Adres je málo

V dobì vzniku Internetu nikdo neèekal jakou revoluci zpùsobí a kolik poèítaèù bude k nìmu pøipojeno. Aby dva poèítaèe mohly spolu komunikovat, musí mít každý z nich adresu. Je to podobné, jako pøi bìžné papírové korespondenci nebo pøi psaní e-mailù. Chcete-li nìkomu napsat, musíte znát jeho adresu. Poèet poštovních nebo e-mailových adres není prakticky nijak omezen, každý mùže mít svou vlastní, ovšem poèet adres poèítaèù v Internetu omezen je. Pro adresování se totiž používají tzv. IP adresy.

IP adresa je složena ze ètyø osmibitových èísel, každé mùže být tedy v intervalu od 0 do 255, takže teoretický maximální poèet všech adres je 256*256*256*256 = 4 294 967 296. Èíslo pøes ètyøi miliardy se zdá být dostateènì velké a ve skuteènosti zatím dostaèuje, poèet všech poèítaèù není ještì tak velký. To už ale brzy nemusí být pravda, právì díky rozvoji chytrých mobilních telefonù a podobných zaøízení. Problém je ale v tom, že poèítaèe spolu nekomunikují pøímo, ale zprávy si posílají pøes tzv. routery. Kdyby pøidìlování adres nemìlo žádnou logiku, musel by si každý router pamatovat pro každou adresu zvl᚝, kam má zprávu pro ni dále pøeposlat. To jsou desítky gigabajtù dat, což bylo v dobì vzniku Internetu jednak naprosto nemyslitelné a jednak vyhledávání v tak ohromném množství dat by bylo neuvìøitelnì pomalé, což by se samozøejmì projevilo i v rychlosti celého Internetu.

Proto byly IP adresy rozdìleny do tzv. tøíd. Tøída adresy se rozlišila podle nìkolika bitù v jejím prvním bajtu a IP adresa tak byla vlastnì rozdìlena na tøi èásti. První èást identifikovala tøídu adresy, druhá èást byla identifikátorem sítì, tzv. Net-ID a tøetí èást urèovala konkrétní poèítaè v rámci sítì, tzv. Host-ID. Routery zajišovaly smìrování dat pouze mezi poèítaèi na úrovni Net-ID, tedy napø. servery sítí rùzných organizací a teprve na tìchto serverech pak bylo podle èásti Host-ID rozlišit konkrétní poèítaè, pro který je zpráva urèena. Tím se routerùm znaènì ulehèilo, èást smìrovací práce se rozdistribuovala na další servery, ale následek byl ten, že každému takovému serveru byl pøidìlen vždy celý blok adres, minimálnì tedy 256 u tøídy C, pøestože jich nemuselo být ani tolik potøeba, a tak jich zùstala spousta nevyužita, ale blokována.

Pùvodní tøídy IP adres

Problém byl i s volbou tøídy adres pro urèitou organizaci, aby byl poèet adres co nejlépe využit. Adres tøídy A mùže být jednak pouze 128 a jednak jsou pøíliš velké prakticky pro jakoukoli organizaci, protože prakticky nikdo nemá 16 milionù poèítaèù. Tøída C se zase zdála být pøíliš malá s ohledem na možný budoucí rùst, a proto vìtšina organizací skonèila s adresami tøídy B. Ty byly brzy obsazeny a tak další organizace se musely spokojit s více adresami tøídy C. I tak byl poèet adres pro smìrovaèe pøíliš velký (miliony adres tøídy C), a proto jako èásteèné øešení bylo zavedeno adresování bez rozlišení tøídy (CIDR, Classless InterDomain Routing), kdy nìkolik adres tøídy C urèité organizace se routeru jevilo jako jedna adresa a mìl ji uloženu jako jednu položku smìrovací tabulky. To bylo již na zaèátku 90 let minulého století a už tehdy se pøedpokládalo, že je to pouze mezikrok k zavedení delších adres nazývaných IPv6 podle toho, že nejsou složeny ze ètyø, ale ze šesti bajtù. Zavedení IPv6 se ale neustále oddaluje a problém zùstává, proto na scénu pøíchází NAT.

Ne každý potøebuje veøejnou adresu

Základním nedostatkem pøidìlování IP adres je skuteènost, že každému poèítaèi automaticky pøidìluje adresu dostupnou odkudkoli, aèkoli to v nìkterých aplikacích nemusí být ani žádoucí a zbyteènì se tak nejen plýtvá adresami, ale vytváøí i bezpeènostní rizika. Pøíkladem mùže být firemní tiskový server, u kterého není žádný dùvod, aby se k nìmu pøipojoval nìkdo jiný než zamìstnanec firmy a mùže tak být zneužit nìkým jiným, napøíklad hackerem k plýtvání se zdroji tiskárny. Také ani nebylo žádoucí, aby poèítaèe pracovníkù byly veøejnì dostupné, protože by z nich mohly uniknout informace.

Souèasnì pøipojených poèítaèù je málo

Dalším plýtváním adresami je skuteènost, že právì zapnutých poèítaèù a pøipojených k síti je mnohem ménì než tìch, které mají pøidìlenou adresu. Právì vypnuté poèítaèe žádnou adresu nepotøebují, protože stejnì nejsou dostupné. Z tohoto pohledu je lepším øešením pøiøadit poèítaèùm v rámci sítì lokální veøejnì nedostupné adresy použitelné pouze pro lokální komunikaci a pouze v pøípadì potøeby pøidìlit drahocennou veøejnou IP adresu. To ale jednak omezuje možný poèet pøipojených poèítaèù v daný okamžik a jednak pokud nemá poèítaè právì veøejnou adresu pøidìlenu, je z venku nedostupný.

Network Address Translation - NAT

Z výše uvedených poznatkù vznikl NAT. Je to jen krátkodobé øešení, než se podaøí zavést IPv6. Základním principem je, že poèítaèe v rámci sítì mají pøídìlené neveøejné IP adresy a chtìjí-li komunikovat s vnìjším svìtem, mohou tak èinit pouze prostøednictvím NAT serveru, který zajistí pøeložení neveøejné adresy na veøejnou. Rozlišuje se NAT statický a dynamický. Pøi statickém NATu je pøirazení neveøejných adres k veøejným v pomìru m:n, kde m=n, m>=1, n>=1 a neøeší to tedy problém poètu adres. U dynamického NATu je pomìr m:n, kde m>=n, m>=1, n>=1. Základní vlastností tohoto øešení je, že pøímý pøístup k urèitému poèítaèi v rámci lokální sítì má pouze NAT server a nikdo jiný z venku tak nemùže NAT server obejít. To lze považovat za výhodu i nevýhodu.

Výhodou NATu je, že plní vlastnì jednu z funkcí firewallu. Brání nežádoucí komunikaci z vnìjšku a nemùže tak napøíklad dojít k nechtìnému zahlcení lokálního poèítaèe, jak ilustruje následující obrázek.

NAT plní jednu z funkcí firewallu

Pøes NAT prochází veškerá komunikace mezi lokální sítí a vnìjším svìtem. To je naprosto nezbytné, protože lokální adresy nemají ve vnìjším svìtì žádný význam. V každém paketu dat musí být proveden pøeklad lokální adresy na veøejnou. Jakákoli nevyžádaná data však není kam doruèit, protože nevzešel-li požadavek zevnitø sítì, nikdo vnì nezná lokální adresy a taková komunikace je ignorována.

To však porušuje základní princip IP adres, tedy jednoznaèné identifikace pøíjemce, a základní princip Internetu, tedy øízení komunikace koncovými uzly, na kterém jsou založeny mnohé služby. NAT totiž dokáže pøekládat pouze záhlaví paketù, není však schopno pøekládat vlastní datový obsah, což ani není žádoucí, protože by pak mohlo dojít k poškození dat. Je to logické, NAT totiž v hierarchii TCP/IP pracuje na vrstvì IP a o nìjaké aplikaèní vrstvì nemá ani potuchy.

Tyto dvì skuteènosti jsou zdrojem vìtšiny problémù, které NAT pøináší.

NAT vzniklo kvùli úspoøe drahocenných veøejných adres, ale ukázalo se, že mùže sloužit i k øešení dalších praktických problémù, a proto i s pøíchodem IPv6 zùstane nejspíše zachováno. Jako pøíklad lze uvést rozdìlení zátìže na více serverù. Staèí si vzpomenout na velké vyhledávací služby typu Google vyøizující tak ohromné množství požadavkù, že by na nì žádný existující poèítaè nestaèil nebo by byl velmi drahý. Proto je použito více serverù, které jsou ale skryty za jednou IP adresou a požadavky jsou rozdìlovány podle aktuální zátìže serverù. Této techniky lze použít také ke zvýšení spolehlivosti serveru, kdy pøi výpadku jednoho mùže být provoz pøesmìrován na záložní server se stejnou IP adresou, aniž by si toho nìkdo z vnìjšku vùbec všimnul.

Problematické služby

Služby, které využívají nìkterou ze dvou výše uvedených vlastnotí NAT nemohou principiálnì s NAT fungovat. U nìkterých lze však sjednat nápravu použitím ALG (Application Level Gateway), tedy jakéhosi prostøedníka, navrženého speciálnì pro každý protokol, který ví o NAT a je schopen ho využít a provést napøíklad pøeklad adres i v datovém obsahu paketu. To lze ale jen za pøedpokladu, že obsah paketu není šifrován. Pokud je obsah šifrován, není ALG schopen pøeklad provést. A šifrovaných protokolù stále pøibývá, jak roste nebezpeèí zneužití dat. Šlo by namítnout, že ALG mùže dostat klíè k dešifrování a opìtovnému zašifrování dat, ale je tu nìkolik problémù:

• snížení výkonu v dùsledku opakovaného dešifrování a šifrování
• NAT a ALG jsou umístìny na serveru dostupném z vnìjšku a v pøípadì úspìšného útoku dojde k odhalení obsahu všech zpráv
• NAT se mùže nacházet i mimo dùvìryhodnou oblast, napøíklad mùže sloužit pro více organizací

Novìjší protokoly však už mohou být na NAT pøipraveny a mohou tedy šifrování bez problému využívat, protože nevyžadují ALG.

Mezi nejznámìjší problematické služby patøí:

• Služby, které si vymnìòují informace pøi ustavení spojení nebo služby peer-to-peer, kde se požaduje navázání spojení z vnìjšku bez prostøedníka
• FTP
• Voice over IP (Internetová telefonie): H.323, SIP, MGCP
• RTSP
• RealAudio
• X-Windows
• ICQ pøenos souborù
• SMTP
• Služby, které závisí na urèitém portu, který je v dùsledku omezeného poètu veøejných IP adres pøesmìrován na jiný
• DNS
• rlogin
• IPSEC
• Služby, u kterých není možné zmìnit obsah paketu z bezpeènostních dùvodù
  • IPSEC v režimu AH a ESP
  • Kerberos 4 a 5, které obsahují informaci o IP v zašifrovaných tiketech
  • SNMP
• Tunelovací služby urèené pro budování Virtuálních Privátních Sítí, tedy sítí provozovaných na bìžných veøejných sítích, ale vytváøející dojem, že se jedná o uzavøenou soukromou sí
  • PPTP
  • L2TP
  • IP bezpeènostní protokoly

Pomocí ALG lze zpøístupnit tyto známé služby:

• FTP
• DNS
• SMTP
• RealAudio
• H.323

Statická IP adresa

Máte-li s NAT problémy, mùžete je obejít aktivací statické veøejné IP adresy. To samozøejmì nìco stojí, protože je žádoucí, aby ji nemìl každý, nebo každý ji nepotøebuje a je jich málo. U Eurotelu je aktivaèní poplatek 495 Kè bez DPH (603,90 Kè s DPH) a dále se platí mìsíèní paušál 210 Kè bez DPH (256,20 s DPH). Pro ty, kteøí si statickou adresu aktivovali pøed 1. 10. 2003 je mìsíèní paušál pouze 145 Kè bez DPH (176,90 Kè s DPH).

Závìr

Tento èlánek je pouze hrubým nástinem problematiky NAT. Pøesnìjší informace lze nalézt v technických specifikacích a podobných materiálech, což pøedstavuje stovky a tisíce stran textu. NAT je v pøípadì nedostatku adres pouze provizorním øešením a spíše krokem zpìt.