Network Address Translator Scopi e Problematiche

1
Network Address TranslatorScopi e Problematiche

• Corso diInfrastrutture e servizi per reti
  geografiche - 01GQB
• di Vincenzo Buttazzo e Marco Vallini
• NAT - Terminology and Considerations rfc
  2663Traditional NAT rfc 3022NAT - Protocol
  Translation rfc 2766Architectural Implications
  of NAT rfc 2993

2
Network Address TranslatorScopi e Problematiche

• NAT - Terminology and Considerations rfc 2663
• Introduzione
• Cosè il NAT
• Tipologie di NAT
• Problematiche operazionali
• Limitazioni
• Realm Specific IP e Realm Specific Address IP

3
Network Address TranslatorScopi e Problematiche

• Introduzione
• Il NAT è nato per
• Far comunicare contemporaneamente più host con la
  rete pubblica, utilizzando un ristretto numero di
  indirizzi IP
• Risolve il classico problema delle aziende che
  non possono disporre di un notevole numero di
  indirizzi pubblici.
• Tenendo conto che
• Il processo deve essere trasparente
• Garantire una certa sicurezza agli host della
  rete privata

4
Network Address TranslatorScopi e Problematiche

• Cosè il NAT
• NAT è lacronimo di Network Address Translation e
  permette di
• Associare un insieme di indirizzi privati con uno
  o più indirizzi pubblici
• Eseguire il routing (instradamento) in modo
  trasparente attraverso la traduzione degli
  indirizzi
• Rendere pubblica la rete globale allinterno di
  quella privata ma non viceversa (può assicurare
  un primitivo livello di sicurezza)

5
Network Address TranslatorScopi e Problematiche

• Tipologie di NAT (1)
• A seconda delle applicazioni, è possibile
  adottare quattro tipologie differenti
• Traditional NAT o Outbound NAT (il più diffuso,
  comprende Basic NAT e NAPT)
• Bi-directional NAT o Two-Way NAT
• Twice NAT
• Multihomed NAT

6
Network Address TranslatorScopi e Problematiche

• Tipologie di NAT Traditional NAT (2)
• Caratteristiche
• Sessioni unidirezionali inizializzate dalla rete
  interna verso quella esterna
• Gli indirizzi della rete esterna sono pubblicati
  allinterno ma non viceversa
• Esistono due variazioni
• Basic NAT un insieme di indirizzi pubblici sono
  associati uno ad uno a quelli degli host privati
• NAPT un insieme di indirizzi privati sono
  associati ad un indirizzo pubblico fruttando il
  meccanismo delle porte

7
Network Address TranslatorScopi e Problematiche

• Tipologie di NAT Bi-directional NAT (3)
• Caratteristiche
• Le sessioni possono essere inizializzate sia
  dallinterno verso lesterno che viceversa
• Gli indirizzi possono essere associati in modo
  statico e dinamico per consentire laccesso
  dallesterno
• Utilizzando anche servizi DNS
• Introducendo applicazioni DNS-ALG

8
Network Address TranslatorScopi e Problematiche

• Tipologie di NAT Twice NAT (4)
• Variazione del NAT
• Caratteristiche
• Sia lindirizzo sorgente che quello di
  destinazione sono modificati
• Necessario per risolvere problemi di
  sovrapposizione di indirizzi
• ovvero
• Utilizzo sulla rete privata di indirizzi pubblici
  assegnati ad unaltra organizzazione

9
Network Address TranslatorScopi e Problematiche

• Tipologie di NAT Multihomed NAT (5)
• Scopo
• Introdurre un sistema di ridondanza dei NAT
• Problematiche
• Mantenere aggiornate ed allineate le informazioni
  di stato nei diversi dispositivi
• Rendere il passaggio da un dispositivo allaltro
  automatico e trasparente per lutente
• Soluzione
• Condividere la stessa configurazione tra più
  device differenti

10
Network Address TranslatorScopi e Problematiche

• Problematiche operazionali (1)
• 1. Traduzione dei payload
• Il NAT non procede alla traduzione del payload
  dei pacchetti, quindi se contengono indirizzi IP
  ? necessario gestire la problematica
• 2. Sicurezza end-to-end
• Il NAT non permette lintegrità di controllo del
  protocollo IPsec
• 3. Applicazioni specifiche FTP, SNMP, DNS
• Il servizio FTP utilizza i comandi per stabilire
  le porte e gli indirizzi allinterno del control
  session payload

11
Network Address TranslatorScopi e Problematiche

• Problematiche operazionali (2)
• Nei casi delle applicazioni DNS, SNMP, FTP,
  esiste una soluzione al problema della traduzione
  degli indirizzi e di alcuni parametri contenuti
  nel payload
• Application Level Gateway (ALG) applicazioni che
  integrano il NAT, modificando i payload
  attraverso lutilizzo delle informazioni presenti
  sul NAT.

12
Network Address TranslatorScopi e Problematiche

• Limitazioni (1)
• Applicazioni con controllo interno delle sessioni
• Debugging e gestione dellindirizzamento
• Considerazioni sulla sicurezza

13
Network Address TranslatorScopi e Problematiche

• Limitazioni (2)
• Applicazioni con controllo interno delle sessioni
• I dispositivi NAT operano con lassunzione che
  ogni sessione sia indipendente.
• Per le applicazioni che utilizzano uno o più
  controlli di sessione, es. H.323
• ? Si deve utilizzare un ALG

14
Network Address TranslatorScopi e Problematiche

• Limitazioni (3)
• Debugging e gestione dellindirizzamento
• Con il NAT, lo stesso indirizzo pubblico può
  essere associato in tempi diversi ad indirizzi
  privati diversi
• Risultato
• Ogni studio basato sullindirizzo globale e sulle
  porte non può essere efficace!
• Un host della rete privata che abusa di un
  servizio della rete pubblica non può essere
  identificato allinterno della rete locale!

15
Network Address TranslatorScopi e Problematiche

• Limitazioni (4)
• Considerazioni sulla sicurezza
• Alcuni warning sulla sicurezza
• Le sessioni UDP non sono sicure la risposta ad
  un datagramma può provenire da un indirizzo
  diverso da quello target
• Le sessioni multicast basate su UDP non sono
  sicure
• I dispositivi NAT possono essere obiettivi degli
  attacchi di tipo SYN flood o ping flood (attacchi
  tipo DoS) ? introdurre meccanismi di protezione
  tipo sever Internet-based

16
Network Address TranslatorScopi e Problematiche

• Limitazioni (5)
• Considerazioni sulla sicurezza
• Soluzioni
• Integrare i dispositivi NAT con i firewall
• Se esistono dispositivi ALG, questi devono
  trovarsi allinterno dello stesso dominio di
  sicurezza
• Un ALG intercetta il traffico in transito per
  lhost
• Può modificare il contenuto dei payload

Può essere sfruttato per raggiungere informazioni
sensibili
17
Network Address TranslatorScopi e Problematiche

• Realm Specific IP (RSIP) (1)
• Protocollo che rappresenta unalternativa al NAT
• Cosè
• Protocollo che permette di schermare gli
  indirizzi di rete privata utilizzano un solo
  indirizzo pubblico, senza le limitazioni del NAT
• Vantaggi rispetto al NAT
• Preserva lintegrità dei pacchetti end-to-end
• Rende possibile lintroduzione di meccanismi di
  sicurezza come IPsec
• Utilizzo di applicazioni di tipo streaming
  media, per esempio videoconferenze, telefonate

18
Network Address TranslatorScopi e Problematiche

• Realm Specific IP (RSIP) (2)
• Protocollo che rappresenta unalternativa al NAT
• Perché sostituire il NAT con RSIP
• Lo stretto legame con lo schema di indirizzamento
  del NAT introduce una compatibilità verso il
  basso
• Adatto al networking basato sulle policy
  (politiche per gestire ed assegnare le risorse di
  una rete)

19
Network Address TranslatorScopi e Problematiche

• Realm Specific IP (RSIP) (3)
• Protocollo che rappresenta unalternativa al NAT
• Struttura e componenti di RSIP
• la struttura è di tipo challenge-response
  (sollecito-risposta)
• Due componenti
• RSIP Client richiede un indirizzo al server
• RSIP Server fornisce un indirizzo, porte, lease
  time (periodo di affitto dellindirizzo), tipo di
  tunnel

20
Network Address TranslatorScopi e Problematiche
21
Network Address TranslatorScopi e Problematiche

• Realm Specific IP (RSIP) (4)
• Protocollo che rappresenta unalternativa al NAT
• Esistono due varianti al RSIP
• Realm Specific Address IP (RSA-IP) utilizza un
  indirizzo pubblico per ogni host che si vuole
  collegare allesterno
• Realm Specific Address and Port IP (RSAP-IP)
  utilizza un indirizzo pubblico per tutti gli host
  che si vogliono collegare allesterno. (simile al
  NAPT, meccanismo delle porte)

22
Network Address TranslatorScopi e Problematiche

• Traditional NAT rfc 3022
• Caratteristiche del Basic NAT
• Caratteristiche del NAPT
• Fasi di traduzione di una sessione
• Elementi traducibili di un pacchetto
• Problematiche
• Limitazioni

23
Network Address TranslatorScopi e Problematiche

• Traditional NAT
• Lambito di utilizzo è quello di un ambiente SOHO
  (Small Office Home Office)

24
Network Address TranslatorScopi e Problematiche

• Caratteristiche del Basic NAT
• Nel Basic NAT, gli indirizzi privati degli host
  sono associati uno ad uno agli indirizzi pubblici
  disponibili, assegnati dallautorità competente
  (es. IANA)
• Se il numero degli host della rete locale che si
  voglio connettere alla rete esterna è minore o
  uguale al numero degli indirizzi pubblici in
  possesso dellorganizzazione
• ? tutti i nodi possono comunicare
  simultaneamente
• Altrimenti
• Solo alcuni nodi possono comunicare
  simultaneamente
• oppure
• Si adotta lo switch-over tecnica che permette di
  passare dalla configurazione Basic NAT a quella
  di NAPT

25
Network Address TranslatorScopi e Problematiche

• Caratteristiche del NAPT
• (Network Address Port Translation)
• Consente di
• Condividere un unico indirizzo pubblico tra più
  host privati
• Multiplando più sessioni
• Sfruttando le diverse porte associate ad ogni
  sessione
• Più precisamente

HOST
NAPT ROUTER
Esiste una corrispondenza
(Local IP Address, local TCP/UDP Port Number)
(Registered IP Address, Assigned TCP/UDP Port
Number)
26
Network Address TranslatorScopi e Problematiche

• Fasi di traduzione per la sessione
• La traduzione di una sessione si articola in tre
  fasi
• Associazione dellindirizzo
• Basic NAT lindirizzo privato è associato ad un
  indirizzo pubblico
• NAPT gli indirizzi privati sono associati ad un
  unico indirizzo pubblico sfruttando il meccanismo
  delle porte
• Address lookup e traduzione si procede ad
  individuare la sessione del pacchetto e si
  procede alla traduzione degli indirizzi
• Rilascio dellindirizzo associato quando
  lultima sessione termina, viene rilasciata
  lassociazione

27
Network Address TranslatorScopi e Problematiche

• Elementi traducibili di un pacchetto
• Gli elementi traducibili sono
• Manipolazione degli header IP, TCP, UDP e ICMP
• Adattamento dei checksum
• Modifica dei pacchetti di errore ICMP
• Supporto per FTP
• Supporto per DNS

28
Network Address TranslatorScopi e Problematiche

• Manipolazione degli header IP, TCP, UDP e ICMP
• IP
• Basic NAT si modificano gli indirizzi
• NAPT si modificano gli indirizzi
• TCP/UDP
• Basic NAT aggiornamento del checksum nellheader
• NAPT estendere le modifiche alle porte
• ICMP
• Basic NAT nessuna modifica, gli header non
  contengono indirizzi IP
• NAPT è necessario correggere gli header ed i
  relativi checksum

29
Network Address TranslatorScopi e Problematiche

• Adattamento dei checksum
• Le modifiche riguardano il singolo pacchetto ?
  operazioni intensive
• Quindi
• Si deve utilizzare un algoritmo efficiente
• Modifica dei pacchetti di errore ICMP
• Sono necessarie tre modifiche
• Indirizzo IP contenuto dellIP header incapsulato
  nel payload
• Checksum dellheader IP
• Checksum del messaggio ICMP

30
Network Address TranslatorScopi e Problematiche

• Supporto per FTP
• E necessario utilizzare un ALG per
• Controllare payload
• Intercettare parametri
• Correggere le sequenze e gli acknowledge dei
  pacchetti TCP, utilizzando una tabella specifica
• Supporto per DNS
• Anche in questo caso è necessario lutilizzo di
  un ALG

31
Network Address TranslatorScopi e Problematiche

• Problematiche del Traditional NAT
• Suddivisione tra indirizzi locali e globali
  lindirizzo deve essere esclusivamente privato o
  pubblico
• Raccomandazioni sullo spazio di indirizzamento
  privato esistono tre tipologie di indirizzi
  utilizzabili allinterno di una rete privata,
  10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
• Swicth-over tra Basic NAT e NAPT il passaggio
  improvviso dalla configurazione Basic NAT a NAPT
  da parte di unapplicazione può provocare
  problemi ? Deve essere gestito in modo trasparente

32
Network Address TranslatorScopi e Problematiche

• Limitazioni
• Privacy e sicurezza rende difficile
  lindividuazione di un particolare host e quindi
  del debugging
• Risposte ARP e NAT problematiche se un router
  con NAT abilitato è connesso direttamente ad una
  LAN. Infatti, potrebbe non fornire risposte ARP
  per gli host della sua sottorete ? gli host della
  sottorete diventano irraggiungibili
• Traduzione dei pacchetti TCP/UDP frammentati in
  NAPT la traduzione può fallire perché solo il
  primo frammento contiene intestazioni TCP/UDP
  necessarie per associare il pacchetto alla
  sessione.

33
Network Address TranslatorScopi e Problematiche

• Implementazioni
• Sono disponibili molte implementazioni, sia
  commerciali che con licenza GNU.

34
Network Address TranslatorScopi e Problematiche

• Corso diInfrastrutture e servizi per reti
  geografiche - 01GQB
• di Vincenzo Buttazzo e Marco Vallini
• NAT - Terminology and ConsiderationsTraditional
  NATNAT - Protocol TranslationArchitectural
  Implications of NAT

35
Network Address TranslatorScopi e Problematiche

• Architectural Implications of NAT
• Introduzione
• Il modello End2End
• Vantaggi derivanti dall'uso dei NAT
• Problemi con i NAT
• Scenari
• Considerazioni sulla sicurezza

36
Network Address TranslatorScopi e Problematiche

• I redattori della prima raccomandazione sui NAT
  scrissero
• I NAT possiedono alcune caratteristiche negative
  che li rendono inappropriati per soluzioni a
  lungo termine e potrebbero renderli inappropriati
  anche per soluzioni a breve termine.
• Malgrado questo hanno avuto una grande diffusione
  in Internet

37
Network Address TranslatorScopi e Problematiche

• Ci sono due correnti di pensiero
• I NAT sono utili e bisogna continuare ad usarli.
  Hanno dimostrato la trasparenza per le
  applicazioni principali di Internet (Web, eMail)
• Non sono una soluzione definitiva perché non
  perfettamente trasparenti. Sono un artificio
  senza un futuro solido

38
Network Address TranslatorScopi e Problematiche

• Probabilmente la realtà si pone a metà strada
• In ogni caso il problema sarà risolto con
  l'introduzione di Ipv6
• E' certo che contrastano con alcuni principi di
  Internet

39
Network Address TranslatorScopi e Problematiche

• Il modello End-to-End
• Le proprietà fondamentali di questo modello sono
• Fate-sharing
• Rete senza stato
• Intelligenza periferica

40
Network Address TranslatorScopi e Problematiche

• Fate-sharing
• Ovvero la condivisione del destino
• Lo stato di una comunicazione è determinato solo
  dai due punti estremi
• La comunicazione si interrompe solo se si
  guasta uno di questi due punti

41
Network Address TranslatorScopi e Problematiche

• Rete senza stato
• La comunicazione non richiede la memorizzazione
  di informazioni di stato all'interno della rete
• In caso di guasto di un nodo della rete le
  informazioni di stato ivi contenute dovrebbero
  essere spostate su un'altro nodo, cosa di
  difficilmente realizzabile in modo efficiente

42
Network Address TranslatorScopi e Problematiche

• Intelligenza periferica
• Tutte le informazioni sulla comunicazione sono
  contenute negli estremi
• In caso contrario i nodi centrali dovrebbero
  gestire un numero elevato di comunicazioni
• Se la rete cresce, i nodi centrali finiscono per
  essere sottodimensionati rispetto al lavoro che
  devono fare

43
Network Address TranslatorScopi e Problematiche

• I NAT infrangono i principi End-to-End di
  Internet
• Diminuisce la flessibilità della rete
• Alcune applicazioni non possono essere usate
  (IPsec, DNSsec, altre che richiedono un indirizzo
  globale...)

44
Network Address TranslatorScopi e Problematiche

• I vantaggi dei NAT
• Maschera i cambi di ISP o i cambi degli indirizzi
  dell'ISP
• Sono utili per assegnare indirizzi globali a
  utenti ad accesso intermittente
• Facile installazione grazie all'interfaccia nota

45
Network Address TranslatorScopi e Problematiche

• I vantaggi dei NAT
• Si evitano reti locali con indirizzi globali a
  lunghezza variabile
• Applicazioni che non richiedono l'integrità del
  pacchetto IP non hanno bisogno di modifiche
• Possono svolgere la funzione di Firewall per le
  connessioni in ingresso
• ...inoltre...

46
Network Address TranslatorScopi e Problematiche

• Eliminando nodi che non sono attivi in un
  determinato istante riduce la richiesta di
  indirizzi pubblici e si prolunga la vita di IPv4
  e si facilita il lavoro di routing
• Lo spazio di indirizzamento della rete privata
  potrà essere molto più ampia del numero di
  indirizzi pubblici a disposizione
• Si possono realizzare le server-farm

47
Network Address TranslatorScopi e Problematiche

• Problemi con i NAT
• Spezzano il modello End-to-End e quindi riducono
  la flessibilità di Internet
• Creano un'ulteriore nodo da cui dipende la
  connessione
• Impediscono meccanismi di sicurezza a livello IP

48
Network Address TranslatorScopi e Problematiche

• Permettono l'assegnazione arbitraria degli
  indirizzi in ambito locale. Può essere causa di
  collisioni quando si fondono due reti
• Le versioni a Livello 4 aumentano la complessità
  quando nella rete privata sono presenti server
  pubblici
• Alcuni prodotti possono implementare NAT senza
  definirsi come tali

49
Network Address TranslatorScopi e Problematiche

• I NAT ipotizzano che ogni sessione sia
  indipendente dalle altre, cosa che con FTP e
  H.323 non è vera
• Non prevedono che l'indirizzo IP sia in punti
  diversi dall'intestazione (in questo caso serve
  un Application Layer Gateway, un dispositivo di
  Livello 7)

50
Network Address TranslatorScopi e Problematiche

• Usando i NAPT (NAT di Livello 4) associano un
  terminale locale con una porta (nota)
  dell'indirizzo pubblico. Ciò può essere motivo di
  rallentamento della rete in questione

51
Network Address TranslatorScopi e Problematiche

• Scenari
• Singolo punto di rottura
• Complessità degli ALG
• Violazioni degli stati di TCP
• Gestione simmetrica degli stati

52
Network Address TranslatorScopi e Problematiche

• Singolo punto di rottura
• Se L'AD1 è un NAT le connessioni in corso
  vengono interrotte e quelle successive passeranno
  da AD2

53
Network Address TranslatorScopi e Problematiche

• Singolo punto di rottura
• Le connessioni possono essere recuperate solo se
  AD1 passa tempestivamente le informazioni all'AD2
• Se gli AD fossero dei normali router si
  adatterebbero alla mutata situazione
  automaticamente e senza ripercussioni sulle
  comunicazioni in corso

54
Network Address TranslatorScopi e Problematiche

• Complessità degli ALG
• I NAT/ALG possono mascherare l'eterogeneitàdi
  software presente in reti locali (es.per
  aggiornamenti) che comunicano tra di loro

55
Network Address TranslatorScopi e Problematiche

• Complessità degli ALG
• Due Host richedono un servizio al Web Server in
  tempi diversi comunicando attraverso un NAT

56
Network Address TranslatorScopi e Problematiche

• L'Host A esegue una richiesta e di disconnette
• L'Host B esegue una richiesta casualmente sulla
  stessa porta locale di quella precedente eseguita
  dall'Host A e il NAT gli assegna lo stesso
  indirizzo
• Al Web Server risulterà la stessa tupla TCP
  (IPPorta locale/remota) in meno di 4 minuti,
  ovvero una situazione irregolare

57
Network Address TranslatorScopi e Problematiche

• Un nuovo tentativo di B andrà a buon fine
• E' una situazione irregolare occasionale
• Il problema non può essere risolto

58
Network Address TranslatorScopi e Problematiche

• Gestione simmetrica degli stati
• I dispositivi a stati come i NAT pongono meno
  problemi se i pacchetti attraversano lo stesso
  nodo in entrambi i versi

59
Network Address TranslatorScopi e Problematiche

• I Router 1 e 2 utilizzano il NAT 1 per accedere
  alla rete pubblica
• Se si rompe X1 l'Host B invierà attraverso il
  NAT2
• Le riposte però continueranno a passare per il
  NAT1 e non raggiungeranno l'Host B
• Senza NAT il problema non si pone
• La ridondanza di NAT è INUTILE

60
Network Address TranslatorScopi e Problematiche

• Se si rompe X2 e l'Host D tenta di raggiungere
  l'Host B
• Le richieste passeranno da NAT2
• Le risposte passeranno da NAT1
• La comunicazione non è possibile

61
Network Address TranslatorScopi e Problematiche

• Se si rompono X1 e X2
• L'Host B può raggiungere l'Host D
• L'Host A non può raggiungere l'Host D
• La situazione è caoticaA e B possono
  raggiungere la rete pubblica (attraverso NAT
  diversi), ma solo B raggiunge D

62
Network Address TranslatorScopi e Problematiche

• Considerazioni sulla sicurezza
• I NAT e i NAPT tendono ad abbassare la sicurezza
  media della rete perché hanno una funzione
  protettiva senza la robustezza dei firewall
• Impedisce sistemi di sicurezza come IPsec

63
Network Address TranslatorScopi e Problematiche

• IPsec prevede l'integrità del pacchetto IP, ma i
  NAT devono modificarlo, quindi
• Non è possibile proteggere l'IP dell'intestazione
  con cifrature
• Non possibile i certificati d'autenticazione che
  contengono l'indirizzo IP perché questo cambia

64
Network Address TranslatorScopi e Problematiche

• L'Encrypted Quick Mode contiene anch'esso
  l'indirizzo IP e il numero di porta
• Anche il Revised Mode a chiave pubblica
  codificata contiene l'identità del peer
• I NAT pongono seri ostacoli alla diffusione di
  queste tecnologie

65
Network Address TranslatorScopi e Problematiche

• Sistemi come TSL, SSL, SSH possono essere
  utilizzati perché non utilizzano l'IP come
  identificatore
• Altre applicazioni richiedono la cifratura del
  pacchetto TCP/IP

66
Network Address TranslatorScopi e Problematiche

• Corso diInfrastrutture e servizi per reti
  geografiche - 01GQB
• di Vincenzo Buttazzo e Marco Vallini
• NAT - Terminology and ConsiderationsTraditional
  NATNAT - Protocol TranslationArchitectural
  Implications of NAT

67
Network Address TranslatorScopi e Problematiche

• NAT-PTNetwork Address Translation Protocol
  Translation
• Introduzione
• Basic-NAT-PT - Connessione da IPv6 verso IPv4
• NAPT-PT - Connessione da IPv6 verso IPv4
• NAPT-PT - Connessione da IPv4 verso IPv6
• Uso di DNS-ALG per l'assegnamento degli indirizzi
• Assegnamento di indirizzi V4 per connessioni
  entrant
• Vulnerabilità
• Assegnamento di indirizzi V4 per connessioni
  uscenti
• Problematiche derivanti dall'uso di NAT-PT

68
Network Address TranslationProtocol Translation

• IPv4 è virtualmente sfruttato oltre il suo limite
  di indirizzamento
• IPv4 impedisce tecniche di routing aggressivo
• IPv4 è vecchio (inizi anni '70)
• IPv6 ha uno spazio di indirizzamento più ampio
• IPv6 permette nuove tecniche di routing

69
Network Address TranslationProtocol Translation

• Occorre gestire il periodo di transizione per
  collegare la nuova rete IPv6 alla vecchia rete
  IPv4
• Ci sono diverse soluzioni
• Macchine Dual-Stack
• Tunneling
• NAT-PT

70
Network Address TranslationProtocol Translation

• NAT-PT è semplice e richiede pochi adattamenti
  dei dispositivi esistenti
• Si basa su tecnologie esistenti
• NAT per la traduzione degli indirizzi
• SIIT per la traduzione tra IPv4 e IPv6 e
  viceversa
• Traduce indirizzi come un NAT, ma traduce anche
  il protocollo

71
Network Address TranslationProtocol Translation

• Come per i NAT ne esistono due categorie
• BASIC-NAT-PT associa un indirizzo IPv4 a un host
  IPv6 in modo univoco
• NAPT-PT associa più indirizzi IPv6 a un solo
  indirizzo IPv4 sfruttando il livello 3 (TCP/UDP)

72
Network Address TranslationProtocol Translation

• Basic-NAT-PT
• Associa un indirizzo V4 a un host V6 in modo
  statico o dinamico
• Statico L'associazione non cambia nel tempo
• Dinamico L'associazione viene stabilita ad ogni
  sessione

73
Network Address TranslationProtocol Translation

• ScenarioUn host V6 deve mandare un pacchetto a
  un host V4 con BASIC-NAT-PT
• Intestazione generata dal Nodo-ASAFEDCBA98765
  43210DAPREFIX132.146.243.30
• Dopo la modifica del NAT-PTSA120.130.26.10DA13
  2.146.243.30
• Risposta modificata dal NAT-PTSAPREFIX132.146.
  243.30 DAFEDCBA9876543210

74
Network Address TranslationProtocol Translation

• NAPT-PT
• Permettono di associare più indirizzi IPv6 a
  un'unico IPv4 modificando la porta TCP/UDP
• Un solo indirizzo V4 potrà servire a 63k
  connessioni TCP e 63k connessioni UDP.
• Servono molti meno indirizzi V4
• Non può essere applicato per le connessioni
  entranti su porte note.

75
Network Address TranslationProtocol Translation

• ScenarioUn host V6 deve mandare un pacchetto a
  un host V4 con NAPT-PT
• Intestazione generata dal Nodo-ASAFEDCBA98765
  43210 / Porta TCP3017 DAPREFIX132.146.243.30
  / Porta TCP23
• Dopo la modifica del NAT-PTSA120.130.26.10 /
  Porta TCP1025 DA132.146.243.30 / Porta TCP23
• Risposta modificata dal NAT-PTSAPREFIX132.146.
  243.30 / Porta TCP23 DAFEDCBA9876543210 /
  Porta TCP3017

76
Network Address TranslationProtocol Translation

• ScenarioUn host V4 deve mandare un pacchetto a
  un host V6 con NAPT-PT
• Intestazione generata dal Nodo-CSA132.146.243.30
  / Porta TCP1025 DA120.130.26.10 / Porta TCP80
  
• Dopo la modifica del NAT-PTSAPREFIX132.146.243
  .30 / Porta TCP1025 DAFEDCBA9876543210 /
  Porta TCP80
• Al nodo A vengono inoltrati tutti i pacchetti
  ricevuti sulla porta 80

77
Network Address TranslationProtocol Translation

• Uso di DNS-ALG per l'assegnamento degli indirizzi
• Anche i pacchetti DNS devono entrare nella rete
  Ipv6
• Serve un ALG (Application Level Gateway) che
  traduca opportunamente i pacchetti DNS

78
Network Address TranslationProtocol Translation

• Assegnamento di indirizzi V4 per connessioni
  entranti
• Il NAT-PT riceve un pacchetto DNS (Porta 53)
• 1. Per le richieste di risoluzione da Nome a
  Indirizzo del nodo modifica della richiesta da
  tipo 'A' a tipo 'AAAA' o 'A6' 2. Per le
  richieste di risoluzione da Indirizzo a Nome del
  nodo sostituzione della stringa "IN-ADDR.ARPA"
  con la stringa "IP6.INT" e dell'indirizzo V4 che
  precede la detta stringa con il corrispondente
  indirizzo V6

79
Network Address TranslationProtocol Translation

• Allo stesso modo dovrà essere trattata la
  risposta del DNS nella rete V6 e diretta ai DNS
  della rete V4
• 1. Traduzione dei record di tipo 'AAAA' o 'A6' in
  record di tipo 'A'. Se la risoluzione
  dell'indirizzo è completa è necessario tradurre
  solo i record di tipo 'A6' 2. Traduzione
  dell'indirizzo V6 risolto dal DNS con l'indirizzo
  V4 assegnato dal NAT-PT.
• Nel caso in cui il NAT-PT non ha ancora assegnato
  nessun IPv4 all'indirizzo V6 risolto dal DNS
  della rete V6 ne viene assegnato uno

80
Network Address TranslationProtocol Translation

• Richiesta DNS dalla rete V4IPv6-A AAAA
  FEDCBA9876543210
• Il DNS-ALG modifica il pacchetto IPv6-A A
  120.130.26.e inizializza la sessione
• Pacchetto inviato dal Nodo CSA132.146.243.30 /
  Porta TCP1025 DA120.130.26.1 / Porta TCP80
• Traduzione da parte del NAT basandosi sui dati di
  sessioneSAPREFIX132.146.243.30 / Porta
  TCP1025DAFEDCBA9876543210 / Porta TCP80
• Il sistema è suscettibile ad attacco DOS!

81
Network Address TranslationProtocol Translation

• Assegnamento di indirizzi V4 per connessioni
  uscenti
• I DNS della rete V6 possono contenere
  informazioni sugli indirizzi della rete V4 (ma
  non vicecersa)
• In caso contrario è necessario attraversare il
  NAT
• Risposta del DNS della rete V4IPv4-C A
  132.146.243.30
• Traduzione del DNS-ALGIPv4-C AAAA
  PREFIX132.146.243.30oppureIPv4-C A6
  PREFIX132.146.243.30

82
Network Address TranslationProtocol Translation

• I NAT-PT pongono gli stessi problemi dei NAT.
• I NAT-PT sono incompatibili col protocollo DNSSEC
  (DNS secure)