Privātais tīkls — privātās IP adreses, RFC1918, NAT un drošība

Uzzini par privātajiem tīkliem, RFC1918 privātajām IP, NAT risinājumiem un drošības aspektiem — praktisks ceļvedis mājas un uzņēmumu LAN.

Autors: Leandro Alegsa

Interneta terminoloģijā privātais tīkls parasti ir tīkls, kurā iekārtas izmanto privātu IP adrešu telpu saskaņā ar RFC 1918 standartu. Datoriem un citām ierīcēm tiek piešķirtas adreses no šīm adresēm, ja nepieciešama saziņa tikai iekšējā intraneta vidē vai lokālajā tīklā. Privātie tīkli ir plaši izplatīti mājas un biroja lokālo tīklu (LAN) risinājumos, jo organizācijām reti nepieciešamas globāli unikālas publiskas IP adreses katrai ierīcei — tā ietaupās publisko IPv4 adrešu resurss un tiek atvieglota iekšējā pārvaldība.

RFC 1918 — kuras adreses ir«privātās»

RFC 1918 definē trīs galvenās IPv4 adrešu telpas, kas paredzētas privātiem tīkliem:

  • 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
  • 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
  • 192.168.0.0/16 (192.168.0.0 – 192.168.255.255)

Šīs adreses nav paredzētas tiešai maršrutēšanai pa publisko internetu — interneta maršrutētāji pēc noklusējuma nedrīkst pārsūtīt paketes ar RFC1918 avotu vai mērķi.

Kāpēc privātās adreses un IPv6

Privātās IP adreses radīja nepieciešamību IPv4 adrešu trūkuma dēļ. Viena no IPv6 attīstības motivācijām bija nodrošināt daudz lielāku adrešu telpu, lai ilgtermiņā nepieļautu līdzīgus resursu ierobežojumus. Tomēr IPv6 ieviešana joprojām notiek pakāpeniski, tāpēc daudzi tīkli darbojas uz privātajām IPv4 telpām, bieži kopā ar NAT risinājumiem.

Kā privātie tīkli sazinās ar internetu — NAT un starpvārtejas

Ja ierīcei privātajā tīklā nepieciešama saziņa ar internetu, parasti tiek izmantota kāda starpvārteja — parasti NAT ierīce vai starpniekserveris. NAT (Network Address Translation) pārtulko iekšējās privātās adreses uz vienu vai vairākām publiskajām adresēm, ļaujot iekšējam trafikam iziet uz ārpusi.

Izplatītākie NAT veidi:

  • SNAT (source NAT) — maina izcelsmes adresi, kad iekšējā ierīce sūta paketi uz ārpusi.
  • DNAT (destination NAT) — maiņa mērķa adresē, bieži izmanto portu pāradresāciju (port forwarding), lai pasūtītu ienākošos savienojumus uz konkrētām iekšējām ierīcēm.
  • PAT (Port Address Translation) — vairāku iekšējo ierīču savienojumu kartēšana uz vienu publisku IP, izmantojot dažādus portus (bieži saukts arī par „masquerading”).

Ir arī īpaši scenāriji kā Carrier-Grade NAT (CGN, RFC 6598), kur interneta pakalpojumu sniedzēji (ISP) izmanto kopīgu privātu telpu (piem., 100.64.0.0/10), lai samazinātu nepieciešamību izsniegt publiskās adreses klientiem.

Drošība — kas mainās ar privāto tīklu

Privātais tīkls un tas, ka iekārtas izmanto RFC1918 adreses, sniedz noteiktu izolāciju no tiešajiem ienākošajiem savienojumiem no interneta. Tomēr ir svarīgi saprast, ka privātais tīkls nav pret pilnīgu drošību — tas vairāk nodrošina izolācijas līmeni, nevis aizsardzību pret visiem draudiem.

  • Privātā adrese pati par sevi nepasargā pret iekšējiem draudiem (piem., inficētas ierīces, ļaunprātīgi iekšējie lietotāji).
  • NAT var traucēt tiešu ienākošu savienojumu veidošanu — nepieciešama portu pāradresācija vai speciāla konfigurācija. Tas ietekmē P2P programmas, reāllaika balss/video risinājumus un dažas drošības risinājumu arhitektūras.
  • Drošības labākā prakse ietver ugunsmūrus, tīkla segmentāciju (VLAN), piekļuves kontroles sarakstus (ACL), autentifikāciju, šifrētu VPN piekļuvi un tīkla uzraudzību (IDS/IPS, žurnālu analīze).

Maršrutēšana, filtrēšana un iespējamās problēmas

Publiskie interneta maršrutētāji parasti ir konfigurēti noraidīt paketes ar RFC1918 adresēm, lai nepieļautu šo privāto adrešu noplūdi internetā. Tas nodrošina, ka privātā telpa paliek izolēta. Iekšējie maršrutētāji un tīkla iekārtas var brīvi pārsūtīt RFC1918 paketes tīklā bez papildu konfigurācijas.

Tomēr praksē bieži rodas problēmas:

  • Ja divas organizācijas mēģina savienot tīklus (piem., VPN vai tieša savienojuma starpība) un abas izmanto vienādas privāto adrešu telpas, radīsies adreses sadursmes un maršrutēšanas problēmas.
  • Ja abi tīkli pilnībā paļaujas uz NAT, savienošana caur internetu var būt sarežģīta bez papildu konfigurācijas, portu pāradresācijas vai starpniekserveriem.
  • Dažas lietojumprogrammas iegulda IP adreses ziņojumos vai protokola datu plūsmās — NAT var traucēt šo trafiku, nepieciešami lietojumprogrammu specifiski risinājumi (ALGs, SIP helper u.c.).

Risinājumi, ja rodas pārklājums vai savienojumu problēmas

Labākie veidi, kā risināt vai izvairīties no konflikta ar vienādiem privātajiem tīkliem:

  • Pāradresēšana (readdressing) — visdrošākais risinājums: mainīt vienu no tīkla adresēm uz unikālu telpu, lai izvairītos no pārklāšanās.
  • NAT vai port mapping starp savienojošiem vārtejām, lai lokalizētu adreses tulkošanu un novērstu konfliktus.
  • VPN ar galapunkta NAT (NAT traversal) vai reģenerēšanu galapunktā, lai kartētu adreses vienādu tīklu savienojumu gadījumā.
  • Proxy risinājumi — izmantojot starpniekserverus vai aplikāciju līmeņa vārtejas, lai veiktu trafika starpniecību, neizmantojot tiešas iekšējo adrešu maršrutēšanas ceļus.
  • Garākiem starporganizāciju savienojumiem var izmantot BGP/MPLS un citus risinājumus, kas nodrošina adreses izolāciju vai pārnorādīšanu.
  • Ilgtermiņā — pāreja uz IPv6 var novērst adreses trūkumu un atvieglojot unikālu adresāciju visiem galapunktiem.

Praktiski padomi un labā prakse

  • Plānojiet adrešu telpas loģiski, lai izvairītos no pārklāšanās ar partneru vai klientu tīkliem.
  • Centralizēti pārvaldiet DHCP un DNS, lai izvērtētu un izvairītos no adrešu konfliktu riskiem.
  • Izmantojiet tīkla segmentāciju (VLAN), ugunsmūrus un piekļuves kontroli, lai ierobežotu iekšējo piekļuvi un samazinātu potenciālo kaitējumu, ja kāda ierīce kompromitēta.
  • Sekojiet līdzi programmatūras atjauninājumiem un ievainojamību pārvaldībai iekšējās ierīcēs.
  • Veidojiet logus un uzraudzības mehānismus (IDS/IPS), lai ātri noteiktu un reaģētu uz neparastu trafiku vai drošības incidentiem.

Kopsavilkumā: privātais tīkls ar RFC1918 adresēm ir lietderīgs instruments IPv4 resursu taupīšanai un tīkla izolācijai, tomēr tas nav visas drošības risinājums un prasa rūpīgu plānošanu, īpaši, ja tīklus savieno ar citiem tīkliem vai internetu. Pareiza NAT izmantošana, adrešu plānošana un drošības kontroles nodrošina stabilu un drošu privāto tīklu darbību.

Interneta piešķirto numuru iestādes (IANA) privātās adreses

Interneta piešķirto numuru iestāde (IANA) ir iestāde, kas pārvalda globālo IP adrešu piešķiršanu, DNS saknes zonas pārvaldību, multivides tipus un citus interneta protokolu piešķīrumus. To pārvalda ICANN.

Cilvēkiem, kas pārzina klases adresācijas robežas, ir svarīgi atzīmēt, ka, lai gan RFC 1918 diapazons 172.16.0.0-172.31.255.255 ietilpst tradicionālajā B klases diapazonā, rezervētais adrešu bloks ir nevis /16, bet /12. Tas pats attiecas uz 192.168.0.0-192.168.255.255 diapazonu; šis bloks nav /24, bet /16. Tomēr kāds joprojām var izmantot (un daudzi cilvēki to parasti dara) adreses no šiem CIDR blokiem un piemērot zemtīkla masku, kas atbilst adreses tradicionālajai klases robežai.

Pašreizējās IANA privātās interneta adreses (sauktas arī par nerutējamām) ir šādas:

Nosaukums

IP adrešu diapazons

adrešu skaits

klases apraksts

lielākais CIDR bloks

definēts

24 bitu bloks

10.0.0.0 – 10.255.255.255

16,777,216

viena A klase, 256 blakusesošas B klases.

10.0.0.0/8

RFC 1597 (novecojis), RFC 1918

20 bitu bloks

172.16.0.0 – 172.31.255.255

1,048,576

16 blakusesošas B klases

172.16.0.0/12

16 bitu bloks

192.168.0.0 – 192.168.255.255

65,536

viena B klase, 256 blakusesošas C klases.

192.168.0.0/16

Lai samazinātu slodzi, ko šo IP adrešu reverso DNS meklējumu dēļ rada saknes vārda serveri, AS112 nodrošina "melno caurumu" vārda serveru sistēmu, ko nodrošina jebkuras pārraides tīkls.

Saistītās lapas

  • Interneta protokolu komplekts
  • Sakaru protokols

Jautājumi un atbildes

J: Kas ir privātais tīkls?


A: Privātais tīkls ir datortīkls, kas izmanto privātu IP adrešu telpu saskaņā ar RFC 1918 standartu. To parasti izmanto organizācijas iekšējiem tīkliem vai mājas un biroja lokālajiem tīkliem (LAN).

J: Kāds bija privāto IP adrešu izveides iemesls?


A: Privātās IP adreses tika izveidotas tāpēc, ka IPv4 standartā radās publiski reģistrēto IP adrešu trūkums. Viens no iemesliem, kāpēc tika izveidots IPv6, ir novērst šo IPv4 standarta ierobežojumu.

J: Kā izolācija nodrošina privāto tīklu drošību?


A: Izolācija nodrošina privāto tīklu pamata drošības veidu, jo ārējām ierīcēm parasti nav iespējams izveidot savienojumu tieši ar iekārtām, kas izmanto šīs privātās adreses. Lai nodrošinātu šo aizsardzību, interneta maršrutētāji jākonfigurē tā, lai noraidītu visas paketes, kas satur šīs adreses.

J: Kā dažādas organizācijas var izmantot vienu un to pašu privāto adrešu diapazonu, neradot adrešu konfliktu risku?


A: Tā kā savienojumus starp dažādiem privātiem tīkliem nevar izveidot, izmantojot internetu, dažādas organizācijas var izmantot vienu un to pašu privāto adrešu diapazonu, neriskējot ar adrešu konfliktiem (sakaru negadījumiem, kas rodas, sasniedzot trešo pusi, kura izmanto to pašu IP adresi).

J: Kāda veida ierīce ir nepieciešama, ja ierīcei privātajā tīklā ir nepieciešams sazināties ar citiem tīkliem?


A: Ja privātajā tīklā esošai ierīcei ir nepieciešams sazināties ar citiem tīkliem, ir nepieciešams "starpposma vārteja" (starpvārtejas), lai nodrošinātu, ka ārējām ierīcēm tiek norādīta publiski sasniedzama adrese, lai interneta maršrutētāji atļautu saziņu. Šāds vārteja parasti ir vai nu NAT ierīce, vai starpniekserveris.

Vai publiskajiem interneta maršrutētājiem ir nepieciešama papildu konfigurācija, lai pārsūtītu paketes ar RFC 1918 adresēm?


A: Publiskie interneta maršrutētāji pēc noklusējuma nepārsūta paketes ar RFC 1918 adresēm, un tiem ir nepieciešama papildu konfigurācija, lai to darītu. Tomēr iekšējiem maršrutētājiem nav nepieciešama papildu konfigurācija, lai pārsūtītu šīs paketes, kas var radīt problēmas, ja savieno divus atsevišķus tīklus, kuri abi izmanto līdzīgas IP adresācijas shēmas.


Meklēt
AlegsaOnline.com - 2020 / 2025 - License CC3