APP下载

NAT拓扑隐藏问题探讨

2014-02-10李战国刘建粉王寅川

实验室研究与探索 2014年7期
关键词:外网路由表内网

李战国, 刘建粉, 王寅川

(1.平顶山学院,河南 平顶山 467002; 2.平顶山市工业学校,河南 平顶山 467000)

0 引 言

网络地址转换(Network Address Translation, NAT)技术既可以缓解IP地址短缺的问题,又可以隐藏内部网络地址,实现内网与外网的隔离[1-8],但是在实践中我们通过追踪命令发现部分内部网络地址出现在追踪IP地址列表中,并且在NAT实验中我们确实发现了这样的问题。本文设计的NAT实验主要论述了NAT中内网暴露问题,并通过相应的技术手段解决了这个问题,实现了内网拓扑隐藏及内外网间的安全隔离,加深了对NAT技术的理解与应用。

1 NAT下的内部网络暴露问题

在NAT配置实验中,不论使用PING还是Tracert对NAT内部网络进行追踪通信都发现了内部网络暴露问题。本节使用实验的方式说明这种问题的存在。

1.1 实验环境及拓扑图

在实验环境上,我们已经在主流的路由器上(如思科、华为、锐捷等厂商产品)及模拟器上实现了该实验功能。为了简化实验条件,我们以思科模拟器Cisco Packet Tracer为实验环境实现该功能。实验网络拓扑如图1所示。

图1 NAT实验网络拓扑图

为了验证在穿越NAT内部网络时的内部网络暴露问题,图中使用192.168.1.0/24作为NAT内部网段,两边的都是外部网络。为了实现这一功能,首先使用动态路由协议RIP实现全网通信,检查内部网络与外部网络通信正常。并且配置Router1及Router2的Fa0/0接口为内网接口,Router1及Router2的Fa0/1接口为外网接口。

1.2 开启NAT后的内网隔离情况

在开启NAT并声明NAT内部及外部接口后,在没有进行静态及动态NAT配置的情况下使用PING及Tracert命令检查内部网络与外部网络的通信及隐藏情况[9-12]。

1.2.1使用PING命令验证网络通信情况

按照NAT可以隔离内部网络的说法,只要开启NAT转换功能,在没有配置转换之前外网是没法访问内部网络的。但是实验结果说明这种认识是错误的。在外网Server1不仅可以PING通内网Server2,而且可以穿越内网PING通另一侧的外网Server0,结果如图2所示。说明在这种情况下NAT没有隔离内网的功能。

图2 只开启NAT时外网PING内网及外网结果图

1.2.2使用Tracert命令验证网络通信情况

为了验证内部IP地址可能暴露给外网,我们使用Tracert命令进行路由追踪,结果截图如图3所示。

图3 只开启NAT内网IP地址暴露结果图

图中可以看出,在左边Server0上使用Tracert命令追踪右边Server1时,不仅穿越了NAT的内部网络,而且把内部网络IP地址192.168.1.1也暴露在路由追踪表中。这就是为什么在广域网中可能出现内部私有IP地址的原因之一。

1.3 开启静态及动态NAT转换后的内网暴露情况

为了验证在配置静态及动态NAT下内部网络的包暴露情况,在Router1上配置了内部服务器的基于端口的静态Web转换及基于接口的动态PAT转换。在Router2上配置了基于地址池的动态NAT及基于IP的静态NAT转换。其配置代码如下:

Router1:

ip nat inside source list 10 interface FastEthernet0/1 overload

ip nat inside source static tcp 192.168.1.4 80 201.0.0.11 80

Router2:

ip nat pool abc 202.0.0.3 202.0.0.4 netmask 255.255.255.0

ip nat inside source list 10 pool abc

ip nat inside source static 192.168.1.3 202.0.0.22

1.3.1在Server0上追踪内网及外网

在Server0上追踪内部网络服务器Server3及右边外部网络服务器Server1情况,主要验证内部端口静态转换及外部Overload转换时的内网隔离情况,其结果如图4所示。

由图4可以看出,在PING命令下内网IP地址及穿过内网的另一个网段外网均可以PING通。只是在使用Tracert命令追踪时内网IP地址192.168.1.1超时,但是其后的所有外网地址均可以看到。也就是说虽然内网地址看不到了,但是可以穿越内部网络。

1.3.2在Server1上追踪内网及外网

在Server1上追踪内部网络服务器Server4及左边外部网络服务器Server0情况,主要验证内部静态IP转换及外部地址池转换时的内网隔离情况,其结果如图5所示。

图5 动态及静态NAT内网IP地址暴露结果图

由图5可以看出,在PING命令下内网IP地址及穿过内网的另一个网段外网均可以PING通。只是在使用Tracert命令追踪时内网IP地址192.168.1.1变为被动态映射后的内部全局IP地址202.0.0.3,但是其后的所有外网地址均可以看到。也就是说虽然内网IP地址看不到了,但是可以穿越内部网络。

2 NAT下的内部网络隐藏技术

通过上面的实验结果看出,在现有的NAT网络结构下其内网可以被访问,没法进行隐藏。为了加强内部网络的安全,本文提出使用访问控制列表(Address Control List, ACL)技术及路由技术实现内外网的隔离[13-16],以达到内部网络的隔离与安全。

2.1 使用ACL技术实现内网IP的隐藏

在边界路由器Router1与Router2的外网接口F0/1使用下列ACL列表:

Router(config)#access-list 100 deny ip any 192.168.1.0 0.0.0.255

Router(config)#access-list 100 permit ip any any

Router(config)#int f0/1

Router(config-if)#ip access-group 100 in

其主要功能为在外网接口的入方向拒绝对内部本地IP地址网段192.168.1.0/24进行访问,而内网对外网的所有访问没有任何影响。图6是对内网及外网的PING及Tracert追踪情况。

图6 使用ACL隐藏内网IP地址结果图

从图中可以看出,所有内部本地地址的通信都是不可达的,但是对于穿过内部网络的追踪命令是可以通过的,这就隐藏了所有的内部本地地址。它不仅隐藏了内部网络地址,而且可以穿过内部网络实现到其他网络的通信。由于是基于IP的过滤,对于所有IP的数据包都可以实现过滤功能,这样就实现了内部网络的安全。

2.2 使用路由技术实现内网IP的隐藏

如前所述,在NAT转换网络实验中,首先使用动态路由协议RIP实现全网通信, Router1路由器为路由表如下:

C 192.168.1.0/24 is directly connected, FastEthernet0/0

R 200.0.0.0/24 [120/1] via 201.0.0.2, 00:00:15, FastEthernet0/1

C 201.0.0.0/24 is directly connected, FastEthernet0/1

R 202.0.0.0/24 [120/1] via 192.168.1.1, 00:00:16, FastEthernet0/0

R 203.0.0.0/24 [120/2] via 192.168.1.1, 00:00:16, FastEthernet0/0

由于内网网段192.168.1.0/24在路由表中,因此在通信的时候在路由器中查路由表而得到内网的IP地址,从而暴露了NAT内网网段。如果在配置路由的时候不声明内网网段就没法与内网通信,从而隐藏了NAT内部网络。下面的路由信息是经过240 s的路由刷新后Router1路由器的路由表:

C 192.168.1.0/24 is directly connected, FastEthernet0/0

R 200.0.0.0/24 [120/1] via 201.0.0.2, 00:00:03, FastEthernet0/1

C 201.0.0.0/24 is directly connected, FastEthernet0/1

Router2路由器的路由表如下:

C 192.168.1.0/24 is directly connected, FastEthernet0/0

C 202.0.0.0/24 is directly connected, FastEthernet0/1

R 203.0.0.0/24 [120/1] via 202.0.0.1, 00:00:10, FastEthernet0/1

从路由表中可以看到,在路由器上只看到NAT本端内外网的路由信息,已经看不到对端的路由信息了。那么还能否访问到NAT内部网络吗?图7为左端外网对内网及对端外网服务器的PING结果。

图7 使用路由协议隐藏内网IP地址外网访问内网结果图

从图7结果可以看出,不论内网还是对端外网其PING结果都是无法通信。并且,Tracert结果也止于左端的外网网段,其它网段都不通。这样就达到了隐藏内网的作用。如果需要与对端通信可以通过其他路由通信,在此不再赘述。

对于内网是否可以与外网通信呢?将内网服务器Server2与Server3的默认路由指向Router2及Router1的内部接口,这时都可以实现与本端外网服务器通信。图8为Server3与Server0的通信结果。

从图8可以看出,内网中的服务器Server3由于配置了指向Router1的默认网关可以与本端外网服务器Server0进行PING及Tracert等方式通信。同理,另一端的内网中的服务器Server2由于配置了指向Router2的默认网关也可以与本端外网服务器Server1进行PING及Tracert等方式通信。

图8 使用路由协议隐藏内网IP地址内网访问外网结果图

3 结 语

通过本文的讨论,使我们更加明白了NAT的工作原理与过程,并且对使用ACL及路由技术隐藏NAT内网以加强NAT内网的安全有了进一步的认识,为建立安全的NAT内网技术进行了有益的探索。

[1] IETF RFC 1631, The IP Network Address Translator (NAT) [S]. May 1994.

[2] IETF RFC 2766, Network Address Translation-Protocol Translation (NAT-PT)[S]. February 2000.

[3] IETF RFC 2993, Architectural Implications of NAT[S]. February 2002.

[4] IETF RFC 3027, Protocol Complications with the IP Network Address Translator[S]. January 2001.

[5] IETF RFC 3235, Network Address Translator(NAT) —Friendly Application Design Guidelines [S]. January 2002.

[6] 刘向东,李志洁. NAT原理实验的设计与实现[J].实验室研究与探索,2012,31(1):58-62.

LIU Xiang-dong, LI Zhi-jie. Design and Implementation of NAT Principle Experiment[J]. Research and Exploration in Laboratory,2012,31(1):58-62.

[7] Cisco System著,颜凯,杨宁等译. CCNP2远程接入[M].2版.北京:人民邮电出版社,2005.

[8] 刘向东,李志洁. 网络地址转换原理实验的设计与实现[J].实验科学与技术,2012,10(4):106-109,164.

LIU Xiang-dong, LI Zhi-jie. Design and Implementation of Network AddressTranslation Principle Experiment [J]. Experiment Science and Technology,2012,10(4):106-109,164.

[9] 唐灯平. 整合HSRP 和NAT 实现网络出口多组负载均衡[J].实验室研究与探索,2012,31(5):66-69.

TANG Deng-ping. Integration of HSRP and NAT to Realize Network Load Balancing with Export Group [J]. Research and Exploration in Laboratory, 2012,31(5):66-69.

[10] 孙卫喜. Symmetric NAT的穿越问题研究[J]. 计算技术与自动化,2013,32(2):119-122.

SUN Wei-xi. Symmetric NAT Passes Through the Abstract of Research of Problem[J]. Computing Technology and Automation, 2013,32(2):119-122.

[11] 孙卫喜,席少龙. 对等网联下NAT穿越问题的研究[J].电子技术应用,2013,39(5):132-134.

SUN Wei-xi, Xi Shao-long. The NAT Traversal Research in the peer-to-peer Network Linking[J]. Computer Technology and Its Applications, 2013,39(5):132-134.

[12] 孙名松,段志鸣,王湛昱. 混合式P2P网络UDP下NAT穿越方案的研究与设计[J].计算机与数字工程, 2010, 38(4):104-107.

Sun Ming-song, Duan Zhi-ming, Wang Zhan-yu. Research and Design of NAT Travsering Scheme Based on Composite P2P Network on UDP[J]. Computer & Digital Engineering, 2010, 38(4):104-107.

[13] 邹 航,李 梁. 整合ACL和NAT的网络安全实验设计[J].实验室研究与探索,2011,30(4):61-65.

ZOU Hang, LI Liang. Design of Integrated Network Security ACL and NAT Experiment[J]. Research and Exploration in Laboratory, 2011, 30(4):61-65.

[14] 孙旭东,卢建军,任 敏.基于NAT跳转与ACL控制技术的安全策略研究[J].煤炭技术,2010,29(8):147-149.

SUN Xu-dong, LU Jian-jun, REN Min. Research on Security Strategy Control Technology Based on Jump NAT and ACL[J]. Coal Technology, 2010,29(8):147-149.

[15] 褚建立,邵慧莹,李 军,等.交换机/路由器配置与管理项目教程[M].北京:人民邮电出版社,2011.

[16] 李战国,刘向东,王兴伟.基于301重定向技术的DNS动态管理实验[J].实验室研究与探索,2013,32(2):60-65.

LI Zhan-guo, LIU Xiang-dong, WANG Xing-wei. Dynamic DNS Management Experiments Based on 301 Redirection Technology[J]. Research and Exploration in Laboratory, 2013,32(2):60-65.

猜你喜欢

外网路由表内网
内网和外网间的同名IP地址转换技术及应用
基于OSPF特殊区域和LSA的教学设计与实践
电子政务外网的安全管理研究
组播状态异常导致故障
企业内网中的数据隔离与交换技术探索
内外网隔离条件下如何实现邮件转发
地下车库柱网布置设计思路
QoS技术在企业内网实践探索
基于新路由表的双向搜索chord路由算法
BGP创始人之一Tony Li:找到更好的途径分配互联网地址