Network Address Translation (NAT).

A tradução de endereços de rede mapeia endereços IP privados internos para endereços públicos usados na Internet, e vice-versa. O NAT tradicional e a terminologia que o rodeia estão descritos no RFC 3022 e no RFC 2663. A variante mais comum, PAT (também chamada NAT overload), multiplexa milhares de hosts internos atrás de um único endereço público, reescrevendo também as portas de origem e mantendo uma tabela de tradução indexada pela 5-tupla. O NAT foi introduzido sobretudo para travar a exaustão de IPv4, mas também oculta a topologia interna e bloqueia por omissão o tráfego de entrada não solicitado, oferecendo uma opacidade útil ainda que fraca.

O NAT não é, por si só, uma fronteira de segurança. Complica os protocolos que embutem endereços nas suas cargas úteis (SIP, FTP, IPsec), pelo que os routers incluem Application Level Gateways (ALGs) que reescrevem essas cargas úteis. O ataque NAT Slipstreaming de Samy Kamkar em 2020 (CVE-2020-28041) instrumentalizou exatamente isto: JavaScript malicioso numa página web enganava o navegador da vítima para enviar pacotes forjados que o ALG SIP do router interpretava mal, abrindo um pinhole de entrada para qualquer porta interna. O Chrome (v87.0.4280.141) e o Firefox (v85) lançaram correções que bloqueiam as portas abusadas, e investigadores da Armis publicaram mais tarde um bypass v2.0.

Defesas: desativar os ALGs desnecessários, combinar o NAT com uma firewall com estado real e lembrar que o NAT está a desaparecer no IPv6, onde cada host pode ter um endereço globalmente roteável.

flowchart LR
  subgraph LAN [Private network]
    H1[192.168.1.10:51000]
    H2[192.168.1.11:51001]
  end
  H1 --> N[NAT router<br/>translation table]
  H2 --> N
  N -->|src 203.0.113.5:40001| I[Internet]
  N -->|src 203.0.113.5:40002| I