Planificacin y Administracin de Redes

NAT-PAT-NAPT

Introduccin Todas las direcciones de Internet pblicas deben registrarse en un registro de Internet regional (RIR, Regional Internet Registry). Las organizaciones pueden arrendar direcciones pblicas a travs de un ISP. Slo el titular registrado de una direccin de Internet pblica puede asignar esa direccin a un dispositivo de red. A diferencia de las direcciones IP pblicas, las direcciones IP privadas son un bloque reservado de nmeros y cualquiera las puede utilizar. Eso quiere decir que dos redes, o dos millones de redes, pueden utilizar las mismas direcciones privadas. Para evitar conflictos de direccionamiento, los routers nunca deben enrutar direcciones IP privadas. Para proteger la estructura de direcciones de Internet pblicas, los ISP normalmente configuran los routers de borde para impedir que el trfico con direcciones privadas se reenve a travs de Internet. Sin embargo, como no es posible enrutar direcciones privadas a travs de Internet, y como no hay suficientes direcciones pblicas como para permitir a las organizaciones que proporcionen una a cada uno de sus hosts, las redes necesitan un mecanismo para traducir las direcciones privadas en direcciones pblicas en el extremo de la red y que funcione en ambas direcciones. Sin un sistema de traduccin, los hosts privados que se encuentran detrs de un router en la red de una organizacin no pueden conectarse con otros hosts privados que se encuentran en otras organizaciones a travs de Internet. La traduccin de direcciones de red (NAT, Network Address Translation) proporciona este mecanismo. Antes del desarrollo de NAT, un host con direccin privada no poda acceder a Internet. Con NAT, las empresas individuales pueden direccionar algunos o todos sus hosts con direcciones privadas y utilizar NAT para proporcionar acceso a Internet. NAT NAT es como el recepcionista de una oficina grande. Imagine que le indica al recepcionista que no le pase ninguna llamada a menos que se lo solicite. Ms tarde, llama a un posible cliente y le deja un mensaje para que le devuelva el llamado. A continuacin, le informa al recepcionista que est esperando una llamada de este cliente y le solicita que le pase la llamada a su telfono. El cliente llama al nmero principal de la oficina, que es el nico nmero que el cliente conoce. Cuando el cliente informa al recepcionista a quin est buscando, el recepcionista se fija en una tabla de bsqueda que indica cul es el nmero de extensin de su oficina. El recepcionista sabe que el usuario haba solicitado esta llamada, de manera que la reenva a su extensin. Entonces, mientras que el servidor de DHCP asigna direcciones IP dinmicas a los dispositivos que se encuentran dentro de la red, los routers habilitados para NAT retienen una o varias direcciones IP de Internet vlidas fuera de la red. Cuando el cliente enva paquetes fuera de la red, NAT traduce la direccin IP interna del cliente a una direccin externa. Para los usuarios externos, todo el trfico que entra a la red y sale de ella tiene la misma direccin IP o proviene del mismo conjunto de direcciones. NAT tiene muchos usos, pero la utilidad clave es el ahorro de direcciones IP al permitir que las redes utilicen direcciones IP privadas. NAT traduce direcciones internas, privadas y no enrutables a direcciones pblicas enrutables. NAT tiene el beneficio adicional de agregar un nivel de privacidad y seguridad a una red porque oculta las direcciones IP internas de las redes externas. Cuando nuestro equipo local comunica con otro equipo en el exterior utilizando NAT usamos los siguientes trminos: Direccin local interna: direccin privada que tiene nuestro equipo local. Direccin global interna: direccin pblica vlida que se asigna a nuestro equipo interno cuando sale del router NAT. Direccin global externa: direccin IP a la que se puede acceder y que fue asignada a un host externo en Internet. Direccin local externa: direccin IP local asignada al equipo con el que comunicamos en la red externa.

Planificacin y Administracin de Redes

NAT-PAT-NAPT

NAT esttica y dinmica La traduccin NAT dinmica usa un conjunto de direcciones pblicas y las asigna en orden de llegada. Cuando un host con una direccin IP privada solicita acceso a Internet, la traduccin NAT dinmica elije una direccin IP del conjunto de direcciones que no est siendo utilizada por otro host. La traduccin NAT esttica utiliza un sistema de asignacin de uno a uno entre las direcciones locales y las globales, y estas asignaciones son constantes. La traduccin NAT esttica resulta particularmente til para los servidores Web o los hosts que necesitan tener una direccin uniforme a la que se pueda tener acceso desde Internet. Estos hosts internos pueden ser servidores de empresas o dispositivos de networking. Tanto la traduccin NAT esttica como la dinmica necesitan que haya una cantidad suficiente de direcciones pblicas disponibles para cubrir la cantidad total de sesiones de usuario simultneas. PAT o Sobrecarga de NAT La sobrecarga de NAT (a veces llamada Traduccin de la direccin del puerto, [PAT, Port Address Translation]) asigna varias direcciones IP privadas a una nica direccin IP pblica o a un grupo pequeo de direcciones IP pblicas. Es lo que hacen la mayora de los routers. El ISP asigna una direccin al router ADSL, y varios equipos pueden navegar por Internet de manera simultnea. Con la sobrecarga de NAT, es posible asignar varias direcciones a una o slo algunas direcciones porque cada direccin privada tambin se identifica por un nmero de puerto. Cuando un cliente abre una sesin TCP/IP, el router NAT asigna un nmero de puerto a la direccin de origen correspondiente. La sobrecarga de NAT asegura que los clientes utilicen un nmero de puerto TCP diferente para cada sesin de cliente con un servidor en Internet. Cuando se recibe una respuesta del servidor, el nmero de puerto de origen, que pasa a ser el nmero de puerto de destino en la respuesta, determina a qu cliente se enrutan los paquetes. Adems valida que los paquetes entrantes fueron solicitados, lo que agrega seguridad a la sesin. Los nmeros de puerto se codifican en 16 bits. En teora, la cantidad total de direcciones internas que se pueden traducir a una direccin externa podra ser de hasta 65 536 por direccin IP. Sin embargo, en realidad, la cantidad de direcciones internas que se pueden asignar a una nica direccin IP es de aproximadamente 4000. La sobrecarga de NAT intenta conservar el puerto de origen original. Sin embargo, si este puerto origen est en uso, la sobrecarga de NAT asigna el primer nmero de puerto disponible, desde el principio del grupo de puertos correspondiente 0-511, 512-1023, 1024-65535. Cuando no hay ms puertos disponibles y hay ms de una direccin IP externa configurada, la sobrecarga de NAT utiliza la prxima direccin IP para tratar de asignar nuevamente el puerto de origen original. Este proceso contina hasta que no haya puertos ni direcciones IP externas disponibles.

Planificacin y Administracin de Redes

NAT-PAT-NAPT

Ventajas y desventajas del uso de NAT Entre los beneficios del uso de NAT se encuentran los siguientes: NAT conserva el esquema de direccionamiento legalmente registrado, lo que permite la privatizacin de redes internas. NAT conserva las direcciones mediante la multiplexacin a nivel de puerto de la aplicacin. Con la sobrecarga de NAT, los hosts internos pueden compartir una sola direccin IP pblica para toda comunicacin externa. En este tipo de configuracin, se requieren muy pocas direcciones externas para admitir muchos hosts internos. NAT aumenta la flexibilidad de las conexiones con la red pblica. Se pueden implementar varios conjuntos, conjuntos de respaldo y de balanceo de carga para asegurar que las conexiones de red pblica sean confiables. NAT proporciona uniformidad en los esquemas de direccionamiento internos de red. En una red sin direcciones IP privadas y NAT, cambiar de direcciones IP pblicas requiere la renumeracin de todos los hosts en la red existente. El costo de renumerar los host puede ser elevado. NAT permite que permanezca el esquema existente, al mismo tiempo que admite un nuevo sistema de direccionamiento pblico. Esto significa que una organizacin puede cambiar de ISP y no tener que cambiar ninguno de sus clientes internos. NAT proporciona seguridad de red. Debido a que las redes privadas no publicitan sus direcciones o topologa interna, stas son razonablemente seguras cuando se las utiliza en conjunto con NAT para tener un acceso externo controlado. Sin embargo, NAT no reemplaza los firewalls. No obstante, NAT tiene algunas desventajas. El hecho de que los hosts de Internet parezcan comunicarse directamente con el dispositivo NAT en lugar de hacerlo con el verdadero host perteneciente a la red privada crea una serie de problemas. La primera desventaja es que el rendimiento se ve afectado. NAT aumenta los retrasos en la conmutacin porque la traduccin de cada direccin IP dentro de los encabezados del paquete lleva tiempo. El primer paquete es de conmutacin de procesos, lo que significa que siempre va por la ruta ms lenta. El router tiene que inspeccionar cada paquete para decidir si es necesario traducirlo. El router debe modificar el encabezado IP, y posiblemente el encabezado TCP o UDP tambin: Los paquetes restantes van por la ruta de conmutacin rpida si hay una entrada de cach; en el caso contrario, tambin sufren retrasos. Muchos protocolos y aplicaciones de Internet dependen de que la funcionalidad se aplique de extremo a extremo y que los paquetes se reenven sin modificaciones desde el origen al destino. Al cambiar las direcciones de extremo a extremo, NAT impide el funcionamiento de algunas aplicaciones que utilizan direccionamiento IP. Por ejemplo, algunas aplicaciones de seguridad, como ser las firmas digitales, fallan porque la

Planificacin y Administracin de Redes

NAT-PAT-NAPT

direccin IP de origen cambia. Las aplicaciones que utilizan las direcciones fsicas en vez de un nombre de dominio calificado no llegan a los destinos que se traducen en el router NAT. Algunas veces, este problema puede evitarse implementando asignaciones NAT estticas. Tambin se pierde la capacidad de rastreo de extremo a extremo. Se hace mucho ms difcil rastrear paquetes que sufren varios cambios en la direccin del paquete al atravesar mltiples saltos NAT, lo que dificulta la resolucin de problemas. Por otra parte, los piratas informticos que deseen determinar la fuente del paquete, descubrirn que es muy difcil rastrear u obtener la direccin origen o destino original. El uso de NAT tambin complica el funcionamiento de los protocolos de tunneling, por ejemplo IPsec, porque NAT modifica valores de los encabezados e interfiere as con los controles de integridad que ejecutan IPsec y otros protocolos de tunneling. Los servicios que requieren el inicio de conexiones TCP desde el exterior de la red, o protocolos sin estado como los que usan UDP, pueden verse interrumpidos. A menos que el router NAT haga un esfuerzo especfico para admitir estos protocolos, los paquetes entrantes no pueden llegar a destino. Algunos protocolos pueden acomodar una instancia de NAT entre hosts participantes (por ejemplo, FTP en modo pasivo), pero fallan cuando los dos sistemas estn separados de Internet por NAT.

Apertura de puertos La redireccin de puertos (a veces llamada tuneleo, tunneling, port forwarding, virtual server) es la accin de redirigir un puerto de red de un nodo de red a otro. Esta tcnica puede permitir que un usuario externo tenga acceso a un puerto en una direccin IP privada (dentro de una LAN) desde el exterior va un router con NAT activado. La redireccin de puertos permite que ordenadores remotos (por ejemplo, mquinas pblicas en Internet) se conecten a un ordenador en concreto dentro de una LAN privada. Por ejemplo, si tenemos un servidor web dentro de nuestra red privada abrimos el puerto 80 de nuestro router ADSL a la mquina servidor. Otra opcin asociada a la apertura es Port Triggering (accionar puertos), es algo as como un mapeador de puertos 'dinmico'. Est pensado para aplicaciones cliente-servidor, que realizan conexiones salientes y entrantes, no para servidores exclusivos, que slo esperan conexiones entrantes. El Trigger Port es el puerto al que intenta conectarse una mquina de la red LAN. Es posible, que esa conexin necesite abrir puertos en la mquina local (y por tanto en el router). Para ello, se asocia un trigger port a un conjunto de puertos a abrir, de forma que cuando la mquina local se conecta a un determinado trigger port, el router abrir los puertos que se le han asociado cuando reciba una peticin entrante de esa conexin. Por ejemplo, cuando uno se conecta a MS Messenger, abre una conexin saliente con el puerto TCP 1863, pero puede ser que necesite abrir los puertos de recepcin de ficheros, comunicaciones de voz, .... Para ello se asocia al trigger port 1863 los puertos 6891-6900 (envo de ficheros). De esta forma, cuando el usuario quiera enviar un fichero desde la mquina local al usuario remoto a travs del Messenger, el router abrir dichos puertos para esa conexin. Comandos IOS Cisco

Planificacin y Administracin de Redes

NAT-PAT-NAPT