Zasebno omrežje: zasebni IP-naslovi, NAT, IPv4/IPv6 in varnost

Zasebno omrežje: razumite zasebne IP-naslove, NAT, IPv4/IPv6 ter praktične ukrepe za izboljšanje varnosti domačih in poslovnih LAN-omrežij.

Avtor: Leandro Alegsa

V internetni terminologiji je zasebno omrežje običajno omrežje, ki uporablja zasebni naslovni prostor IP v skladu s standardom RFC 1918. Računalnikom se lahko dodelijo naslovi iz tega naslovnega prostora, kadar morajo komunicirati z drugimi računalniškimi napravami v intranetnem omrežju (notranje zasebno računalniško omrežje, ki uporablja internetni protokol).

Zasebna omrežja so precej pogosta v zasnovah domačih in pisarniških lokalnih omrežij (LAN), saj številne organizacije ne vidijo potrebe po globalno edinstvenih naslovih IP za vsak računalnik, tiskalnik in druge naprave, ki jih organizacije uporabljajo. Zasebni naslovi IP so nastali zaradi pomanjkanja javno registriranih naslovov IP, ki jih je ustvaril standard IPv4. Eden od razlogov, zakaj je bil ustvarjen IPv6, je odpraviti to omejitev standarda IPv4. Vendar pa IPv6 še vedno ni bil splošno razširjen.

Usmerjevalniki v internetu morajo biti nastavljeni tako, da zavržejo vse pakete, ki v glavi paketa IP vsebujejo zasebne naslove IP. Ta izolacija daje zasebnim omrežjem osnovno obliko varnosti, saj zunanji svet običajno ne more vzpostaviti povezave neposredno z napravo, ki uporablja te zasebne naslove. Ker med različnimi zasebnimi omrežji ni mogoče vzpostaviti povezave prek interneta, lahko različne organizacije uporabljajo isto območje zasebnih naslovov, ne da bi tvegale konflikte naslovov (komunikacijske nesreče, ki nastanejo, če tretja oseba uporabi isti naslov IP).

Če mora naprava v zasebnem omrežju komunicirati z drugimi omrežji, je potreben "posredniški prehod" (vmesni prehod), ki zagotavlja, da je zunanjemu omrežju predstavljen "pravi" (ali javno dosegljiv) naslov, tako da internetni usmerjevalniki dovolijo komunikacijo. Ta prehod je običajno naprava NAT ali posredniški strežnik. Javni internetni usmerjevalniki privzeto ne posredujejo paketov z naslovi RFC 1918. Za razliko od javnih internetnih usmerjevalnikov, ki za posredovanje teh paketov potrebujejo dodatno konfiguracijo, notranji usmerjevalniki za posredovanje teh paketov ne potrebujejo dodatne konfiguracije.

To pa lahko povzroči težave, kadar organizacije poskušajo povezati omrežja, ki uporabljajo iste zasebne naslovne prostore. Če obe omrežji uporabljata iste naslove IP za svoja zasebna omrežja ali če sta obe omrežji odvisni od NAT za povezavo prek interneta, lahko pride do navzkrižij in težav z usmerjanjem.

Kateri IP-naslovi so rezervirani kot zasebni

  • IPv4 (RFC 1918):
    • 10.0.0.0/8 (10.0.0.0–10.255.255.255)
    • 172.16.0.0/12 (172.16.0.0–172.31.255.255)
    • 192.168.0.0/16 (192.168.0.0–192.168.255.255)
  • Druge pomembne rezervirane IPv4 mreže:
    • 127.0.0.0/8 – loopback (lokalni zankovnik)
    • 169.254.0.0/16 – link-local samodejno dodeljeni naslovi (APIPA)
    • 100.64.0.0/10 – naslovni prostor, uporabljen za carrier-grade NAT (CGNAT)
  • IPv6:
    • Unique Local Addresses (ULA) fc00::/7 – podobno kot RFC1918 za IPv6
    • Link-local fe80::/10 – avtomatsko uporabljeni naslovi znotraj povezave

NAT: kako deluje in vrste

  • Static NAT (prepis naslova): en zasebni naslov preslika na en javni naslov — uporaben za dostop do notranjih strežnikov od zunaj.
  • Dynamic NAT: interni naslovi se preslikajo na javne naslove iz omejenega bazena glede na razpoložljivost.
  • Port Address Translation (PAT) ali preslikava več naslovov na en javni naslov z različnimi vrati — najbolj pogosta za domače usmerjevalnike (imenovana tudi NAT-overload).

NAT pogosto olajša pomanjkanje javnih IPv4 naslovov in omogoča več napravam, da delijo en javni IP. Vendar pa NAT spreminja naslove in vrta v paketih, kar vpliva na nekatere protokole in zahteva dodatne mehanizme (npr. STUN, TURN, UPnP ali SIP ALG) za pravilno delovanje aplikacij, ki pričakujejo neposredno end-to-end povezljivost.

Varnostne implikacije

  • NAT ni nadomestilo za požarni zid. Čeprav NAT pogosto preprečuje neposredne dohodne povezave, to ni načrtovana varnostna kontrola. Zaresno varnost zagotavljata ustrezno konfiguriran požarni zid in politiki dostopa.
  • Port forwarding (preusmerjanje vrat) odpre posamezne storitve z internimi strežniki. Nevarnosti vključujejo nezaščitene storitve, slabe gesla in izpostavljenost ranljivostim računalniškega programa.
  • UPnP in avtomatsko odpiranje vrat lahko olajšata uporabo za končnega uporabnika, a hkrati omogočata samodejno izpostavljanje naprav brez nadzora skrbnika.
  • Double NAT (dvojni NAT) se pojavi, ko dve napravi zaporedoma izvajata NAT (npr. modem ISP + domači usmerjevalnik). To povzroči težave z VPN, spletnimi igrami in nekaterimi aplikacijami in otežuje upravljanje vrat.

Težave s podvojenimi zasebnimi omrežji in rešitve

  • Če sta dve lokaciji s povezavo (npr. VPN) konfigurirani z enakim zasebnim podom (npr. obe uporabljata 192.168.1.0/24), to povzroči konflikt naslovov in usmerjanje ne bo delovalo pravilno.
  • Rešitve:
    • Preurejanje naslovne sheme — najbolj čista in priporočljiva rešitev (vsaka lokacija dobi edinstven podom).
    • Uporaba NAT na meji VPN vozlišč (adresna preslikava), če preurejanje ni mogoče.
    • Uporaba proxyjev ali NAT z mapiranjem vrat za specifične storitve.
    • Vnaprej načrtovana shema naslovov pri rasti podjetja (daje možnost lažjega povezovanja filial).

IPv6 in zasebna naslova

IPv6 nudi ogromen naslovni prostor, zato tradicionalni razlog za NAT odpade. Namesto tega se v IPv6 uporablja kombinacija javnih naslovov in požarnih zidov za zaščito naprav. Za lokalne zasebne potrebe obstajajo ULA (fc00::/7), vendar je pogost pristop da naprave dobijo javne unikatne IPv6 naslove in so zaščitene z državnim požarnim zidom. Pri prehodu na IPv6 upoštevajte naslednje:

  • IPv6 običajno ne zahteva NAT — to olajša end-to-end povezljivost, a zahteva skrbno varnostno politiko.
  • IPv6 ima mehanizme zasebnosti (privacy extensions) za dinamične naslove na končnih napravah.
  • Za povezave med IPv4 in IPv6 mrežami so na voljo rešitve, kot so NAT64, DNS64 in dvojni skladni načini (dual-stack).

Priporočila za upravljanje zasebnih omrežij

  • Načrtujte naslovne prostore že pri postavitvi omrežja — izberite podom, ki bo omogočal širitve in povezave do drugih lokacij.
  • Izogibajte se uporabi istih privzetih mrež (npr. 192.168.0.0/24) za vse lokacije, če boste povezovali omrežja med seboj.
  • Uporabite močan požarni zid in omejitve po vratih namesto zanašanja zgolj na NAT kot varnostno sredstvo.
  • Redno posodabljajte firmware usmerjevalnikov in naprav ter onemogočite nepotrebne storitve (npr. UPnP, če ni potrebna).
  • Pri delu z VPN in povezovanjem lokacij preverite, ali pride do dvojnega NAT-a, in po potrebi preklopite naprave v bridged način ali uporabite režime passthrough.
  • Če je mogoče, razmislite o postopnem prehodu na IPv6 in zagotovite ustrezne varnostne politike za IPv6 promet.

Zaključek

Zasebni IP-naslovi in NAT so temelj sodobnih domačih in podjetniških omrežij, saj omogočajo učinkovito rabo omejenega naslova IPv4 prostora in poenostavijo interno upravljanje. Vendar pa pomenijo tudi posebne izzive pri povezovanju omrežij, upravljanju varnosti in interoperabilnosti aplikacij. Razumevanje rezerviranih obsegov, delovanja NAT in možnih varnostnih tveganj ter načrtovanje mrežne sheme sta ključna za stabilno in varno delovanje omrežij.

Zasebni naslovi organa za dodeljevanje številk v internetu (IANA)

Organ IANA (Internet Assigned Numbers Authority) je organ, ki upravlja globalno dodeljevanje naslovov IP, upravljanje korenskega območja DNS, medijske vrste in druge dodelitve internetnih protokolov. Upravlja ga organizacija ICANN.

Če poznate meje razrednega naslavljanja, morate vedeti, da čeprav območje RFC 1918 172.16.0.0-172.31.255.255 spada v tradicionalno območje razreda B, blok rezerviranih naslovov ni /16, temveč /12. Enako velja za območje 192.168.0.0-192.168.255.255; ta blok ni /24, temveč /16. Vendar lahko nekdo še vedno uporablja (in mnogi posamezniki to običajno počnejo) naslove iz teh blokov CIDR in uporabi masko podomrežja, ki ustreza tradicionalni meji razreda naslova.

Trenutni zasebni internetni naslovi IANA (imenovani tudi neusmerljivi) so:

Ime

Razpon naslovov IP

število naslovov

opis za posamezni razred

največji blok CIDR

opredeljeno v

24-bitni blok

10.0.0.0 – 10.255.255.255

16,777,216

en razred A, 256 sosednjih razredov B

10.0.0.0/8

RFC 1597 (zastarel), RFC 1918

20-bitni blok

172.16.0.0 – 172.31.255.255

1,048,576

16 sosednjih enot razreda B

172.16.0.0/12

16-bitni blok

192.168.0.0 – 192.168.255.255

65,536

en razred B, 256 sosednjih razredov C

192.168.0.0/16

Za zmanjšanje obremenitve korenskih imenskih strežnikov, ki jo povzročajo povratna iskanja DNS teh naslovov IP, je v omrežju AS112 na voljo sistem imenskih strežnikov "črne luknje".

Sorodne strani

  • Nabor internetnih protokolov
  • Komunikacijski protokol

Vprašanja in odgovori

V: Kaj je zasebno omrežje?


O: Zasebno omrežje je računalniško omrežje, ki uporablja zasebni naslovni prostor IP po standardu RFC 1918. Običajno se uporablja za notranja omrežja znotraj organizacije ali domača in pisarniška lokalna omrežja (LAN).

V: Kaj je bil razlog za vzpostavitev zasebnih naslovov IP?


O: Zasebni naslovi IP so bili ustvarjeni zaradi pomanjkanja javno registriranih naslovov IP, ki jih je ustvaril standard IPv4. Eden od razlogov za nastanek protokola IPv6 je bil odpraviti to omejitev standarda IPv4.

V: Kako izolacija zagotavlja varnost zasebnih omrežij?


O: Izolacija daje zasebnim omrežjem osnovno obliko varnosti, saj zunanje naprave običajno ne morejo vzpostaviti povezave neposredno z napravami, ki uporabljajo te zasebne naslove. Usmerjevalniki v internetu morajo biti nastavljeni tako, da zavržejo vse pakete, ki vsebujejo te naslove, da se zagotovi ta zaščita.

V: Kako lahko različne organizacije uporabljajo isto območje zasebnih naslovov, ne da bi tvegale konflikte naslovov?


O: Ker med različnimi zasebnimi omrežji ni mogoče vzpostaviti povezave prek interneta, lahko različne organizacije uporabljajo isto območje zasebnih naslovov, ne da bi tvegale konflikte naslovov (komunikacijske nesreče, ki nastanejo, če tretja oseba uporabi isti naslov IP).

V: Katera vrsta naprave je potrebna, če mora naprava v zasebnem omrežju komunicirati z drugimi omrežji?


O: Če mora naprava v zasebnem omrežju komunicirati z drugimi omrežji, je potreben "posredniški prehod" (vmesni prehod), ki zagotavlja, da se zunanjim napravam prikaže javno dosegljiv naslov, tako da internetni usmerjevalniki omogočijo komunikacijo. Ta prehod je običajno naprava NAT ali posredniški strežnik.

V: Ali javni internetni usmerjevalniki potrebujejo dodatno konfiguracijo za posredovanje paketov z naslovi RFC 1918?


O: Javni internetni usmerjevalniki privzeto ne bodo posredovali paketov z naslovi RFC 1918 in bodo za to potrebovali dodatno konfiguracijo. Notranji usmerjevalniki ne potrebujejo dodatne konfiguracije za posredovanje teh paketov, kar lahko povzroči težave pri povezovanju dveh ločenih omrežij, ki uporabljata podobne naslovne sheme IP.


Iskati
AlegsaOnline.com - 2020 / 2025 - License CC3