X. ПРАВИЛА РАСПРОСТРАНЕНИЯ NAT-МОДУЛЕЙ В
INTERNET-СЕТИ
У, что NAT-модули продолжают распространяться в Internet-сети с довольно приличной скоростью, далее перечислены некоторые правила, которые по своей сути являются и предостерегающими, и рекомендательными:
µ определить способ получения IP-адресов по DNS-именам и обеспечить гарантированное получение необходимого ответа на каждый запрошеный IP-адрес у соответствующей DNS-администрации. Встроенный в NAT-модуль DNS-сервер или DNS-ALG-субмодуль будет, скорее всего, более управляемым, нежели попытки синхронизировать независимые DNS-системы, принадлежащие различным DNS-администрациям;
µ определить настройку NAT-модуля: статическое или динамическое однозначное отображение IP-адресов. Если динамическое: убедиться, что TTL для ответных DNS-сообщений имеет значение “0”, и что DNS-клиенты уделяют внимание тому, чтобы служебные DNS-сообщения не хранились в кэш-памяти;
µ определить разновидность используемого NAT-модуля: одиночный или параллельный (на несколько маршрутов). Если одиночный, то тогда учитывайте то, что NAT-модуль будет вносить сбои в работе системы. Если многомаршрутный, необходимо определить как настроить маршрутизаторы с обеих стороны NAT-модуля, чтобы поток IP-пакетов гарантированно проходил через один и тот же NAT-модуль в течении всех сеансов связи, инициированных прикладными службами (процессами);
µ проверить прикладные службы, которым необходим для пробразования IP-адресов NAT-модуль, и проверить их иммунитет к трансляции IP-адресов. Если необходимо, использовать ALG-субмодуль или сформировать VPN-интерфейс для изоляции прикладной службы от NAT-модуля;
µ установить необходимость в установлении соединений со стороны IP-узлов сети общего пользования с корпоративными IP-узлами, перечень корпоративных IP-узлов получателей сообщений, переданных IP-узлами сети общего пользования, и возможность одновременного использования номеров портов транспортного уровня в сети общего пользования. Если используются NAPT-модули, то они усложняют процедуры администрирования;
µ если сообщения прикладных служб транслируются через NAPT- или RSIP-модуль, а это предполагает наличие всех номеров портов транспортного уровня с одним внешним IP-адресом (сети общего пользования), то тогда проверить, что этот IP-адрес должен принадлежать одному и тому же IP-узлу. Для преотвращения одновременного доступа нескольких корпоративных IP-узлов в сеть общего пользования потребуется административное управление;
µ если поля полезной нагрузки транслируемых сообщений шифруются, то тогда содержание этих полей не может быть преобразовано, пока NAT-модуль не будет являться оконечной точкой защищеного сквозного соединения и выступать в роли шлюза между защищаемыми сетевыми сегментами. Это препятствует формированию реального защищенного сквозного соединения, так как часть маршрута доставки IP-пакетов между NAT-модулем и реальным оконечным IP-узлом становится открытой (не защищенной);
µ определить маршрут следования DNS-сообщений (запросов и ответов на них). Если IP-узлы расположены с корпоративной стороны NAPT - или RSIP-модуля, и полагая что DNS-серверы должны “видеть друг друга”, то тогда может понадобиться дополнительный DNS-сервер в корпоративном сетевом сегменте;
µ если в DNS-системе используются защищенные RR-записи (DNS-данные), то тогда DNS-ALG-субмодуль должен иметь доступ к криптоключам аутентифицированного источника DNS-данных, если эти данные транслируются через NAT-модуль;
µ когда используются VPN - и NAT-технологии одновременно, то тогда во избежание коллизий необходимо определить информационно-распределительный центр для корпоративных IP-адресов;
µ убедитесь в том, что прикладные службы, используемые внутри и за пределами корпоративной сети, исключают вставку корпоративных DNS-имен в сообщения или применяют уникальные зарегистрированные DNS-имена;
µ если используется RSIP-модуль, необходимо установить предельную границу для конкретной корпоративной сети, соединенной с Internet-сетью. Так как если на маршруте доставки IP-пакетов будут встречаться другие разновидности NAT-модулей (включая модули распределения загрузки W3-серверов), то тогда RSIP-туннель (сквозное использование адресного блока — адрес/порт) будет нарушен;
µ если используется RSIP-модуль, необходимо определить вероятность сбоев, вызванных переходом ТСР-протокола в режим ожидания “TCP_TIME_WAIT”, когда последующие корпоративные IP-узлы пытаются соединиться с только что завершившим сеанс связи IP-узлом в сети общего пользования.
XI. ЗАКЛЮЧЕНИЕ
За время, прошедшее с момента опубликования стандарта RFC 1631, значительно вырос практический опыт функционального анализа NAT-модулей, который указывает на все большую обеспокоенность их применением у специалистов Internet-сообщества. NAT-метод нарушает фундаментальный принцип создания и развития всемирной Internet-сети: оконечные прикладные процессы управляют соединением. Другим принципом является “функциональная простота” (“keep-it-simple”), который также нарушается, так как на сети возлагается дополнительная функциональная нагрузка по преодолению проблем, вызванных функционированием NAT-модулей. И в заключении, общая системная гибкость и управляемость снижаются, а затраты на поддержание сетевой функциональности растут, что связано с ростом проблем.
Сторонники и противники NAT-метода, соответственно, либо снижают, либо преувеличивают уровень проблематичности функционирования NAT-модулей:
NAT-модули являются “сетевой реальностью” и будут распространяться, что способствует сохранению существующей сетевой IPv4-инфраструктуры;
NAT-модули являются “порочной практикой” и создают дополнительную административную нагрузку, с которой весьма не легко справиться. Еще более важно, что они препятствуют распространению протоколов IPsec-архитектуры, а это, в свою очередь, замедляет рост прикладных служб, которые нуждаются в инфраструктуре безопасности.
В любом случае, применение NAT-модулей требует однозначного прикладного заключения относительно того, что работает, а что не работает.
На рис.7 представлена таблица функциональных преимуществ и недостатков NAT-модулей.
ПРЕИМУЩЕСТВА NAT-МОДУЛЕЙ | НЕДОСТАТКИ NAT-МОДУЛЕЙ |
Скрывают изменения IP-адресов общего пользования. Облегчают перенумерацию корпоративных IP-узлов при смене Internet-провайдера. Избавляют сетевые администрации от юридической регистрации корпоративных IP-адресов. Снижают размер необходимого адресного пространства. Снижают уровень функциональной нагрузки, возложенной на Internet-провайдеров. В некоторых случаях обеспечивают прозрачность сквозного соединения. Позволяют распределять нагрузку, подобно виртальным IP-узлам (распределенным многомашинным комплексам). Снижают остроту проблемы нехватки IPv4-адресов и потому тормозят переход к системе IPv6-адресации. | Нарушают принцип (модель) “сквозного соединения”. Улучшают связность нескольких протсранств DNS-имен. Нарушают принципы IPsec-архитектуры. Являются объектами с последействием, которые, в случае их отказа, приводят к отказу всей системы. Требуют специфических DNS-ответов на DNS-запросы или применение DNS-ALG-субмодуля. DNS-ALG-субмодуль нарушает принципы обеспечения безопасности DNSSEC-протоколов. Увеличивают вероятность адресных коллизий при сквозном соединении. Увеличивают функциональную нагрузку на корпоративную сеть и ее функциональную сложность. Требуют специфических доработок в программном обеспечении каждой прикладной службы. Накладывают ограничения при масштабировании сетей. Могут усложнять интеграцию системы IPv6-адресации. |
Рис.7. Таблица преимуществ и недостатков NAT-модулей
За последнее время было много дискуссий на предмет имеет ли смысл дальнейшее развитие и внедрение системы IPv6-адресации, в условиях когда появился огромный рынок сетевых решений на NAT-метода, который продлевает “жизнь” IPv4-адресации. Недальновидный взгляд мог бы привести к ошибочному заключению, что оба подхода к решению нехватки IP-адресов играют важную роль, так как NAT-модули решают сегодняшние реально существующие проблемы, в то время как система IPv6-адресации определена как цель, достижение которой позволит решить фундаментальные проблемы, а также обеспечит дальнейшее развитие Internet-сети. Необходимо признать, что этап сосуществования свух система адресации будет весьма продолжительным, так как прикладные службы и иные сетевые системы разрабатываются для IPv6-адресации, и в то же время как “дальнейшая жизнь” существующей системы IPv4-адресации вероятнее всего будет измеряться десятилетиями. NAT-модули представляют собой “отвлекающий маневр” от поступательного движения вперед, но в сегодняшних условиях они являются весьма востребованными. Они нарушают функционирование целого класса прикладных служб, которые вынуждены формировать новые алгоритмы функционирования и программные модули, позволяющие обходить NAT-модули.
К средствам повышения уровня общей безопасности в Internet-сети относятся протоколы IPsec-архитектуры и DNSSEC-протоколы. Эти способы предназначены для обслуживания широкого круга прикладных и сетевых систем на основе аутентифкации и защиты передаваемой информации. Нарушая функционирование систем обеспечения безопасности, реализующих эти способы, путем искусственного включения NAT-модулей и DNS-ALG-субмодулей, проиходит “тороможение” дальнейшего распространения более надежных систем обеспечения безопасности по всей Internet-сети.
Также существует много проблемных вопросов относительно возможности построения VPN-систем, которые могут дополнить выше перечисленные функциональные трудности. Несмотря на то, что чрезвычайно трудно предугадать будущее, тем не менее одним из способов избежать применения ALG-субмодулей в каждой прикладной службе является построение L2TP-туннелей через систему NAT-модулей. Это ограничит возможность NAT-модулей по просмотру и анализу заголовков IP-пакетов, транслируемых по туннелю, и исключит влияние NAT-модулей на функционирование всех прикладных служб. Однако, несмотря на то, что этот способ решает проблему ALG-субмодулей, вместе с тем он увеличивает вероятность возникновения адресных коллизий, так как произвольные виртуальные соединения сфомированы между двумя корпоративными сетями, адресные пространства которые не скоординированы. Это также создает дополнительные вопросы по поводу того, как прикладная служба может сфомировать требуемый туннель.
Базовая Internet-архитектура достаточно универсальна, так как она определяет общий способ доставки данных, с помощью которого могут быть созданы самые разнообразные прикладные и технологические сетевые системы (даже самые невообразимые). Несмотря на то, что можно построить и “карточный домик”, время и накопленный жизненный опыт склоняют нас к созданию стандартов с максимально целостной структурой. Система IPv6-адресации является долгосрочным решеним проблемы нехватки IP-адресов, которая сохраняет принцип “сквозного соединения” (прозрачности соединения). NAT-метод представляет собой технологический “отвлекающий маневр” с целью продления “жизни” существующей системы IPv6-адресации.
* Большинство из предлагаемых здесь терминов и определений дано в стандарте RFC-2663.
* Maximum Segment Lifetime — максимальный интервал “времени жизни”. Стандарт RFC 793 определяет его
равным две минуты
° Система (объект) с последействием (stateful object) — это такая система, которая сохраняет свой состояние,
явившееся результатом обработки одного или нескольких обращений к ней пользователей. С другой стороны
существуют системы (объекты) без последействия (stateless object), которые не сохраняют свое состояние,
явившееся результатом обработки одного или нескольких обращений к ней пользователей.
* Адресные коллизии возникают тогда, когда имеет место перекрытие двух корпоративных адресных
пространств, которые, соответственно, принадлежат двум взаимодействующим корпоративным сетям.
· “День флага” (“flag day”) — американский сленг, который означает срок внесения в систему изменений,
исключающих возможность использования ранее эксплуатировавшихся программ.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 |
