Sei sulla pagina 1di 15

2

Com o nascimento e popularização da web, a partir do início da década de 1990,


ficou claro que o espaço de endereçamento IP não seria suficiente para acomodar
todos os dispositivos que buscavam entrar na rede.
O crescimento contínuo das redes, desde então, resultou em uma pressão cada vez
maior sobre o espaço de endereço IPv4, gerando a necessidade de evitar o
esgotamento até que as soluções de longo prazo fossem adotadas (o IPv6). O
Network Address Translation (NAT) tem sido essa solução paliativa.
O NAT estabeleceu-se como a solução amplamente implementada nas redes
corporativas. Muitas variações de NAT foram desenvolvidas, conservando o espaço
de endereço público e ao mesmo tempo permitindo a comunicação contínua com a
rede pública. Esta seção apresenta o conceito de NAT, com exemplos de métodos
NAT comuns aplicados para manter a comunicação entre a rede corporativa e o
domínio da rede pública.
Após completar esta seção, você será capaz de:
 Listar as diferentes formas de NAT.
 Explicar o comportamento geral do NAT.
 Configurar o NAT para atender aos requisitos do aplicativo.

3
Tanenbaum (2011) tece um raciocínio simples acerca do esgotamento do espaço
de endereçamento do protocolo IPv4. Com pouco mais de quatro bilhões de
endereços disponíveis, a princípio este espaço parece ser suficiente. De fato,
quando dos primórdios da internet — quando apenas algumas universidades tinham
menos de uma dezena de computadores conectados à rede, o número parecia
enorme. Mas se adiantarmos essa “fita” para os dias de hoje, temos um cenário
brutalmente diferente:
 Lares com renda de classe média-baixa para cima têm pelo menos um
computador conectado à internet, com as classes média-média e superiores
tendo dois ou mais dispositivos conectados.
 Os smartphones e tablets, tirando vantagem dos protocolos móveis 3G e 4G,
são formas baratas e rápidas de se manter conectado, com centenas e
centenas de milhões de aparelhos já conectados.
 Empresas a partir de certo porte já têm um computador em média por
funcionário, todos conectados à rede.
Esse cenário deixa claro: o esgotamento do espaço de endereçamento do IPv4 seria
só uma questão de tempo. De fato, o endereçamento IPv4 já enfrentou o
esgotamento, anunciado pela IANA (Internet Assigned Numbers Authority), o órgão
da indústria responsável pela alocação de endereçamento global.

4
Como lembra o próprio Tanenbaum (2011), o problema do esgotamento tende a ser
resolvido com o IPv6, mas a adoção deste protocolo com um espaço de
endereçamento de 2128 endereços é lenta, e o problema precisa ser resolvido de
imediato.
Entra em cena, então, o Network Address Translation – NAT (ou Tradução de
Endereços de Rede, em português), um mecanismo que, segundo Javvin
Technologies (2005), é um mecanismo que permite remapear um intervalo de
endereçamento oficial (externo, com validade em toda a Internet) em outro intervalo
com validade apenas interna à rede que o adota. A Figura 1 a seguir ilustra esse
conceito:
Figura 1| Os domínios privado e público

Fonte: adaptado de Huawei (2017).

O Network Address Translation (NAT) utiliza o limite naturalmente estabelecido pelo


roteador para identificar os domínios de rede que devem ser traduzidos. Os
domínios são classificados como redes privadas (internas) ou redes públicas ou
globais (externas) entre as quais o NAT, isto é, o processo de tradução é executado.
O princípio é recepção de tráfego com um endereço de origem que está na rede
privada e um endereço de destino que representa uma localização além do domínio
da rede privada. A Figura 2 a seguir ilustra os conceitos de rede privada (interna) e
rede pública global (externa):

5
Figura 2 | Rede interna e rede global

Fonte: adaptado de Huawei (2017).

O roteador é quem implementa o NAT para traduzir o endereço privado para um


endereço público, a fim de permitir que o endereço de destino público receba um
endereço público de retorno válido através do qual os pacotes recebidos podem ser
respondidos. O NAT também deve criar uma tabela de mapeamento dentro do
gateway (roteador) para autorizar que este gateway determine para qual endereço
privado um pacote recebido da rede pública deve ser enviado, exigindo novamente
a tradução do endereço a ser executada ao longo do caminho de retorno.
Várias implementações de NAT são possíveis e podem ser aplicadas a uma
variedade de situações diferentes. O NAT Estático representa um mapeamento
direto de endereços, na modalidade um-para-um, que permite que o endereço IP de
um sistema final específico seja traduzido para um endereço público específico. A
Figura 3 a seguir ilustra esse conceito:
Figura 3 | O NAT Estático

Fonte: adaptado de Huawei (2017).

6
De maneira geral, o mapeamento um-para-um de NAT estático não faz nada para
aliviar a falta de endereço, no entanto, é aplicável em casos em que um host pode
desejar ter certos privilégios associados a um endereço para o qual está
estaticamente associado. Este mesmo princípio também pode se aplicar aos
servidores que possam ser alcançados a partir da rede externa por um endereço
público específico.
Na Figura 3, os pacotes originários de 192.168.1.1 têm como destino o endereço da
rede pública 1.1.1.1. O Roteador A (gateway de rede) cria um mapeamento entre o
endereço particular 192.168.1.1 e o endereço público 200.10.10.5, aquele de origem
do pacote antes de ser encaminhado pelo gateway. Qualquer pacote de retorno será
enviado como resposta com o endereço de destino de 200.10.10.5, que o gateway
receberá e executará a tradução estática antes de encaminhar o pacote ao host
associado do 192.168.1.1. O mapeamento estático de endereços não requer uma
gestão real da alocação de endereços para usuários, uma vez que o endereçamento
é atribuído manualmente.
Já o NAT Dinâmico funciona com base no princípio dos pools de endereços. Por
este mecanismo, os hosts internos que desejam encaminhar tráfego através da rede
pública são capazes de se associar a um endereço público contido em um pool de
endereços. Os hosts que precisam se comunicar com destinos no domínio da rede
pública devem se associar a um endereço público exclusivo que pode ser alcançado
a partir do intervalo do público do pool. A Figura 4 a seguir ilustra esse conceito:
Figura 4 | O NAT Dinâmico

Fonte: adaptado de Huawei (2017).

7
Um endereço é atribuído a partir do pool de endereços do servidor NAT, pois cada
host tenta encaminhar o tráfego para um destino de rede pública. O número de
endereços IP de propriedade do servidor NAT é muito inferior ao número de hosts
internos porque nem todos eles acessam redes externas ao mesmo tempo. O
número de endereços no pool geralmente é determinado de acordo com o número
de hosts internos que acessam redes externas nas horas de pico.
A Figura 4 demonstra um caso em que dois hosts internos geram pacotes
destinados ao destino 1.1.1.1/24. Para cada host interno é alocado um endereço
exclusivo do pool de endereços, para permitir que cada host seja distinguido na rede
pública, de forma que um host não seja confundido com o outro. Terminada a
comunicação, ou seja, uma vez que a comunicação com a rede pública não é mais
necessária, o mapeamento de endereços será removido para permitir que o
endereço público seja retornado ao pool de endereços para reutilização futura.
Além da tradução de endereços n-para-n encontrados no NAT dinâmico, a tradução
de porta de endereço de rede (Network Address Port Translation – NAPT) pode ser
usada para implementar a tradução simultânea de endereços. O NAPT permite que
vários endereços internos sejam mapeados para o mesmo endereço público. Este
processo também é chamado de tradução de endereços de vários pontos ou de
multiplexação de endereços.
Em resumo: o NAPT mapeia endereços e interfaces IP. Os datagramas de diferentes
endereços internos são mapeados para interfaces com o mesmo endereço público
e números de porta diferentes, ou seja, os datagramas compartilham o mesmo
endereço público. A Figura 5 a seguir ilustra esse conceito:

8
Figura 5 | O NAPT

Fonte: adaptado de Huawei (2017).

Na Figura 5 temos que o roteador recebe um pacote de solicitação enviado pelo


host na rede privada para acessar o servidor na rede pública. O endereço IP de
origem do pacote é 192.168.1.1 e seu número de porta é 1025. O roteador seleciona
um endereço IP público ocioso e um número de porta ocioso do pool de endereços
IP e configura entradas NAPT diretas e reversas que especificam o mapeamento
entre o endereço IP de origem e número de porta do pacote e o endereço IP público
e o número da porta. O roteador traduz o endereço IP da fonte/número da porta para
o endereço IP público/número da porta com base na entrada NAPT direta. Realizada
essa tradução, o roteador envia o pacote para o servidor na rede pública. Após a
tradução, o endereço IP da fonte do pacote é 200.10.10.11, e seu número de porta
é 2843.
O Easy IP (ou, em português, IP Fácil) é um mecanismo aplicado onde hosts em
redes locais (LANs) de pequena escala requerem acesso à rede pública ou à
internet. LANs em pequena escala geralmente são implantados, sendo que apenas
alguns hosts internos são usados e a interface de saída obtém um endereço IP
público temporário por meio de acesso telefônico. O endereço IP público temporário
é usado pelos hosts internos para acessar a internet. O IP fácil permite que os hosts
acessem a internet usando este endereço público temporário. A Figura 6 a seguir
ilustra esse conceito:

9
Figura 6 | O Easy IP

Fonte: adaptado de Huawei (2017).

Na Figura 5 temos que o roteador recebe um pacote de solicitação enviado do host


na rede privada para acessar um servidor na rede pública. O endereço IP de origem
do pacote neste caso é 192.168.1.1 e seu número de porta é 1025. O roteador
configura as entradas Easy IP “para frente” e “para trás” que especificam o
mapeamento entre o endereço IP de origem/número da porta interna e o endereço
IP público/número da porta da interface conectada à rede pública. O roteador traduz
o endereço IP da origem/número da porta para o endereço IP público/número da
porta e envia o pacote para o servidor na rede pública. Após a tradução, o endereço
IP de origem é 200.10.10.1 e seu número de porta é 2843.
Depois de receber uma resposta do servidor, o roteador consulta a entrada de Easy
IP reversa (“para trás”), com base no endereço IP de destino/número da porta. O
roteador traduz o endereço IP de destino/número da porta para o endereço IP
privado/número da porta do host na rede privada e envia o pacote para o host. Após
a tradução, o endereço IP de destino é 192.168.1.1 e seu número de porta é 1025.
O NAT pode proteger hosts em redes privadas de usuários de redes públicas,
oferecendo uma fina camada de segurança à rede. Esta segurança é tratada como
insuficiente por Davis (2016), uma vez que a parte do obscurecimento dos
endereços internos da rede o NAT não protege contra uma miríade de ataques, que
carecem de outras técnicas e equipamentos para serem evitados.
Ainda assim, quando uma rede privada precisa fornecer serviços, como web e FTP
para usuários de redes públicas, os servidores da rede privada devem estar

10
acessíveis aos usuários de rede pública a qualquer momento, sem terem seus
endereços internos expostos na rede.
O servidor NAT pode resolver este problema, traduzindo o endereço IP público e o
número da porta para o endereço IP privado e o número da porta com base no
mapeamento pré-configurado. A Figura 7 a seguir ilustra esse conceito:
Figura 7 | Protegendo os endereços internos

Fonte: adaptado de Huawei (2017).

Na Figura 7, os dados para a tradução de endereço do servidor NAT são


configurados no roteador. Após esta configuração, quando o roteador recebe uma
solicitação de acesso enviada de um host na rede pública, realiza uma consulta à
sua tabela de tradução com base no endereço IP de destino do pacote e no número
da porta. O roteador traduz o endereço IP de destino do pacote e o número da porta
para o endereço IP privado e o número da porta com base na entrada de tradução
de endereços e envia o pacote para o servidor na rede privada. O endereço IP de
destino do pacote enviado pelo host na rede pública é 200.10.10.5 e o número da
porta de destino de 80. Após a tradução ser realizada pelo roteador, o endereço IP
de destino do pacote é 192.168.1.1, e é o seu número da porta é 8080. Depois de
receber um pacote de resposta enviado do servidor na rede privada, o roteador
consulta novamente a tabela de tradução de endereços com base no endereço IP e
no número da porta do pacote. O roteador traduz o endereço IP de destino e o
número da porta para o endereço IP público e o número da porta com base na tabela
de tradução de endereços e envia o pacote para o Host na rede pública. A origem
do pacote de resposta enviado do host na rede privada é 192.168.1.1 e seu número
de porta é 8080. Após a tradução pelo roteador, o endereço IP de origem do pacote
é 200.10.10.5 e o número da porta é novamente porta 80. Dessa maneira, o
endereço do servidor é protegido, não sendo de conhecimento externo à rede local.

11
Questão 1
Enunciado: Assinale a alternativa que contém o principal motivador para a adoção
do NAT nas redes locais:
a) A insuficiência de endereços do protocolo IPv6.
b) A necessidade de que todos os endereços internos sejam visíveis externamente.
c) O esgotamento do espaço de endereçamento do protocolo IPv4.
d) A necessidade de mais velocidade de comunicação com a rede externa.
e) A necessidade de que a rede interna não se comunique com a rede externa.

Alternativa Correta: C
Resposta Comentada: O esgotamento do espaço de endereçamento do protocolo
IPv4 provocou a necessidade de soluções que permitissem a expansão das redes
sem que este espaço fosse rapidamente esgotado. Com a adoção do NAT, alguns
poucos endereços externos (com validade na internet) podem ser usados para
mapear milhares de endereços internos, que só têm validade dentro da LAN.

12
Questão 2
Enunciado: Assinale a alternativa que apresenta o mecanismo que permite a
implantação do NAT dinâmico:
a) A atribuição estática de endereços.
b) O acoplamento de endereços e portas.
c) O protocolo IPv6.
d) Os pools de endereço.
e) O roteamento de VLANs.

Alternativa Correta: D
Resposta Comentada: O NAT dinâmico funciona com base no princípio dos pools
de endereços. Por este mecanismo, os hosts internos que desejam encaminhar
tráfego através da rede pública são capazes de se associar a um endereço público
contido em um pool de endereços. Os hosts que precisam se comunicar com
destinos no domínio da rede pública devem se associar a um endereço público
exclusivo que pode ser alcançado a partir do intervalo do público do pool.

13
DAVIS, R. The myth of network address translation as security. Disponível em
<https://f5.com/resources/white-papers/the-myth-of-network-address-translation-
as-security>. Acesso em: 1º mar. 2018.

HUAWEI. Entry training materials. Shenzen: Huawei, 2017.

JAVVIN TECHNOLOGIES. Network protocols handbook. Nova York: Javvin


Technologies, 2005.

TANENBAUM, A. Redes de computadores. 5. ed. Rio de Janeiro: Campus, 2011.

14
15

Potrebbero piacerti anche