetes entrantes de la red externa. Esto no es un problema para el acceso web general y el correo electrónico. Sin embargo, aplicaciones como el intercambio de archivos entre pares , los servicios de VoIP y las consolas de videojuegos requieren que los clientes también sean servidores. Las solicitudes entrantes no se pueden correlacionar fácilmente con el host interno adecuado. Además, muchos de estos tipos de servicios llevan información de dirección IP y número de puerto en los datos de la aplicación, lo que potencialmente requiere la sustitución con una inspección profunda de paquetes .
Las tecnologías de traducción de direcciones de red no están estandarizadas. Como resultado, los métodos utilizados para atravesar NAT suelen ser propietarios y estar mal documentados. Muchas técnicas de atravesar requieren la asistencia de servidores externos a la red enmascarada. Algunos métodos utilizan el servidor solo al establecer la conexión, mientras que otros se basan en la retransmisión de todos los datos a través de él, lo que aumenta los requisitos de ancho de banda y la latencia, lo que perjudica las comunicaciones de voz y video en tiempo real.
Las técnicas de cruce de NAT suelen eludir las políticas de seguridad de la empresa. Los expertos en seguridad empresarial prefieren técnicas que cooperen explícitamente con NAT y firewalls, lo que permite el cruce de NAT y al mismo tiempo permite la ordenación en NAT para aplicar las políticas de seguridad de la empresa. Los estándares IETF basados en este modelo de seguridad son Realm-Specific IP (RSIP) y middlebox communications (MIDCOM).
Se han desarrollado varias técnicas de cruce de NAT:
La reciente proliferación de NAT simétricos ha reducido las tasas de éxito de cruce de NAT en muchas situaciones prácticas, como para conexiones WiFi públicas y móviles. Las técnicas de perforación de agujeros, como STUN e ICE, fallan al atravesar NAT simétricos sin la ayuda de un servidor de retransmisión, como se practica en TURN . Las técnicas que atraviesan NAT simétricos al intentar predecir el próximo puerto que abrirá cada dispositivo NAT fueron descubiertas en 2003 por Yutaka Takeda en el Laboratorio de Investigación de Comunicaciones de Panasonic [4] y en 2008 por investigadores de la Universidad de Waseda. [5] Las técnicas de predicción de puertos solo son efectivas con dispositivos NAT que usan algoritmos deterministas conocidos para la selección de puertos. Este esquema de asignación de puertos predecible pero no estático es poco común en NAT de gran escala como los que se usan en redes 4G LTE y, por lo tanto, la predicción de puertos es en gran medida ineficaz en esas redes de banda ancha móvil.
Los clientes de redes privadas virtuales IPsec utilizan la travesía de NAT para que los paquetes de carga de seguridad encapsulante puedan atravesar NAT. IPsec utiliza varios protocolos en su funcionamiento que deben estar habilitados para atravesar firewalls y traductores de direcciones de red:
Muchos enrutadores proporcionan funciones explícitas, a menudo llamadas IPsec Passthrough. [ cita requerida ]
En Windows XP, la travesía NAT está habilitada de manera predeterminada, pero en Windows XP con Service Pack 2 se ha deshabilitado de manera predeterminada para el caso en que el servidor VPN también esté detrás de un dispositivo NAT, debido a un problema de seguridad poco común y controvertido. [6] Los parches IPsec NAT-T también están disponibles para Windows 2000, Windows NT y Windows 98. [ cita requerida ]
La travesía de NAT y el protocolo IPsec se pueden utilizar para permitir el cifrado oportunista del tráfico entre sistemas. La travesía de NAT permite que los sistemas detrás de NAT soliciten y establezcan conexiones seguras a pedido.
La travesía de NAT alojada (HNT) es un conjunto de mecanismos, que incluye retransmisión de medios y bloqueo, que los proveedores de comunicaciones utilizan ampliamente por razones históricas y prácticas. [7] La IETF desaconseja el uso de bloqueo en Internet y recomienda ICE por razones de seguridad. [8]
{{cite journal}}
: Requiere citar revista |journal=
( ayuda )