2018년 7월 23일 월요일

NAT (Network Address Translation)

 뉴딜코리아 홈페이지 




NAT (Network Address Translation)

1개의 실제 공인 IP 주소에  다량의 가상 사설 IP 주소를 할당 및 매핑하는  주소 변환((Address Translation) 방식으로 달리 설명하면  IP 패킷의 TCP/UDP 포트 숫자와 소스 및 목적지의 IP 주소 등을 재기록하면서 라우터를 통해 네트워크 트래픽을 주고 받는 기술을 말합니다.

NAT를 사용하는 이유를 크게 둘로 나누면
첫째는 인터넷의 공인 IP주소를 절약할 수 있다는 점이고
둘째는 인터넷이란 공공망과 연결되는 사용자들의 고유한 사설망을 침입자들로부터 보호할 수 있다는 점입니다.

NAT를 방식으로 구분하면
첫째,수동으로 외부 공인 IP와 사설 IP를 1:1로 매핑하는 정적 NAT (Static NAT) 방식,
둘째, 사설 IP 주소를 풀(Pool)화하여 공인 주소로 자동 매핑하는 동적 NAT 방식 (Dynamic NAT),
셋째 가정에서 주로 사용하는 공유기에 사용되는 방식으로 IP 주소 뿐만 아니라 포트 번호까지도 포함시켜 내부 호스트를 구분하는 NAPT 또는 PAT(Port Address Translation) 방식으로 나눌수 있습니다.

또한 NAT를 기능을 중심으로 구분하면,
첫째 외부망에서 볼 때 내부망의 여러 호스트들이 단일한 NAT 서버로 만 보이게하는 기법인 IP Masquerading,
째, 내부망의 여러 호스트들이 외부망과 트랜스포트계층에서 각각 별도로 연결짓게 할 수 있는 Port Forwarding (포트 포워드),
 셋째 각 포트별로 트래픽을 균형있게 하는 Load Balancing으로 나눌 수 있습니다.

많은 네트워크 관리자들이 NAT를 편리한 기법이라고 보고 널리 사용하고 있으며, NAT가 호스트 간의 통신에 있어서 복잡성을 증가시킬 수 있으므로 네트워크 성능에 영향을 줄 수 있는 것은 당연하다 볼 수 있습니다.

NAT는 IPv4의 주소 부족 문제를 해결하기 위한 방법으로서 고려되었으며, 주로 비공인(사설, local) 네트워크 주소를 사용하는 망에서 외부의 공인망(public, 예를 들면 인터넷)과의 통신을 위해서 네트워크 주소를 변환하는 것입니다.

즉 내부 망에서는 사설 IP 주소를 사용하여 통신을 하고, 외부망과의 통신시에는 NAT를 거쳐 공인 IP 주소로 자동 변환합니다.


- NAT (Network Address Translation) ; 네트웍 주소 변환 -

NAT는 외부 네트웍에 알려진 것과 다른 IP 주소를 사용하는 내부 네트웍에서, IP 주소를 변환하는 것이다.

일반적으로, 한 회사는 자신의 내부 네트웍 주소를 하나 또는 그 이상의 공인 IP 주소로 사상한다.

그리고 들어오는 패킷들 상의 공인 IP 주소를 다시 사설 IP 주소로 변환한다.

이렇게 함으로써 나가거나 들어오는 각 요구들은 주소 변환과정을 반드시 거쳐야 하기 때문에, 보안문제를 확실하게 하는데 도움이 되며, 또한 요구를 제한하거나 인증하고, 또 이전의 요구와 일치시키는 기회를 제공한다.

NAT은 또한 회사에서 필요한 공인 IP 주소의 수를 보존하며, 회사가 외부 네트웍과의 통신에서 단 하나의 공인 IP 주소를 사용할 수 있게 한다.

NAT은 라우터의 일부로서 포함되며, 종종 통합된 방화벽의 일부가 되기도 한다.

네트웍 관리자들은 공인 IP 주소에서 사설 IP 주소로, 사설 IP 주소에서 공인 IP 주소로 사상하기 위한 NAT 표를 만든다.

NAT은 라우팅 정책과 함께 사용될 수도 있다.

NAT은 IP 주소를 정적으로 정의하거나, 또는 동적으로 변환하도록 설정될 수 있다.

[참고]시스코에서 만든 NAT 버전은 관리자가 다음과 같은 것들의 사상을 위한 표를 만들도록 해 준다.
- 사설 IP 주소를 정적인 하나의 공인 IP 주소로
- 사설 IP 주소를 회사가 가질 수 있는 공인 IP 주소들 중에서 어떤 하나와 사상되도록
- 사설 IP 주소에 특정 TCP 포트를 더한 것을 하나의 공인 IP 주소로
- 공인 IP 주소를 사설 IP 주소 중의 하나로 (순서는 라운드 로빈 방식을 사용)


NAT는 IP 주소 고갈문제를 줄이기 위한 방법으로서 CIDR과 NAT의 관계를 논의한 RFC 1631의 일반 협약에 설명되어 있다.

NAT는 공식적으로 알려진 IP 주소와 사설 IP 주소를 분리함으로써, 많은 량의 공인 IP 주소가 필요한 것을 줄여준다.

CIDR는 공인 IP 주소들을 블록으로 모음으로써, 적은 수의 IP 주소가 소모되도록 한다.

 결국엔, IPv6가 일상적으로 지원되기 전까지 IPv4 IP 주소의 사용을 몇 년 더 연장하는 것이다.


컨설팅(ISMS, ISO27001, GDPR, PCIDSS)
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

댓글 없음:

댓글 쓰기