NAT 可用性與安全性實際測試 - NAT 穿透的可用性與安全性系統分析

第三章 NAT 穿透的可用性與安全性系統分析

3.3 NAT 可用性與安全性實際測試

我們利用NAT 可用性與安全性的 Agent 於單層 NAT 與多層 NAT 和行動網路架構的Client 端進行實際測試。

3.3.1 單層 NAT 測試

首先我們利用台灣固網的Cable 線路連線至外部 Internet 網路。Client 端的 Agent 連線至外部網路的兩台STUN Server，一台為我們自己架設，另一台為網路上所公眾的Stun Server，如圖 3.3 所示。經過 Agent 測試後發現 Client 端透過台灣固網的網路設備連接Internet 網路並沒有經過 NAT 的轉換，此網路設備是屬於 Open Internet。

Open Internet Open Internet 開發Stun Client

Stun Server 219.81.64.95

CABLE 台灣固網

Stun Server stun.voipbuster.com

圖3.3 Cable 可用性與安全性測試

接下來我們找了兩款無線網路設備分別是EDIMX DR-6228nS 與 D-Link DIR-524 於測試架構中進行安全性測試，如圖3.4 所示。經過 Client 端測試後發現 EDIMX 網路設備是屬於 Symmetric 類型的 NAT，而 D-Link 網路設備是屬於 Restricted Cone 類型的 NAT。參考我們的安全性分類可發現 EDIMX DR-6228nS 網路設備的安全性優於D-Link DIR-524。

中華電信 ADSL

Stun Server stun.voipbuster.com

Stun Server 219.81.64.95

D-Link DIR-524

EDIMX DR-6228nS

Symmetric Symmetric Symmetric Symmetric

圖3.6 多層 NAT 可用性與安全性測試 II

經過測試結果發現，無論Client 所使用的網路架構中網路業者所提供的設備是否有經過NAT 轉換，或網路連線中間經過幾層 NAT 的轉換，在網路架構中 Client 所連線的第一個NAT 網路設備為最主要的安全性網路設備。

3.3.3 行動網路的測試

由於我們測試 NAT 可用性與安全性的 Agent 並沒有開發手機可使用的版本，所以我們利用一般App Store 下載的 STUN Client App 進行行動網路的測試。

首先我們將一支ASUS 手機裝載台灣大哥的行動網路與一支 HUAWEI 手機裝載中華電信的行動網路，接著分別連線至外部Internet 網路的兩台 STUN Server，

如圖3.3 所示。經過 STUN Client App 測試後發現 ASUS 手機裝載台灣大哥大的行動網路是屬於Full Cone 類型的 NAT，而 HUAWEI 手機裝載中華電信的行動網路是屬於Restricted Cone 類型的 NAT。

32 ASUS_Z00UD

台灣大哥大

Full Cone Full Cone Restricted Cone Restricted Cone

HUAWEI_ALE-L02 中華電信

Stun Server stun.voipbuster.com

Stun Server 219.81.64.95

圖3.7 行動網路可用性與安全性測試I

接下來我們將兩支手機互相交換在另一行動網路進行可用性與安全性測試，如圖 3.8 所示。經過我們利用 STUN Client App 測試後發現 ASUS 手機裝載中華電信的行動網路是屬於Restricted Cone 類型的 NAT，而 HUAWEI 手機裝載台灣大哥大的行動網路是屬於Full Cone 類型的 NAT。

ASUS_Z00UD 中華電信

Restricted Cone Restricted Cone

Full Cone Full Cone

HUAWEI_ALE-L02 台灣大哥大

Stun Server stun.voipbuster.com

Stun Server 219.81.64.95

圖3.8 行動網路可用性與安全性測試II

測試結果顯示，行動網路業者所提供的網路服務是有經過NAT 轉換，且這些 NAT 可屬於不同的類型。參考我們的可用性與安全性分類後，我們認為中華電信所提供的行動網路安全性優於台灣大哥大所提供的行動網路。

3.3.4 可攜式無線基地台的測試

許多行動網路的使用者為了讓其他沒有行動數據服務的行動裝置可以順利連上網際網路，會將智慧型行動電話的可攜式無線基地台的功能開啟，以讓周遭的行動裝置可以透過此可攜式無線基地台使用網際網路。我們將這樣常態性的使

用行為列入測試實驗中，研究分析這樣的使用行為是否有NAT 架構介入，並從

中了解裝置的可用性與安全等級。

此實驗環境如圖 3.9 所示。首先我們將一支 ASUS 手機裝載台灣大哥的行動網路，透過手機的可攜式無線基地台將上網的功能分享給內部網路裝置所使用。

經過Agent 測試結果後發現這樣的網路架構是屬於 Symmetric 類型的 NAT。相較之前ASUS 手機裝載台灣大哥大的行動網路是屬於 Full Cone 類型的 NAT 是不相同的。

此實驗結果讓我們得知智慧型行動電話內的可攜式無線基地台的功能是具有NAT 功能的。至於大規模廣泛的測試結果列入下一章中。

Stun Server stun.voipbuster.com

Symmetric Symmetric Symmetric Symmetric ASUS_Z00UD

台灣大哥大

Stun Server 219.81.64.95

圖3.9 可攜式無線基地台的實驗測試環境

在文檔中行動與纜線網路NAT技術之安全性探討 (頁 39-44)