NAT

NAT(Network Address Translation)이란?

NAT는 인터넷의 폭발적인 성장과 가정 및 비즈니스 네트워크의 증가로 인해 개발되었다. IP 주소의 수가 충분하지 않았다. 인터넷에서 다른 컴퓨터와 통신하려면 컴퓨터에 IP 주소가 있어야 한다. NAT를 사용하면 라우터와 같은 단일 장치가 인터넷과 로컬 네트워크 간의 에이전트 역할을 할 수 있다. 이 장치 또는 라우터는 로컬 네트워크에서 사용할 주소를 제공한다. 이 전체 컴퓨터 그룹을 나타내려면 고유한 단일 IP 주소만 필요하다. NAT의 일반적인 유형은 다음과 같다.

1. Static NAT

네트워크 트래픽은 고정 NAT를 통해 고정 외부 IP 주소에서 내부 IP 주소 또는 네트워크로 매핑된다. 정적 방식으로 실제 주소를 매핑된 주소로 변환한다. 정적 NAT는 등록되지 않은 사설 IP 주소를 사용하여 사설 LAN을 통해 네트워킹 장치를 인터넷에 연결한다.

하나의 IP 서브넷에서 다른 IP 서브넷으로의 일대일 매핑은 정적 NAT에 의해 정의된다. 한 방향으로 매핑에는 대상 IP 주소 변환이 포함되고 다른 방향으로는 소스 IP 주소 변환이 포함된다. 가상 호스트 IP 주소는 NAT 장치의 원래 대상 주소인 반면 매핑된 주소는 실제 호스트 IP 주소이다.

고정 NAT를 사용하는 네트워크의 양쪽에서 연결이 시작될 수 있지만 변환은 일대일 또는 동일한 크기의 주소 블록 간에만 가능하다. 공용 주소는 각 개인 주소에 할당되어야 한다. 주소 풀이 필요하지 않는다.

다음 유형의 변환도 고정 NAT에서 지원된다.

• 여러 IP 주소 및 포트 범위를 단일 IP 주소 및 다른 포트 범위에 매핑
• 특정 IP 주소 및 포트의 IP 주소 및 포트를 변경

2. Dynamic NAT

개인 IP 주소는 동적 NAT에서 NAT 풀로 알려진 공용 IP 주소 그룹의 공용 IP 주소에 매핑된다. 사설 IP 주소와 공인 IP 주소 간의 일대일 매핑은 동적 NAT를 통해 설정된다. 공용 IP 주소는 NAT 라우터 끝에 정의된 IP 주소 풀에서 선택된다. NAT 풀에서 액세스할 수 있는 공인 IP 주소에 따라 공용 대 개인 매핑이 다를 수 있다.

내부 미등록 주소와 외부 등록 주소 간에 일대일 변환을 생성하는 정적 NAT와 달리 동적 NAT는 여러 내부 주소가 동일한 공용 주소를 사용하는 다 : 1 변환을 생성한다. 동적 NAT는 5개의 값(소스 주소, 소스 포트, 대상 주소, 대상 포트 및 프로토콜)을 저장하는 각 TCP 또는 UDP 연결에 대한 상태 테이블을 유지함으로써 IP 주소 충돌을 제거한다.

3. PAT

LAN(Local Area Network)의 여러 장치는 NAT(Network Address Translation)의 확장인 PAT(Port Address Translation)를 사용하여 단일 공용 IP 주소에 매핑할 수 있다. PAT의 목적은 IP 주소를 저장하는 것이다.

대부분의 홈 네트워크에서는 PAT가 사용된다. 이 경우 인터넷 서비스 공급자(ISP)는 홈 네트워크의 라우터에 단일 IP 주소를 할당한다. 라우터는 이 네트워크에서 인터넷에 연결할 때 컴퓨터 X에 포트 번호를 할당한다. 그런 다음 내부 IP 주소가 여기에 추가된다. 결과적으로 컴퓨터 X는 고유한 주소를 받는다. 컴퓨터 Y가 컴퓨터 X와 동시에 인터넷에 연결되면 라우터는 별도의 포트 번호를 할당한다. 두 컴퓨터 모두 동일한 공용 IP 주소를 가지며 동시에 인터넷에 연결된다. 반면에 라우터는 어떤 특정 패킷을 보내야 하고 어디로 가야 하는지 항상 알고 있다. PC의 내부 주소는 모두 다르다.

NAT 작동원리

홈 라우터에 노트북이 연결되어 있다고 가정한다. 누군가 노트북에서 자신이 좋아하는 식당으로 가는 길을 찾고 있다. 이 요청은 랩톱에서 라우터로 패킷으로 전송된 다음 라우터에서 웹으로 전달된다. 그러나 라우터는 먼저 발신 IP 주소를 사설 로컬 주소에서 공용 주소로 변경해야 한다.

수신 서버는 패킷에 개인 주소가 있는 경우 정보를 다시 보낼 위치를 알 수 없다 . 이는 물리적 메일을 보내고 반송 서비스를 찾는 것과 유사하지만 익명의 반송 주소를 제공한다. NAT 덕분에 노트북의 개인 주소가 아닌 라우터의 공용 주소를 사용하여 정보가 노트북으로 다시 전송된다.

NAT는 어떻게 보안을 향상할까?

주로 보안에 대한 모호성에 관한 것다. NAT 장치는 모든 네트워크 장치가 NAT 장치 고유의 단일 IP 주소에서 나오는 것처럼 보이게 하여 모든 네트워크 장치를 숨긴다.

모든 시스템은 네트워크 내에서 자체 IP 주소를 가지고 있지만 인터넷의 나머지 부분과 상호 작용할 때 내부 장치 매핑이 있는 NAT를 통과한다. 결과적으로 NAT는 인터넷 트래픽을 전송할 장치를 알고 있다.

그러나 네트워크 외부에서는 NAT IP 주소만 볼 수 있다. 내부 장치의 내부 IP 주소를 결정하는 직접적이고 직접적인 방법은 없다.

반면에 NAT는 진정한 보안 장치가 아니다. 내부 IP 주소를 숨길 수 있지만 악의적인 트래픽에는 영향을 미치지 않는다. 결과적으로 공격자는 악성코드를 NAT에 보낼 수 있으며 감염 여부에 따라 NAT의 장치 네트워크 맵에 대한 액세스 권한을 얻거나 내부 장치로 직접 이동할 수 있다.

그렇기 때문에 NAT 외에도 방화벽이 필요하다 . NAT는 인터넷에 대한 네트워크 정체를 완화하기 위해 시스템 관리자가 주로 사용한다. 인터넷을 통해 액세스할 수 있는 고유한 IP 주소가 있는 각 시스템 대신 문제 해결 및 시스템 구성에 도움이 되는 단일 IP 주소가 사용된다.

NAT의 장점

• 주소 보존: NAT는 합법적으로 등록된 IP 주소의 고갈을 방지하고 보존한다.

• 네트워크 주소 변환의 보안: NAT는 공용 네트워크에서 장치 IP 주소를 마스킹함으로써 사용자가 트래픽을 송수신할 때에도 더 높은 보안과 프라이버시로 인터넷을 사용할 수 있도록 한다. 사용자는 NAT 속도 제한을 사용하여 라우터의 동시 NAT 작업 수와 NAT 변환 수를 제한할 수 있다. 이렇게 하면 NAT 주소가 활용되는 방법을 더 잘 제어할 수 있을 뿐만 아니라 웜 , 바이러스 및 서비스 거부(DoS) 공격을 피할 수 있다 . 동적 NAT를 사용하면 내부 네트워크와 인터넷 사이에 자동으로 방화벽이 구축된다. 트래픽 로깅 및 필터링은 일부 NAT 라우터에서 사용할 수 있다.

• 유연성: NAT는 적응력이 있다. 예를 들어 공중 무선 LAN 설정에서 사용할 수 있다. 경우에 따라 인바운드 매핑 또는 정적 NAT를 통해 외부 장치가 스텁 도메인의 컴퓨터에 연결할 수 있다.

• 단순성: 네트워크가 변경되거나 병합될 때 주소 번호를 다시 매길 필요가 없다. 네트워크 주소 변환을 사용하여 내부 네트워크 서버에 대한 TCP 부하 분산을 조정하기 위해 내부 네트워크 가상 호스트를 구성할 수 있다.

• 속도: NAT는 프록시 서버와 달리 대상 컴퓨터와 원본 컴퓨터 모두에 투명하므로 더 빠른 직접 통신이 가능하다. 또한 프록시 서버는 종종 OSI 참조 모델의 전송 계층 이상에서 작동하므로 네트워크 계층 또는 계층 3에서 작동하는 네트워크 주소 변환보다 느리다.

• 확장성: DHCP 서버는 필요에 따라 스텁 도메인에 대한 미등록 IP 주소를 목록에서 배포하며 NAT와 DHCP(Dynamic Host Configuration Protocol)가 효과적으로 함께 작동한다. 수요가 증가함에 따라 IANA에서 더 많은 IP 주소를 요청하지 않고 즉시 더 많은 네트워크 컴퓨터를 위한 공간을 생성하도록 DHCP가 구성한 사용 가능한 IP 주소 범위를 확장할 수 있으므로 확장이 더 쉽다.

• 멀티 호밍:멀티호밍(Multi-homing) 또는 인터넷 연결이 많으면 안정적인 연결을 유지하는 데 도움이 되고 연결이 끊긴 경우 종료 가능성을 최소화할 수 있다. 이것은 또한 단일 연결을 사용하는 시스템의 수를 제한하여 로드 밸런싱을 허용한다. 멀티홈 네트워크는 많은 ISP에 자주 연결되며 각 ISP는 조직에 IP 주소 범위 또는 단일 IP 주소를 할당한다. 서로 다른 네트워크 주소 변환 프로토콜을 사용하는 네트워크 간에 라우팅하기 위해 라우터는 네트워크 주소 변환을 사용한다. 다중 홈 네트워크의 라우터는 TCP/IP 프로토콜 제품군의 일부인 경계 게이트웨이 프로토콜(BGP)을 사용하여 통신한다. 스텁 도메인 측은 내부 BGP 또는 IBGP를 사용하고 라우터는 외부 BGP 또는 EBGP를 사용하여 서로 연결한다. ISP에 대한 연결 중 하나가 실패하면 멀티호밍은 모든 트래픽을 다른 라우터로 재라우팅을 한다.

NAT의 단점

• 일부 실시간 응용 프로그램은 네트워크 주소 변환이 제공하지 않는 실제 종단 간 통신을 요구한다. 다양한 실시간 응용 프로그램은 데이터 패킷을 실시간으로 교환하기 위해 논리 터널을 설정해야 한다. 통신 프로세스를 복잡하게 만들고 속도를 저하시킬 수 있는 프록시 서버와 같은 중간 매개체를 사용하지 않고 빠르고 원활한 연결이 필요하다.

• NAT는 터널링 프로토콜의 작동을 복잡하게 만든다. 프록시 서버를 통과하는 모든 통신은 느리고 중단되기 쉽다. 이러한 결함은 특정 중요 응용 프로그램에서 허용되지 않는다. 원격 진료와 원격 회의가 두 가지 예)이다. 이러한 애플리케이션은 네트워크 주소 변환을 통신 네트워크의 병목 현상으로 간주하여 종단 간 연결 왜곡을 피할 수 있다.

• NAT는 인터넷을 통한 인터넷 통신을 위한 백업 경로 역할을 한다. IPv4 주소 공간의 부족과 보안 문제는 네트워크 주소 변환 프로세스의 광범위한 매력과 후속 구현의 원동력이었다. IPv6 프로토콜은 이러한 어려움을 모두 해결했다. IPv6이 점진적으로 IPv4를 대체함에 따라 네트워크 주소 변환 절차는 중복되고 구식이 되어 IPv6 네트워크에서 더 이상 필요하지 않은 서비스에 귀중한 네트워크 리소스를 낭비하게 된다.