 |
להשתמש ב-NAT השימוש ב-Network Address Translation עשויה לתת מענה יעיל במיוחד לבעיות האבטחה במחשב שלכם אבי וייס, netמגזין רבים מאיתנו יודעים כבר כי השימוש ב-NAT הוא דרך יעילה להגן על המחשב מאיומים שמקורם באינטרנט. אבל מהו בעצם וכיצד משתמשים בו? |
|
NAT, ר"ת של Network Address Translation, היא שיטה המאפשרת לחבר מספר מחשבים או תחנות ברשת לאינטרנט, תחת כתובת IP אחת. השיטה הזו נולדה בסביבות נובל, כפתרון להמרה בין כתובות רשת מקומית מסוג IPX לכתובות IP של אינטרנט. עם הזמן, אימצו את הפתרון הזה גם מיקרוסופט ויצרני חומרה ותוכנה רבים אחרים. היום אפשר למצוא אותה במערכות Windows ובציוד תקשורת מסוגים שונים. מסתבר שהשימוש ב-NAT מוסיף נדבך אבטחה חשוב. כאשר אינך יודע את כתובתו המדוייקת של המחשב אותו אתה רוצה לתקוף, הרוב המכריע של פרצות האבטחה הופכות בלתי שימושיות. לכן, היישום של NAT הוא כלי חשוב שכדאי להשתמש בו תמיד. בואו ננסה רגע להבין איך זה עובד (מי שזה מסובך לו יכול לדלג על ההסבר). בדרך-כלל כשאנחנו מתחברים לאינטרנט, האופן שבו אנחנו מקבלים כתובת IP אינו מעניין אותנו. למעשה, השיטה דומה לזו שבה מנהלי רשתות מקצים כתובות לתחנות ברשת המקומית. כל רשת ארגונית או ביתית, מוגדרת כתת-רשת מבוססת IP, לפי אחת מהשיטות הבאות: Class A שיטה שמקובלת ברשתות גדולות. כל תחנה מקבלת כתובת מהצורה 10.x.x.x, כאשר x יכול להיות כל מספר בתחום 0-254. Class B שיטה לרשתות בינוניות. מוקצים מספרים בתחום 172.16.x.x עד 172.31.x.x. Class C שיטה לרשתות קטנות, שבה מקצים מספרים בתחום 192.168.x.x. כאשר מתחברים לאינטרנט, עושים זאת דרך ספק שיש לו מספר ידוע (למשל 194.90.1.5 הוא מספר של נטוויז'ן). עם ההתחברות, מקבלים מהספק אוטומטית מספר IP עבור המחשב המתחבר (מספר משתנה אם החיבור הוא בחיוג, דינמי בחיבור ADSL בסיסי, או מספר קבוע בחיבור קבוע או בנל"ן), למשל: 194.115.195.10. כאשר ארגון מחבר מחשבים רבים לספק האינטרנט, הוא מקבל ממנו חבילה של מספרי IP. בדרך-כלל מספרים מעטים (לא יותר מחמישה), ואם הוא רוצה נוספים זה עולה עוד כסף. ברוב הארגונים מעדיפים לחלק את מספרי הIP- הבודדים הללו בין התחנות - זה נעשה אוטומטית, באופן דינמי, באמצעות שירות תוכנה ששמו DHCP. באופן מעשי, קבוצה קטנה של מספרים יכולה להספיק לעשרות משתמשים. אבל מה עושה מי שיש לו מספר IP אחד בלבד, ורוצה לחבר אליו שני מחשבים או יותר? כאן באה לעזרתנו טכנולוגיית ה-NAT. היא יודעת לתרגם באופן דינמי את הכתובת הפנימית (נניח 10.0.0.20) לכתובת החיצונית שהתקבלה עם החיבור לספק האינטרנט (בדוגמא שלנו: 194.115.195.10). המספר שניתן למודם או לנתב דרכו מחוברים לאינטרנט (למשל 10.0.0.254), מוגדר כDefault Gateway- בכל התחנות. כלומר, לנתב/מודם יש שני מספרי IP לפחות: אחד פנימי (10.0.0.254 בדוגמא שלנו), ואחד חיצוני (194.115.195.10), ושירות הNAT- מתרגם כל הזמן בין הכתובות של המקור והיעד. מי שקיבל כאב ראש מההסבר, יכול להירגע - הנתבים החדשים מגיעים עם תמיכה אוטומטית בתכונה הזו, וב-DHCP. בסביבות Windows ME/XP/2000 יש תמיכה שקופה ב-NAT וב-DHCP, המופעלת באופן אוטומטי כאשר מגדירים שיתוף מודם (Internet Connection Sharing), כדי לחבר לאינטרנט מספר מחשבים דרך מודם אחד. ניתן, אגב, להשיג תוצאה דומה תוך שימוש בתוכנת Proxy, אבל זה נעשה ברמה גבוהה יותר (שכבה 5 במודל OSI, למי שמכיר, לעומת שכבה 3 ב-NAT/DHCP). השימוש ב-NAT הוא פתרון יעיל, מהיר ובטוח יותר. למרות שהוא נתמך במערכות ההפעלה החדשות, מומלץ להפעיל אותו באמצעות נתב, שמבצע את העבודה בצורה חלקה ובטוחה יותר. הנתב משמש כבידוד פיזי, ממשי, מהעולם החיצון, והופך את עבודת ההאקר קשה שבעתיים.
|
|
|
כל הזכויות שמורות לפורטל האינטרנט הישראלי
|
|
