Contexto
Durante a minha experiência de 3 anos como estagiário no POP-RS da RNP estive envolvido no suporte de redes de computadores das universidades federais do Brasil. Uma das situações que mais me surpreenderam e interessaram trata sobre a polêmica do NAT.
Esta polêmica não é apenas particular às universidades federais, mas está presente em todo o contexto de redes corporativas no Brasil e no mundo. Ao final, a grande polêmica é: o NAT é uma técnica de segurança de redes de computadores ? Uma rede com NAT é mais segura que uma rede sem NAT ?
Existem muitas fontes de informação sobre este assunto. De certa forma, acabei utilizando este site como referência técnica: http://fishbowl.pastiche.org/2003/09/22/nat_and_security/. As explicaçõs apresentadas pelo autor são bastante equilibradas e vão de encontro com as minhas próprias.
O que é o NAT ?
Sem entrar em explicações completas sobre o que é o NAT, seus diversos tipos e modificações ao longo do tempo podemos dizer:
"NAT é o processo de modificar o endereço de rede (Camada 3) no cabeçalho do datagrama IP durante seu trânsito por um gateway ou roteador com o propósito de mapear um espaço de endereçamento por um outro distinto".
Desta forma o NAT é utilizado com os endereços de rede privados (RFC 1918), criando uma rede privada separada da rede pública (tipicamente a INTERNET). Todo o espaço de endereçamento privado permanece invisível perante a rede pública.
O NAT e a Segurança de Redes
Uma grande maioria de profissionais de redes de computadores defendem que o NAT é um recurso de segurança. Sobre isso gostaria de pontuar algumas considerações:
- Técnicamente falando, NAT não é uma técnica de firewalling, apenas mapeamento de endereços de rede por um outro tipo de endereço.
- Na prática, todo roteador com funcionalidades de NAT já possui funcionalidades de firewalling ou acls que acompanham o uso do NAT.
Agora, conforme outras leituras realizadas é possível dizer que um "gateway NAT" acaba funcionando como um caso especial de "stateful firewall" (mesmo sem firewall ativa). Isso acontece pelas seguintes situações criadas pelo NAT:
- As máquinas de dentro da rede privada podem enviar pacotes para fora e estabelecer conexões.
- As máquinas na rede pública não podem realizar conexões com as máquinas da rede interna, a menos que seja estabelecido explicitamente um tunel ou redirecionamento pelo administrador do NAT.
Certamente estas funcionalidades de segurança fornecidas pelo NAT podem ser facilmente implementadas por qualquer firewall decente. Portanto, do meu ponto de vista, o NAT é uma solução para falta de endereçamento IP e não para fortalecer a segurança de uma rede.
