İnternet yaygınlaştıkça, daha fazla cihaz bağlandıkça ve IP adreslerinin kullanılabilirliği ciddi bir sorun haline geldikçe, ağ adresi çevirisi kritik bir teknolojidir. NAT, esasen, bazı durumlarda sorunu son derece iyi çözen bir “geçici çözümdür”. Daha uzun vadede, yeni nesil IP protokolü olan IPv6’nın çözüm olması muhtemeldir.
Bir yönlendirici üzerinden aktarım sırasında IP paketlerinin başlığını değiştirerek bir İnternet Protokolü (IP) adresini diğerine eşleme tekniği, ağ adresi çevirisi (NAT) olarak bilinir. Bu tekniğin bir parçası olarak, NAT ayarları tüm ağ için dış dünyaya yalnızca bir IP adresi gösterebilir, bu da esasen tüm dahili ağı maskeler ve güvenlik ekler. Ağ adresi çevirisi, hem adres koruma hem de artırılmış güvenlik sağladığı için uzaktan erişim senaryolarında yaygın olarak kullanılır. Bu, güvenliği artırır ve bir şirketin ihtiyaç duyduğu IP adresi sayısını azaltır.
NAT Nasıl Çalışır?
Ev yönlendiricinize bağlı bir dizüstü bilgisayarınız olduğunu varsayalım. Birisi dizüstü bilgisayarında en sevdiği restoranın yol tarifini arıyor. Bu istek, dizüstü bilgisayardan yönlendiriciye bir paket olarak gönderilir ve daha sonra onu web’e iletir. Ancak, yönlendirici önce giden IP adresini özel bir yerel adresten genel bir adrese değiştirmelidir.
Paketin özel bir adresi varsa, alıcı sunucu bilgiyi nereye geri göndereceğini bilemez – bu, fiziksel posta göndermeye ve iade hizmeti aramaya benzer, ancak anonim bir iade adresi sağlamaya benzer. Bilgiler, NAT sayesinde dizüstü bilgisayarın özel adresi değil, yönlendiricinin genel adresi kullanılarak dizüstü bilgisayara geri gönderilecektir.
Ağ Adresi Çevirisi Güvenliği Nasıl Artırır?
Öncelikle güvenlik için belirsizlikle ilgili. Bir NAT cihazı, tüm ağ cihazlarını, NAT cihazının kendisine ait olan tek bir IP adresinden geliyormuş gibi göstererek “gizler”.
Tüm sistemlerin ağ içinde kendi IP adresleri olsa da, İnternet’in geri kalanıyla etkileşime girerken, dahili cihazların bir eşlemesine sahip olan NAT’tan geçerler. Sonuç olarak, NAT, İnternet trafiğini hangi cihaza aktaracağını bilir.
Ancak, ağ dışında, görünen tek şey NAT IP adresidir; herhangi bir dahili cihazın dahili IP adreslerini belirlemenin doğrudan ve kolay bir yolu yoktur.
Öte yandan bir NAT gerçek bir güvenlik aygıtı değildir. Dahili IP adreslerini maskeleyebilir, ancak kötü niyetli trafik üzerinde hiçbir etkisi yoktur. Sonuç olarak, bir saldırgan NAT’a kötü amaçlı yazılım gönderebilir, bu da enfeksiyona bağlı olarak NAT’ın ağ aygıt haritasına erişim sağlar veya doğrudan dahili bir aygıta gider.
Bu nedenle, NAT’a ek olarak bir güvenlik duvarına ihtiyacınız olacak. NAT, çoğunlukla sistem yöneticileri tarafından İnternet’teki ağ tıkanıklığını azaltmak için kullanılır; İnternet üzerinden erişilebilen kendi IP adresine sahip her sistemin yerine, sorun giderme ve sistem yapılandırmasına yardımcı olan tek bir IP adresi kullanılır.
Ağ Adresi Çevirisinin Tarihçesi Nedir?
İnternet, İnternet Protokolü Spesifikasyonunun yayınlanmasından sonra hızla büyüdü. 1991’de, RFC 1287 (İnternet Mühendisliği Görev Gücü tarafından üretilen RFC’ler, bilgisayar ağlarının birçok yönünü kapsıyordu.), Geleceğin İnternet Mimarisine doğru yayınlandı ve muhtemelen, IP adres alanının tükenmesi sorununu gündeme getiren ilk RFC’dir.
Mayıs 1992’de yayınlanan RFC 1335, IP adresi tükenmesine bir çözüm olarak dahili IP adreslerinin (özel IP adresleri olarak da bilinir) kullanılmasına ilişkin daha ayrıntılı bir açıklama sağlar. NAT kavramını açıklayan ilk makale olan “IP İnternetini Adres Yeniden Kullanımıyla Genişletme”, Computer Communication Review dergisinin Ocak 1993 sayısında yayınlandı ve bir yıl sonra RFC 1663 olarak yayınlandı.
NAT Türleri Nelerdir?
Ağda farklı NAT türleri kullanılır. Bu NAT’lar çeşitli amaçlar için kullanılır. Bu NAT türlerinin her biri aşağıda listelenmiştir.
1. Statik NAT
Ağ trafiği, statik bir harici IP adresinden dahili bir IP adresine veya statik NAT aracılığıyla ağa eşlenir. Gerçek adresleri statik bir şekilde eşlenmiş adreslere dönüştürür. Statik NAT, ağ cihazlarını, kayıtlı olmayan bir özel IP adresine sahip özel bir LAN aracılığıyla internete bağlar.
Bir IP alt ağından diğerine bire bir eşleme, statik NAT tarafından tanımlanır. Eşleme, bir yönde hedef IP adresi çevirisini ve diğerinde kaynak IP adresi çevirisini içerir. Sanal ana bilgisayar IP adresi, NAT aygıtından gelen orijinal hedef adres iken, eşlenen adres gerçek ana bilgisayar IP adresidir.
Bağlantılar, statik NAT ile ağın her iki tarafından da başlatılabilir, ancak çeviri bire bir veya aynı boyuttaki adres blokları arasında sınırlıdır. Her özel adrese bir genel adres atanmalıdır. Adres havuzu gerekli değildir.
Aşağıdaki çeviri türleri de statik NAT tarafından desteklenir:
- Birkaç IP adresini ve bağlantı noktası aralığını tek bir IP adresine ve farklı bir bağlantı noktası aralığına eşlemek için.
- Belirli bir IP adresinin ve bağlantı noktasının IP adresini ve bağlantı noktasını değiştirmek için.
2. Dinamik NAT
Özel bir IP adresi, dinamik NAT’ta NAT havuzu olarak bilinen bir grup genel IP adresinden genel bir IP adresiyle eşlenir. Özel bir IP adresi ile genel bir IP adresi arasında bire bir eşleme, dinamik NAT aracılığıyla kurulur. Genel IP adresi, NAT yönlendiricinin ucunda tanımlanan IP adresleri havuzundan seçilir. Genelden özele eşleme, NAT havuzunda erişilebilen genel IP adresine bağlı olarak farklılık gösterebilir.
Dinamik NAT, dahili kayıtlı olmayan adresler ile harici kayıtlı adresler arasında bire bir çeviri oluşturan statik NAT’ın aksine, birden çok dahili adresin aynı genel adresi kullandığı çoktan bire çeviri oluşturur. Dinamik NAT, beş değeri (kaynak adres, kaynak bağlantı noktası, hedef adres, hedef bağlantı noktası ve protokol) depolayan her TCP veya UDP bağlantısı için bir durum tablosu tutarak IP adresi çakışmalarını ortadan kaldırır.
3. PAT
Bir Yerel Alan Ağı (LAN) üzerindeki birden çok cihaz, Ağ Adresi Çevirisinin (NAT) bir uzantısı olan Bağlantı Noktası Adresi Çevirisi (PAT) kullanılarak tek bir genel IP adresine eşlenebilir. PAT’ın amacı IP adreslerini kaydetmektir.
Çoğu ev ağında PAT kullanılır. Bu durumda, İnternet Servis Sağlayıcı (ISP), yönlendiriciye ev ağındaki tek bir IP adresi atar. Yönlendirici, bu ağdan İnternet’e bağlandığında X bilgisayarına bir bağlantı noktası numarası tahsis eder. Dahili IP adresi daha sonra buna eklenir. Sonuç olarak, Bilgisayar X kendi benzersiz adresini alır. Y bilgisayarı, X bilgisayarı ile aynı anda İnternet’e bağlandığında, yönlendirici ona ayrı bir bağlantı noktası numarası atar. Her iki makine de aynı genel IP adresine sahiptir ve İnternet’e aynı anda bağlanır. Yönlendirici, diğer yandan, hangi belirli paketleri göndermesi gerektiğini ve nereye gitmeleri gerektiğini her zaman bilir. PC’lerin dahili adreslerinin hepsi farklıdır.
NAT’ın Faydaları Nelerdir?
NAT’ın avantajlarından bazıları şunlardır:
- Adres koruma: NAT, yasal olarak kayıtlı IP adreslerinin tükenmesini korur ve engeller.
- Ağ adresi çevirisinin güvenliği: NAT, cihazın IP adresini genel ağdan gizleyerek, kullanıcıların interneti trafik iletirken ve alırken bile daha yüksek güvenlik ve gizlilikle kullanmalarına olanak tanır. Kullanıcılar, bir yönlendiricideki eşzamanlı NAT işlemlerinin sayısını ve ayrıca NAT çevirilerinin sayısını sınırlamak için NAT hız sınırlamasını kullanabilir. Bu size yalnızca NAT adreslerinin nasıl kullanıldığı üzerinde daha fazla kontrol sağlamakla kalmaz, aynı zamanda solucanlar , virüsler ve hizmet reddi (DoS) saldırılarından kaçınmanıza da yardımcı olabilir. Dinamik NAT kullanımı, dahili ağ ile internet arasında otomatik olarak bir güvenlik duvarı oluşturur. Trafik günlüğü ve filtreleme, bazı NAT yönlendiricilerinde mevcuttur.
- Esneklik: NAT uyarlanabilir; örneğin, halka açık bir kablosuz LAN ayarında kullanılabilir. Bazı durumlarda, gelen eşleme veya statik NAT, harici aygıtların saplama etki alanındaki bilgisayarlara bağlanmasına izin verir.
- Basitlik: Bir ağ değiştiğinde veya birleştiğinde, adresleri yeniden numaralandırmaya gerek yoktur. Ağ adresi çevirisini kullanarak dahili ağ sunucuları için TCP yük dengelemesini koordine etmek için bir ağ içi sanal ana bilgisayar oluşturabilirsiniz.
- Hız: Proxy sunucularının aksine hem hedef hem de kaynak bilgisayarlar için şeffaftır ve daha hızlı doğrudan iletişime olanak tanır. Ayrıca, proxy sunucuları genellikle OSI Referans Modelinin taşıma katmanında veya daha yüksekte çalışır ve bu da onları ağ katmanında veya katman 3’te çalışan ağ adresi çevirisinden daha yavaş hale getirir.
- Ölçeklenebilirlik: DHCP sunucusu, saplama etki alanı için kayıtlı olmayan IP adreslerini gerektiği gibi listeden dağıtır ve NAT ve dinamik ana bilgisayar yapılandırma protokolü (DHCP) birlikte etkin bir şekilde çalışır. Talepleriniz arttıkça IANA’dan daha fazla IP adresi istemek zorunda kalmak yerine, DHCP’nin daha fazla ağ bilgisayarına yer açmak üzere yapılandırdığı mevcut IP adresi aralığını hemen genişletebildiğinizden, ölçek büyütmek daha kolaydır.
- Çoklu hedef arama: Çoklu ana konum veya çok sayıda internet bağlantısına sahip olmak, güvenilir bir bağlantının korunmasına yardımcı olur ve bağlantının kesilmesi durumunda kapanma olasılığını en aza indirir. Bu aynı zamanda tek bir bağlantı kullanan makine sayısını sınırlayarak yük dengelemeye de olanak tanır. Çok evli ağlar sıklıkla, her biri kuruluşa bir dizi IP adresi veya tek bir IP adresi atayan birçok ISP’ye bağlanır. Yönlendiriciler, farklı ağ adresi çeviri protokolleri kullanan ağlar arasında yönlendirme yapmak için ağ adresi çevirisini kullanır. Çok bağlantılı bir ağdaki yönlendirici, TCP/IP protokol paketinin bir parçası olan sınır ağ geçidi protokolünü (BGP) kullanarak iletişim kurar; saplama etki alanı tarafı, dahili BGP veya IBGP’yi kullanır ve yönlendiriciler, harici BGP veya EBGP kullanarak birbirine bağlanır.
NAT’ın Dezavantajları
NAT kullanmanın bazı dezavantajları vardır:
- Bazı gerçek zamanlı uygulamalar, Ağ Adresi Çevirisinin sağlamadığı gerçek uçtan uca iletişimi talep eder: Çeşitli gerçek zamanlı uygulamalar, veri paketlerini gerçek zamanlı olarak değiş tokuş etmek için mantıksal bir tünelin kurulmasını gerektirir. Proxy sunucusu gibi iletişim sürecini karmaşıklaştırabilecek ve yavaşlatabilecek herhangi bir ara aracı kullanmadan hızlı ve sorunsuz bağlantı gerektirir.
- NAT, tünel protokollerinin çalışmasını karmaşıklaştırır: Bir Proxy sunucusundan geçen herhangi bir iletişimin yavaş olması ve kesintilere açık olması muhtemeldir. Bu tür kusurlar bazı önemli uygulamalarda tolere edilmez. Teletıp ve telekonferans iki örnektir. Bu tür uygulamalar, ağ adresi çevirisini iletişim ağında bir darboğaz olarak görür ve bu da önlenebilir uçtan uca bağlantı bozulmalarına neden olur.
- İnternet üzerinden internet iletişimi için bir yedek rota görevi görür: IPv4 adres alanının kıtlığı ve güvenlik endişeleri, ağ adresi çeviri sürecinin yaygın çekiciliğinin ve müteakip uygulamasının arkasındaki itici güçlerdi. IPv6 protokolü, bu güçlüklerin her ikisini de tamamen ele almıştır. IPv6, yavaş yavaş IPv4’ün yerini aldığından, ağ adresi çeviri prosedürü gereksiz hale gelecek ve geçersiz hale gelecek ve IPv6 ağlarında artık gerekli olmayacak hizmetler için değerli ağ kaynaklarını boşa harcayacaktır.
