Network Address Translation (NAT)

Pessoal,

Segue um pequeno resumo sobre NAT e DMZ.

Esse resumo é um trecho do material de Segurança da Informação para Polícia Federal  – Perito Criminal Federal – Área 3: Computação, que está disponível no meu site (http://socratesfilho.wordpress.com).

Clique aqui para obter mais informações sobre o material!

Network Address Translation (NAT)

NAT é uma função desempenhada pelo gateway da rede, com objetivo de fazer a tradução de endereços de uma rede interna para uma rede externa. O NAT é muito utilizado atualmente devido ao crescimento explosivo da Internet, o que provocou o esgotamento do número endereços IP versão 4 disponíveis. A saída é definir um esquema de endereçamento para a rede interna usando uma das três faixas de endereço disponibilizadas (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16), e usar um bastion host para fazer a tradução dos pacotes IP entre as duas redes.
O bastion host que implementa o NAT recebe todas os pacotes com requisições internas, e traduz o endereço de origem para um endereço que ele usa na rede externa. Os pacotes IP de resposta tem seu o endereço de origem traduzido para um endereço IP usado na rede interna pela estação guardiã.

napt

O NAT pode ser classificado como:

  • NAT one-to-one: cada endereço IP interno é mapeado para um outro endereço IP externo;
  • NAT simétrico: todo endereço IP interno é mapeado para um único endereço IP externo;
  • NAT stateless: não há armazenamento da informação de estado das conexões;
  • NAT statefull (SNAT): as informações do estado das conexões é mantido.

Na implementação mais comum, que é o NAT simétrico, temos algumas vantagens:

  • a organização que utiliza o NAT só vai precisar fazer o registro de um endereço IP externo, para gerenciar a sua rede;
  • endereço IP dos hosts da rede não são divulgados, diminuindo o risco de um ataque direto a um host;
  • a rede IP interna pode sofrer modificações sem interferir no endereçamento externo da rede;
  • pode funcionar em conjunto com os sistemas de firewall na mesma estação.

Ao NAT, pode ser agregado o serviço Network Address Port Translation (NAPT ou PAT), que faz a conversão de portas de rede. O seu uso é interessante para o fornecimento der proteção adicional, pois é possível fazer o remapeamento das portas de alguns protocolos ou aplicações conhecidas para outras portas, dificultando ainda mais a sua descoberta.

Demilitarized Zone (DMZ)

Em segurança da informação, a DMZ (ou Rede de Perímetro) é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet. A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, e-mail, etc) separados da rede local, de forma a limitar assim o potencial dano em caso de comprometimento de algum destes serviços por um ataque. Para isso, os computadores presentes em uma DMZ não devem permitir o acesso à rede local.

Diagrama_DMZ

A configuração é realizada através do uso de equipamentos de firewall, que vão realizar o controle de acesso entre a rede local, a internet e a DMZ. As duas configurações mais comuns são:

  • Uso de um único firewall para separação e controle da rede interna, da DMZ e da Internet: Nesse caso, o próprio firewall se torna um ponto único de falha, de forma que o acesso de toda a rede seja comprometido em caso de queda;

640px-DMZ_network_diagram_1_firewall

  • Uso de dois firewalls, um para separação entre a rede local e a DMZ (back-end firewall) e outro para a separação dessas redes e a Internet (front-end firewall): Nesse caso, uma falha no firewall back-end só compromete o acesso da rede local, não afetando o funcionamento dos servidores da DMZ para a Internet. Uma falha no firewall front-end prejudica o acesso à Internet, mas não interrompe a conexão entre a rede interna e a DMZ. Recomenda-se que o firewall front-end tenha capacidade de processamento maior que o firewall back-end.

640px-DMZ_network_diagram_2_firewall

Um abraço a todos!

»crosslinked«

Sócrates Filho

Analista de Finanças e Controle da CGU; Futuro Auditor Federal de Controle Externo do TCU; Professor do Ponto dos Concursos na área de TI.

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *