El Concepto de NATTING

Hoy vamos a hablar de la famosa NAT, es una función de la capa de red

muy importante y que en más de una ocasión nos ha producido dolores de
cabeza, sobre todo a los gamers.
NAT se creó para «parchear» la falta de direcciones IP que proporciona
IPv4 (como ya vimos anteriormente). Si en nuestros hogares, SOHO (redes
pequeñas de oficina) o en las universidades no existiera la NAT, el ISP
tendría que asignar una dirección IP pública a cada dispositivo conectado.
Podemos imaginar la cantidad de direcciones IP que necesitaríamos.
Para solucionar este problema se inventó la NAT (traducción de direcciones
de red) y está integrada en todos los routers domésticos que tenemos hoy
en día.
Los routers de casa tiene dos interfaces, la WAN que proporciona una
dirección IP pública, y la LAN que proporciona un rango de direcciones IPs
privada, normalmente son de clase C (192.168.X.X) ya que no necesitamos
miles de direcciones IP privadas.
Para establecer contacto dentro de la LAN usa el direccionamiento de la
propia LAN (192.168.1.1/24) sin necesidad de pasar a la WAN. Sin embargo,
si queremos establecer conexión fuera de la red no podremos usar estas
direcciones de la LAN, sino la WAN…y para ello hay que pasar por la NAT del
router.
Para un dispositivo de internet, el router con NAT tiene una dirección IP
pública y desconoce si en la LAN hay o no equipos conectados.
A continuación os explicamos cómo funciona la NAT de un router con un
pequeño ejemplo, vamos a proceder a hacer un GET a una web, es decir,
cargar una página web normal por el puerto 80.
Imaginemos los siguientes datos:
IP Privada de nuestro ordenador: 192.168.1.2
IP Pública de nuestro equipo: 87.4.4.4
IP Pública del servidor web: 87.5.5.5
Puerto del servidor web: 80
Nuestro equipo 192.168.1.2 hace el GET a la página web con IP 87.5.5.5 y
puerto 80. El equipo 192.168.1.2 asigna un puerto origen aleatorio (8888),
crea un datagrama con los datos y lo envía al router. La NAT del router
recibe la información, y sustituye la IP 192.168.1.2 por 87.4.4.4 y el puerto
8888 por el 9999 (aleatorio).
El router podrá seleccionar cualquier puerto mientras que no esté en la
tabla de traducciones NAT. Podremos realizar un máximo de 2^16
conexiones.

La tabla de traducciones NAT de este ejemplo sería la siguiente:

WAN: 87.4.4.4:9999
LAN: 192.168.1.2:8888

Ahora procedemos a hacer el GET a la web por la IP y el puerto

correspondiente, y el servidor WEB enviará los datos a la IP 87.4.4.4 y por el
puerto 9999. La NAT reenviará estos datos al ordenador correspondiente por
el puerto correspondiente (192.168.1.2:8888).

La traducción de dirección de red o NAT se refiere a un proceso específico

que implica la reordenación de una única dirección IP en otra dirección IP, a
menudo pública, mediante la alteración de la información de red y la
información de dirección que se encuentra en la cabecera IP de los paquetes
de datos.Las redes locales tienen varias direcciones IP privadas que
pertenecen a dispositivos específicos de la red. A través de un sistema NAT,
estas direcciones privadas se traducen en una dirección IP pública cuando las
peticiones salientes de los dispositivos de red se envían a Internet. Un
proceso inverso ocurre cuando los datos entrantes, normalmente como
respuesta a peticiones específicas, se envían a una red local. En este caso, el
NAT cambia la dirección IP pública por la dirección IP privada del dispositivo
específico al que se dirige el paquete de datos. La dirección IP pública es
utilizada repetidamente por el enrutador que conecta los ordenadores a
Internet.
Este proceso se puso en marcha originalmente como un método para redirigir
paquetes cuando se transfieren redes de host individuales. Hoy en día, es
visto como una solución global a la falta de direcciones IPv4 disponibles.
Trabaja para optimizar el uso de las direcciones IP disponibles permitiendo
que múltiples dispositivos sean accesibles con una sola dirección IP pública.
Una dirección IP privada se utiliza para redirigir los paquetes de datos dentro
de la red local.[3]

En otras palabras, un NAT permite que un dispositivo específico, como un

enrutador, así como otros dispositivos, funcionen como moderador entre una
red pública, como Internet, y una red local o privada, como una red
doméstica u oficina. Esto permite que una única dirección IP, que es única en
el mundo, represente a toda la red privada, incluyendo todos los dispositivos
conectados en su interior.[4]

Este sistema fue incorporado para resolver los problemas que surgieron por la
creciente popularidad y uso de Internet. Principalmente, las direcciones IP
disponibles no fueron capaces de sostener la necesidad de una conexión
mundial a medida que más y más gente comenzaba a usar Internet. Aunque
originalmente desarrollado como una solución temporal, NAT ha sido
ampliamente utilizado y aplicado por todos los proveedores de red,
fabricantes de hardware y empresas de tecnología.

Hay 4 tipos de NAT que pueden ser usados para tratar diferentes tipos de
situaciones y escenarios.[6] A continuación se presentan la descripción y las
muestras como referencia:

Sobrecarga o traducción de dirección de puerto (PAT)

La traducción de direcciones de puertos es uno de los sistemas NAT más
comunes en uso. Las conexiones múltiples de varios hosts internos se
multiplexan para crear una única dirección IP pública que hace uso de
diferentes números de puerto de origen. Un máximo de 65.536 conexiones
internas pueden ser traducidas a una sola IP pública. Esto lo hace muy
eficiente para situaciones en las que un proveedor de servicios ha asignado
una sola dirección IP pública.

NAT dinámico
Un NAT Dinámico se basa en un conjunto de diferentes direcciones IP
públicas que se utilizan para redes privadas específicas. Estos son asignados
por el proveedor local de servicios de Internet. Para este tipo de NAT,
cualquier host interno que desee acceder a Internet tendrá su dirección IP
privada traducida por el router NAT a la primera IP pública disponible en el
grupo público.

NAT estático
Un NAT estático proporciona un mapeo permanente de una dirección IP
pública a una dirección IP privada creada por el enrutador de red privada.
Este tipo de NAT es más relevante para los hosts que necesitan ser accedidos
fuera de la red. Esto es lo más adecuado para proporcionar acceso a
servidores como servidores de correo electrónico y servidores web.

Redirección de puertos
Este tipo de NAT permite que una sola dirección IP pública acceda a varios
servidores diferentes.

Efectos

Aunque se considera que el NAT es útil en muchos escenarios, a veces tiene

sus limitaciones y desventajas. Algunos de los siguientes pros y contras se
enumeran a continuación:

Pros

 Ayuda a mitigar el agotamiento del espacio de direcciones IP públicas

globales.
 Las redes ahora pueden utilizar internamente el espacio de direcciones
privado RFC 1918 sin dejar de tener acceso a Internet.
 Aumenta el nivel de seguridad al ocultar el esquema de
direccionamiento y la topología interna de la red.[8]
Contras

 Los protocolos de tunelización se complican a medida que el NAT

cambia los valores en las cabeceras de los paquetes, lo que afectará a
las comprobaciones de integridad de estos protocolos.
 Dado que las direcciones internas están ocultas detrás de una única
dirección de acceso público, sería imposible que un host externo inicie
la comunicación con un host interno sin una configuración especial en
el cortafuegos que lo permita.
 Las aplicaciones que utilizan Voz sobre IP (VoIP), videoconferencias y
otras funciones peer-to-peer deben utilizar técnicas transversales NAT
para que funcione.

A lo largo del tiempo, la técnica NAT ha formado diversos derivados e

innovaciones desde su primera evolución. Ofrece funciones duales de
conservación de direcciones y seguridad que normalmente se implementan
en entornos de acceso remoto. La traducción de direcciones de red es un
aspecto muy importante de la seguridad del cortafuegos. Limita el número de
direcciones públicas utilizadas dentro de la organización, lo que permite un
control más estricto del acceso a los recursos a ambos lados del cortafuegos.

En una red local habrá varias direcciones IP Privadas y generalmente

una dirección IP Pública. Para conectar una red privada con Internet
hará falta un “traductor” o NAT (Network Address Translation), que pasará
los datos entre las direcciones IP Privadas y las direcciones IP
Públicas.
Afortunadamente, existe una forma más simple de asignar direcciones que
ha encontrado un uso cada vez más amplio en escenarios de este tipo: la
traducción de direcciones de red (NAT, Network Address Translation)
El mecanismo de NAT transversal es proporcionado cada vez más
frecuentemente por Universal Plug and Play (UPnP), que es un protocolo
que permite a un host descubrir y configurar un traductor NAT próximo
[UPnP Forum 2009]. UPnP requiere que tanto el host como el traductor
NAT sean compatibles con UPnP. Con UPnP, una aplicación que se ejecuta
en un host puede solicitar una correspondencia NAT entre su tupla
(dirección IP privada, número de puerto privado) y la tupla (dirección IP
pública, número de puerto público) para algún número de puerto público
solicitado. Si el traductor NAT acepta la solicitud y crea la correspondencia,
entonces los nodos del exterior pueden iniciar conexiones TCP con
(dirección IP privada, número de puerto privado). Además, UPnP permite a
la aplicación conocer el valor de (dirección IP pública, número de puerto
público), de manera que la aplicación pueda anunciarse al mundo exterior.

La traducción de dirección de red o NAT se refiere a un proceso específico

que implica la reordenación de una única dirección IP en otra dirección IP, a
menudo pública, mediante la alteración de la información de red y la
información de dirección que se encuentra en la cabecera IP de los paquetes
de datos.[1] Las redes locales tienen varias direcciones IP privadas que
pertenecen a dispositivos específicos de la red. A través de un sistema NAT,
estas direcciones privadas se traducen en una dirección IP pública cuando las
peticiones salientes de los dispositivos de red se envían a Internet. Un
proceso inverso ocurre cuando los datos entrantes, normalmente como
respuesta a peticiones específicas, se envían a una red local. En este caso, el
NAT cambia la dirección IP pública por la dirección IP privada del dispositivo
específico al que se dirige el paquete de datos. La dirección IP pública es
utilizada repetidamente por el enrutador que conecta los ordenadores a
Internet.[2]
Este proceso se puso en marcha originalmente como un método para redirigir
paquetes cuando se transfieren redes de host individuales. Hoy en día, es
visto como una solución global a la falta de direcciones IPv4 disponibles.
Trabaja para optimizar el uso de las direcciones IP disponibles permitiendo
que múltiples dispositivos sean accesibles con una sola dirección IP pública.
Una dirección IP privada se utiliza para redirigir los paquetes de datos dentro
de la red local.[3]

En otras palabras, un NAT permite que un dispositivo específico, como un

enrutador, así como otros dispositivos, funcionen como moderador entre una
red pública, como Internet, y una red local o privada, como una red
doméstica u oficina. Esto permite que una única dirección IP, que es única en
el mundo, represente a toda la red privada, incluyendo todos los dispositivos
conectados en su interior.[4]
Este sistema fue incorporado para resolver los problemas que surgieron por la
creciente popularidad y uso de Internet. Principalmente, las direcciones IP
disponibles no fueron capaces de sostener la necesidad de una conexión
mundial a medida que más y más gente comenzaba a usar Internet. Aunque
originalmente desarrollado como una solución temporal, NAT ha sido
ampliamente utilizado y aplicado por todos los proveedores de red,
fabricantes de hardware y empresas de tecnología.