Planificacin y Administracin de Redes NAT-PAT-NAPT

Introduccin
Todas las direcciones de Internet pblicas deben registrarse en un registro de Internet regional
(RIR, Regional Internet Registry) !as organi"aciones pueden arrendar direcciones pblicas a
tra#$s de un I%P %lo el titular registrado de una direccin de Internet pblica puede asignar
esa direccin a un dispositi#o de red
A diferencia de las direcciones IP pblicas, las direcciones IP pri#adas son un blo&ue reser#ado
de nmeros y cual&uiera las puede utili"ar 'so &uiere decir &ue dos redes, o dos millones de
redes, pueden utili"ar las mismas direcciones pri#adas Para e#itar conflictos de
direccionamiento, los routers nunca deben enrutar direcciones IP pri#adas Para proteger la
estructura de direcciones de Internet pblicas, los I%P normalmente configuran los routers de
borde para impedir &ue el tr(fico con direcciones pri#adas se reen#)e a tra#$s de Internet
%in embargo, como no es posible enrutar direcciones pri#adas a tra#$s de Internet, y como no
*ay suficientes direcciones pblicas como para permitir a las organi"aciones &ue proporcionen
una a cada uno de sus *osts, las redes necesitan un mecanismo para traducir las direcciones
pri#adas en direcciones pblicas en el e+tremo de la red y &ue funcione en ambas direcciones
%in un sistema de traduccin, los *osts pri#ados &ue se encuentran detr(s de un router en la
red de una organi"acin no pueden conectarse con otros *osts pri#ados &ue se encuentran en
otras organi"aciones a tra#$s de Internet
!a traduccin de direcciones de red (NAT, Net,or- Address Translation) proporciona este
mecanismo Antes del desarrollo de NAT, un *ost con direccin pri#ada no pod)a acceder a
Internet .on NAT, las empresas indi#iduales pueden direccionar algunos o todos sus *osts con
direcciones pri#adas y utili"ar NAT para proporcionar acceso a Internet
NAT
NAT es como el recepcionista de una oficina grande Imagine &ue le indica al recepcionista &ue
no le pase ninguna llamada a menos &ue se lo solicite /(s tarde, llama a un posible cliente y
le de0a un mensa0e para &ue le de#uel#a el llamado A continuacin, le informa al recepcionista
&ue est( esperando una llamada de este cliente y le solicita &ue le pase la llamada a su
tel$fono
'l cliente llama al nmero principal de la oficina, &ue es el nico nmero &ue el cliente conoce
.uando el cliente informa al recepcionista a &ui$n est( buscando, el recepcionista se fi0a en
una tabla de bs&ueda &ue indica cu(l es el nmero de e+tensin de su oficina 'l
recepcionista sabe &ue el usuario *ab)a solicitado esta llamada, de manera &ue la reen#)a a su
e+tensin
'ntonces, mientras &ue el ser#idor de 12.P asigna direcciones IP din(micas a los dispositi#os
&ue se encuentran dentro de la red, los routers *abilitados para NAT retienen una o #arias
direcciones IP de Internet #(lidas fuera de la red .uando el cliente en#)a pa&uetes fuera de la
red, NAT traduce la direccin IP interna del cliente a una direccin e+terna Para los usuarios
e+ternos, todo el tr(fico &ue entra a la red y sale de ella tiene la misma direccin IP o pro#iene
del mismo con0unto de direcciones
NAT tiene muc*os usos, pero la utilidad cla#e es el a*orro de direcciones IP al permitir &ue las
redes utilicen direcciones IP pri#adas NAT traduce direcciones internas, pri#adas y no
enrutables a direcciones pblicas enrutables NAT tiene el beneficio adicional de agregar un
ni#el de pri#acidad y seguridad a una red por&ue oculta las direcciones IP internas de las redes
e+ternas
.uando nuestro e&uipo local comunica con otro e&uipo en el e+terior utili"ando NAT usamos
los siguientes t$rminos3
1ireccin local interna3 direccin pri#ada &ue tiene nuestro e&uipo local
1ireccin global interna3 direccin pblica #(lida &ue se asigna a nuestro e&uipo interno
cuando sale del router NAT
1ireccin global e+terna3 direccin IP a la &ue se puede acceder y &ue fue asignada a
un *ost e+terno en Internet
1ireccin local e+terna3 direccin IP local asignada al e&uipo con el &ue comunicamos
en la red e+terna
Planificacin y Administracin de Redes NAT-PAT-NAPT
NAT esttica y dinmica
!a traduccin NAT din(mica usa un con0unto de direcciones pblicas y las asigna en orden de
llegada .uando un *ost con una direccin IP pri#ada solicita acceso a Internet, la traduccin
NAT din(mica eli0e una direccin IP del con0unto de direcciones &ue no est$ siendo utili"ada por
otro *ost
!a traduccin NAT est(tica utili"a un sistema de asignacin de uno a uno entre las direcciones
locales y las globales, y estas asignaciones son constantes !a traduccin NAT est(tica resulta
particularmente til para los ser#idores 4eb o los *osts &ue necesitan tener una direccin
uniforme a la &ue se pueda tener acceso desde Internet 'stos *osts internos pueden ser
ser#idores de empresas o dispositi#os de net,or-ing
Tanto la traduccin NAT est(tica como la din(mica necesitan &ue *aya una cantidad suficiente
de direcciones pblicas disponibles para cubrir la cantidad total de sesiones de usuario
simult(neas
PAT o Sobrecarga de NAT
!a sobrecarga de NAT (a #eces llamada Traduccin de la direccin del puerto, 5PAT, Port
Address Translation6) asigna #arias direcciones IP pri#adas a una nica direccin IP pblica o a
un grupo pe&ue7o de direcciones IP pblicas 's lo &ue *acen la mayor)a de los routers 'l I%P
asigna una direccin al router A1%!, y #arios e&uipos pueden na#egar por Internet de manera
simult(nea
.on la sobrecarga de NAT, es posible asignar #arias direcciones a una o slo algunas
direcciones por&ue cada direccin pri#ada tambi$n se identifica por un nmero de puerto
.uando un cliente abre una sesin T.P8IP, el router NAT asigna un nmero de puerto a la
direccin de origen correspondiente !a sobrecarga de NAT asegura &ue los clientes utilicen un
nmero de puerto T.P diferente para cada sesin de cliente con un ser#idor en Internet
.uando se recibe una respuesta del ser#idor, el nmero de puerto de origen, &ue pasa a ser el
nmero de puerto de destino en la respuesta, determina a &u$ cliente se enrutan los pa&uetes
Adem(s #alida &ue los pa&uetes entrantes fueron solicitados, lo &ue agrega seguridad a la
sesin
!os nmeros de puerto se codifican en 9: bits 'n teor)a, la cantidad total de direcciones
internas &ue se pueden traducir a una direccin e+terna podr)a ser de *asta :; ;<: por
direccin IP %in embargo, en realidad, la cantidad de direcciones internas &ue se pueden
asignar a una nica direccin IP es de apro+imadamente =>>>
!a sobrecarga de NAT intenta conser#ar el puerto de origen original %in embargo, si este
puerto origen est( en uso, la sobrecarga de NAT asigna el primer nmero de puerto disponible,
desde el principio del grupo de puertos correspondiente >-;99, ;9?-9>?<, 9>?=-:;;<;
.uando no *ay m(s puertos disponibles y *ay m(s de una direccin IP e+terna configurada, la
sobrecarga de NAT utili"a la pr+ima direccin IP para tratar de asignar nue#amente el puerto
de origen original 'ste proceso contina *asta &ue no *aya puertos ni direcciones IP e+ternas
disponibles
Planificacin y Administracin de Redes NAT-PAT-NAPT

Ventajas y desventajas del uso de NAT
'ntre los beneficios del uso de NAT se encuentran los siguientes3
NAT conser#a el es&uema de direccionamiento legalmente registrado, lo &ue permite la
pri#ati"acin de redes internas NAT conser#a las direcciones mediante la
multiple+acin a ni#el de puerto de la aplicacin .on la sobrecarga de NAT, los *osts
internos pueden compartir una sola direccin IP pblica para toda comunicacin
e+terna 'n este tipo de configuracin, se re&uieren muy pocas direcciones e+ternas
para admitir muc*os *osts internos
NAT aumenta la fle+ibilidad de las cone+iones con la red pblica %e pueden
implementar #arios con0untos, con0untos de respaldo y de balanceo de carga para
asegurar &ue las cone+iones de red pblica sean confiables
NAT proporciona uniformidad en los es&uemas de direccionamiento internos de red 'n
una red sin direcciones IP pri#adas y NAT, cambiar de direcciones IP pblicas re&uiere
la renumeracin de todos los *osts en la red e+istente 'l costo de renumerar los *ost
puede ser ele#ado NAT permite &ue permane"ca el es&uema e+istente, al mismo
tiempo &ue admite un nue#o sistema de direccionamiento pblico 'sto significa &ue
una organi"acin puede cambiar de I%P y no tener &ue cambiar ninguno de sus
clientes internos
NAT proporciona seguridad de red 1ebido a &ue las redes pri#adas no publicitan sus
direcciones o topolog)a interna, $stas son ra"onablemente seguras cuando se las
utili"a en con0unto con NAT para tener un acceso e+terno controlado %in embargo,
NAT no reempla"a los fire,alls
No obstante, NAT tiene algunas des#enta0as 'l *ec*o de &ue los *osts de Internet pare"can
comunicarse directamente con el dispositi#o NAT en lugar de *acerlo con el #erdadero *ost
perteneciente a la red pri#ada crea una serie de problemas
!a primera des#enta0a es &ue el rendimiento se #e afectado NAT aumenta los retrasos
en la conmutacin por&ue la traduccin de cada direccin IP dentro de los
encabe"ados del pa&uete lle#a tiempo 'l primer pa&uete es de conmutacin de
procesos, lo &ue significa &ue siempre #a por la ruta m(s lenta 'l router tiene &ue
inspeccionar cada pa&uete para decidir si es necesario traducirlo 'l router debe
modificar el encabe"ado IP, y posiblemente el encabe"ado T.P o @1P tambi$n3 !os
pa&uetes restantes #an por la ruta de conmutacin r(pida si *ay una entrada de cac*$A
en el caso contrario, tambi$n sufren retrasos
/uc*os protocolos y aplicaciones de Internet dependen de &ue la funcionalidad se
apli&ue de e+tremo a e+tremo y &ue los pa&uetes se reen#)en sin modificaciones desde
el origen al destino Al cambiar las direcciones de e+tremo a e+tremo, NAT impide el
funcionamiento de algunas aplicaciones &ue utili"an direccionamiento IP Por e0emplo,
algunas aplicaciones de seguridad, como ser las firmas digitales, fallan por&ue la
Planificacin y Administracin de Redes NAT-PAT-NAPT
direccin IP de origen cambia !as aplicaciones &ue utili"an las direcciones f)sicas en
#e" de un nombre de dominio calificado no llegan a los destinos &ue se traducen en el
router NAT Algunas #eces, este problema puede e#itarse implementando asignaciones
NAT est(ticas
Tambi$n se pierde la capacidad de rastreo de e+tremo a e+tremo %e *ace muc*o m(s
dif)cil rastrear pa&uetes &ue sufren #arios cambios en la direccin del pa&uete al
atra#esar mltiples saltos NAT, lo &ue dificulta la resolucin de problemas Por otra
parte, los piratas inform(ticos &ue deseen determinar la fuente del pa&uete,
descubrir(n &ue es muy dif)cil rastrear u obtener la direccin origen o destino original
'l uso de NAT tambi$n complica el funcionamiento de los protocolos de tunneling, por
e0emplo IPsec, por&ue NAT modifica #alores de los encabe"ados e interfiere as) con los
controles de integridad &ue e0ecutan IPsec y otros protocolos de tunneling
!os ser#icios &ue re&uieren el inicio de cone+iones T.P desde el e+terior de la red, o
protocolos sin estado como los &ue usan @1P, pueden #erse interrumpidos A menos
&ue el router NAT *aga un esfuer"o espec)fico para admitir estos protocolos, los
pa&uetes entrantes no pueden llegar a destino Algunos protocolos pueden acomodar
una instancia de NAT entre *osts participantes (por e0emplo, BTP en modo pasi#o),
pero fallan cuando los dos sistemas est(n separados de Internet por NAT
Apertura de puertos
!a redireccin de puertos (a #eces llamada tuneleo, tunneling, port for,arding, #irtual ser#er) es
la accin de redirigir un puerto de red de un nodo de red a otro 'sta t$cnica puede permitir &ue
un usuario e+terno tenga acceso a un puerto en una direccin IP pri#ada (dentro de una !AN)
desde el e+terior #)a un router con NAT acti#ado
!a redireccin de puertos permite &ue ordenadores remotos (por e0emplo, m(&uinas pblicas
en Internet) se conecten a un ordenador en concreto dentro de una !AN pri#ada Por e0emplo,
si tenemos un ser#idor ,eb dentro de nuestra red pri#ada abrimos el puerto C> de nuestro
router A1%! a la m(&uina ser#idor
Dtra opcin asociada a la apertura es Port Triggering (accionar puertos), es algo as) como un
mapeador de puertos Edin(micoE 'st( pensado para aplicaciones cliente-ser#idor, &ue reali"an
cone+iones salientes y entrantes, no para ser#idores e+clusi#os, &ue slo esperan cone+iones
entrantes 'l Trigger Port es el puerto al &ue intenta conectarse una m(&uina de la red !AN 's
posible, &ue esa cone+in necesite abrir puertos en la m(&uina local (y por tanto en el router)
Para ello, se asocia un trigger port a un con0unto de puertos a abrir, de forma &ue cuando la
m(&uina local se conecta a un determinado trigger port, el router abrir( los puertos &ue se le
*an asociado cuando reciba una peticin entrante de esa cone+in Por e0emplo, cuando uno
se conecta a /% /essenger, abre una cone+in saliente con el puerto T.P 9C:<, pero puede
ser &ue necesite abrir los puertos de recepcin de fic*eros, comunicaciones de #o", Para
ello se asocia al trigger port 9C:< los puertos :CF9-:F>> (en#)o de fic*eros) 1e esta forma,
cuando el usuario &uiera en#iar un fic*ero desde la m(&uina local al usuario remoto a tra#$s
del /essenger, el router abrir( dic*os puertos para esa cone+in
Comandos IOS Cisco
Planificacin y Administracin de Redes NAT-PAT-NAPT