NATトラバーサル

NAT_traversal

  「NAT トラバーサル」–       
ネットワーク アドレス変換トラバーサルは、ネットワーク アドレス変換(NAT)を実装するゲートウェイ間でインターネット プロトコル接続を確立および維持するコンピューター ネットワーキング技術です。
NAT トラバーサル技術は、ピアツーピア ファイル共有やボイス オーバー IPなど、多くのネットワーク アプリケーションに必要です。
コンテンツ
1 ネットワーク アドレス変換
2 テクニック
2.1 対称 NAT 3 IPsec 4 ホスト型 NAT トラバーサル
5 IETF 標準ドキュメント
6 こちらもご覧ください
7 参考文献
8 外部リンク

ネットワーク アドレス変換
ネットワーク アドレス変換
NAT デバイスを使用すると、インターネットに面する単一のパブリックIP アドレスを持つルーターの背後にあるプライベート ネットワークでプライベート IP アドレスを使用できます。内部ネットワーク デバイスは、発信要求の送信元アドレスを NAT デバイスのアドレスに変更し、応答を元のデバイスに中継することによって、外部ネットワーク上のホストと通信します。
これにより、NAT デバイスには着信パケットの宛先となる内部ホストを自動的に判別する方法がないため、内部ネットワークはホスティング サーバーには適しこれは、一般的な Web アクセスと電子メールでは問題になりません。ただし、ピア ツー ピアファイル共有、VoIPサービス、ビデオ ゲーム コンソールなどのアプリケーションでは、クライアントもサーバーである必要が着信要求を適切な内部ホストに簡単に関連付けることはできません。さらに、これらのタイプのサービスの多くは、アプリケーション データで IP アドレスとポート番号の情報を運ぶため、ディープ パケット インスペクションによる置換が必要になる可能性が
ネットワーク アドレス変換テクノロジは標準化されその結果、NAT トラバーサルに使用される方法は多くの場合、独自のものであり、文書化も不十分です。多くのトラバーサル手法では、マスカレードされたネットワークの外部にあるサーバーからの支援が必要です。接続を確立するときだけサーバーを使用する方法もあれば、サーバーを介してすべてのデータを中継する方法もあるため、帯域幅の要件と遅延が増加し、リアルタイムの音声およびビデオ通信に悪影響を及ぼします。
通常、NAT トラバーサル技術は企業のセキュリティ ポリシーをバイパスします。エンタープライズ セキュリティの専門家は、NAT およびファイアウォールと明示的に連携する手法を好みます。これにより、NAT でのマーシャリングを有効にしながら、NAT トラバーサルを許可して、エンタープライズ セキュリティ ポリシーを実施できます。このセキュリティ モデルに基づくIETF標準は、 Realm-Specific IP (RSIP) およびミドルボックス通信 (MIDCOM) です。

テクニック
次の NAT トラバーサル手法を利用できます。
Socket Secure (SOCKS) は、1990 年代初頭に作成されたテクノロジで、プロキシ サーバーを使用してネットワークまたはシステム間のトラフィックを中継します。
NAT 周辺のリレーを使用したトラバーサル(TURN) は、NAT トラバーサル専用に設計されたリレー プロトコルです。
NAT ホール パンチングは、NAT が一部のプロトコル (UDP、TCP、ICMP など) を処理する方法を利用して、以前にブロックされたパケットを NAT 経由で許可する一般的な手法です。
UDPホールパンチング
TCP穴あけ
ICMPホールパンチング
NAT (STUN) のセッション トラバーサル ユーティリティは、標準化されたメソッドのセットであり、NAT ホール パンチング用のネットワーク プロトコルです。UDP 用に設計されましたが、TCP にも拡張されました。
Interactive Connectivity Establishment (ICE) は、利用可能な最適なネットワーク ルートを選択しながら、STUN や TURN を使用して NAT トラバーサルを実行するための完全なプロトコルです。これは、STUN 仕様で言及されていない欠落部分と欠陥の一部を埋めます。
UPnP インターネット ゲートウェイ デバイス プロトコル(IGDP) は、家庭または小規模オフィス環境の多くの小規模な NAT ゲートウェイでサポートされています。ネットワーク上のデバイスがルーターにポートを開くように要求できるようにします。
NAT-PMPは、Apple が IGDP の代替として導入したプロトコルです。
PCPは NAT-PMP の後継です。
アプリケーション レベル ゲートウェイ(ALG) は、NAT トラバーサル フィルターの構成を可能にするファイアウォールまたは NAT のコンポーネントです。多くの人が、この手法は解決するよりも多くの問題を生み出すと主張しています。

対称 NAT
最近の対称 NATの急増により、モバイルや公共の WiFi 接続など、多くの実際の状況で NAT トラバーサルの成功率が低下しています。TURNで実践されているように、STUN や ICE などのホール パンチング技術は、リレー サーバーの助けを借りずに対称 NAT をトラバースすることに失敗します。各 NAT デバイスが次に開くポートを予測することで対称 NAT をトラバースする手法は、2003 年にパナソニック通信研究所の武田豊と早稲田大学の研究者によって 2008 年に発見されました。ポート予測技術は、ポート選択に既知の決定論的アルゴリズムを使用する NAT デバイスでのみ有効です。この予測可能な非静的ポート割り当てスキームは、4G LTEネットワークで使用されるような大規模な NAT では一般的ではないため、これらのモバイル ブロードバンド ネットワークではポート予測はほとんど効果がありません。

IPsec
IPsec 仮想プライベート ネットワーククライアントは、NAT トラバーサルを使用して、カプセル化セキュリティ ペイロードパケットが NAT を通過するようにします。IPsecは、ファイアウォールとネットワーク アドレス トランスレータを通過するために有効にする必要があるいくつかのプロトコルを操作に使用します。
インターネット キー エクスチェンジ(IKE) – ユーザー データグラム プロトコル (UDP)ポート500
カプセル化セキュリティ ペイロード(ESP) – IP プロトコル番号50
認証ヘッダー(AH) – IP プロトコル番号 51
IPsec NAT トラバーサル – UDP ポート 4500 (NAT トラバーサルが使用されている場合のみ)
多くのルーターは、IPsec パススルーと呼ばれることが多い明示的な機能を提供します。
Windows XP では、NAT トラバーサルはデフォルトで有効になっていますが、Windows XP Service Pack 2 では、VPN サーバーも NAT デバイスの背後にある場合に備えて、デフォルトで無効になっています。 Windows 2000、Windows NT、および Windows 98 用の IPsec NAT-T パッチも利用可能です。
NAT トラバーサルと IPsec を使用して、システム間のトラフィックの日和見暗号化を有効にすることができます。NAT トラバーサルを使用すると、NAT の背後にあるシステムがオンデマンドで安全な接続を要求および確立できます。

ホスト型 NAT トラバーサル
Hosted NAT traversal (HNT) は、メディア リレーやラッチを含む一連のメカニズムであり、歴史的および実用的な理由から通信プロバイダーによって広く使用されています。 IETFは、インターネット上でラッチを使用しないようにアドバイスし、セキュリティ上の理由から ICE を推奨しています。

IETF 標準ドキュメント
RFC  1579  – ファイアウォールに優しい FTP
RFC  2663  – IP Network Address Translator (NAT) の用語と考慮事項
RFC  2709  – NAT ドメイン用のトンネル モード IPsec を使用したセキュリティ モデル
RFC  2993  – NAT のアーキテクチャ上の影響
RFC  3022  – 従来の IP ネットワーク アドレス変換 (従来の NAT)
RFC  3027  – IP Network Address Translator (NAT) によるプロトコルの複雑化
RFC  3235  – Network Address Translator (NAT) に適したアプリケーション設計ガイドライン
RFC  3715  – IPsec-ネットワーク アドレス変換 (NAT) の互換性
RFC  3947  – IKE での NAT トラバーサルのネゴシエーション
RFC  5128  – Network Address Translators (NAT) を介したピアツーピア (P2P) 通信の状態
RFC  5245  – Interactive Connectivity Establishment (ICE): A Protocol for Network Address Translator (NAT) Traversal for Offer/Answer Protocols

こちらもご覧ください
セッション ボーダー コントローラー(SBC)
穴あけ
UDPホールパンチング
TCP穴あけ
ICMPホールパンチング
NAT ポート マッピング プロトコル(NAT-PMP)
ポート制御プロトコル(PCP)
ポート転送

参考文献
^ 「ファイアウォールと NAT トラバーサルの説明」 . アイボールネットワークス株式会社 2013-07-05. 2013-10-19にオリジナルからアーカイブ。2013 年10 月10 日閲覧。
^ 「NAT トラバーサル手法とピアツーピア アプリケーション」。ヘルシンキ工科大学。CiteSeerX  10.1.1.103.1659 . 引用ジャーナルが必要です|journal=( help )
^ 「NATの紹介」 . PJNATH ライブラリ. 2016 年5 月 30 日閲覧。
^ 「STUN を使用した対称 NAT トラバーサル」 .
^ 「UDP および TCP における対称 NAT トラバーサルの新しい方法」 (PDF) . 2017-02-02に元の (PDF)からアーカイブされました。2016 年5 月 14 日閲覧。
^ 「IPSec NAT トラバーサルは、ネットワーク アドレス トランスレータの背後にある Windows Server 2003 コンピュータには推奨されません」 . Microsoft ナレッジ ベース #885348。
^ ラッチ: リアルタイム通信におけるメディアのホスト型 NAT トラバーサル (HNT)、RFC 7362 2014-09-01 ^ Interactive Connectivity Establishment (ICE): A Protocol for Network Address Translator (NAT) Traversal、RFC 8445 2018-07-01

外部リンク
現代の NAT トラバーサル システムに関する問題と事実
自律的な NAT トラバーサル – サードパーティなしでの NAT から NAT への通信
コーネル大学 – NAT とファイアウォールを介した TCP トラバーサルの特性評価と測定
コロンビア大学 – Skype ピアツーピア インターネット電話の分析
Network Address Translator 間のピア ツー ピア通信 (UDP ホール パンチング)