Seminario de Redes de Computadoras Network Address Translation (N.A.T.)

Transcripción

1 Seminario de Redes de Computadoras Network Address Translation (N.A.T.) Baños, German Gamez, Pablo Rabino, Juan Pablo Salas, Federico

2 N A T Network Address Translation (Traducción de Dirección de Red) NAT es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones dentro de la conversación del protocolo. Su uso más común es permitir utilizar direcciones privadas (definidas en el RFC 1918, Address Allocation for Private Internets) y aún así proveer conectividad con el resto de Internet. Existen rangos de direcciones privadas que pueden usarse libremente y en la cantidad que se quiera dentro de una red privada. Si el número de direcciones privadas es muy grande puede usarse sólo una parte de direcciones públicas para salir a Internet desde la red privada. De esta manera simultáneamente sólo pueden salir a Internet con una dirección IP tantos equipos como direcciones públicas se hayan contratado. NAT (Network Address Translation) es una función de los routers que representa una respuesta a algunos problemas que presenta Internet (escasez de direcciones, problemas de seguridad y complejidad del encaminamiento o routing), derivados de los peculiares orígenes de la Red. 1.- PRINCIPALES MOTIVACIONES DE NAT Las principales motivaciones de NAT son: la necesidad de una solución frente a la escasez de direcciones, la búsqueda de la simplificación de la gestión de redes y las mejoras en la seguridad REMEDIO FRENTE A LA ESCASEZ DE DIRECCIONES Aunque las direcciones IP tienen una longitud de 32 bits (lo que permite en principio identificar hasta máquinas distintas) la forma de repartir esas direcciones agrupándolas en redes de distintas clases, la generosidad inicial en el reparto así como el éxito comercial e imprevisto de Internet ha provocado un progresivo agotamiento del espacio de direcciones disponible.

3 Cuando Internet fue diseñado no se pensó que pudiera crecer de una forma tan explosiva (el uso previsto era militar y científico, y no comercial). El abaratamiento de los sistemas informáticos y de las telecomunicaciones así como la simplificación de su uso ha terminado acercando la red Internet a un gran público, y los proveedores de servicios de red han tenido que desarrollar mecanismos para responder a la demanda creada. La solución obvia, aumentar la longitud de las direcciones, ya se está llevando a cabo: está en marcha la implantación de la versión 6 del protocolo IP (IPv6) que utiliza direcciones de 128 bits. Esta versión también ha previsto mecanismos más racionales de reparto del nuevo espacio de direcciones. No obstante llevará años migrar la infraestructura actual de Internet a IPv6. Mientras tanto NAT ha representado una magnífica solución temporal al problema de agotamiento de las direcciones, al permitir que múltiples usuarios se conecten a la red compartiendo una única dirección IP. Esta dirección en muchos casos es además 'dinámica', esto es, se trata de una dirección que forma parte de un conjunto (pool) más amplio propiedad del ISP (Internet Service Provider), que es alquilada temporalmente al usuario, permitiendo una reutilización de este preciado recurso tan pronto como es liberado. Como los sistemas de los usuarios finales siguen necesitando tener una dirección única que los identifique pueden usar en sus redes locales direcciones denominadas de uso privado descriptas en el RFC 1918, que especifica que las redes , y no son encaminadas por los routers en la Red, de forma que pueden ser usadas sin conflicto por múltiples usuarios en distintos sitios. A la hora de salir a Internet el router NAT se encargará de hacer las traducciones necesarias para que los diálogos con el exterior de las máquinas con direcciones RFC 1918 parezcan tener por origen la IP asignada por el ISP (de espacio público, ruteable). De cara al exterior la red del usuario se presenta como una única máquina SIMPLIFICACIÓN DE LA GESTIÓN DE REDES Otra consecuencia derivada del crecimiento de Internet es el aumento del tamaño de las tablas de rutas necesarias para el encaminamiento (routing) de los paquetes en la Red. Para que los paquetes viajen hasta las máquinas destino, los routers deben poseer rutas hacia los destinos. Algunos de los routers del núcleo de Internet poseen tablas de rutas de enorme tamaño. El uso de NAT ha frenado el crecimiento de estas tablas. Al hablar de la administración de redes hay que mencionar una importante ventaja de NAT, al permitir migrar redes de forma transparente a los usuarios finales. Esto es especialmente útil cuando hay que unir dos redes que comparten el mismo plan de numeración (redes superpuestas u "overlapping networks"). El uso de redes de espacio RFC 1918 hace que estos solapamientos ocurran de forma frecuente en las fusiones de empresas.

4 1.3.- MEJORA DE LA SEGURIDAD Internet presenta una serie de problemas de seguridad que pueden sorprender si consideramos que los orígenes de Internet son claramente militares (la red ARPA), pero se explican teniendo en cuenta el carácter experimental de sus inicios, el énfasis en la funcionalidad por encima de otros criterios y el entorno académico donde se desarrollaron los protocolos fundamentales que componen la pila de protocolos TCP/IP, entre otros. Al hacer pasar las comunicaciones por un punto común (el router NAT) se puede concentrar una parte importante del esfuerzo de seguridad en dicho punto. Desde el exterior no será posible establecer comunicación con máquinas de la red local si estas no han iniciado la conversación (el router NAT no sabría a qué máquina interna remitir los paquetes del exterior). Por supuesto que es posible definir traducciones estáticas para ciertos servicios que necesitan ser identificados con claridad, tales como servicios Web y FTP. No obstante la combinación de NAT con mecanismos de seguridad tales como listas de acceso permiten ejercer un mayor control en el uso de estos servicios.

5 2.- TEORÍA DE NAT 2.1- VISIÓN GENERAL DE LA CONFIGURACIÓN DE NAT EN ENTORNOS CISCO Si bien nuestra maqueta se pensó originalmente para ser implementada con routers CISCO de las Series 1600 y 2500, esto no fue llevado a cabo debido a que la versión reducida disponible de los IOS v11 y v12 que éstos poseían no tenía implementada NAT, función que sí poseen en la versión completa los IOS mencionados. A pesar de esto, es nuestra intención presentar de forma general la terminología y funcionamiento básico de NAT en los entornos CISCO como empresa líder en equipos de telecomunicaciones. A la hora de configurar la traducción de direcciones Cisco distingue cuatro tipos de direcciones: Inside local address (interna local): la dirección IP asignada a una máquina concreta de la red interna. Generalmente se trata de una dirección de espacio reservado para uso privado (RFC 1597). Inside global address (interna global): la dirección IP que representa en el exterior una o más direcciones internas locales (inside local address). Suelen ser direcciones IP públicas (enrutables) asignadas por un ISP. Outside local address (externa local): la dirección IP de una máquina externa tal como se ve desde la red interna. No tiene por que ser una dirección IP pública. Ésta es de especial utilidad cuando se le ha asignado a un host de la red interna una IP pública perteneciente a un host de la red externa de uso frecuente en la red interna; a fin de no modificar la red interna y poder consultar correctamente el host externo en cuestión, la dirección IP pública de éste es modificada por una outside local address. Outside global address (externa global): la dirección IP de una máquina externa tal como es asignada por el dueño de dicha máquina. Esta IP es de espacio público FUNCIONAMIENTO Un dispositivo NAT cambia la dirección origen en cada paquete de salida y, dependiendo del método, también el puerto origen para que sea único. Estas traducciones de dirección se almacenan en una tabla para recordar qué dirección y puerto le corresponde a cada dispositivo cliente y así saber donde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe en la tabla de traducciones, entonces es descartado. Debido a este comportamiento, se puede definir en la tabla que en un determinado puerto y dirección se

6 pueda acceder a un determinado dispositivo, como por ejemplo un webserver, lo que se denomina NAT inverso o DNAT (Destination NAT) TABLAS NAT Como ya se dijo, NAT mantiene una tabla de traducción que usa para realizar el mapeo. Cada entrada en la tabla especifica dos ítems: Dirección IP pública de un host en Internet. Dirección IP de cada host en la red privada. Cuando llega un datagrama desde Internet, se reemplaza la dirección destino pública con la dirección privada del host correspondiente y se entrega el paquete a destino. A menos que no se inicialice la tabla NAT, no habrá forma de acceder desde el exterior a un host de la red privada. Para ello, existen varias posibilidades: Inicialización manual: Antes de iniciarse una comunicación, el administrador de red configura las tablas. Actualización por datagramas salientes: Conforme se produce el egreso de datagramas de la red, se va haciendo el mapeo de direcciones NAT CON MAPEO DE PUERTOS Esta es la variante de NAT que se estudia en el trabajo práctico. Consiste en traducir, además de las direcciones IP, los puertos TCP o UDP. De esta manera, se agregarán nuevos campos a la tabla original. Un ejemplo de la nueva tabla sería el siguiente: Dirección Puerto Dirección Puerto Puerto NAT Protocolo Privada Privado Externa Externo TCP TCP TCP TCP Tal como se puede inferir, se agregan a la tabla original todos los campos referidos a puertos y un campo que especifica el protocolo utilizado. Viendo la tabla, se ve que existen varias conexiones simultáneamente. Recordemos que en TCP y UDP, las conexiones se definen por 4 componentes: (IP origen, Puerto origen, IP destino, Puerto destino) En un esquema de direccionamiento público, estos cuatro términos son suficientes para determinar una conexión de manera unívoca.

7 Es muy común el caso de tener dos conexiones simultáneas de un host a un mismo webserver, en este caso, el factor que resolvería el conflicto es el puerto efímero asignado al cliente. En el caso de tener direcciones privadas, no sólo se tendría puerto distinto sino que también la dirección origen sería distinta. No obstante, al pasar por el dispositivo que hace NAT, las direcciones origen se traducirían a una misma dirección pública, y podría darse el caso de que dos máquinas de la red privadas eligieran el mismo número de puerto. En suma, tendríamos un caso como el siguiente: ( , 21023, , 80) ( , 21023, , 80) Se ve claramente que al traducirse las direcciones origen, las conexiones serían idénticas. Para subsanar esto, la implementación de NAT traduce también el número de puerto, asignando al puerto origen un número único de NAT port. La traducción definitiva de las dos conexiones de arriba quedaría: ( , 14003, , 80) ( , 14010, , 80) En consecuencia, se ve que el uso de NAT con mapeo de puertos soluciona el inconveniente originado NAT DINÁMICO Una dirección IP privada se traduce a un grupo de direcciones públicas. Por ejemplo, si un dispositivo posee la IP puede tomar direcciones de un rango entre la IP y Implementando esta forma de NAT se genera automáticamente un firewall, aunque débil, entre la red pública y la privada, ya que sólo se permite la conexión que se origina desde ésta última SOBRECARGA La forma más utilizada de NAT proviene del NAT dinámico, ya que toma múltiples direcciones IP privadas (normalmente entregadas mediante DHCP) y las traduce a una única dirección IP pública utilizando diferentes puertos. Esto se conoce también como PAT (Port Address Translation - Traducción de Direcciones por Puerto), NAT de única dirección o NAT multiplexado a nivel de puerto.

8 3.- CAPTURAS Con el fin de verificar el funcionamiento de NAT y su respuesta ante protocolos diversos, se ha hecho una serie de capturas mediante el sniffer Ethereal. Los protocolos elegidos fueron: ICMP (mediante el comando ping) FTP (activo y pasivo) Telnet Se estableció una maqueta para la realización de dichas capturas, la cual se muestra a continuación: CAPTURA DE ICMP El protocolo ICMP (Internet Message Control Protocol) es un protocolo de control utilizado en el stack TCP/IP. Funciona encapsulado en el datagrama IP, pero no es un protocolo de transporte, como lo son TCP y UDP. En consecuencia, no se utiliza el concepto de puerto, asociado a dichos protocolos. Sabiendo que NAT hace un mapeo de los puertos con el fin de cumplir su función, se buscó observar la manera mediante la cual NAT resuelve este problema.

9 PRUEBA A REALIZAR Se realizó un ping a ( ). Aquí se incluye la captura del ping de la máquina 1 hasta la dirección mencionada en este párrafo RESULTADO OBTENIDO En función de esta captura, hay que destacar que NAT no hace mapeo de puertos, y prestarle particular atención al campo Identifier del ICMP. La siguiente captura es la que se obtuvo en la interfaz del router NAT:

10 3.2 CAPTURA DE FTP FTP (File Transfer Protocol) es un protocolo de transferencia de archivos entre sistemas conectados a una red TCP basado en la arquitectura cliente-servidor, de manera que desde un equipo cliente nos podemos conectar a un servidor para descargar archivos desde él o para enviarle nuestros propios archivos. El Servicio FTP es ofrecido por la capa de Aplicación del modelo de capas de red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. Un problema básico de FTP es que está pensado para ofrecer la máxima velocidad en la conexión, pero no la máxima seguridad, ya que todo el intercambio de información, desde el login y password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en texto plano sin ningún tipo de cifrado, con lo que un posible atacante lo tiene muy fácil para capturar este tráfico, acceder al servidor, o apropiarse de los archivos transferidos. Conceptos fundamentales: FTP utiliza TCP para establecer vínculos confiables de extremo a extremo. Utiliza dos Well Known Services: TCP 21 Command port (Control y login) TCP 20 Data port (Transferencia de datos) Dependiendo del modo de transferencia, no siempre la transferencia de datos se realiza sobre el puerto 20 de TCP (si en modo activo).

11 El siguiente gráfico ilustra el funcionamiento de FTP en modo activo: El cliente origina una conexión de control desde un puerto efímero (N> 1023) dirigida al puerto de control del servidor FTP (puerto 21). El servidor acepta la conexión, el cual iniciará una conexión contra el puerto indicado por el cliente (en la conexión de control), utilizando el puerto 20 como origen. Lo anterior tiene un grave problema de seguridad, y es que la máquina cliente debe estar dispuesta a aceptar cualquier conexión de entrada en un puerto superior al 1023, con los problemas que ello implica si tenemos el equipo conectado a una red insegura como Internet. De hecho, inicialmente, los firewalls que se instalaban en el equipo para evitar ataques rechazaban estas conexiones aleatorias. Para solucionar esto se desarrolló el modo Pasivo, explicado posteriormente PRUEBA A REALIZAR Se intentará realizar una conexión con un servidor FTP (IP ) en modo activo desde la maquina 1 (IP ) RESULTADOS A OBTENER No habrá problema en el establecimiento de la conexión de control, puesto que la inicia el cliente. Se produciría un inconveniente al tener que establecerse la conexión de datos. El router- NAT tendrá que saber contra qué puerto del cliente el servidor abrirá la conexión de datos.

12 Como es el cliente quien especifica en que puerto espera recibir la conexión de datos a través de la ya existente conexión de control, el router-nat tendrá que revisar la información que manda el cliente por la conexión de control, y así averiguar el puerto en el que espera recibir la conexión de datos para poder mapearlo. Se espera que el router-nat soporte la conexión en modo activo CAPTURAS 1 ) El cliente origina una conexión de control: La maquina 1 (cliente) con dirección de red privada inicia el 3WH (Three Way Handshaking) contra el servidor FTP para abrir una conexión de control saliendo de su puerto 2498 y llamando al servidor al puerto 21(FTP). El servidor acepta la conexión. Mapeo de router NAT:

13 El router-nat traduce la dirección privada en la dirección pública y cambia el puerto de 2498 a También realizara la traducción inversa. 2 ) El cliente le informa al servidor FTP por qué puerto espera recibir la conexión de datos (puerto 2502): La siguiente imagen muestra el paquete donde el router-nat le informa al servidor FTP en qué puerto espera recibir la conexión de datos (puerto 5001).

14 Es decir, el router-nat debe mapear esos puertos y luego hacer las respectivas traducciones de puertos y direcciones. 3 ) El servidor abre desde su puerto 20 (FTP-data) una conexión de datos contra el puerto 5001 (que el servidor ve como cliente) del router-nat y este lo traduce al 2502 (verdadero cliente)

15 RESULTADOS Y CONCLUSIONES Como se observa en las capturas el resultado fue óptimo, alcanzando los resultados esperados. El router-nat descubrió por qué puerto esperaba recibir el cliente la conexión de datos y mapeó dicho puerto, de modo que se estableciera la conexión entre el cliente en la red privada y el servidor FTP. Cabe aclarar que actualmente la mayoría de los router-nat soportan conexiones FTP en modo activo, pero, como se mencionó anteriormente, en sus comienzos este modo presentaba un grave problema de seguridad, ya que la máquina cliente debía estar dispuesta a aceptar cualquier conexión de entrada a uno de sus puertos efímeros (superiores al 1023), con los problemas que ello implicaba (y sigue implicando) si tenemos el equipo conectado a una red insegura como Internet. Para solucionar esto se desarrolló el modo Pasivo FTP EN MODO PASIVO A grandes rasgos, este modo difiere del modo Activo en que el cliente es que el que establece la conexión de datos. Los pasos para la conexión serán: 1) El cliente utiliza un puerto efímero suyo y se conecta al puerto 21 del servidor. 2) El servidor le informa al cliente en qué puerto espera recibir la conexión de datos. 3) El cliente inicia la conexión de datos.

16 Dichos pasos se resumen en el siguiente gráfico: RESULTADOS A OBTENER Se espera no tener ningún tipo de problemas en el mapeo de direcciones y puertos, así como también se pretende verificar el correcto funcionamiento del modo Pasivo de FTP CAPTURAS Captura en el host en la red privada Establecimiento de la conexión: Notar el 3WH desde un puerto efímero del cliente al puerto 21 del servidor. Se establece una conexión de control.

17 Transcurso de la conexión: El cliente especifica el modo Pasivo (n 296). El cliente responde aceptando la conexión (n 300). Luego el cliente se conecta desde su puerto efímero 1075 con el puerto efímero del servidor (n 301)

18 Captura en la interfaz del router NAT Se ve cómo se produce el mapeo de direcciones y puertos. Se mapeó lo siguiente: (dirección privada) (dirección pública) 1075 (puerto efímero privado de datos) 1232 (puerto efímero de datos del router) CONCLUSION Tal como se esperaba, se verificó el correcto funcionamiento del modo pasivo de FTP y la correcta traducción de direcciones y puertos por parte del router NAT TELNET Telnet es un Well Known Service (WKS, puerto TCP 23) que tiene como finalidad poder tener una conexión remota de consola entre cliente y servidor. Aunque tuvo un auge importante en los comienzos de internet, sus deficiencias en materia de seguridad fueron dejando de lado a esta forma de comunicación. Sus principales deficiencias estan en: Los demonios de uso general del telnet tienen varias vulnerabilidades descubiertas sobre los años, y varias más que podrían aún existir.

19 Telnet, por defecto, no cifra ninguno de los datos enviados sobre la conexión (contraseñas inclusive), así que es facil interferir y grabar las comunicaciones, y utilizar la contraseña más adelante para propósitos maliciosos. Telnet carece de un esquema de autentificación que permita asegurar que la comunicación esté siendo realizada entre los dos anfitriones deseados, y no interceptada entre ellos. Como detalle final cabe decir que aun se sigue utilizando el servicio de TELNET para determinadas aplicaciones especificas PRUEBA A REALIZAR La primer prueba que intentamos realizar fue implementar un servidor TELNET dentro de una red privada, para que pueda ser accedido desde el exterior. El router que separa la red privada de la pública se configuró para que direccione todas las conexiones entrantes por el puerto 23 a un host en específico dentro de la red. Se probó el servidor dentro de la red privada y no presento problemas. Pero al intentar realizar una conexión desde un host remoto, las conexiones fueron fallidas ya que se perdían los datagramas para el inicio de la conexión. El resultado que obtuvimos fue negativo ya que el ISP que daba servicio de internet al servidor bloqueaba automáticamente las conexiones TELNET entrantes. Entonces se decidió realizar una conexión a un Server público en servicio. Al iniciar la conexión Telnet (puerto TCP 23) con el servidor remoto esperamos ver de nuestro host primero una serie de datagramas con dirección destino la del servidor Remoto ( ) y dirección origen la dirección IP privada de nuestro host ( ).

20 3.3.2 CAPTURAS La captura realizada es a la salida de la interfaz de nuestro Host dentro de la Red privada. Se evidencia en principio una conexión telnet (puerto TCP 23) desde un puerto aleatorio de nuestro host (1697). Las contestaciones del Server se hacen desde el puerto 23 hacia este puerto. Como fue previsto la dirección origen es y la dirección destino es la IP de nuestro servidor remoto Observar el ID del datagrama IP (28360) para comprobar que al pasar por el router el datagrama es el mismo. Por el funcionamiento que conocemos de NAT, al hacer sniffing sobre la interfase de nuestro router, esperamos que la dirección origen de nuestros datagramas se cambie por la IP de la interfaz del router NAT y el puerto origen sea cambiado por un puerto aleatorio del router.

21 Antes que nada es importante chequear que el ID del datagrama es el mismo para saber que estamos hablando del mismo stream TCP. El ID del datagrama que sale de la interfaz del router es el igual al que emitimos de nuestro host. Como se había previsto la dirección origen fue reemplazada con la dirección de la interfaz de salida del router ( ), pero la dirección destino es la misma. Lo segundo que cambio fue el puerto de origen ya que el router enmascara nuestro puerto de origen por uno propio para poder hacer NAT. Fuera de eso el intercambio protocolar es exactamente idéntico al visto para el host CONCLUSION Podemos ver así que NAT esta implementado de manera que es transparente para el host. Al cliente telnet corriendo en el host dentro de la red privada no le interesa estar en una red privada detrás de un router que hace NAT, para él la conexión es directa con el servidor telnet. Distinto es para el Server, que no puede saber si la conexión que esta recibiendo es realmente proporcionada por un host que esta ejecutando el cliente telnet o si esta detrás de uno o más routers que hacen NAT. Pero para esta aplicación eso es irrelevante, el intercambio se realiza exitosamente.