الاثنين، نوفمبر 23، 2009

تقنية نات

كل جهاز يرتبط بشبكة الإنترنت يحتاج إلى عنوان رقمي يميزه عن باقي الأجهـــزة، وهذا يعرف باسم (IPAddress)، وهــــذا العنوان الرقمي مكون من 32 خانه ثنائية، أي: ما يكفي لإيجاد (4.294.967.296) عنواناً مميزاً. لكن العدد الحقيقي المتاح أصغر من هذا بسبب الطريقة التي تستخدم فيها العناوين الرقمية, ولمواجهة معضلة قلة العدد المتاح من العناوين الرقمية فكر المختصون في إيجاد حلول لهذه المعضلة، وكان منها أسلوب تحويل العناوين الرقمية أو ما اصطلح على تسميته بالـ(NAT) الذي هو اختصار لمصطلح (Network Address Translation).
[1] الفكرة الأساس لتقنية (NAT)
هناك منظمـــة تسمى (Internet Assigned Numbers Authority IANA) تتولى إعطاء العناوين الرقمية لمن يطلبها، ولا يكون العنوان معترفاً به - وبالتالي صالحاً للاستخدام- ما لم يُصدر من تلك المنظمة التي تحرص أن يكون العنوان الرقمي فريداً، أي أنه يدل على جهاز أو شبكة. وبسبب قلة العدد المتاح من العناوين الرقمية فإنه غالباً ما تعطى شبكة ما -ولنسمها الشبكة الداخلية - رقماً واحداً أو عدداً من الأرقام ليكون معرفاً لها عند بقية شبكة الإنترنت. ثم تعطى الأجهزة المكونة للشبكة الداخلية عناوين رقمية لغرض الاستخدام الداخلي فقط بحيث لا يتكرر رقم واحد داخل الشبكة المعينة، غير أن هذه الأرقام قد تتكرر خارج الشبكة المعينة، أي أن عنوانا رقميا داخليا ما قد يستخدم في أكثر من شبكة ، تماماً كما يتكرر رقم التحويلة الداخلية الهاتفية في أكثر من شركة، لكن يميز بينها الرقم الهاتفي الذي يعطي للمنشأة ككل.
ويأتي دور تقنية (NAT) عندما يرغب جهاز في الشبكة الداخلية الاتصال بجهاز خارج الشبكة الداخلية، ولأن العنوان الرقمي للجهاز الداخلي غير معترف به خارجياً فإننا ننصب جهازاً وسيطاً بين الشبكة الداخلية وشبكة الإنترنت، مهمته تحويل العنوان الرقمي الداخلي إلى رقم خارجي معترف به، ثم يرسل المظاريف الإليكترونية (Packets) إلى الجهاز المقصود حامله الرقم الخارجي على أنه العنوان الرقمي للجهاز المرسل الواقع داخل الشبكة المحلية. وعند عودة هذه المظاريف يبادر الجهاز الوسيط بالنظر إلى عنوان المرسل إليه الموجود فيها ويحولها نحو الجهاز الداخلي المقصود. وغالباً ما يكون الجهاز الوسيط الذي يطبق تقنية (NAT) إما جداراً نارياً (Firewall) أو موجها (Router).

[2] كيف تعمل تقنية (NAT)
هناك عدة طرق تعمل بها تقنية (NAT) منها :
(أ) النمـــط الثابت للتحويــــل (Static NAT): يخصـــص الجهـاز الوسيط لكل عنوان رقمي داخلي عنواناً رقمياً خارجياً ثابتاً لا يتغير.
(ب) النمــــط المتغير للتحــويـــل (Dynamic NAT): في هــذا النوع يكون لدى الجهاز الوسيط عدد محدد من العناوين الرقمية الخارجية، وكلما طلب جهاز داخلي الاتصال بشبكة الإنترنت أعطاه جهاز التحويل أياً من العناوين الرقمية الخارجية، ويقوم الجهاز الداخلي باستخدام العنوان الرقمي الخارجي عنوانا مؤقتا لـه للتواصل مع باقي شبكة الإنترنت، أي أنه يضع هذا العنوان المؤقت على المظاريف التي يرسلها باعتبار أنه عنوان المرسل، وعند رغبة جهاز موجود في الشبكة الرد فإنه يستخدم هذا العنوان المؤقت باعتباره عنوان المرسل إليه. و بعد انتهاء المحادثة وقطع الجهاز اتصاله بالإنترنت، يعود العنوان المؤقت إلى الجهاز الوسيط الذي قد يمنح هذا العنوان لجهاز آخر فيما بعد، وهكذا فإن العنوان الرقمي الخارجي المعطى لجهاز داخلي ما يختلف من مرة إلى أخرى .
وأياً كانت طريقة عمل تقنية (NAT) فإن الذي يحدث غالبا أن يقوم إداري شبكة الحاسوب في المنشأة بوضع جهاز يقوم بعملية التحويل (NAT)، وكما أسلفنا فإن الجهاز قد يكون جداراً نارياً (Firewall) أو موجهاً (Router) ولنفترض أنه موجه، ولربط الشبكة الداخلية بشبكة الإنترنت تطلب المنشأة من منظمة (IANA) إعطاءهــا عنـواناً رقمياً مميـزاً الذي سمينـاه سابقاً (IP Address، ويكون هذا العنوان هو عنوان الموجه، وقد تطلب عدة عناوين رقمية مثلما هو الحال في الجهات التي يكون لديها أكثر من خط هاتفي. وفي حال رغبة مستخدم ما داخل الشبكة الداخلية تصفح موقع في شبكة الإنترنت فإن جهاز المستخدم يرسل طلباً إلى الموجه موضحاً فيه العنوان الرقمي للموقع، كما أن الطلب فيه العنوان الرقمي لجهاز المستخدم، وبسبب أن الموقع ليس ضمن الشبكة الداخلية فإن الموجه يرسل الطلب إلى الموقع، ولكنه قبل ذلك يجري عملية مهمة هي موضوع تقنية (NAT). ولو أن الموجه حاول إرسال الطلب فإن الموقع الإلكتروني لن يستطيع إرسال الرد؛ لأن العنوان الرقمي الموجود في الطلب ليس مسجلاً للجهاز الطالب.
وتفادياً لهذه المشكلة يقوم الموجه بتغيير الخانة الخاصة بالعناوين الرقمية للجهاز الطالب في الطلب، بحيث يصبح محتواها أحد العناوين الرقمية المخصصة من قبل منظمة (IANA) للموجه نفسه، وبعدها يمكن إرسال الطلب، وعندما يأتي الرد فإنها توجه إلى العنوان الرقمي للموجه، ونظراً لأن هذا العنوان مسجل لدى (IANA) فإن الرد يرسل إلى الموجه، وهنا يقوم الموجه بمراجعة جدول المتابعة، ويحدد منه العنوان الرقمي للجهاز الداخلي الذي أرسل ذلك الطلب، وعندها يغير الموجه خانة العنوان الرقمي في الرد بحيث تحوي العنوان الرقمي للجهاز الطالب، ثم يُرسل إليه، وتتكرر العملية كلما حاول مستخدم ما الاتصال بجهاز أو موقع خارج الشبكة الداخلية.
[3] كيف يتحقق الأمن باستخدام (NAT)
قد يتساءل القارئ – بعد كل ما ذكر – عن العلاقة بين أمن المعلومات وتقنية (NAT). والإجابة عن هذا التساؤل تكمن في أن الجهاز الذي يقوم بتطبيق هذه التقنية هو في حقيقة الأمر يقف حائلا بين الشبكة الداخلية وشبكة الإنترنت، فلا يستطيع من كان مرتبطاً بشبكة الإنترنت معرفة العناوين الرقمية للأجهزة المرتبطة بالشبكة الداخلية، وهذا يسهم في حمايتها من عدد كبير من أنواع الهجوم التي تشُن باستخدام شبكة الإنترنت بناء على معرفة العناوين الرقمية.
الخلاصة
رغم أن فكرة تحويل العناوين الرقمية كان الباعث لها قلة المتح من تلك العناوين إلا أنها وسيلة لحماية شبكات المعلومات و عزلها عن المخاطر التي تعج بها شبكة الإنترنت. و الفكرة تقوم على إعطاء عناوين رقمية للأجهزة الواقعة على الشبكة الداخلية بحيث لا يمكن استخدامها من الخارج للوصول إلى تلك الأجهزة لوجود كيان عازل يقوم بتحويل العناوين الداخلية إلى أخرى خارجية عند رغبة المتسخدمين داخل الشبكة المحمية الوصول إلى شبكة الإنترنت. و لو اعترض مهاجم ما البيانات القادمة من الأجهزة الموجودة على الشبكة الداخلية فإنه لا يرى سوى العناوين الرقمية الخارجية ، و لكن تلك العناوين توصله فقط إلى ذلك الكيان العازل و بالتالي تبقى الأجهزة الداخلية بعيدا عن متناول المهاجمين.