ПРОТОКОЛИ IPSEC І ТРАНСЛЯЦІЯ МЕРЕЖЕВИХ АДРЕС

При підключенні мереж організацій до Інтернет часто використовується механізм трансляції мережевих адрес - NAT (від англ. «Network Address Translation»). Це дозволяє зменшити число зареєстрованих IP-адрес, що використовуються в даній мережі. Усередині мережі використовуються незареєстровані «приватні» адреси (як правило, з діапазонів, спеціально виділених для цієї мети, наприклад, адреси виду 192.168.х.у для мереж класу С). Якщо пакет з такою мережі передається в Інтернет, то маршрутизатор, зовнішнього інтерфейсу якого призначений принаймні один зареєстрований ip-адреса, модифікує ip-заголовки мережевих пакетів, підставляючи замість приватних адрес зареєстровану адресу. Порядок, за яким здійснюється підстановка, описується в спеціальній таблиці. При отриманні відповіді відповідно до таблиці робиться зворотна заміна, і пакет переправляється у внутрішню мережу.

Розглянемо приклад використання NAT (рис. 3.11). В даному випадку у внутрішній мережі використовуються приватні адреси 192.168.0.x. З комп'ютера з адресою 192.168.0.2 звертаються в зовнішню мережу до комп'ютера з адресою 195.242.2.2. Нехай це буде підключення до web-серверу (протокол HTTP, який використовує TCP порт 80).

При проходженні пакета через маршрутизатор, що виконує трансляцію адрес, ip-адреса відправника (192.168.0.2) буде замінений на адресу зовнішнього інтерфейсу маршрутизатора (195.201.82.146), а в таблицю трансляції адрес буде додано запис, аналогічна наведеної в табл. 3.1.

Отримавши уявлення про механізм роботи NAT, розберемося, які складнощі можуть виникнути в разі використання IPSec.

Приклад використання механізму NAT

Мал. 3.11. Приклад використання механізму NAT

Таблиця 3.1

Таблиця трансляції адрес

протокол

Внутрішній локальний ip-адреса: порт

Внутрішній зареєстрований ip- адресу: порт.

Зовнішній ip-адреса: порт

TCP

192.168.0.2: 2001

195.201.82.146: 2161

195.242.2.2: 80

Припустимо, з хоста з адресою 192.168.0.2 намагаються встановити захищене з'єднання з зовнішнім хостом 195.242.2.2, використовуючи протокол аутентифицирующей заголовка (АН). При проходженні маршрутизатора ip-адреса відправника змінюється, як було описано вище. Протокол АН визначає, що значення имитовставки розраховується, включаючи незмінні поля IP-заголовка, зокрема, адреса відправника. Сторона-одержувач, виявить невірне (через трансляцію адрес) значення имитовставки і про тбросіт пакет.

Таким чином, механізм NAT і протокол АН несумісні. У той же час протокол ESP, який не контролює цілісність ip- заголовка, може використовуватися спільно з трансляцією адрес.

Крім того, RFC 2709 визначає розширення NAT - IPC-NAT (англ. «IPSec policy Controlled NAT» - NAT, керований правилами IPSec). Воно дозволяє вирішити зазначену проблему шляхом створення IP-IP тунелю, однією з кінцевих точок якого є вузол NAT. У цьому випадку замість модифікації IP-адреси відправника в заголовку вихідного пакета NAT-пристрій поміщає без змін весь пакунок (який аутентифікований АН) в новий IP-пакет, в заголовку якого в якості адреси відправника ставиться адреса NAT-пристрої. На стороні одержувача з отриманого пакета вилучають вихідний пакет і далі обробляють його як зазвичай.

Окремо необхідно вирішувати питання з розподілом ключів. Якщо для цієї мети використовується протокол IKE (а він використовує транспортний протокол UDP, порт 500), буде потрібно спеціально організувати пересилку відповідних даних у внутрішню мережу. У разі якщо задіяти UDP-nopr 500 не представляється можливим, можна використовувати описуваний в документах RFC 3947, 3948 механізм NAT-T (від англ. «NAT traversal»), що визначає інкапсуляцію IKE і IPSec трафіку в пакети UDP. При цьому задіюється порт 4500.

 
Переглянути оригінал
< Попер   ЗМІСТ   ОРИГІНАЛ   Наст >