Domů

Jak je to s tím "NATem" a veřejnou IP

Na úvod si řekněme, že existuje pouze jediný typ NATu (někteří výrobce programů a her často operují s NATem typu 1,2,3...), a tím je tzv. maškaráda a nebo také jinak řečeno překlad adres. NAT vznikl především z důvodu možnosti existence většího množství připojených zařízení (počítačů) za využití malého množství IP adres. NAT v podstatě funguje tak, že za "nějakou" IP adresou jsou "schovány" další IP adresy dalších zařízení uvnitř sítě. Více informací k NATu je dostupno na internetu. Přikládáme aspoň jeden odkaz k základním věcem týkajících se NATu zde: https://cs.wikipedia.org/wiki/Network_address_translation

Pomineme zde popis principu a funkcionality NATu jako mechanismu takového a přejdeme rovnou k tomu, co nasazení NATu znamená pro běžného účastníka. Proč NAT využívat nebo naopak nevyužívat. Proč některé herní konzole a i hry rozlišují NAT na TYPE 1,2,3... Zde si proto musíme také uvést to nejdůležitější, a to, že celá síť MEEP.CZ je realizovaná jako neveřejná síť, ve smyslu, že využívá neveřejný adresní rozsah IP, kde NAT, bod oddělující veřejnou sít internet od sítě MEEP.CZ, je realizován na hlavním routeru sítě MEEP.CZ.

Protože síť MEEP.CZ je provozována jako neveřejná síť, ale síť Internet je sítí veřejnou, musí proto existovat místo, kde se tyto sítě prolínají. V tomto bodě (hlavní NAT router) dochází k jevu, kde se u veškerých účastníků sítě MEEP.CZ mění jejich zdrojová neveřejná IP adresa, která je jako účastníky identifikuje (IP adresa, která je nastavena na WAN portu účastnického routeru např. 192.168.158.55) na IP adresu veřejnou, která je však již společná pro větší množství účastníků. Jakou lokální (neveřejnou) IP adresu ve skutečnosti účastník má a pod jakou veřejnou IP adresou je účastník do internetu propagován lze zjistit např. pomocí stránky www.mojeip.cz.

To, že síť MEEP.CZ je provozována s neveřejným adresním segmentem ale rozhodně neznamená, že by své účastníky jakkoliv funkčně omezovalo. I v neveřejné síti totiž lze konfigurovat službu účastníkovi takovým způsobem, aby mohl plně využívat veškeré služby. Další důležitou skutečností pro pochopení je, že každý účastník sítě MEEP.CZ, má (měl by mít) u sebe doma instalován svůj účastnický router (např. TP-LINK, ASUS, TENDA, WELL, CQ Point...). Instalace routeru u účastníka doma umožňuje uživateli doma připojit téměř neomezené množství zařízení (PC, notebook, VoIP, tablet...). Pokud by účastník u sebe doma router neměl (router, který využívá funkci NAT), byl by omezen na připojení pouhého jediného svého zařízení.

Pro lepší pochopení jaké NAT přináší výhody nebo omezení (často i žádoucí) přikládáme situační obrázek.

NAT schéma

 situační náčrtek sítě MEEP.CZ a sítě Internet (červeně veřejný segment, modře neveřejný segment)

 

Situace, rizika a omezení:

1.) Účastník A je "schován" v síti MEEP.CZ za NATem za Hlavním routerem sítě MEEP.CZ. Dále je tento účastník "schován" i za NATem svém účastnického routeru. Zde se jedná o typickou standardní instalaci účastníka v naši síti. Účastník není na přímo dostupný ze sítě internet a není ani běžně dostupný ze sítě MEEP.CZ od ostatních účastníků (komunikace mezi účastníky je v rámci sítě MEEP.CZ blokována). Toto znamená, že na počítač takovéhoto účastníka nemůže být ze sítě Internet podnikán útok "na přímo". Takovýto účastník je však stále vystaven riziku, že může být infikován virem apod. softwarem, pokud si stáhne zavirovaný email, navštíví nebezpečné webové stránky apod. Proto ani v tomto případě by neměla být podceňována ochrana samotného zařízení antivirovým programem. Účastník A i přes to, že je "schován" za NATem našeho hlavního routeru a i za NATem svého účastnického routeru má však přístup do celé sítě Internet (na obrázku znázorněno červenou barvou). NAT se chová jako by jednosměrná komunikace, kde prostup směrem "ven" je možný, ovšem prostup opačným směrem "dovnitř" již možný není (bez konfigurace vyjímek).

2.) Účastník B si u nás požádal o přidělení své vlastní samostatné veřejné IP adresy. Byla mu přidělena jeho vlastní veřejná IP adresa např. a.b.c.d. Pokud nyní kdokoliv z celé sítě internet nebo MEEP.CZ se pokusí přistupovat na veřejnou IP adresu a.b.c.d, "dostane se" až na jeho účastnický router (instalován u účastníka). Pokud takovýto účastník bude přistupovat kamkoliv do sítě Internet (www stránky, ftp služba, torenty, facebook...), tak z důvodu, že má přidělenu svou vlastní individuální IP adresu, na veškerých serverech a zařízeních nyní bude tento účastník na přímo identifikován (jeho veřejná IP). Pokud by takovýto účastník neměl svou vlastní veřejnou IP, na těchto serverech (apod.) by byla "vidět" pouze obecná veřejná IP adresa sítě MEEP.CZ, která sama o sobě nic kokrétního neříká. Dalším úskalím účastníka B je skutečnost, že tím, že jeho koncový účastnický router je dostupný na přímo z internetu, mají/mohou mít k němu přístup veškeří účastníci, včetně i účastníků sítě MEEP.CZ. To znamená, že mohou zkoušet do takovéhoto zařízení zadávat a generovat přihlášení (jméno/heslo pro přístup), mohou zkoušet tzv. DoS útoky. Mnohé zařízení mají bezpečnostní "díry", kde díky nim lze k takovýmto zařízením získat přístup i bez znalosti jména/hesla. Ochranu účastníka a jeho počítače, notebooku... u něj doma před případným útokem z internetu zde realizuje především jeho koncový účastnický router, proto je důležité používat aktuální verze firmwaru a věnovat i zvýšenou pozornost před zásahy do konfigurace. I routery mohou být infikovány virem nebo škodlivým kódem!

3.) Účastník C si u nás požádal o přidělení své vlastní samostatné veřejné IP adresy a zároveň provedl konfiguraci na svém účastnickém routeru (zpravidla DMZ, nebo port-forwarding), aby zajistil prostup veřejné IP adresy, až na svůj počítač, notebook, konzoli, kamery atd. V takovémto případě je riziku přímého útoku jakýmkoliv účastníkem připojeným do sítě internet jak vůči routeru účastníka, tak i samotnému zařízení! V případě, že jakýkoliv účastník používá tuto konfiguraci, je bezpodmínečné, aby používal správně konfigurovaný firewall jak na svém routeru, tak také i na svém koncovém zařízení (PC, notebook) ve spojení s aktuálním antivirovým programem, jinak je jen otázkou času, než dojde k nějaké nechtěné události. Na internetu existují tisíce "kutilů", kteří nechávají běžet své programy, které nemají za úkol nic jiného, než vyhledávat potencionálně zranitelné zařízení, které jsou předně bez konfigurace firewallu, využívají neaktuální nebo zranitelné verze softwarů. Jak již bylo zmíněno výše, infikovat škodlivým kódem lze v podstatě veškeré zařízení! Mezi nejčastější adepty máme kamerové systémy (DVR) a účastnické rotuery.

 

Proč veřejnou IP můžeme potřebovat... aneb, čtení především pro hráče

Mezi nejčastějšími žadateli a tazateli na veřejné IP adresy máme uživatelé herních konzolí a v poslední době i hráče PC her. Konzole zpravidla detekují typ připojení k internetu, který pak vyhodnocují jako NAT TYPE 1,2,3 (nebo případně podobné označení), nebo pak také jako NAT strict.

V podstatě se jedná o mechanismus, kde se konzole nebo hra spojí s herním serverem, kde pak na herním serveru inicializuje ověřovací mechanismus, který zkoumá, zda účastník je dostupný z Internetu (z herního serveru) nebo není nebo pak ještě případně s nějakým omezením. Herní server zpravidla nepotřebuje "neomezený" přístup k herní konzoli. Většinou mu postačuje pouze přístup k některým portům IP adresy konzole (přesná specifikace portů je uvedena v manuálu herního zařízení nebo programu). Zde herní server pak nejčastěji detekuji tři stavy:

NAT TYPE 3 - Herní server nemá přístup na herní konzoli ze sítě Internet. Zde se jedná o modelovou situaci hráče A (viz. obrázek výše)

NAT TYPE 2 - Herní server nemá neomezený přístup k herní konzoli, ale detekuje, že porty, které potřebuje pro funkčnost dostupné jsou, čili i tento přístup pro neomezené hraní her by měl postačovat. Tohoto přístupu se docílí přidělením samostatné veřejné IP adresy od nás, ovšem na účastnickém routeru si účastník povolí pouze ty porty, které potřebuje (funkce port-forwarding, uPnP). Situace hráče B

NAT TYPE 1 - Herní server detekuje "neomezený" přístup k herní konzoli. Tento typ přístupu je docílen, pokud herní server detekuje dostupnost veškerých portů herního zařízení, a to včetně i těch portů, které pro funkčnost nepotřebuje. Tohoto typu připojení se docílí při přidělení veřejné IP adresy námi + konfigurací na routeru účastníka pomocí funkce DMZ (nebo také označováno NAT 1:1) nebo někdy také pomocí aktivace funkce uPnP (opět na routeru účastníka). Zde se jedná o situaci hráče C

Funkce uPnP je mechanismus, díky kterému si může koncové zařízení (konzole, PC...) "požádat" samotný přidružený router účastníka, aby mu router povolil ten či onen prostup portu, který potřebuje. Nutno však dodat, že funkce uPnP není standardizována, proto nemusí vždy 100% fungovat a spolehlivější proto může být prostup v routeru konfigurovat "ručně".

Možná si kladete otázku, proč se herní konzole vůbec "typem NATu" zabývají, když to u některých her a aplikací jde i bez veřejné IP adresy a následných konfigurací s tím spojených. Důvod je jednoduchý. Aby komunikace u hráčů bez veřejné IP adresy fungovala správně, musel by veškerou komunikaci zajišťovat herní server a komunikace by musela být vždy inicializována ze strany hráče (konzole). Toto by mělo za následek jak vyšší nároky na výkon herního serveru, tak i vyšší nároky na kvalitu přenosových tras mezi veškerými účastníky (data by "běhaly" od hráče1 => server => hráč2, rychlejší proto je, pokud data tečou hráč1 => hráč2). Hry využívají zpravidla přímého přístupu (veřejné IP) při komunikaci mezi hráči (chat, hlas...).