RFC: 3027
Оригинал: Protocol Complications with the IP Network Address Translator
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич

3. Протоколы, которые не могут функционировать с NAT-модулем

3.1. Протоколы IPsec-архитектуры и обмена ключевой информацией (IKE)

Функциональное предназначение NAT-модуля зключается в модификации IP-адресов конечных IP-узлов (в пределах IP-заголовка) на маршруте доставки IP-пакета. С другой стороны, стандарт АН-протокола[?] (IPsec-архитектура[?]) разработан специально для выявления (обнаружения) любых изменений в заголовке IP-пакета. Поэтому когда на пути следования IP-пакета встречается NAT-модуль, который вносит изменения в IP-заголовок этого пакета, IP-узел получатель этого модифицированного IP-пакета будет удалять его, так как содержание заголовка было изменено. Поэтому в результате, IP-пакет, защищенный с помощью АН-протокола (IPsec-архитектура) и прошедший обработку в NAT-модуле, просто не дойдет до прикладного процесса, сообщение которого доставлял этот IP-пакет.

IP-пакеты, зашифрованные с помощью ESP-протокола[?] (IPsec-архитектура), могут быть изменены NAT-модулем, расположеным на пути их следования, только в нескольких случаях. Если IP-пакет содержит TCP/UDP-блок, то тогда NAT-модулю может понадобиться скорректировать проверочную сумму в TCP/UDP-заголовке, так как он преобразует IP-адрес в IP-заголовке. Однако, в связи с тем, что TCP/UDP-заголовок зашифрован с помощью ESP-протокола, NAT-модуль не сможет пересчитать проверочную сумму. И в результате, IP-пакет, содержащий TCP/UDP-блок, не дойдет до прикладного процесса, сообщение которого доставлял этот IP-пакет.

Протокол обмена ключевой информацией в Internet (Internet Key Exchange Protocol — IKE, RFC-2409) может передавать IP-адреса в качестве идентификаторов IP-узлов, используя для этого, либо «Базовый режим», либо «Жесткий режим», либо «Ускоренный режим». В целях корректного проведения IKE-процедуры согласования параметров IP-пакеты будут передаваться через NAT-модуль, а это может потребовать модификации полей полезной нагрузки IP-пакетов. Однако, поля полезной нагрузки IP-пакетов очень часто бывают защищены с помощью хэш-функции (ЭЦП) или просто зашифрованы. Даже в случае, когда в поле полезной нагрузки IP-пакета IKE-протокола IP-адреса не используются, а IKE-процедура согласования параметров не была прервана, все равно чрезвычайно трудно обеспечить отображение корпоративного адреса во внешний адрес (и наоборот) с помощью NAT-модуля после завершения IKE-процедуры согласования параметров и до того, как IPsec-протоколы начнут использовать прикладной криптоключ. И в заключении, в любом случае одновременное применение сквозной («end-to-end») IPsec-защиты и NAT-модулей не возможно.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.