NAT (Network Address Translation)
คือ คุณสมบัติหนึ่งของการแจก IP หรือการทำ IP Sharing เพราะในเครือข่ายขนาดใหญ่จะใช้ Local IP หรือ Fake IP แต่จะมี Real IP อยู่บางส่วน โปรแกรมเครื่องบริการบางโปรแกรมมีหน้าที่กำหนด Local IP ให้เครื่องลูก เมื่อเครื่องลูกต้องการออกไปอ่านข้อมูลจากอินเทอร์เน็ต ก็จะใช้ Real IP ออกไป จากลักษณะดังกล่าง อาจทำให้เครื่องที่เป็น NAT server ทำหน้าที่เป็น Firewall ปกป้องเครื่องลูก เพราะจะไม่มีใครทราบ Local IP ของเครื่องในองค์กรได้ เนื่องจากการออกไปสู่อินเทอร์เน็ตจะใช้ IP ของ NAT server เสมอ จึงไม่มีใครเจาะเข้าสู่เครื่องลูกได้โดยตรง การเป็น NAT
จากภาพจะเห็นว่าตัว NAT device มี IP address เป็น 192.168.0.1 สำหรับเครือข่ายภายใน (inside network) และมี IP address เป็น 203.144.135.16 สำหรับเครือข่ายภายนอก (outside network) เมื่อเครื่อง 192.168.0.6 ต้องการสร้างการติดต่อออกไปภายนอก (เช่น อินเทอร์เน็ต) ตัว NAT device ก็จะแปลง IP จาก 192.168.0.6 ไปเป็น 203.144.135.16 ซึ่งถ้ามองจากเครือข่ายภายในแล้วจะเห็นว่า เครื่องในเครือข่ายภายในสามารถ access ออกไปยัง external network ได้โดยตรง ในขณะที่เครื่องจากภายนอกจะไม่สามารถติดต่อเข้ามาได้ถ้าเครื่องจากเครือข่ายภายในไม่ได้เป็นฝ่ายเริ่มต้นการติดต่อก่อน และข้อมูลขาออกที่ออกไปยัง external network นั้นจะเป็นข้อมูลที่มี source IP address เป็น outside IP address ของ NAT device
คำศัพท์ที่ควรทราบ
Non-Routable Address = IP address ที่อยู่ในช่วงที่ถูกสำรองไว้ ตาม RFC 1597 เพื่อใช้สำหรับ private network ได้แก่ 10.x, 172.16.x - 172.31.x, 192.168.x หรือมักจะถูกเรียกอีกอย่างว่าเป็น private IP address (ภาษาบ้านเราชอบเรียกว่า ไอพีปลอม)
NAT Device = อุปกรณ์ที่สามารถทำ network address translation ได้ เช่น Checkpoint Firewall, Linux box, Cisco 675 DSL router
Outbound Mode = การที่ NAT device ทำงานในลักษณะที่แปลง inside IP address ไปเป็น outside IP adrress และไม่ยินยอมให้ external side เป็นฝ่ายเริ่มการส่ง packet ก่อน
Bi-directional Mode = เมื่อ NAT device อนุญาตให้ external side สามารถเป็นฝ่ายเริ่มต้นส่งข้อมูลเข้ามายัง internal side ได้ โดย NAT จะทำการแปลง พอร์ตและ/หรือ address เรียกกันอีกอย่างว่า Port Address Translation (PAT)
ข้อดีของ Outbound Mode NAT เมื่อเปรียบเทียบกับ Firewall
อันตรายของอินเทอร์เน็ตในปัจจุบันนี้ก็คือ เมื่อเราเชื่อมต่อเข้ากับอินเทอร์เน็ต โอกาสที่เครื่องของเราจะถูก scan หรือ probe มีโอกาสสูงมาก เพราะ hackers, crackers หรือ script kiddies ต่างก็จ้องที่จะฉกฉวยข้อมูลไปจากเครื่องของเราตลอดเวลา องค์กรหรือบริษัทต่างๆ มักจะใช้ไฟร์วอลล์เป็นตัวป้องกันอันตรายจากอินเทอร์เน็ต ข้อเสียของไฟร์วอลล์ก็คือความยากในการเขียน rule และการบำรุงรักษา เพราะต้องใช้ความรู้เรื่องเครือข่ายเยอะพอสมควร และการบำรุงรักษานั้นถือเป็นเรื่องที่มีความสำคัญเพราะไฟร์วอลล์ที่มี rule set ที่ซับซ้อนและยุ่งยากมากอาจจะมีช่องโหว่ที่ไม่รู้ตัวก็เป็นได้
NAT ทำงานได้ในระดับเดียวกันกับไฟร์วอลล์แต่สามารถลดค่าใช้จ่ายและไม่ต้องการความรู้ด้านเทคนิคมากมายนัก NAT สามารถซ่อน internal network IP address จากเครือข่ายภายนอกไว้ได้ ดังนั้นโอกาสในการ broadcast หรือ hack หรือ spoof จึงแทบไม่มีโอกาสเป็นไปได้
บทสรุป
NAT ไม่ใช่ทางเลือกที่ดีสำหรับ security แน่นอนว่ามันสามารถป้องกันข้อมูลด้าน internal network ได้ มันปิดทุกพอ์รตที่เราไม่ได้ตั้งใจเปิดไว้ แต่มันก็ยังคงมีจุดอ่อน NAT ไม่ได้ปกป้องข้อมูลภายใน internal host เสมอไป NAT ไม่สามารถป้องกันไวรัสได้ จำเป็นที่จะต้องมีไฟร์วอลล์ ซึ่งได้รับการออกแบบให้เหมาะสมกับทรัพยากรที่มีอยู่ พร้อมกับการได้รับการดูแลจากผู้ดูแลระบบอย่างสม่ำเสมอ
คำถาม
1. ทำไมถึงต้องมีการทำ NAT จำเป็นหรือไม่สำหรับการทำ NAT ?
2. ระบบภายในมหาวิทยาลัยมีการแจกจ่าย IP Address ให้กับผู้ที่ต้องการใช้งาน Internet โดยใช้ลักษณะของ NAT ในรูปแบบใด?
