RFC: 3715
Оригинал: IPsec-Network Address Translation (NAT) Compatibility Requirements
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич
  1. Несовместимость между вставляемыми IP-адресами и NAT-модулями. Так как поле полезной нагрузки защищено от какой-либо модификации (защита целостности), любые IP-адреса, входящие в состав IPsec-пакетов, не могут транслироваться через NAT-модули. Но эта проблема решается, если в составе NAT-модулей используется специализированный шлюз/интерфейс прикладного уровня (Application Layer Gateway — ALG), который, тем не менее, снижает эффективность самих NAT-модулей. К протоколам, которые используют вставляемые IP-адреса, относятся: FTP, IRC, SNMP, LDAP, H.323, SIP, SCTP (дополнительная функция) и некоторые сетевые игры. Для преодоления такой несовместимости необходимо встраивать дополнительные ALG-субмодули в IP-узел или сетевой шлюз безопасности, который бы мог преобразовывать прикладной трафик перед IPsec-обработкой для исходящего трафика и после IPsec-обработки для входящего трафика.

  2. Скрытая функциональная направленность NA(P)T-модулей. Очень часто NA(P)T-модуль требует отправки через него первого исходящего IP-пакета до начала передачи остального трафика. Это необходимо для того, чтобы NA(P)T-модуль провел внутренние настройки и перешел в нужный режим для обработки входного трафика. Функциональная направленность запрещает формирование не востребованных IPsec/SA-соединений с IP-узлами, расположенными за NA(P)T-модулем, который их обслуживает.

  3. Верификация определителя входящего SA-соединения. Полагая, что определители были согласованы во второй фазе IKE-протокола, то тогда в процессе обработки входящего SA-трафика будут уничтожаться разобрамленные IKE-пакеты, так как стандарт RFC-2401 требует, чтобы IP-адрес отправителя сообщения сравнивался с аналогичным IP-адресом, указанным в определителе SA-соединения, а такая проверка будет отрицательной в следствие того, что NA(P)T-модули вносят изменения в IKE-пакеты.

2.2. Проблемы внедрения (реализации) NA(P)T-модулей

К этой категории проблем относятся следующие проблемы:

  1. Неспособность NA(P)T-модулей обрабатывать трафик, отличный от UDP/TCP-трафика. Некоторые NA(P)T-модули уничтожают трафик, отличный от UDP/TCP-трафика, или преобразуют только IP-адреса, когда они обслуживают в внутренней стороны только один IP-узел. Такие NA(P)T-модули не способны обрабатывать трафик, состоящий из сообщений SCTP-, ESP- («protocol 50») или AH-протоколов («protocol 51»).

  2. NA(P)T-модули изменяют свое состояние в период тайм-аутов. Состояние NA(P)T-модуля изменяется по истечении определенного интервала времени, так как в этот период осуществляется процедура отображения UDP-протокола, причем в отсутствии трафика. Следовательно, даже когда IKE-пакеты могут корректно преобразовываться NA(P)T-модулем, последний может преждевременно изменить свое функциональное состояние.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.