9. Вопросы обеспечения безопасности
Все NAT-модули (включая их NAPT-разновидности) имеют реальную возможность для снижения общего уровня безопасности, создавая при этом иллюзию «барьера безопасности», так как не обеспечивают достижения целей, возлагаемых на сетевые экраны (брандмауэры). В оконечном IP-узле используются необходимые способы обеспечения безопасности, вследствие недоверия к маршрутам доставки IP-пакетов, которые могут проходить через скомпрометировавшие себя сетевые зоны, сетевым фильтрам или «непонятным» NAT-модулям, которые могут все время вносить изменения в режимы функционирования прикладной службы в ближайшем IP-узле. Как правило, все барьеры безопасности предполагают, что любые угрозы являются внешними, так как практический опыт показывает, что «заделывать внутренние бреши» гораздо легче.
IPsec-архитектура (RFC-2401) определяет несколько способов аутентификации на IP-уровне (на уровне IP-пакетов) и шифрования, которое используется в IP-сетях. Несмотря на то, что безопасность на сетевом уровне менее эффективна, чем на прикладном уровне, но говоря словами стандарта RFC-1752 «проведение аутентификации на сетевом уровне будет способствовать внедрению весьма необходимой, широкомасштабной инфраструктуры обеспечения безопасности для всей Internet-сети.»
NAT-модули нарушают способы аутентификации и шифрования IPsec-архитектуры, так как эти способы защиты информации зависят от IP-адресов в заголовках IP-пакетов транслируемых по сквозному соединению. Более того, NAT-модули могут затормозить дальнейшее распространение высоконадежных способов защиты информации в Internet-сети. Функционирование NAT-модулей влечет за собой появление нескольких специфических проблем, связанных с IPsec-архитектурой. Например:
Применение АН-протокола невозможно, так как специальная хэш-функция защищает IP-адрес в заголовке IP-пакета.
Аутентифицированные электронные сертификаты могут содержать IP-адрес в качестве элемента имени субъекта, который проходит процедуру аутентификации.
При использовании шифрования в «Ускоренном режиме» информационного обмена в период формирования защищенного виртуального соединения отдельные сообщения могут содержать IP-адреса и номера портов транспортного уровня с целью определения выбранной стратегии обеспечения информационной безопасности.
При использовании шифрования с открытыми ключами в период проведения информационного обмена в «Режиме модификации» отдельные сообщения будут содержать данные, удостоверяющие пользователей, в зашифрованном поле полезной нагрузки.