NAT 트래버설
NAT traversal |
네트워크 주소 변환 트래버설은 네트워크 주소 변환(NAT)을 구현하는 게이트웨이 간에 인터넷 프로토콜 연결을 설정하고 유지하는 컴퓨터 네트워킹 기술입니다.
NAT 통과 기술은 피어 투 피어 파일 공유 및 Voice [1]over IP 등 많은 네트워크 애플리케이션에 필요합니다.
네트워크 주소 변환
NAT 디바이스에서는 라우터의 배후에 있는 프라이빗 네트워크상에서, 인터넷에 접속하는 단일의 퍼블릭 IP 주소를 사용할 수 있습니다.내부 네트워크 디바이스는, 발신 요구의 송신원주소를 NAT 디바이스의 송신원주소로 변경해, 응답을 발신기지 디바이스에 릴레이 해 외부 네트워크상의 호스트와 통신합니다.
NAT 디바이스에는, 착신 패킷의 수신처가 되는 내부 호스트를 자동적으로 판별하는 방법이 없기 때문에, 내부 네트워크는 서버 호스팅에 적합하지 않습니다.이것은 일반적인 웹 액세스 및 이메일에 문제가 되지 않습니다.다만, 피어 투 피어 파일 공유, VoIP 서비스, 비디오 게임 콘솔등의 애플리케이션에서는, 클라이언트도 서버여야 합니다.착신 요구는, 적절한 내부 호스트와 간단하게 관련지을 수 없습니다.게다가 이러한 타입의 서비스의 상당수는, 애플리케이션 데이터에 IP 주소 및 포토 번호 정보를 포함하고 있기 때문에, 상세한 패킷인스펙션으로의 치환이 필요하게 될 가능성이 있습니다.
네트워크 주소 변환 테크놀로지는 표준화되어 있지 않습니다.그 결과, NAT 트래버설에서 사용되는 방법은 독자적이고 문서화가 불충분한 경우가 많습니다.많은 트래버설 기법에서는 위장된 네트워크 외부에 있는 서버의 지원이 필요합니다.서버에 따라서는 접속 확립 시에만 서버를 사용하는 방법과 접속을 통한 모든 데이터 릴레이에 기반한 방법이 있습니다.이로 인해 대역폭 요건과 지연이 증가하여 실시간 음성 및 비디오 통신에 악영향을 미칩니다.
NAT 트래버설테크놀로지는 보통 엔터프라이즈보안 정책을 바이패스합니다.엔터프라이즈 보안 전문가는 NAT 및 방화벽과 명시적으로 협력하여 NAT 트래버설을 가능하게 하는 동시에 NAT에서 마샬링을 통해 엔터프라이즈 보안 정책을 적용할 수 있는 기술을 선호합니다.이 보안 모델에 근거한 IETF 표준은 Realm-Specific IP(RSIP; 영역 고유 IP) 및 Middlebox Communications(MIDCOM; 미들박스 통신)입니다.
기술
다음의 NAT 트래버설테크닉을 사용할 수 있습니다.
- Socket Secure(SOCKS; 소켓시큐어)는 1990년대 초에 작성된 테크놀로지로 프록시 서버를 사용하여 네트워크 또는 시스템 간에 트래픽을 릴레이합니다.
- NAT 주변 릴레이 사용 통과(TRUNN)는 NAT 통과용으로 특별히 설계된 릴레이 프로토콜입니다.
- NAT 홀 펀칭은 NAT이 일부 프로토콜(UDP, TCP 또는 ICMP 등)을 처리하는 방식을 이용하여 이전에 차단된 패킷을 NAT을 통해 허용하는 일반적인 기술입니다.
- Session Traversal Utilities for NAT(STUN)은 NAT 홀 펀칭을 위한 표준화된 메서드 및 네트워크 프로토콜입니다.UDP용으로 설계되었지만 TCP로도 확장되었습니다.
- Interactive Connectivity Establishment(ICE; 대화식 연결 확립)는 STUN 및/또는 TURN을 사용하여 사용 가능한 최적의 네트워크 경로를 선택하면서 NAT 통과를 수행하기 위한 완전한 프로토콜입니다.STUN 사양에서 언급되지 않은 일부 누락 및 결함을 채웁니다.
- UPnP Internet Gateway Device Protocol(IGDP)은 홈 또는 스몰오피스 설정의 많은 소규모 NAT 게이트웨이에 의해 지원됩니다.이것에 의해, 네트워크상의 디바이스가 라우터에 포토 개방을 요구할 수 있습니다.
- NAT-PMP는 IGDP의 대안으로 Apple에 의해 도입된 프로토콜입니다.
- PCP는 NAT-PMP의 후계자입니다.
- Application-Level Gateway(ALG; 응용 프로그램레벨 게이트웨이)는 NAT 트래버설필터를 [2]설정할 수 있는 방화벽 또는 NAT 컴포넌트입니다.많은 사람들은 이 기술이 [3]해결하는 것보다 더 많은 문제를 만든다고 주장한다.
대칭 NAT
최근 대칭형 NAT의 확산으로 모바일 및 공용 WiFi 연결과 같은 많은 실제 상황에서 NAT 통과 성공률이 감소했습니다.STUN이나 ICE 등의 홀 펀칭테크놀로지는 TURN에서 실시되고 있는 것처럼 릴레이 서버의 도움 없이 대칭 NAT을 통과할 때 실패합니다.각 NAT 장치에서 다음 포트를 여는 방법을 예측하여 대칭 NAT을 통과하는 기술은 2003년 Panasonic Communications Research[4] Laboratory의 Yutaka Takeda와 2008년 Waseda [5]University의 연구진에 의해 발견되었습니다.포트 예측 기술은 포트 선택에 기존의 결정론적 알고리즘을 사용하는 NAT 디바이스에서만 유효합니다.이러한 예측 가능하지만 비정적 포트 할당 방식은 4G LTE 네트워크에서 사용되는 것과 같은 대규모 NAT에서는 흔치 않기 때문에 이러한 모바일 광대역 네트워크에서는 포트 예측이 거의 효과적이지 않습니다.
IPsec
IPsec 가상 프라이빗 네트워크클라이언트는 NAT 트래버설을 사용하여 캡슐화 보안 페이로드 패킷이 NAT을 통과하도록 합니다.IPsec 에서는, 파이어 월(fire wall)과 네트워크 주소 변환기를 통과하기 위해서 유효하게 할 필요가 있는 몇개의 프로토콜이 동작에 사용됩니다.
- Internet Key Exchange(IKE; 인터넷키 익스체인지)– UDP 포트 500
- Encapsulating Security Payload(ESP) – IP 프로토콜 번호50
- Authentication Header(AH; 인증 헤더)– IP 프로토콜 번호51
- IPsec NAT 트래버설: UDP 포트 4500(NAT 트래버설을 사용하는 경우만)
많은 라우터는 IPsec [citation needed]패스스루라고 불리는 명시적인 기능을 제공합니다.
Windows XP 에서는, NAT 트래버설은 디폴트로 유효하게 되어 있습니다만, Windows XP Service Pack 2 에서는, 드물게 문제가 있는 시큐러티 문제로 인해,[6] VPN 서버도 NAT 디바이스의 배후에 있는 경우는, 디폴트로 무효가 되어 있습니다.IPsec NAT-T 패치는 Windows 2000, Windows NT 및 Windows [citation needed]98에서도 사용할 수 있습니다.
NAT 트래버설 및 IPsec을 사용하여 시스템 간 트래픽의 기회주의적 암호화를 활성화할 수 있습니다.NAT Traversal을 사용하면 NAT의 배후에 있는 시스템이 온디맨드 방식으로 안전한 연결을 요청하고 설정할 수 있습니다.
호스트 NAT 트래버설
Hosted NAT Traversal(HNT; 호스티드 NAT 트래버설)은 미디어 릴레이 및 래치를 포함한 일련의 메커니즘으로, 과거 및 실제적인 [7]이유로 통신 프로바이더에 의해 널리 사용되고 있습니다.IETF는 인터넷을 통한 래치 사용을 권장하며 보안상의 [8]이유로 ICE를 권장합니다.
IETF 표준 문서
- RFC 1579 – 방화벽에 적합한 FTP
- RFC 2663 – IP Network Address Translator(NAT; 네트워크주소 변환기) 용어 및 고려사항
- RFC 2709 - NAT 도메인용 터널 모드 IPsec 보안 모델
- RFC 2993 – NAT의 아키텍처에 미치는 영향
- RFC 3022 – 종래의 IP 네트워크 주소 변환기(종래의 NAT)
- RFC 3027 - IP Network Address Translator(NAT; 네트워크주소 변환기)와의 프로토콜의 복잡성
- RFC 3235 – Network Address Translator(NAT; 네트워크주소 변환기)에 적합한 응용 프로그램 설계 가이드라인
- RFC 3715 – IPsec-Network Address Translation(NAT; 네트워크주소 변환) 호환성
- RFC 3947 - IKE에서의[clarification needed] NAT-Traversal 네고시에이션
- RFC 5128 - Network Address Translator(NAT; 네트워크주소 변환기)를 통한 피어 투 피어(P2P) 통신 상태
- RFC 5245 – Interactive Connectivity Establishment(ICE; 인터랙티브 연결 확립): 오퍼/앤서 프로토콜을 위한 Network Address Translator(NAT; 네트워크주소 변환기) 트래버설용 프로토콜
「 」를 참조해 주세요.
- Session Border Controller(Session Border Controller)
- 구멍 뚫기
- UDP 홀 펀칭
- TCP 홀 펀칭
- ICMP 구멍 뚫기
- NAT Port Mapping Protocol(NAT-PMP)
- Port Control Protocol(PCP)
- 포트 전송
레퍼런스
- ^ "Firewall and NAT Traversal Explained". Eyeball Networks Inc. 2013-07-05. Archived from the original on 2013-10-19. Retrieved 2013-10-10.
- ^ "NAT Traversal Techniques and Peer-to-Peer Applications". Helsinki University of Technology. CiteSeerX 10.1.1.103.1659.
{{cite journal}}:Cite 저널 요구 사항journal=(도움말) - ^ "Introduction to NAT". PJNATH Library. Retrieved 2016-05-30.
- ^ "Symmetric NAT Traversal using STUN".
- ^ "A New Method for Symmetric NAT Traversial in UDP and TCP" (PDF). Archived from the original (PDF) on 2017-02-02. Retrieved 2016-05-14.
- ^ "IPSec NAT Traversal is not recommended for Windows Server 2003 computers that are behind network address translators". Microsoft knowledge base #885348.
- ^ 래치: 실시간 통신 미디어용 Hosted NAT Traversal(HNT), RFC 7362 2014-09-01
- ^ Interactive Connectivity Establishment(ICE; 대화식 연결 확립): Network Address Translator(NAT; 네트워크주소 변환기) 트래버설 프로토콜, RFC 8445 2018-07-01
