NAT - Network Address Translation

Descrizione del NAT, suo utilizzo e funzioni primarie.

L’ accesso a Internet da parte di una classica rete locale avviene attraverso un router. Questa apparecchiatura si incarica di inoltrare le informazioni verso la rete esterna creando una sorta di interfaccia tra una semplice LAN dotata di indirizzamento IP privato e un indirizzamento pubblico. Buona parte delle reti locali possiedono un unico indirizzo pubblico, fornito dal provider, accompagnato da un gruppo di indirizzi privati, assegnati alle workstation interne. Tutti i PC possono comunicare con Internet in maniera contemporanea, sfruttando un unico IP pubblico di uscita, grazie proprio al NAT (Network Address Translation).
L'utilizzo del NAT, oltre all’operazione di accesso a Internet, ha un'importantissima funzionalità di sicurezza. Dal momento in cui tutti gli indirizzi interni vengono “mascherati” dall’unico IP pubblico, non si può infatti più sapere quante macchine sono presenti all’interno e soprattutto quali indirizzi usino. Viene addirittura difficile capire se chi sta comunicando in quel momento appartiene ad una rete locale oppure corrisponde ad una singola macchina.
In sostanza, il router riceve tutti i flussi provenienti dai sistemi interni, ed attraverso il processo di NAT li traduce - l’IP interno viene sostituito e al suo posto viene inserito l’indirizzo pubblico configurato nel router. In questo modo i pacchetti possono essere inoltrati esternamente e gestiti dai sistemi di destinazione. Senza la traduzione dell’indirizzo interno in quello pubblico, questo non sarebbe possibile, in quanto i server esterni non avrebbero modo di recapitare i pacchetti a rispettivi destinatari - un indirizzo privato potrebbe infatti appartenere a qualunque rete LAN.
L’aspetto ingegnoso del NAT risiede proprio in questo punto.
Ogni comunicazione viene infatti catalogata sul sistema di smistamento e ad ogni flusso viene assegnato un indirizzo di porta univoco.
Esempio: se cinque PC di una LAN vogliono accedere a siti Web esterni, le loro comunicazioni avverranno mediante lo stesso indirizzo IP, ma con cinque indirizzi IP sorgenti di porta differenti.
I server remoti risponderanno replicando tutti verso l’unico IP pubblico indicato sui pacchetti, ma inoltreranno le risposte su porte diverse. Il router potrà così riconoscere i pacchetti, e tramite una particolare tabella di assegnamento, eseguirà una nuova "traduzione" riassegnando l’indirizzo IP corretto a ciascuna macchina interna.
Il nocciolo dalla sicurezza si basa dunque sul fatto che il mondo esterno non è in grado di avere indicazioni sulla struttura interna della nostra LAN, in quanto il NAT stesso maschera infatti completamente la struttura della rete, eliminando informazioni che potrebbero tornare comode a eventuali hacker in ascolto passivo.

Privacy Policy