Traslazione di indirizzi IP
Le stazioni appartenenti a una rete locale estesa sono provviste molto spesso di indirizzi IP privati, assegnati secondo un piano di indirizzamento deciso arbitrariamente dal responsabile ICT aziendale.
Per evitare che, una volta connessa la rete IP aziendale a Internet pubblica si vengano a creare situazioni di non univocità nell’assegnamento degli indirizzi IP, alcuni blocchi di indirizzi IP sono stati riservati per l’uso in ambito di reti private.
La RFC 1918 riserva i seguenti blocchi di indirizzi IP alle reti private:
- la rete in classe A 10.0.0.0;
- le reti in classe B da 172.16.0.0 a 172.31.0.0;
- le reti in classe C da 192.168.0.0 a 192.168.255.0 .
Le reti sopra indicate possono essere utilizzate anche usando un approccio classless.
Altri indirizzi IP riservati a usi speciali sono elencati nella RFC 3330.
Per consentire alle stazioni in possesso di indirizzi IP privati lo scambio di informazioni sia con altre stazioni locali sia con soggetti facenti parte dell’Internet pubblica, è possibile ricorrere a una traslazione automatica degli indirizzi inseriti nell’intestazione dei pacchetti IP al momento in cui questi attraversano il perimetro della rete.
La traslazione generalmente avviene nei dispositivi di frontiera (gateway IP o router) in maniera trasparente per gli utenti finali coinvolti nell’accesso alle informazioni.
Il meccanismo che stabilisce la modalità secondo cui deve essere effettuata la traslazione degli indirizzi IP è noto come NAT (Network Address Traslation).
Il NAT sovrintende ad ogni converisone di indirizzi, che risulta necessaria per adattare i pacchetti uscenti dalla rete locale, e per effettuare la trasformazione inversa sui pacchetti destinati agli utenti locali.
La conversione di indirizzo per i pacchetti uscenti richiede la sostituzione dell’indirizzo IP sorgente (locale) con un corrispondente valore globale.
La sostituzione può essere effettuata solo se esistono indirizzi globali disponibili.
L’azione associata a una condizione di mancata disponibilità, varia da dispositivo a dispositivo.
Un router può essere abilitato a instradare ugualmente il pacchetto anche senza ricorrere alla traslazione di indirizzo IP.
La conversione di indirizzo per i pacchetti entranti richiede la sostituzione dell’indirizzo IP destinazione (globale) con un corrispondente valore locale.
La sostituzione può essere effettuata solo se esiste un’associazione valida tra indirizzo globale e indirizzo locale.
La gestione del meccanismo NAT non coinvolge le stazioni finali.
Le associazioni tra gli indirizzi globali, temporaneamente assegnati a una stazione, e indirizzi locali, sono memorizzate esclusivamente sui dispositivi di interconnessione in cui viene effettuata la traslazione.
Una volta terminato lo scambio di pacchetti tra due utenti, l’associazione memorizzata viene rimossa e l’indirizzo globale torna a essere disponibile per un’altra stazione locale.
Solo su pochi gateway le associazioni NAT temporanee sono memorizzate per un’analisi successiva.
In certe implementazioni del NAT è possibile attivare manualmente associazioni statiche permanenti.
In questo modo è possibile configurare delle stazioni interne come server raggiungibili in maniera asincrona da utenze attestate su Internet pubblica.
Le associazioni NAT statiche sono normalmente tracciate.
Usando il NAT il numero di modifiche da apportare alle stazioni di una rete IP privata, per predisporle a un accesso a Internet, è minimo.
È sufficiente che ogni utente configuri la propria stazione in modo da utilizzare il router di frontiera, che implementa la traslazione degli indirizzi IP, quale default gateway per Internet e il gioco è fatto.
Tutte le operazioni di traslazione degli indirizzi IP vengono svolte dal router autonomamente e trasparentemente agli utenti finali.
L’implementazione del NAT non è però così banale, come può sembrare a prima vista.
Compito del gateway non è solo mantenere aggiornata una tabella, con le informazioni necessarie a convertire gli indirizzi IP di tutti i pacchetti che attraversano la frontiera.
I protocolli della famiglia TCP/IP sono infatti strettamente correlati tra loro, al punto che la modifica di un campo come quello contenente gli indirizzi IP impatta anche su altre componenti dell’architettura.
Le correlazioni esistenti impongono che a seguito della modifica dell’indirizzo IP debba essere:
- calcolata nuovamente la checksum presente nell’intestazione a livello trasporto;
- modificato il campo dati per tutti quei servizi che prevedono riferimenti all’indirizzo IP.
Le modifiche più complesse sono ovviamente quelle relative agli applicativi.
In certi protocolli il riferimento a un indirizzo IP è contenuto nel corpo di un datagramma IP in rappresentazione decimale.
Una traslazione di indirizzo può avere come risultato anche la variazione della lunghezza della sua rappresentazione decimale.
In questo caso occorre anche modificare i campi dell’intestazione che indicano la lunghezza dei pacchetti trasmessi e ogni altro contatore che indica il numero di byte trasferito.
A fronte di queste complessità, e considerato l’elevato numero di protocolli applicativi esistenti, è pressochè impossibile ottenere un’implementazione del NAT compatibile con tutte le varianti dei vari servizi.
L’utilizzo del NAT aumenta il livello di privacy degli utenti locali, in quanto le loro stazioni risultano non direttamente raggiungibili dagli utenti Internet.
Usando il NAT, la stessa stazione locale può assumere, in momenti diversi, identità IP diverse, complicando le attività di fingerprinting svolte da eventuali attaccanti esterni.
L’utilizzo del NAT presenta però anche alcuni inconvenienti.
La diffusione del NAT fa aumentare notevolmnete il numero di utenti Internet che si identificano con indirizzi IP variabili nel tempo.
Ciò complica l’analisi che mira a stabilire l’origine fisica dei pacchetti associati ad attacchi (tracking), e rende molto difficile riuscire a individuare tra le stazioni locali, quali si comportano in modo non conforme alla policy di sicurezza.
Agire utilizzando come punto di partenza una stazione con identità mascherata tramite NAT, rappresenta un vantaggio per un hacker.
La possibilità di rintracciare la reale sorgente dell’attacco, in tal caso, può risultare pesantemente condizionata dalla disponibilità di informazioni acquisite (e mantenute) dai dispositivi preposti alla traslazione degli indirizzi, soprattutto quando si tratta di gateway IP.
Per svolgere un’azione di controllo retroattiva sulle stazioni locali coinvolte nell’attacco, risulta necessario disporre di una registrazione delle associazioni temporanee tra indirizzi IP locali e globali.
Questa registrazione non è sempre disponibile, in quanto i router coinvolti nel processo NAT non posseggono quasi mai dischi fissi in cui memorizzare i file di log.
A questo limite intrinseco, può essere posto rimedio predisponendo una soluzione di logging via rete su un sistema monitor centrale.
