NAT: la tra­du­c­ción de di­re­c­cio­nes de red en el router

Desde junio de 2012, la sexta versión del protocolo de Internet, es decir, IPv6, co­n­s­ti­tu­ye una solución para la creciente escasez de di­re­c­cio­nes IP. Sin embargo, el cambio al nuevo estándar de Internet se de­sa­rro­lla con lentitud. Según una es­ta­dí­s­ti­ca de Google, en octubre de 2016 más del 85 por ciento de los usuarios de Internet de todo el mundo todavía seguía uti­li­za­n­do el estándar de Internet IPv4. Sin embargo, su capacidad, limitada a alrededor de 4,3 mil millones de di­re­c­cio­nes, ya no es su­fi­cie­n­te para hacer frente al sinnúmero de di­s­po­si­ti­vos con acceso a Internet con di­re­c­cio­nes IP unívocas. En este sentido, los or­de­na­do­res, las tablets o los sma­r­t­pho­nes no son los únicos di­s­po­si­ti­vos que requieren acceso al mundo online. En el marco del Internet de las cosas (Internet of Things, IoT), los fri­go­rí­fi­cos, las básculas de baño o las cafeteras se co­n­ve­r­ti­rán en di­s­po­si­ti­vos de red in­te­li­ge­n­tes. Desde pri­n­ci­pios de los 90, el protocolo IPv4 compensa el problema de la escasez de di­re­c­cio­nes va­lié­n­do­se de una clara de­li­mi­ta­ción entre el espacio de di­re­c­cio­nes privado y el público. En las redes locales (LAN), los te­r­mi­na­les con capacidad de acceso a Internet reciben di­re­c­cio­nes IP locales privadas y están vi­n­cu­la­das a Internet por medio de una dirección IP pública común. El router es la interfaz central entre el rango de di­re­c­cio­nes público y el privado y aquí es donde entra en juego la Network Address Tra­n­s­la­tion, más conocida como NAT.

El acrónimo NAT hace re­fe­re­n­cia a la Network Address Tra­n­s­la­tion, es decir, a la tra­du­c­ción de di­re­c­cio­nes entre dos redes que, por lo general, tiene lugar en el entorno del router. El objetivo de este pro­ce­di­mie­n­to es vincular redes locales con Internet y, en este sentido, se puede es­ta­ble­cer una di­fe­re­n­cia­ción entre dos tipos de tra­du­c­ción de redes di­fe­re­n­tes: Source NAT (SNAT) y De­s­ti­na­tion NAT (DNAT).

En la mayoría de los casos, los usuarios privados entran en contacto con la tra­du­c­ción de di­re­c­cio­nes en forma de source NAT (en español, NAT de origen). Dicho proceso es aplicable tanto en redes do­mé­s­ti­cas como co­r­po­ra­ti­vas, cuando un di­s­po­si­ti­vo de red con una dirección IPv4 privada tiene que acceder a Internet a través de una IP pública. Sin embargo, en el lenguaje común, el término NAT no siempre se utiliza con exactitud.

Des­am­bi­gua­ción: NAT vs. PAT

En general, conviene di­s­ti­n­guir si se asigna una dirección IP propia a cada dirección IP privada en una red local (tra­du­c­ción 1:1) o si todos los di­s­po­si­ti­vos de red comparten la misma dirección IP (tra­du­c­ción n:1).

Es­tri­c­ta­me­n­te hablando, la única tra­du­c­ción 1:1 es la Network Address Tra­n­s­la­tion, ya que, en este caso, solo se traducen las di­re­c­cio­nes de red. Por el contrario, la tra­du­c­ción n:1 requiere la ada­p­ta­ción de los números de puerto. A este pro­ce­di­mie­n­to se le designa, tras ello, con el nombre de PAT (Port and Address Tra­n­s­la­tion) o NAPT (Network Address Port Tra­n­s­la­tion).

Puesto que el concepto PAT re­pre­se­n­ta el estándar en las redes do­mé­s­ti­cas y de oficina basadas en el protocolo IPv4, este pro­ce­di­mie­n­to es conocido en el lenguaje común como NAT. En el marco de los conceptos de PAT también se utilizan términos ha­bi­tua­les, como pueden ser router NAT o tabla de NAT. Sin embargo, al hablar de NAT, hoy en día se suele hacer re­fe­re­n­cia más bien a PAT o NAPT.

Fu­n­cio­na­mie­n­to de la Port Address Tra­n­s­la­tion (PAT)

En general, la tra­du­c­ción de las di­re­c­cio­nes de red se aplica en forma de PAT (tra­du­c­ción de la dirección del puerto) para conectar varios di­s­po­si­ti­vos locales a Internet por medio de una dirección IP común.

Debido al hecho de que las di­re­c­cio­nes IP privadas no son en­ru­ta­bles, y por lo tanto carecen de im­po­r­ta­n­cia en Internet, el router debe proveer de una dirección IP pública a los paquetes de datos que un ordenador (cliente) envía en la red local (LAN) a un servidor en Internet. Para ello, el router cambia la dirección IP privada del cliente en el header del paquete de datos por su propia IP pública. Además, el número de puerto usado de manera interna será re­em­pla­za­do por uno de los puertos abiertos del router, el cual actúa frente a los se­r­vi­do­res en Internet como remitente de todos los paquetes de datos que se envían desde la red local.

Todos los datos de conexión (di­re­c­cio­nes IP, puertos y de­s­co­ne­xio­nes) se guardan en la llamada tabla de NAT (en sentido estricto, también se podría hablar aquí de una tabla de PAT). Si el servidor al que van dirigidos responde a la petición del ordenador local con un paquete de datos, este será enviado de vuelta al puerto co­rre­s­po­n­die­n­te del router, cuya tarea es di­s­tri­buir el paquete de datos entrante al di­s­po­si­ti­vo de red que haya hecho la petición. Todo lo que el router necesita para ello son los datos incluidos en la tabla de NAT. Para arrojar más luz a lo an­te­rio­r­me­n­te expuesto, veamos el siguiente ejemplo: 

Partimos de la base de que un proveedor de servicios de Internet (ISP) le ha asignado a un router la dirección IP pública 217.229.111.18 y este opera como puerta de enlace estándar para una red local, la cual pone el rango privado de di­re­c­cio­nes IP 192.168.0.0/24 a di­s­po­si­ción de los di­s­po­si­ti­vos de red (todas las di­re­c­cio­nes desde la 192.168.0.0 a la 192.168.0.24). Si uno de dichos te­r­mi­na­les (por ejemplo, un ordenador con la IP privada 192.168.0.2) quiere es­ta­ble­cer una conexión con Internet (por ejemplo, para un servidor web con la IP pública 71.123.239.82 en su puerto número 80), este reserva un puerto interno (por ejemplo, el 22433) y transmite la petición de es­ta­ble­ci­mie­n­to de la conexión al router que actúa como puerta de enlace estándar, al cual se puede acceder por medio de la dirección IP privada 192.168.0.1 y el cual se comunica hacia el exterior con la dirección IP pública 217.229.111.18.

El router recibe, por co­n­si­guie­n­te, los si­guie­n­tes datos: el terminal 192.168.0.2 quiere crear en el puerto 22433 una conexión para 71.123.239.82 en el puerto 80. Para cumplir este deseo, el router debe sustituir la dirección de origen del terminal conectado a la red LAN (dirección IP y número de puerto) por la propia dirección del remitente. Para ello, reserva cualquier puerto que esté libre (p. ej., 61001) e inicia la tra­du­c­ción de di­re­c­cio­nes de red: la IP 192.168.0.2:22433 dará lugar a la dirección 217.229.111.18: 61001. Todos los datos re­le­va­n­tes se de­po­si­ta­rán en la tabla de NAT del router.

Una vez se reciba la petición en el servidor web, esta se procesará y, si es posible, se le re­s­po­n­de­rá con el paquete de datos so­li­ci­ta­do, por ejemplo con los datos de una página web. Esta respuesta llega al router, el cual la tra­n­s­mi­ti­rá con ayuda de los datos de conexión al­ma­ce­na­dos: según la tabla de NAT, el puerto externo 61001 está reservado para los paquetes de respuesta que se envían al puerto 22433 del di­s­po­si­ti­vo de red 192.168.0.2.

Además de di­re­c­cio­nes IP y números de puerto, los routers también anotan un marcador de tiempo en la tabla de NAT para cada conexión. Este funciona como timeout y establece cuándo se tiene que eliminar la entrada co­rre­s­po­n­die­n­te. De esta manera, se garantiza que los puertos no se queden abiertos de forma pe­r­ma­ne­n­te en caso de inac­ti­vi­dad y que, en la medida de lo posible, no se co­n­vie­r­tan en puertas de entrada para ataques in­fo­r­má­ti­cos.

Mientras que la Source NAT permite es­ta­ble­cer la conexión con Internet a partir de la LAN, la De­s­ti­na­tion NAT se emplea para hacer que las co­ne­xio­nes entrantes puedan acceder a un di­s­po­si­ti­vo local por medio de Internet de manera pe­r­ma­ne­n­te. Para ello, la co­n­fi­gu­ra­ción del router permitirá vincular un puerto público con la dirección IP de un di­s­po­si­ti­vo de red local de manera pe­r­ma­ne­n­te. Todos los paquetes de datos que llegan al puerto co­rre­s­po­n­die­n­te serán tra­n­s­mi­ti­dos au­to­má­ti­ca­me­n­te a la dirección local de destino, por lo que en este caso se puede hablar de port fo­r­wa­r­di­ng o re­di­re­c­ción de puertos. Este método se utiliza, por ejemplo, cuando hay de­te­r­mi­na­dos servicios del servidor que proceden de la red LAN y que se tienen que poner a di­s­po­si­ción en Internet. Los puertos abiertos, sin embargo, co­n­s­ti­tu­yen un riesgo para la seguridad, por lo que a este respecto se re­co­mie­n­da proteger la red local del tráfico de datos pro­ce­de­n­te de Internet, mientras que los di­s­po­si­ti­vos di­re­c­cio­na­bles por medio del port fo­r­wa­r­di­ng quedarán aislados en las zonas de­s­mi­li­ta­ri­za­das (DMZ).

En ocasiones, la tra­du­c­ción de di­re­c­cio­nes de red en el router es, como elemento de seguridad, objeto de debate a causa de la estricta se­pa­ra­ción que existe entre redes LAN e Internet. La supuesta función de pro­te­c­ción no es más que un efecto se­cu­n­da­rio. En este sentido, tanto la Network Address Tra­n­s­la­tion como la Port Address Tra­n­s­la­tion se de­sa­rro­llan para co­n­tra­rre­s­tar la escasez de di­re­c­cio­nes IPv4, pero puede que las funciones de un firewall o de un filtro de paquetes hagan que el método no esté di­s­po­ni­ble.

A pesar de todo, tanto la NAT como la PAT ofrecen a los usuarios en redes privadas cierto grado de pri­va­ci­dad. Puesto que todos los te­r­mi­na­les locales de una red LAN con el protocolo IPv4 visitan Internet con la misma dirección IP pública, los usuarios pueden navegar de un modo más o menos anónimo. El único host existente tras el router de red no es di­re­c­ta­me­n­te di­re­c­cio­na­ble por Internet, es decir, que para ello se co­n­fi­gu­ra­rá el de­no­mi­na­do port fo­r­wa­r­di­ng. En el caso de los ob­se­r­va­do­res externos, todas las so­li­ci­tu­des parten, al parecer, de la red LAN del router. 

Adi­cio­na­l­me­n­te, el pro­ce­di­mie­n­to lleva integrada una función de pro­te­c­ción que se ocupa de que todos los intentos de conexión que se inicien de manera externa sean re­cha­za­dos de manera au­to­má­ti­ca mientras que esto no se cancele por medio del de­s­blo­queo de los puertos. Solo se aceptarán paquetes de respuesta de Internet en caso de que se esperen recibir las re­s­pue­s­tas del servidor en un de­te­r­mi­na­do puerto del router. En el marco tanto de NAT como de PAT no se co­m­pro­ba­rá cuál es el servidor web que responde y si se abre un puerto de router con re­fe­re­n­cia al es­ta­ble­ci­mie­n­to interno de una conexión, este re­pre­se­n­ta­rá una brecha de seguridad. Por ello, se re­co­mie­n­da im­ple­me­n­tar me­ca­ni­s­mos de seguridad adi­cio­na­les, tales como firewalls y filtros de paquetes.

Asimismo, las de­bi­li­da­des de la tra­du­c­ción de di­re­c­cio­nes de red vía NAT o PAT también son di­s­cu­ti­das. Estas se derivan pri­n­ci­pa­l­me­n­te de la estricta di­fe­re­n­cia­ción entre espacios de di­re­c­cio­nes privados y públicos, lo que pone de ma­ni­fie­s­to una fractura en el principio del diseño de Internet de­no­mi­na­do “End to End” (E2E), lo que puede co­n­ve­r­ti­r­se en un problema para la Network Address Tra­n­s­la­tion en el caso de las apli­ca­cio­nes de Internet que se conciben tomando como base dicho principio de diseño.

Los pro­to­co­los como FTP se basan en la su­po­si­ción de que los hosts de Internet se comunican di­re­c­ta­me­n­te entre sí sin que un nodo in­te­r­me­dio modifique las di­re­c­cio­nes IP o los números de puerto. Las redes IPv4 que se sustentan en la Network Address Tra­n­s­la­tion solo pueden, por tanto, uti­li­zar­se con ayuda de técnicas de desvío y cada mecanismo adicional necesario hace aumentar la co­m­ple­ji­dad y el po­r­ce­n­ta­je de errores de un sistema in­fo­r­má­ti­co. La co­n­se­cue­n­te apli­ca­ción del principio E2E es, por lo tanto, un objetivo del diseño central del nuevo estándar IPv6.

La sexta versión del protocolo de Internet ha mu­l­ti­pli­ca­do el número de di­re­c­cio­nes IP a las que se puede acceder a nivel mundial. En lugar de 4,3 mil millones de di­re­c­cio­nes IPv4, con la nueva versión del protocolo se puede tener acceso hoy en día a, en teoría, unos 340 se­x­ti­llo­nes de di­re­c­cio­nes IPv6 para vincular a los di­s­po­si­ti­vos de red con Internet. Dicho de otro modo, cada cafetera recibe una dirección IP única y enrutable a nivel mundial. La tra­du­c­ción de di­re­c­cio­nes de red por medio de la Network Address Tra­n­s­la­tion resulta, en general, algo re­du­n­da­n­te, pero puede ponerse en práctica en redes con el protocolo IPv6 para proteger el rango privado de di­re­c­cio­nes de la red pública.