1. NAT란?
- Network Address Translation의 약자로 주소 변환 기술
- 한 IP 주소를 다른 IP 주소로 바꾸는 기술
- 사설 IP 주소를 공인 IP 주소 또는 공인 IP 주소를 사설 IP 주소로 변환
- IP 주소 부족 문제 해결
- 주로 사설 네트워크 주소를 사용하는 망에서 외부와의 통신을 위해서 네트워크 주소를 변환하게 됨
- 보안
- NAT의 특성상 IP를 숨길 수 있음
- 라우터를 통해 외부로 나갈 때 사설 IP가 공인 IP주소로 바뀌므로 공격자는 라우터 안쪽에 있는 사설 IP를 알 수 없음
2. NAT의 흐름
- Gateway를 통해 외부로 통신 요청
- Gateway는 A PC의 IP 192.168.0.2를 자신의 공인 IP 33.31.7.100으로 변환하여 외부로 전송
- 121.16.8.98의 응답: 121.16.8.98 PC는 게이트웨이의 주소로 응답
- Gateway에서 A PC로 전달
- 신호를 보낼 장비를 기억하고 있다가 원래의 요청 PC 아이피로 패킷을 전달
3. Static NAT
- 공인 IP와 사설 IP주소가 1:!로 매칭이 되어 있는 1:1 NAT
- 공인 IP 주소의 절약 효과는 없으나 내부 IP를 숨길 수 있음
- A PC는 공인망으로 나가기 위해 NAT 장비(Gateway)에 패킷을 요청
- NAT 장비는 1번의 패킷을 받아 사설 IP 주소를 공인 IP로 변경
- 요청을 받은 PC는 요청한 장비에게 응답을 보내게 됨
- NAT 장비는 A PC가 보낸 요청을 기억하고 있어 다시 목적지 IP를 공인 IP에서 사설 IP로 변환
- 이렇게 어떤 PC가 요청하는지 기억하는 것을, stateful 하고 있다고 말함
- NAT를 수행하는 장비들은 다른 말로 Session 장비라고도 부름
- 이것은 NAT를 실시한 내역을 Session Table에 저장해 내역을 기록하기 때문
4. Dynamic NAT
- Dynamic NAT를 Static NAT와 다르게 여러 개의 공인 IP와 여러 개의 사설 IP가 있을 때 사용
- M:N으로 맵핑되어 사용
- 대부분 공인 IP주소가 사설 IP주소보다 적을 때 사용
- 사설 IP주소는 여러 개의 공인 IP 중 사용되지 않는 주소와 매핑되어 사용되며 이러한 방법은 PAT이 나오기 전에 사용
- 공인 IP가 3개인 상황을 가정해보자
- A PC가 A Server와 통신할 때 공인 IP 하나를 이용해 NAT가 이루어짐
- A PC가 통신을 하고 있으니 남아 있는 공인 IP는 2개가 됨
- B PC가 B Server와 통신할 때 다른 공인 IP 하나를 사용해 NAT
- 이제 남은 공인 IP는 한 개가 됨
- 남은 하나의 공인 IP를 C PC가 C Server와 통신할 때 사용
- C PC가 C Server와 토인 할 때 또 다른 공인 IP를 사용해 NAT
- D PC가 통신을 시도하지만 남아있는 공인 IP가 없어 통신 불가
- Dynamic NAT는 공인 IP의 개수에 따라 기다려야 하는 PC가 생김
- 이러한 단점을 보완하기 위해 고안한 방법이 포트 번호를 사용해 NAT 하는 방법
5. PAT
- Port Address Translation으로 하나의 공인 IP와 여러 개의 사설 IP를 포트번호를 이용해 NAT을 사용하는 1:N 방식의 NAT
- 여러 대의 내부망 PC가 라우터를 통해 웹 서버에 접근할 때 NAT Table에 포트 번호를 이용해 어떤 PC에서 요청이 들어왔는지 구분
- PAT은 NAT 장비가 사용자로부터 패킷을 전달받아 NAT를 실시할 때, 출발지 포트를 임의로 변경하는 방식으로 사용자 구분
'정보보안 (기술) > 네트워크' 카테고리의 다른 글
| 네트워크 9. 서브넷팅 (0) | 2024.07.11 |
|---|---|
| 네트워크 7. DMZ (0) | 2024.07.07 |
| 네트워크 6. 네트워크 계층과 프로토콜(5) (0) | 2024.07.07 |
| 네트워크 5. 네트워크 계층과 프로토콜(4) Port, 3-way handshake (0) | 2024.07.07 |
| 네트워크 4. 네트워크 계층과 프로토콜(3) ARP (0) | 2024.07.07 |