Network Address Translator Scopi e Problematiche Corso di Infrastrutture e servizi per reti geografiche - 01GQB di Vincenzo Buttazzo e Marco Vallini NAT - Terminology and Considerations – rfc 2663 Traditional NAT – rfc 3022 NAT - Protocol Translation – rfc 2766 Architectural Implications of NAT – rfc 2993 Network Address Translator Scopi e Problematiche NAT - Terminology and Considerations – rfc 2663 ● Introduzione ● Cos’è il NAT ● Tipologie di NAT ● Problematiche operazionali ● Limitazioni ● Realm Specific IP e Realm Specific Address IP Network Address Translator Scopi e Problematiche Introduzione Il NAT è nato per: ● Far comunicare contemporaneamente più host con la rete pubblica, utilizzando un ristretto numero di indirizzi IP Risolve il classico problema delle aziende che non possono disporre di un notevole numero di indirizzi pubblici. Tenendo conto che: ● Il processo deve essere trasparente ● Garantire una certa sicurezza agli host della rete privata Network Address Translator Scopi e Problematiche Cos’è il NAT NAT è l’acronimo di Network Address Translation e permette di: ● ● ● Associare un insieme di indirizzi privati con uno o più indirizzi pubblici Eseguire il routing (instradamento) in modo trasparente attraverso la traduzione degli indirizzi Rendere pubblica la rete globale all’interno di quella privata ma non viceversa (può assicurare un ‘primitivo’ livello di sicurezza) Network Address Translator Scopi e Problematiche Tipologie di NAT (1) A seconda delle applicazioni, è possibile adottare quattro tipologie differenti: ● Traditional NAT o Outbound NAT (il più diffuso, comprende Basic NAT e NAPT) ● Bi-directional NAT o Two-Way NAT ● Twice NAT ● Multihomed NAT Network Address Translator Scopi e Problematiche Tipologie di NAT – Traditional NAT (2) Caratteristiche: ● ● Sessioni unidirezionali: inizializzate dalla rete interna verso quella esterna Gli indirizzi della rete esterna sono pubblicati all’interno ma non viceversa Esistono due variazioni: ● ● Basic NAT: un insieme di indirizzi pubblici sono associati uno ad uno a quelli degli host privati NAPT: un insieme di indirizzi privati sono associati ad un indirizzo pubblico fruttando il meccanismo delle porte Network Address Translator Scopi e Problematiche Tipologie di NAT – Bi-directional NAT (3) Caratteristiche: ● ● Le sessioni possono essere inizializzate sia dall’interno verso l’esterno che viceversa Gli indirizzi possono essere associati in modo statico e dinamico per consentire l’accesso dall’esterno: – Utilizzando anche servizi DNS – Introducendo applicazioni DNS-ALG Network Address Translator Scopi e Problematiche Tipologie di NAT – Twice NAT (4) Variazione del NAT Caratteristiche: ● Sia l’indirizzo sorgente che quello di destinazione sono modificati ● Necessario per risolvere problemi di sovrapposizione di indirizzi: ovvero – Utilizzo sulla rete privata di indirizzi pubblici assegnati ad un’altra organizzazione Network Address Translator Scopi e Problematiche Tipologie di NAT – Multihomed NAT (5) Scopo: ● Introdurre un sistema di ridondanza dei NAT Problematiche: ● ● Mantenere aggiornate ed allineate le informazioni di stato nei diversi dispositivi Rendere il passaggio da un dispositivo all’altro automatico e trasparente per l’utente Soluzione: ● Condividere la stessa configurazione tra più device differenti Network Address Translator Scopi e Problematiche Problematiche operazionali (1) 1. Traduzione dei payload: ● Il NAT non procede alla traduzione del payload dei pacchetti, quindi se contengono indirizzi IP necessario gestire la problematica 2. Sicurezza end-to-end: ● Il NAT non permette l’integrità di controllo del protocollo IPsec 3. Applicazioni specifiche: FTP, SNMP, DNS ● Il servizio FTP utilizza i comandi per stabilire le porte e gli indirizzi all’interno del control session payload Network Address Translator Scopi e Problematiche Problematiche operazionali (2) Nei casi delle applicazioni DNS, SNMP, FTP, esiste una soluzione al problema della traduzione degli indirizzi e di alcuni parametri contenuti nel payload: ● Application Level Gateway (ALG): applicazioni che integrano il NAT, modificando i payload attraverso l’utilizzo delle informazioni presenti sul NAT. Network Address Translator Scopi e Problematiche Limitazioni (1) ● Applicazioni con controllo interno delle sessioni ● Debugging e gestione dell’indirizzamento ● Considerazioni sulla sicurezza Network Address Translator Scopi e Problematiche Limitazioni (2) Applicazioni con controllo interno delle sessioni I dispositivi NAT operano con l’assunzione che ogni sessione sia indipendente. Per le applicazioni che utilizzano uno o più controlli di sessione, es. H.323: Si deve utilizzare un ALG Network Address Translator Scopi e Problematiche Limitazioni (3) Debugging e gestione dell’indirizzamento Con il NAT, lo stesso indirizzo pubblico può essere associato in tempi diversi ad indirizzi privati diversi Risultato: • Ogni studio basato sull’indirizzo globale e sulle porte non può essere efficace! • Un host della rete privata che ‘abusa’ di un servizio della rete pubblica non può essere identificato all’interno della rete locale! Network Address Translator Scopi e Problematiche Limitazioni (4) Considerazioni sulla sicurezza Alcuni ‘warning’ sulla sicurezza: ● ● ● Le sessioni UDP non sono sicure: la risposta ad un datagramma può provenire da un indirizzo diverso da quello target Le sessioni multicast basate su UDP non sono sicure I dispositivi NAT possono essere obiettivi degli attacchi di tipo SYN flood o ping flood (attacchi tipo DoS) introdurre meccanismi di protezione tipo sever Internet-based Network Address Translator Scopi e Problematiche Limitazioni (5) Considerazioni sulla sicurezza Soluzioni: ● ● Integrare i dispositivi NAT con i firewall Se esistono dispositivi ALG, questi devono trovarsi all’interno dello stesso ‘dominio di sicurezza’: – Un ALG intercetta il traffico in transito per l’host – Può modificare il contenuto dei payload Può essere sfruttato per raggiungere informazioni sensibili Network Address Translator Scopi e Problematiche Realm Specific IP (RSIP) (1) Protocollo che rappresenta un’alternativa al NAT Cos’è: Protocollo che permette di schermare gli indirizzi di rete privata utilizzano un solo indirizzo pubblico, senza le limitazioni del NAT Vantaggi rispetto al NAT: Preserva l’integrità dei pacchetti end-to-end: ● ● Rende possibile l’introduzione di meccanismi di sicurezza come IPsec Utilizzo di applicazioni di tipo ‘streaming media’, per esempio: videoconferenze, telefonate … Network Address Translator Scopi e Problematiche Realm Specific IP (RSIP) (2) Protocollo che rappresenta un’alternativa al NAT Perché sostituire il NAT con RSIP: ● ● Lo stretto legame con lo schema di indirizzamento del NAT introduce una compatibilità verso il basso Adatto al networking basato sulle policy (politiche per gestire ed assegnare le risorse di una rete) Network Address Translator Scopi e Problematiche Realm Specific IP (RSIP) (3) Protocollo che rappresenta un’alternativa al NAT Struttura e componenti di RSIP: la struttura è di tipo ‘challenge-response’ (sollecito-risposta) Due componenti: ● ● RSIP Client: richiede un indirizzo al server RSIP Server: fornisce un indirizzo, porte, lease time (periodo di affitto dell’indirizzo), tipo di tunnel Network Address Translator Scopi e Problematiche Network Address Translator Scopi e Problematiche Realm Specific IP (RSIP) (4) Protocollo che rappresenta un’alternativa al NAT Esistono due varianti al RSIP: ● ● Realm Specific Address IP (RSA-IP): utilizza un indirizzo pubblico per ogni host che si vuole collegare all’esterno Realm Specific Address and Port IP (RSAP-IP): utilizza un indirizzo pubblico per tutti gli host che si vogliono collegare all’esterno. (simile al NAPT, meccanismo delle porte) Network Address Translator Scopi e Problematiche Traditional NAT – rfc 3022 ● Caratteristiche del Basic NAT ● Caratteristiche del NAPT ● Fasi di traduzione di una sessione ● Elementi traducibili di un pacchetto ● Problematiche ● Limitazioni Network Address Translator Scopi e Problematiche Traditional NAT L’ambito di utilizzo è quello di un ambiente SOHO (Small Office Home Office) Laptop WAN LAN Regional Router Stub Router con NAT PC Laptop Network Address Translator Scopi e Problematiche Caratteristiche del Basic NAT Nel Basic NAT, gli indirizzi privati degli host sono associati uno ad uno agli indirizzi pubblici disponibili, assegnati dall’autorità competente (es. IANA) Se il numero degli host della rete locale che si voglio connettere alla rete esterna è minore o uguale al numero degli indirizzi pubblici in possesso dell’organizzazione: tutti i nodi possono comunicare simultaneamente Altrimenti Solo alcuni nodi possono comunicare simultaneamente oppure Si adotta lo switch-over: tecnica che permette di passare dalla configurazione Basic NAT a quella di NAPT Network Address Translator Scopi e Problematiche Caratteristiche del NAPT (Network Address Port Translation) Consente di: • Condividere un unico indirizzo pubblico tra più host privati – Multiplando più sessioni – Sfruttando le diverse porte associate ad ogni sessione Più precisamente: HOST Esiste una corrispondenza (Local IP Address, local TCP/UDP Port Number) NAPT ROUTER (Registered IP Address, Assigned TCP/UDP Port Number) Network Address Translator Scopi e Problematiche Fasi di traduzione per la sessione La traduzione di una sessione si articola in tre fasi: ● ● ● Associazione dell’indirizzo – Basic NAT: l’indirizzo privato è associato ad un indirizzo pubblico – NAPT: gli indirizzi privati sono associati ad un unico indirizzo pubblico sfruttando il meccanismo delle porte Address lookup e traduzione: si procede ad individuare la sessione del pacchetto e si procede alla traduzione degli indirizzi Rilascio dell’indirizzo associato: quando l’ultima sessione termina, viene rilasciata l’associazione Network Address Translator Scopi e Problematiche Elementi traducibili di un pacchetto Gli elementi traducibili sono: ● Manipolazione degli header IP, TCP, UDP e ICMP ● Adattamento dei checksum ● Modifica dei pacchetti di errore ICMP ● Supporto per FTP ● Supporto per DNS Network Address Translator Scopi e Problematiche Manipolazione degli header IP, TCP, UDP e ICMP ● ● ● IP: – Basic NAT: si modificano gli indirizzi – NAPT: si modificano gli indirizzi TCP/UDP: – Basic NAT: aggiornamento del checksum nell’header – NAPT: estendere le modifiche alle porte ICMP: – Basic NAT: nessuna modifica, gli header non contengono indirizzi IP – NAPT: è necessario correggere gli header ed i relativi checksum Network Address Translator Scopi e Problematiche Adattamento dei checksum Le modifiche riguardano il singolo pacchetto operazioni intensive Quindi Si deve utilizzare un algoritmo efficiente Modifica dei pacchetti di errore ICMP Sono necessarie tre modifiche: ● Indirizzo IP contenuto dell’IP header incapsulato nel payload ● Checksum dell’header IP ● Checksum del messaggio ICMP Network Address Translator Scopi e Problematiche Supporto per FTP E’ necessario utilizzare un ALG per: ● Controllare payload ● Intercettare parametri ● Correggere le sequenze e gli acknowledge dei pacchetti TCP, utilizzando una tabella specifica Supporto per DNS Anche in questo caso è necessario l’utilizzo di un ALG Network Address Translator Scopi e Problematiche Problematiche del Traditional NAT ● ● ● Suddivisione tra indirizzi locali e globali: l’indirizzo deve essere esclusivamente privato o pubblico Raccomandazioni sullo spazio di indirizzamento privato: esistono tre tipologie di indirizzi utilizzabili all’interno di una rete privata, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 Swicth-over tra Basic NAT e NAPT: il passaggio improvviso dalla configurazione Basic NAT a NAPT da parte di un’applicazione può provocare problemi Deve essere gestito in modo trasparente Network Address Translator Scopi e Problematiche Limitazioni ● ● ● Privacy e sicurezza: rende difficile l’individuazione di un particolare host e quindi del debugging Risposte ARP e NAT: problematiche se un router con NAT abilitato è connesso direttamente ad una LAN. Infatti, potrebbe non fornire risposte ARP per gli host della sua sottorete gli host della sottorete diventano irraggiungibili Traduzione dei pacchetti TCP/UDP frammentati in NAPT: la traduzione può fallire perché solo il primo frammento contiene intestazioni TCP/UDP necessarie per associare il pacchetto alla sessione. Network Address Translator Scopi e Problematiche Implementazioni Sono disponibili molte implementazioni, sia commerciali che con licenza GNU. Network Address Translator Scopi e Problematiche Corso di Infrastrutture e servizi per reti geografiche - 01GQB di Vincenzo Buttazzo e Marco Vallini NAT - Terminology and Considerations Traditional NAT NAT - Protocol Translation Architectural Implications of NAT Network Address Translator Scopi e Problematiche Architectural Implications of NAT ● Introduzione ● Il modello End2End ● Vantaggi derivanti dall'uso dei NAT ● Problemi con i NAT ● Scenari ● Considerazioni sulla sicurezza Network Address Translator Scopi e Problematiche I redattori della prima raccomandazione sui NAT scrissero: “I NAT possiedono alcune caratteristiche negative che li rendono inappropriati per soluzioni a lungo termine e potrebbero renderli inappropriati anche per soluzioni a breve termine”. Malgrado questo hanno avuto una grande diffusione in Internet Network Address Translator Scopi e Problematiche Ci sono due correnti di pensiero: I NAT sono utili e bisogna continuare ad usarli. Hanno dimostrato la trasparenza per le applicazioni principali di Internet (Web, eMail) Non sono una soluzione definitiva perché non perfettamente trasparenti. Sono un artificio senza un futuro solido Network Address Translator Scopi e Problematiche Probabilmente la realtà si pone a metà strada In ogni caso il problema sarà risolto con l'introduzione di Ipv6 E' certo che contrastano con alcuni principi di Internet Network Address Translator Scopi e Problematiche Il modello End-to-End Le proprietà fondamentali di questo modello sono: ● Fate-sharing ● Rete senza stato ● Intelligenza periferica Network Address Translator Scopi e Problematiche Fate-sharing Ovvero la condivisione del destino ● ● Lo stato di una comunicazione è determinato solo dai due punti estremi La comunicazione si interrompe solo se si “guasta“ uno di questi due punti Network Address Translator Scopi e Problematiche Rete senza stato La comunicazione non richiede la memorizzazione di informazioni di stato all'interno della rete ● In caso di guasto di un nodo della rete le informazioni di stato ivi contenute dovrebbero essere spostate su un'altro nodo, cosa di difficilmente realizzabile in modo efficiente Network Address Translator Scopi e Problematiche Intelligenza periferica Tutte le informazioni sulla comunicazione sono contenute negli estremi ● ● In caso contrario i nodi centrali dovrebbero gestire un numero elevato di comunicazioni Se la rete cresce, i nodi centrali finiscono per essere sottodimensionati rispetto al lavoro che devono fare Network Address Translator Scopi e Problematiche I NAT infrangono i principi End-to-End di Internet ● ● Diminuisce la flessibilità della rete Alcune applicazioni non possono essere usate (IPsec, DNSsec, altre che richiedono un indirizzo globale...) Network Address Translator Scopi e Problematiche I vantaggi dei NAT ● ● ● Maschera i cambi di ISP o i cambi degli indirizzi dell'ISP Sono utili per assegnare indirizzi globali a utenti ad accesso intermittente Facile installazione grazie all'interfaccia nota Network Address Translator Scopi e Problematiche I vantaggi dei NAT ● ● ● Si evitano reti locali con indirizzi globali a lunghezza variabile Applicazioni che non richiedono l'integrità del pacchetto IP non hanno bisogno di modifiche Possono svolgere la funzione di Firewall per le connessioni in ingresso ...inoltre... Network Address Translator Scopi e Problematiche ● ● ● Eliminando nodi che non sono attivi in un determinato istante riduce la richiesta di indirizzi pubblici e si prolunga la vita di IPv4 e si facilita il lavoro di routing Lo spazio di indirizzamento della rete privata potrà essere molto più ampia del numero di indirizzi pubblici a disposizione Si possono realizzare le server-farm Network Address Translator Scopi e Problematiche Problemi con i NAT ● ● ● Spezzano il modello End-to-End e quindi riducono la flessibilità di Internet Creano un'ulteriore nodo da cui dipende la connessione Impediscono meccanismi di sicurezza a livello IP Network Address Translator Scopi e Problematiche ● ● ● Permettono l'assegnazione arbitraria degli indirizzi in ambito locale. Può essere causa di collisioni quando si fondono due reti Le versioni a Livello 4 aumentano la complessità quando nella rete privata sono presenti server pubblici Alcuni prodotti possono implementare NAT senza definirsi come tali Network Address Translator Scopi e Problematiche ● ● I NAT ipotizzano che ogni sessione sia indipendente dalle altre, cosa che con FTP e H.323 non è vera Non prevedono che l'indirizzo IP sia in punti diversi dall'intestazione (in questo caso serve un Application Layer Gateway, un dispositivo di Livello 7) Network Address Translator Scopi e Problematiche ● Usando i NAPT (NAT di Livello 4) associano un terminale locale con una porta (nota) dell'indirizzo pubblico. Ciò può essere motivo di rallentamento della rete in questione Network Address Translator Scopi e Problematiche Scenari ● Singolo punto di rottura ● Complessità degli ALG ● Violazioni degli stati di TCP ● Gestione simmetrica degli stati Network Address Translator Scopi e Problematiche Singolo punto di rottura ● Se L'AD1 è un NAT: le connessioni in corso vengono interrotte e quelle successive passeranno da AD2 Network Address Translator Scopi e Problematiche Singolo punto di rottura ● ● Le connessioni possono essere recuperate solo se AD1 passa tempestivamente le informazioni all'AD2 Se gli AD fossero dei normali router si adatterebbero alla mutata situazione automaticamente e senza ripercussioni sulle comunicazioni in corso Network Address Translator Scopi e Problematiche Complessità degli ALG ● I NAT/ALG possono mascherare l'eterogeneitàdi software presente in reti locali (es.per aggiornamenti) che comunicano tra di loro Network Address Translator Scopi e Problematiche Complessità degli ALG ● Due Host richedono un servizio al Web Server in tempi diversi comunicando attraverso un NAT Network Address Translator Scopi e Problematiche ● ● ● L'Host A esegue una richiesta e di disconnette L'Host B esegue una richiesta casualmente sulla stessa porta locale di quella precedente eseguita dall'Host A e il NAT gli assegna lo stesso indirizzo Al Web Server risulterà la stessa tupla TCP (IP+Porta locale/remota) in meno di 4 minuti, ovvero una situazione irregolare Network Address Translator Scopi e Problematiche ● Un nuovo tentativo di B andrà a buon fine ● E' una situazione irregolare occasionale ● Il problema non può essere risolto Network Address Translator Scopi e Problematiche Gestione simmetrica degli stati ● I dispositivi a stati come i NAT pongono meno problemi se i pacchetti attraversano lo stesso nodo in entrambi i versi Network Address Translator Scopi e Problematiche ● ● ● I Router 1 e 2 utilizzano il NAT 1 per accedere alla rete pubblica Se si rompe X1 l'Host B invierà attraverso il NAT2 Le riposte però continueranno a passare per il NAT1 e non raggiungeranno l'Host B ● Senza NAT il problema non si pone ● La ridondanza di NAT è INUTILE Network Address Translator Scopi e Problematiche ● Se si rompe X2 e l'Host D tenta di raggiungere l'Host B ● Le richieste passeranno da NAT2 ● Le risposte passeranno da NAT1 ● La comunicazione non è possibile Network Address Translator Scopi e Problematiche ● Se si rompono X1 e X2 ● L'Host B può raggiungere l'Host D ● L'Host A non può raggiungere l'Host D ● La situazione è caotica: A e B possono raggiungere la rete pubblica (attraverso NAT diversi), ma solo B raggiunge D Network Address Translator Scopi e Problematiche Considerazioni sulla sicurezza ● ● I NAT e i NAPT tendono ad abbassare la sicurezza media della rete perché hanno una funzione protettiva senza la robustezza dei firewall Impedisce sistemi di sicurezza come IPsec Network Address Translator Scopi e Problematiche IPsec prevede l'integrità del pacchetto IP, ma i NAT devono modificarlo, quindi: ● ● Non è possibile proteggere l'IP dell'intestazione con cifrature Non possibile i certificati d'autenticazione che contengono l'indirizzo IP perché questo cambia Network Address Translator Scopi e Problematiche ● ● L'Encrypted Quick Mode contiene anch'esso l'indirizzo IP e il numero di porta Anche il Revised Mode a chiave pubblica codificata contiene l'identità del peer I NAT pongono seri ostacoli alla diffusione di queste tecnologie Network Address Translator Scopi e Problematiche ● ● Sistemi come TSL, SSL, SSH possono essere utilizzati perché non utilizzano l'IP come identificatore Altre applicazioni richiedono la cifratura del pacchetto TCP/IP Network Address Translator Scopi e Problematiche Corso di Infrastrutture e servizi per reti geografiche - 01GQB di Vincenzo Buttazzo e Marco Vallini NAT - Terminology and Considerations Traditional NAT NAT - Protocol Translation Architectural Implications of NAT Network Address Translator Scopi e Problematiche NAT-PT Network Address Translation – Protocol Translation ● Introduzione ● Basic-NAT-PT - Connessione da IPv6 verso IPv4 ● NAPT-PT - Connessione da IPv6 verso IPv4 ● NAPT-PT - Connessione da IPv4 verso IPv6 ● Uso di DNS-ALG per l'assegnamento degli indirizzi ● ● Assegnamento di indirizzi V4 per connessioni entrant ● Vulnerabilità ● Assegnamento di indirizzi V4 per connessioni uscenti Problematiche derivanti dall'uso di NAT-PT Network Address Translation Protocol Translation ● IPv4 è virtualmente sfruttato oltre il suo limite di indirizzamento ● IPv4 impedisce tecniche di routing aggressivo ● IPv4 è vecchio (inizi anni '70) ● IPv6 ha uno spazio di indirizzamento più ampio ● IPv6 permette nuove tecniche di routing Network Address Translation Protocol Translation Occorre gestire il periodo di transizione per collegare la nuova rete IPv6 alla vecchia rete IPv4 Ci sono diverse soluzioni: ● Macchine Dual-Stack ● Tunneling ● NAT-PT Network Address Translation Protocol Translation NAT-PT è semplice e richiede pochi adattamenti dei dispositivi esistenti Si basa su tecnologie esistenti: ● NAT per la traduzione degli indirizzi ● SIIT per la traduzione tra IPv4 e IPv6 e viceversa Traduce indirizzi come un NAT, ma traduce anche il protocollo Network Address Translation Protocol Translation Come per i NAT ne esistono due categorie ● ● BASIC-NAT-PT associa un indirizzo IPv4 a un host IPv6 in modo univoco NAPT-PT associa più indirizzi IPv6 a un solo indirizzo IPv4 sfruttando il livello 3 (TCP/UDP) Network Address Translation Protocol Translation Basic-NAT-PT Associa un indirizzo V4 a un host V6 in modo statico o dinamico ● ● Statico – L'associazione non cambia nel tempo Dinamico – L'associazione viene stabilita ad ogni sessione Network Address Translation Protocol Translation Scenario: Un host V6 deve mandare un pacchetto a un host V4 con BASIC-NAT-PT Intestazione generata dal Nodo-A SA=FEDC:BA98::7654:3210 DA=PREFIX::132.146.243.30 Dopo la modifica del NAT-PT SA=120.130.26.10 DA=132.146.243.30 Risposta modificata dal NAT-PT SA=PREFIX::132.146.243.30 DA=FEDC:BA98::7654:3210 Network Address Translation Protocol Translation NAPT-PT Permettono di associare più indirizzi IPv6 a un'unico IPv4 modificando la porta TCP/UDP Un solo indirizzo V4 potrà servire a 63k connessioni TCP e 63k connessioni UDP. Servono molti meno indirizzi V4 Non può essere applicato per le connessioni entranti su porte note. Network Address Translation Protocol Translation Scenario: Un host V6 deve mandare un pacchetto a un host V4 con NAPT-PT Intestazione generata dal Nodo-A SA=FEDC:BA98::7654:3210 / Porta TCP=3017 DA=PREFIX::132.146.243.30 / Porta TCP=23 Dopo la modifica del NAT-PT SA=120.130.26.10 / Porta TCP=1025 DA=132.146.243.30 / Porta TCP=23 Risposta modificata dal NAT-PT SA=PREFIX::132.146.243.30 / Porta TCP=23 DA=FEDC:BA98::7654:3210 / Porta TCP=3017 Network Address Translation Protocol Translation Scenario: Un host V4 deve mandare un pacchetto a un host V6 con NAPT-PT Intestazione generata dal Nodo-C SA=132.146.243.30 / Porta TCP=1025 DA=120.130.26.10 / Porta TCP=80 Dopo la modifica del NAT-PT SA=PREFIX::132.146.243.30 / Porta TCP=1025 DA=FEDC:BA98::7654:3210 / Porta TCP=80 Al nodo A vengono inoltrati tutti i pacchetti ricevuti sulla porta 80 Network Address Translation Protocol Translation Uso di DNS-ALG per l'assegnamento degli indirizzi Anche i pacchetti DNS devono entrare nella rete Ipv6 Serve un ALG (Application Level Gateway) che traduca opportunamente i pacchetti DNS Network Address Translation Protocol Translation Assegnamento di indirizzi V4 per connessioni entranti ● ● Il NAT-PT riceve un pacchetto DNS (Porta 53) 1. Per le richieste di risoluzione da Nome a Indirizzo del nodo: modifica della richiesta da tipo 'A' a tipo 'AAAA' o 'A6' 2. Per le richieste di risoluzione da Indirizzo a Nome del nodo: sostituzione della stringa "INADDR.ARPA" con la stringa "IP6.INT" e dell'indirizzo V4 che precede la detta stringa con il corrispondente indirizzo V6 Network Address Translation Protocol Translation Allo stesso modo dovrà essere trattata la risposta del DNS nella rete V6 e diretta ai DNS della rete V4: ● 1. Traduzione dei record di tipo 'AAAA' o 'A6' in record di tipo 'A'. Se la risoluzione dell'indirizzo è completa è necessario tradurre solo i record di tipo 'A6' 2. Traduzione dell'indirizzo V6 risolto dal DNS con l'indirizzo V4 assegnato dal NAT-PT. Nel caso in cui il NAT-PT non ha ancora assegnato nessun IPv4 all'indirizzo V6 risolto dal DNS della rete V6 ne viene assegnato uno Network Address Translation Protocol Translation Richiesta DNS dalla rete V4 IPv6-A AAAA FEDC:BA98::7654:3210 Il DNS-ALG modifica il pacchetto IPv6-A A 120.130.26. e inizializza la sessione Pacchetto inviato dal Nodo C SA=132.146.243.30 / Porta TCP=1025 DA=120.130.26.1 / Porta TCP=80 Traduzione da parte del NAT basandosi sui dati di sessione SA=PREFIX::132.146.243.30 / Porta TCP=1025 DA=FEDC:BA98::7654:3210 / Porta TCP=80 Il sistema è suscettibile ad attacco DOS! Network Address Translation Protocol Translation Assegnamento di indirizzi V4 per connessioni uscenti I DNS della rete V6 possono contenere informazioni sugli indirizzi della rete V4 (ma non vicecersa) In caso contrario è necessario attraversare il NAT ● ● Risposta del DNS della rete V4 IPv4-C A 132.146.243.30 Traduzione del DNS-ALG IPv4-C AAAA PREFIX::132.146.243.30 oppure IPv4-C A6 PREFIX::132.146.243.30 Network Address Translation Protocol Translation I NAT-PT pongono gli stessi problemi dei NAT. I NAT-PT sono incompatibili col protocollo DNSSEC (DNS secure)