Hvad er et privat netværk? RFC1918, NAT, private IP-adresser og sikkerhed

Private netværk: RFC1918, NAT og private IP-adresser — guide til sikkerhed, gateway-løsninger og isolation i hjem og virksomhed.

Forfatter: Leandro Alegsa

I internetterminologi er et privat netværk typisk et netværk, der anvender privat IP-adresseområde i henhold til RFC 1918-standarden. Computere får tildelt adresser fra disse områder, når de skal kommunikere internt på et intranet eller i et lokalt netværk (Internetprotokollen). Private netværk bruges ofte i hjem, kontorer og virksomheders LAN-designs, eftersom organisationer sjældent behøver globalt unikke IP-adresser til hver enkelt computer, printer eller IoT-enhed.

RFC 1918 — hvilke adresser er private?

RFC 1918 definerer tre blokke af IPv4-adresser, som er reserveret til private netværk og ikke må route's over det offentlige internet:

  • 10.0.0.0/8 (10.0.0.0–10.255.255.255)
  • 172.16.0.0/12 (172.16.0.0–172.31.255.255)
  • 192.168.0.0/16 (192.168.0.0–192.168.255.255)

Derudover er der andre særlige adresser, fx 169.254.0.0/16 (link-local/Auto-IP) og 100.64.0.0/10 (CGN — Carrier-Grade NAT, defineret i RFC 6598), som bruges i særlige scenarier.

Hvorfor findes private adresser?

Private adresser blev indført, fordi IPv4-nummerpladsen er begrænset. Ved at lade interne net bruge ikke-routbare adresser kan mange organisationer genbruge de samme adresser uden konflikt med andre organisationer på internettet. En vigtig konsekvens er, at internettets routere normalt er konfigureret til at kassere pakker med RFC 1918-adresser i IP-headeren, hvilket giver en grundlæggende isolering mellem interne og eksterne net.

Hvad er NAT (Network Address Translation)?

Hvis en enhed på et privat netværk skal kommunikere med internettet, kræves en mellemliggende gateway, som præsenterer en offentlig adresse over for resten af nettet. Denne funktion udføres typisk af en NAT-enhed eller en proxyserver. NAT omskriver IP-adressefeltet i pakker:

  • SNAT (Source NAT) — ændrer afsenderens private adresse til en offentlig adresse, så svar fra internettet returneres til gatewayen.
  • DNAT (Destination NAT) — bruges fx ved port forwarding, hvor anmodninger på en offentlig IP/port omdirigeres til en intern enhed.
  • PAT (Port Address Translation) eller "masquerading" — flere interne enheder deler én offentlig IP ved at bruge forskellige kilderporte.

NAT gør det muligt for tusindvis af interne enheder at opnå internetadgang med få offentlige adresser, men ændrer samtidigt hvordan forbindelser etableres og spores.

Sikkerhed og begrænsninger

Selvom private adresser og NAT giver en vis grad af "skjuling" mod direkte adgang fra internettet, er det vigtigt at forstå begrænsningerne:

  • NAT er ikke en erstatning for en firewall. NAT begrænser viser ikke nødvendigvis, hvem der får adgang ind i netværket — en korrekt konfigureret firewall og adgangskontrol er stadig nødvendig.
  • Port forwarding og UPnP kan åbne indgange til interne tjenester; utilsigtet eller ukontrolleret brug øger risikoen for kompromittering.
  • Logning og sporing bliver mere kompleks, fordi en NAT-gateway ændrer kilder og/eller porte.
  • Applikationer, der forventer ende-til-ende-forbindelser, kan få problemer bag NAT uden ekstra mekanismer (fx SIP, peer-to-peer, visse VPN-typer).

Problemer ved sammenkobling af private netværk

Når to organisationer forsøger at forbinde netværk (fx via VPN eller ved fysisk sammenkobling), og begge bruger de samme private adresseområder, opstår der ofte:

  • Sammenstød i adresseplanen — to maskiner i hvert net kan have samme IP og dermed ikke kunne kommunikere korrekt.
  • Routingproblemer — pakker kan fejlroutes eller droppes, fordi adresser ikke er entydige.

Løsninger på konflikter omfatter:

  • Renummerering af et af netværkene til et andet privat interval.
  • Brug af oversættelses-NAT mellem de to net (NAT mellem private netværk) — dog er dette kludret og kan bryde visse protokoller.
  • Brug af VPN med address translation eller policy-baseret routing, eller anvendelse af tunneler, der kapsler trafik uden at skabe adressekonflikter.

IPv6 — ændrer det noget?

IPv6 giver et langt større adresseområde, hvilket mindsker behovet for NAT. I IPv6-design er det normalt meningen, at hver enhed kan få en globalt unik adresse. Men:

  • IPv6-netværk har stadig brug for firewalls og adgangskontrol — offentlig adresse betyder ikke automatisk åbent eller usikkert net.
  • Overgangen til IPv6 er stadig ufuldstændig i mange miljøer, så dual-stack (IPv4 + IPv6), NAT64 eller tunneling kan være nødvendigt.

Praktiske anbefalinger og bedste praksis

  • Planlæg IP-adresseringen: Undgå konflikt ved at vælge et klart, veldokumenteret privat adresseplan for organisationen.
  • Undgå overlappende subnets ved sammenkobling — hvis muligt, renummerér frem for at bruge kompleks NAT mellem interne net.
  • Brug firewall- og adgangspolitikker som hovedlinje for sikkerhed — NAT skal ikke være den eneste beskyttelse.
  • Begræns port-forwarding og administrer UPnP/automatiske videresendelser centralt.
  • Overvej VPN-arkitektur (fx hub-and-spoke vs. full mesh) og om du har brug for NAT-oversættelse i VPN'en for at undgå overlap.
  • Dokumentér netværksdesign og log NAT-oversættelser; det hjælper ved fejlfinding og sikkerhedshændelser.

Opsummeret: private netværk og RFC 1918-adresser er grundpiller i moderne netværksdesign, fordi de tillader genbrug af adresser og isolation fra internettet. NAT og proxyer gør kommunikation med det offentlige net mulig, men de introducerer også kompleksitet og bør suppleres med korrekt netværkssikkerhed, planlægning og, når det er muligt, entydige adresser for at undgå sammenstød ved sammenkoblinger.

Internet Assigned Numbers Authority (IANA) private adresser

Internet Assigned Numbers Authority (IANA) er den enhed, der forvalter global tildeling af IP-adresser, forvaltning af DNS-rootzoner, medietyper og andre tildelinger af internetprotokoller. Den drives af ICANN.

For en person, der er bekendt med grænserne for classful-adressering, er det vigtigt at bemærke, at selv om RFC 1918-området 172.16.0.0.0-172.31.255.255.255 falder inden for det traditionelle klasse B-område, er den reserverede blok af adresser ikke en /16, men en /12. Det samme gælder for området 192.168.0.0.0-192.168.255.255.255; denne blok er ikke en /24-blok, men en /16-blok. Man kan dog stadig (og det er der typisk mange, der gør) bruge adresser fra disse CIDR-blokke og anvende en undernetmaske, der passer til adressens traditionelle klassegrænse.

De nuværende IANA-adresser til private internetadresser (også kaldet ikke-routerbare adresser) er følgende:

Navn

IP-adresseområde

antal adresser

en beskrivelse af høj kvalitet

største CIDR-blok

defineret i

24-bit blok

10.0.0.0 – 10.255.255.255

16,777,216

enkelt klasse A, 256 sammenhængende klasse B'er

10.0.0.0/8

RFC 1597 (forældet), RFC 1918

20-bit blok

172.16.0.0 – 172.31.255.255

1,048,576

16 sammenhængende klasse B'er

172.16.0.0/12

16-bit blok

192.168.0.0 – 192.168.255.255

65,536

enkelt klasse B, 256 sammenhængende klasse C

192.168.0.0/16

For at mindske belastningen af root-nameservere som følge af reverse DNS-søgninger af disse IP-adresser, stiller anycast-netværket AS112 et system af "black-hole"-navneservere til rådighed.

Relaterede sider

  • Internetprotokolpakke
  • Kommunikationsprotokol

Spørgsmål og svar

Spørgsmål: Hvad er et privat netværk?


A: Et privat netværk er et computernetværk, der anvender private IP-adresser i henhold til RFC 1918-standarden. Det bruges typisk til interne netværk i en organisation eller lokale netværk (LAN) i hjemmet og på kontoret.

Sp: Hvad var årsagen til, at der blev oprettet private IP-adresser?


Svar: Private IP-adresser blev oprettet på grund af den mangel på offentligt registrerede IP-adresser, der blev skabt af IPv4-standarden. En af grundene til, at IPv6 blev oprettet, var at afhjælpe denne begrænsning i IPv4-standarden.

Spørgsmål: Hvordan giver isolation private netværk sikkerhed?


Svar: Isolation giver private net en grundlæggende form for sikkerhed, da det normalt ikke er muligt for eksterne enheder at etablere en direkte forbindelse til maskiner, der anvender disse private adresser. Routere på internettet bør konfigureres til at afvise alle pakker, der indeholder disse adresser, for at sikre denne beskyttelse.

Spørgsmål: Hvordan kan forskellige organisationer bruge det samme private adresseområde uden at risikere adressekonflikter?


A: Da der ikke kan oprettes forbindelser mellem forskellige private netværk via internettet, kan forskellige organisationer bruge det samme private adresseområde uden at risikere adressekonflikter (kommunikationsulykker, der skyldes, at man når en tredjepart ved hjælp af samme IP-adresse).

Spørgsmål: Hvilken type enhed er der brug for, hvis en enhed på et privat netværk skal kommunikere med andre netværk?


Svar: Hvis en enhed på et privat netværk skal kommunikere med andre netværk, er der brug for en "mediating gateway" (mellemliggende gateway) for at sikre, at eksterne enheder præsenteres for en adresse, der er offentligt tilgængelig, så internetroutere tillader kommunikation. Denne gateway er typisk enten en NAT-enhed eller en proxyserver.

Spørgsmål: Skal offentlige internetroutere konfigureres yderligere for at kunne videresende pakker med RFC 1918-adresser?


Svar: Offentlige internetroutere videresender som standard ikke pakker med RFC 1918-adresser og skal konfigureres yderligere for at kunne gøre det. Interne routere behøver imidlertid ikke nogen yderligere konfiguration for at videresende disse pakker, hvilket kan give problemer, når to separate netværk, der begge anvender lignende IP-adresseringsordninger, skal forbindes.


Søge
AlegsaOnline.com - 2020 / 2025 - License CC3