11
enero
2019

NAT: Traducción de Direcciones de la Red

La Traducción de Direcciones de la Red o NAT (Network Address Translation) constituye un proceso que se utiliza fundamentalmente en el equipamiento de trasmisión de datos, que permite convertir una dirección IP en otra equivalente.

El uso de la NAT facilita resolver dos de los principales problemas que posee Internet asociados a la escasez de direcciones IP públicas (sobre todo de su versión 4 –IPv4), y al creciente tamaño de las tablas de enrutamiento.

Se conocen como direcciones IP públicas aquellas que permiten que cada dispositivo conectado directamente a Internet pueda ser identificado. Cuándo un dispositivo se conecta a Internet, se le asigna una dirección IP de las que disponga su proveedor de acceso a Internet (ISP, Internet Service Provider).

A nivel internacional, existe un control sobre la asignación y uso de las direcciones IP públicas en Internet, lo que es regulado por la Corporación Internacional para la Asignación de Nombres y Números (ICANN, Internet Corporation for Assigned Names and Numbers).

Las direcciones IP privadas son asignadas cuando se crea dentro de una entidad, una red de trabajo local (LAN - Local Area Network) en la que se conectan varias computadoras o dispositivos entre sí. Los abonados de una red local no se comunican con los dispositivos de otra directamente, por lo que varias redes locales diferentes pueden utilizar las mismas direcciones IP para los abonados de cada red.

La red local se puede conectar a su vez a una red pública como Internet, lo que se realiza normalmente a través de un equipo de trasmisión de datos o router, el que posee generalmente dos o más interfaces de red, una de cara a la red local (con IP privada), y otra de cara a Internet (con IP pública). Para la comunicación entre los dispositivos de la red interna con Internet, en el router se ejecuta el proceso de NAT o traducción de las direcciones IP privadas (internas) a las públicas (de Internet) y viceversa.

El uso de NAT tiene el beneficio adicional de proporcionar cierto grado de privacidad y seguridad adicional a las redes locales, ya que oculta las direcciones IP de las redes internas de las externas.

En general, los routers con NAT habilitada funcionan en la frontera de las redes internas respecto a Internet. Cuando un dispositivo interno envía tráfico fuera de la red, el router de la frontera traduce la dirección IP privada del dispositivo, a una dirección IP pública de Internet. Con esto, se logra que para los dispositivos externos todo el tráfico entrante y saliente de la red interna parece tener la misma dirección IP pública.

¿Cómo funciona la NAT?

Cuando se emplea la Traducción de Direcciones de Red (NAT), la red interna es el conjunto de redes sujetas a la traducción de las direcciones IP locales, mientras que la externa se refiere a todas las otras redes.

Al utilizar NAT, las direcciones IP se traducen de distinto modo, según si están en la red interna o en la red pública (Internet), y si el tráfico es entrante o saliente.

Al determinar qué dirección IP se utiliza, es importante destacar que existen cuatro tipos distintos, donde el router que realiza la NAT es el punto de demarcación entre las redes interna y externa, y las direcciones locales y globales. Ellas son:

  • Dirección IP Interna: es la dirección IP del dispositivo, que se traduce por medio de NAT.
  • Dirección IP Externa: es la dirección IP del dispositivo de destino.
  • Dirección IP Local: es cualquier dirección IP que aparece en la porción interna de la red.
  • Dirección IP Global: es cualquier dirección IP que aparece en la porción externa de la red.

Los términos “interna” y “externa” se combinan con los términos “global” y “local” para hacer referencia a direcciones específicas. De este modo:

  • La dirección local interna: es la dirección de origen vista desde el interior de la red.
  • La dirección global interna: es la dirección de origen vista desde la red externa. El router que realiza NAT traduce la dirección local interna a una dirección global interna.
  • La dirección global externa: es la dirección del destino vista desde la red externa. Es una dirección IP enrutable globalmente y asignada a un abonado en Internet. Por lo general, las direcciones externas (global y local) son iguales.
  • La dirección local externa: es la dirección del destino vista desde la red interna.

Tipos de NAT

Existen tres tipos de realización de NAT:

  • Traducción estática de las direcciones (NAT estática): es la asignación uno a uno entre las direcciones locales y globales.
  • Traducción dinámica de las direcciones (NAT dinámica): es la asignación de varias direcciones locales a varias direcciones globales.
  • Traducción de la dirección del puerto (PAT): generalmente es la asignación, de varias direcciones locales a una dirección global. Este método también se conoce como “sobrecarga” (NAT con sobrecarga).

NAT estática

La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales. Estas asignaciones son configuradas por el administrador de la red en el router de la frontera, y siempre se mantienen constantes.

Cuando los dispositivos de la red envían tráfico a Internet, sus direcciones locales internas se traducen a las direcciones globales internas configuradas. Para las redes externas, es como si estos dispositivos tuvieran direcciones IP públicas.

La NAT estática resulta útil, en especial para los servidores web o los dispositivos que deben tener una dirección constante que sea accesible tanto desde Internet, como desde una red interna de una entidad. También es útil para los dispositivos a los que debe poder acceder el personal autorizado cuando no está en su lugar de trabajo, pero no el público en general en Internet.

Este tipo de NAT requiere que haya suficientes direcciones IP públicas disponibles para satisfacer la cantidad total de sesiones simultáneas de los usuarios.

NAT dinámica

La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de llegada de los pedidos de acceso. Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica le asigna una dirección IP pública disponible del conjunto.

Al igual que la NAT estática, la NAT dinámica requiere que haya suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones simultáneas de los abonados de la red.

Con la NAT dinámica, una única dirección interna se traduce a una única dirección externa disponible; de esta forma, deben existir suficientes direcciones en el conjunto para admitir a todos los dispositivos internos que necesiten acceso a la red externa al mismo tiempo. Si se utilizaron todas las direcciones del conjunto, los dispositivos internos deben esperar que haya una dirección disponible para poder acceder a la red externa.

Traducción de la Dirección del Puerto (PAT)

La Traducción de la Dirección del Puerto (PAT, Port Address Translation), también conocida como “NAT con sobrecarga”, asigna generalmente varias direcciones IP privadas a una única dirección IP pública. Esta constituye la forma más común de NAT, para que varios dispositivos puedan acceder a Internet simultáneamente.

Con PAT, generalmente se pueden asignar varias direcciones IP privadas a una dirección IP pública, debido a que cada dirección privada también se rastrea con un número de puerto, todo con el fin de identificar la sesión sin posibilidad de ambigüedades. Cuando el router que ejecuta NAT recibe un paquete del abonado, utiliza el número de puerto de origen para identificar de forma exclusiva la traducción NAT específica.

La realización de PAT garantiza que los dispositivos usen un número de puerto distinto para cada sesión con un servidor en Internet. Cuando llega una respuesta del servidor, el número de puerto de origen se convierte en el número de puerto de destino en la devolución, lo que determina a qué dispositivo el router reenvía los paquetes. El proceso de PAT también valida que los paquetes entrantes se hayan solicitado, lo que añade un grado de seguridad a la sesión.

PAT agrega números de puerto de origen únicos a la dirección global interna para diferenciar las traducciones. A medida que el router procesa cada paquete, utiliza un número de puerto para identificar el dispositivo en el que se originó el paquete.

Para la dirección de origen, el router traduce la dirección local interna a una dirección global interna con el número de puerto agregado. La dirección de destino no se modifica, pero ahora se le denomina dirección global externa. Cuando el servidor responde, se invierte la ruta.

PAT intenta conservar el puerto de origen inicial. Sin embargo, si el puerto de origen inicial ya está en uso por una sesión activa anterior, se asigna el primer número de puerto disponible, que oscila entre 0 y 65 535. Cuando no hay más puertos disponibles y hay más de una dirección externa en el conjunto de direcciones, PAT avanza a la siguiente dirección para intentar asignar el puerto de origen inicial. Este proceso continúa hasta que no haya más puertos ni direcciones IP externas disponibles.

Ventajas de la realización de NAT

El proceso de NAT ofrece varios beneficios, entre los que se pueden destacar los siguientes:

  • Conserva el direccionamiento IP público legalmente registrado, al permitir con la traducción de direcciones, que las redes internas utilicen cualquier dirección IP privada sin causar conflicto entre ellas para su comunicación.
  • Aumenta la flexibilidad de las conexiones entre las redes internas de las entidades y la red pública (Internet). En este sentido, se pueden implementar varios conjuntos de traducción de direcciones para el equilibrio de carga, y con ello asegurar conexiones a la red pública confiables.
  • La realización de NAT proporciona coherencia al direccionamiento de la red interna, al disminuir los costos por redireccionamiento. La realización de NAT permite mantener el esquema de direcciones IP internas existente en una organización, ante el cambio a un nuevo esquema de direccionamiento IP público. Esto significa que una organización podría cambiar su suministrador de servicios de Internet (ISP) sin necesidad de modificar ninguno de sus clientes internos.
  • La NAT proporciona el efecto colateral de ocultar para las redes externas las direcciones IP internas de los dispositivos, lo que puede ser considerado como una característica de seguridad, que contribuye a la protección de la red ante posibles ataques para vulnerar sus sistemas, robar información y/o infectarlos con programas malignos.