QR code per la pagina originale

Firewall e NAT: parte II

,

Il NAT è una tecnica attraverso la quale un dispositivo di rete, ad esempio un router, è in grado di “tradurre” un indirizzo IP di una rete privata, come la rete domestica, in quello di una rete pubblica, con cui il dispositivo comunica. Il NAT può creare problemi nella trasmissione della voce sui IP, specie se opera in combinazione con un firewall. Il più comune dei problemi è la fonia unidirezionale: uno solo degli interlocutore è in grado di sentire la voce. Esistono diverse tecniche per ovviare a questi inconvenienti. Le più comuni sono: Universal Plug and Play, STUN, Application Layer Gateway. Queste tecniche possono comportare un impatto sulla sicurezza della rete.

Universal Plug and Play, nota con l’acronimo UPnP, è una tecnica il cui principio di funzionamento è simile al famoso Plug and Play del sistema operativo Windows. UPnP utilizza dei messaggi per carpire le informazioni di NATting, che sono utilizzate per determinare nella fase di setup della chiamata l’esatto percorso dei dati.
Allo stato attuale non tutti i router (firewall) gestiscono UPnP o accettano i suoi messaggi di “discovery” (ricerca delle informazioni), soprattutto pochissimi client lo supportano.
STUN sta per Simple Traversal of UDP Through Network Address Translators. Questo protocollo client/server, prevede l’utilizzo di un server (logico o fisico) collocato nella zona pubblica della rete, che sia in grado di fornire al client le informazioni relative al NAT e da inserire in fase di setup. La comunicazione avviene attraverso porti UDP, che devono essere aperti sul Firewall e per tanto suscettibili di scan attack, lanciati per identificarli.

La tecnica che presenta maggior margini di sicurezza ed è più utilizzata allo stato attuale prende il nome di ALG, che sta per Application Layer Gateway.
Questa tecnica, applicata dall’elemento di confine (router/firewall) permette l’analisi e la comprensione dei messaggi che sono scambiati nella fase di segnalazione della chiamata e l’opportunità di modificare alcune delle informazioni, per una corretta gestione del NAT.
Tipicamente ALG è visto come un “elemento logico” del dispositivo di frontiera e la gestione del NAT è contestuale al funzionamento del Firewall.
ALG è in grado di garantire un livello di sicurezza senza che la comunicazioni soffri dei possibili problemi legati al NAT.