Network Address Translation (NAT).

La traducción de direcciones de red mapea direcciones IP privadas internas a direcciones públicas usadas en Internet, y a la inversa. El NAT tradicional y la terminología que lo rodea se describen en el RFC 3022 y el RFC 2663. La variante más común, PAT (también llamada NAT overload), multiplexa miles de hosts internos detrás de una única dirección pública reescribiendo también los puertos de origen y manteniendo una tabla de traducción indexada por la 5-tupla. El NAT se introdujo sobre todo para frenar el agotamiento de IPv4, pero también oculta la topología interna y bloquea por defecto el tráfico entrante no solicitado, ofreciendo una opacidad útil aunque débil.

El NAT no es por sí solo una frontera de seguridad. Complica los protocolos que incrustan direcciones en sus cargas útiles (SIP, FTP, IPsec), por lo que los routers incluyen Application Level Gateways (ALGs) que reescriben esas cargas. El ataque NAT Slipstreaming de Samy Kamkar de 2020 (CVE-2020-28041) instrumentalizó exactamente esto: un JavaScript malicioso en una página web engañaba al navegador de la víctima para que enviara paquetes manipulados que el ALG SIP del router interpretaba mal, abriendo un pinhole entrante hacia cualquier puerto interno. Chrome (v87.0.4280.141) y Firefox (v85) publicaron parches que bloquean los puertos abusados, y posteriormente investigadores de Armis publicaron un bypass v2.0.

Defensas: deshabilita los ALGs innecesarios, combina el NAT con un firewall con estado real y recuerda que el NAT se desvanece en IPv6, donde cada host puede tener una dirección enrutable globalmente.

flowchart LR
  subgraph LAN [Private network]
    H1[192.168.1.10:51000]
    H2[192.168.1.11:51001]
  end
  H1 --> N[NAT router<br/>translation table]
  H2 --> N
  N -->|src 203.0.113.5:40001| I[Internet]
  N -->|src 203.0.113.5:40002| I