行動與纜線網路NAT技術之安全性探討

(1)

國立高雄大學資訊工程學系

碩士論文

行動與纜線網路

NAT 技術之安全性探討

Security of NAT devices under mobile and cable

networks

研究生：陳紘暉撰

指導教授：陳建源博士

共同指導教授：嚴力行博士

(2)

(3)

i

致謝

在這四年多的日子終於完成了碩士論文，想起讀研究所開始到現在有太多人需要感謝了。首先是我的兩位指導教授嚴力行老師與陳建源老師，他們在我在四年的研究所生涯中給予我許多觀念與技術上的指導。沒有兩位指導老師細心的指導，我沒有機會可以完成研究所的學業。同時也要感謝我的口試委員謝欽旭教授與余亞儒教授，提供了寶貴意見讓我的論文內容更加完善。我也要感謝這四年中研究所的穎翔同學與明宏同學以及幫助過我的每個人，他們在討論的過程中給我不一樣的意見讓我收穫良多。另外還要感謝我工作上的主管與同事，在工作與學業之間給予我相當多的協助，讓我可以把工作做好並完成研究所學業。最後要特別感謝我的家人，感謝你們對我的栽培與提供我一個良好的生長環境，讓我可以沒有後顧之憂的去完成我的學業，謝謝劉小姐妳對我的鼓勵，讓我知道要努力做好每一件事情，願以此論文獻給以上所有的人。

(4)

ii

行動與纜線網路

NAT 技術之安全性探討

指導教授：陳建源博士共同指導教授：嚴力行博士國立高雄大學資訊工程學系學生：陳紘暉國立高雄大學資訊工程學系

摘要

隨著 4G 行動網路的蓬勃發展與普及化，有越來越多的行動裝置連接上網際網路。每個網際網路的設備需要IP 地址，但現有的 IPv4 地址已不夠這些網路設備與行動裝置來使用。雖然IPv6 能解決 IP 地址不足的問題，但是並非所有的網路設備都能夠使用 IPv6。此問題的另一個解決方案是網路地址轉譯 (Network

Address Translation; NAT)。NAT 機制一方面解決了 IPv4 網路地址不足的問題，另一方面又可以讓網路用戶帶來更便利與安全的使用環境，因此普遍被大多數人

所採用。所以探討NAT 網路設備的可用性與安全性是一個重要的議題。

本論文探討 NAT 技術在實際行動網路與纜線網路的可用性與安全性。本論

文研究了 NAT 的基礎架構、特性(Filtering、Mapping)、種類(Full Cone NAT、

Restricted Cone NAT、Port Restricted Cone NAT、Symmetric NAT)與技術(STUN、 TURN、ICE)，並提出 NAT 的可用性與安全性規範。接著針對目前的行動網路

與纜線網路業者和市售的 NAT 設備進行可用性與安全性測試，嘗試瞭解這些設

備的可用性與安全級別，並提出改善建議。

(5)

iii

Security of NAT devices under mobile and cable

networks

Advisor: Dr. Chien-Yuan Chen Co-advisor: Dr. Li-Hsing Yen

Institute of Computer Science and Information Engineering National University of Kaohsiung

Student: Hung-Hui Chen

Institute of Computer Science and Information Engineering National University of Kaohsiung

ABSTRACT

With the rapid development of 4G mobile networks and universal, there are a growing number of mobile devices connected to the Internet. Each Internet devices require IP addresses, but the existing IPv4 address is not enough for these network equipment and mobile devices use. Even though IPv6 can solve the problem of IP address shortage, not all network devices can use IPv6.Another solution to this problem is the Network Address Translation; NAT. On one hand, NAT mechanism solves the problem of lack of IPv4 network addresses, on the other hand allows web users a more convenient and safe environment, hence it is widely used by most people, so discussion of NAT network device security is an important issue.

This paper discusses the security of mobile and cable networks NAT technology, and studies the NAT infrastructure, features (Filtering, Mapping), the general category (Full Cone NAT, Restricted Cone NAT, Port Restricted Cone NAT, Symmetric NAT) and technology (STUN, TURN, ICE), and proposed NAT security norms. Then for the current mobile network and cable network operators and commercially available NAT devices proceeds the security testing, and try to understand the level of security for these devices, and make safety recommendations for improvement.

Keywords: NAT traversal, STUN, Mobile Network Security, Cable Network Security, AP Security

(6)

iv

v 2.4 NAT 穿透(Traversal)技術 ... 16 2.4.1 STUN ... 16 2.4.2 TURN ... 19 2.4.3 ICE ... 21 第三章 NAT 穿透的可用性與安全性系統分析 ... 22 3.1 系統介紹... 22 3.2 系統架構... 24 3.3 NAT 可用性與安全性實際測試 ... 29 3.3.1 單層 NAT 測試 ... 29 3.3.2 多層 NAT 測試 ... 30 3.3.3 行動網路的測試... 31 3.3.4 可攜式無線基地台的測試... 33 第四章實驗與結果... 34 4.1 實驗環境... 34 4.2 ISP 有線網路可用性與安全性分析 ... 36 4.3 行動網路營運商可用性與安全性分析... 37 4.4 行動裝置的無線基地台可用性與安全性分析... 37 4.5 市售無線基地台(AP)可用性與安全性分析 ... 39 第五章結論與未來工作... 41 參考文獻... 42

(8)

vi

圖目錄

圖1.1 基本 NAT 拓撲圖 ... 2

圖1.2 NAT Translation Table 拓撲圖 ... 3

圖2.1 基本 NAT 流程圖 ... 5

圖2.2 獨立對應(Independent Mapping)範例 ... 7

圖2.3 地址相依對應(Address Dependent Mapping)範例 ... 8

圖2.4 地址與埠相依對應(Address and Port Dependent Mapping)範例... 9

圖2.5 獨立過濾(Independent Filtering)範例 ... 10

圖2.6 地址相依過濾(Address Dependent Filtering)範例 ... 10

圖2.7 地址與埠相依過濾(Address and Port Dependent Filtering)範例 ... 11

圖 2.8 Full Cone NAT 過濾流程圖 ... 12

圖2.9 Restricted Cone NAT 流程圖 ... 13

圖 2.10 Port Restricted Cone NAT 流程圖 ... 14

圖 2.11 Symmetric NAT 流程圖 ... 16 圖2.12 RFC3489 NAT 類型檢測流程 ... 18 圖2.13 TURN 流程圖 ... 20 圖2.14 ICE 流程圖 ... 21 圖3.1 NAT 可用性與安全性檢測系統架構圖 ... 25 圖3.2 NAT 可用性與安全性檢測 Agent 執行流程圖 ... 28 圖3.3 Cable 可用性與安全性測試 ... 29 圖3.4 單層 NAT 可用性與安全性測試 ... 30 圖3.5 多層 NAT 可用性與安全性測試 I ... 30 圖3.6 多層 NAT 可用性與安全性測試 II ... 31 圖3.7 行動網路可用性與安全性測試 I ... 32

(9)

vii

圖3.8 行動網路可用性與安全性測試 II ... 32

圖3.9 可攜式無線基地台的實驗測試環境... 33

圖4.1 可用性與安全性檢測環境架構圖... 36

(10)

viii

表目錄

表3.1 三種獨立對應的 Mapping Table ... 23 表3.2 NAT 穿透的可用性與安全性 ... 24 表3.3 Agent 程式檢測項目 ... 26 表4.1 NAT 設備可用性與安全性測試列表 ... 34 表4.2 有線網路可用性與安全性測試結果... 36 表4.3 行動網路營運商可用性與安全性測試結果... 37 表4.4 智慧型行動裝置可用性與安全性測試結果... 38 表4.5 市售無線基地台可用性與安全性測試結果... 39

(11)

1

第一章簡介

隨著4G 行動網路的蓬勃發展與普及化，有越來越多的行動裝置的應用程式被開發出來。這些應用程式需要靠著網路來做溝通，而每個網路設備與行動裝置都需要 IP 地址來連接網際網路，但現有的 IPv4[CCR97]地址已不夠這些網路設備與行動裝置來使用[WC92]。雖然目前有 IPv6 能解決 IP 地址不足的問題，但是並不是所有的網路設備與行動裝置都能使用IPv6[DR98]。為了解決 IPv4 地址不足與網路設備並不是都能使用 IPv6 的問題，網路地址轉譯(Network Address Translation; NAT)[EP94,SH99]是一個解決的方案。NAT 能

將一個內部網路地址轉換為外部網路地址，讓位於內部網路的裝置可以透過NAT 轉址後與外部Internet 網路進行資料傳遞，而外部網路裝置也可以透過 NAT 的轉址資訊將資料傳遞到內部網路裝置。在我們生活所使用的網路媒介有電信業者所提供的行動網路、ISP 業者提供的Cable 網路、行動裝置所分享的行動熱點、家中設立的 AP 無線基地台、IP 分享器，這些都是經過NAT 轉換過的網路。基本NAT 網路拓撲如圖 1.1 所示。當內部網路中的筆記型電腦或行動裝置需要連接外部網路時，因內部網路的私有 (Private)IP[RMK+96]地址無法直接與外部網路溝通，所以 NAT 設備會將 Client A

的 IP 地址 192.168.0.1 轉換為可以與外部網路溝通的公眾(Public) IP 地址

60.12.101.61，讓裝置的訊息可以順利的送至外部網路 Internet，外部資料也可以

(12)

2

Mapping Table

Source IP:Port Translation IP:Port Destination IP:Port

192.168.0.1:1001 60.12.101.61:9001 Internet 192.168.0.2:1002 60.12.101.61:9002 Internet ADSL NAT 192 .168 .1 .254 60 .12 .101 .61 內部網路 Src:192.168.0.1:1001 Dst:Internet Client A 192.168.0.1:1001 Src:192.168.0.2:1002 Dst:Internet Client B 192.168.0.2:1002 Src:60.12.101.61:9001 Dst:Internet Src:60.12.101.61:9001 Dst:Internet 外部網路 Internet 圖1.1 基本 NAT 拓撲圖 NAT 除了可以解決 IPv4 網路地址不足的問題外，又可以保護內部私有網路裝置不受到外部網路的直接攻擊。因為有些 NAT 設備的運作方式是不允許外部

網路隨意與內部網路溝通的。如圖1.2 所示。內部網路 Client A 與 Client B 經 NAT

設備轉換 IP 後，已成功將資料傳送到外部主機 Server C，但是另一台外部伺服

器 Server D 沒有經過NAT允許的話是不可以跟內部網路裝置作溝通。正因為NAT

具有這樣的性質，即使IPv6 普及之後也會有 NAT 機制的需求存在。

Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001

(13)

3 ADSL NAT 192 .168 .1 .254 60 .12 .101 .61 內部網路 Src:192.168.0.1:1001 Dst:59.125.22.72:2001 Client A 192.168.0.1:1001 Src:192.168.0.2:1002 Dst:59.125.22.72:2001 Client B 192.168.0.2:1002 Src:60.12.101.61:9001 Dst:59.125.22.72:2001 Src:60.12.101.61:9002 Dst:59.125.22.72:2001 Server C 59.125.22.72:2001 Server D 59.125.33.83:3001 Src:59.125.33.83:3001 Dst:60.12.101.61:9002

X

圖1.2 NAT Translation Table 拓撲圖

NAT 機制一方面解決了 IPv4 網路地址不足的問題，另一方面又可以讓網路用戶帶來更便利與安全的使用環境，且這樣的網路架構為大多數人所使用，所以針對每個NAT 網路設備的可用性與安全性是一個值得研究的議題。本論文有兩個研究主題：第一，利用 NAT 的種類與特性探討 NAT 設備的可用性與安全等級。第二、實際探究市面上網路設備商與行動網路電信業者所提供的NAT 設備的安全等級。我們研究的目的是針對 NAT 機制帶給我們便利的使用環境下，深入研究NAT 運作模式與探討不同 NAT 網路架構的可用性與安全性。我們的研究結果是探討目前市面上的行動網路與ISP 纜線業者的可用性與安全性和分析了50 個不同廠牌與型號的家用網路無線基地台(AP)的可用性與安全性。本論文共分為五章。第一章為本論文的摘要。第二章介紹 NAT 的特性、種類和技術。第三章分析NAT 的可用性與安全性。第四章為行動網路電信業者和 ISP 纜線業者與家用無線基地台(AP)的可用性與安全性測試結果與分析。第五章則是結論與未來研究方向。

(14)

4

第二章背景知識與相關研究

本章將針對 NAT 的發展、種類、技術與特性做介紹。由於本研究的目的是探究 NAT 網路設備的安全性，所以必須了解 NAT 的基本觀念，並介紹 NAT 的種類與技術和特性。本章第一部分說明 NAT 的基礎架構，第二部份介紹 NAT 的四大種類，第三部分探討 NAT 的技術，最後說明 NAT 的特性。

2.1 NAT (Network Address Translation)

NAT[EP94,SH99]是一種將內部IP 地址與外部 IP 地址互相轉換的技術。起因是因為網際網路的蓬勃發展下，IPv4 所定義的 32 位元 IP 網路地址已不夠全球的網路使用者使用。IETF 為此提出了新的網路地址協議 IPv6，這個協議提供了長度為128 位元的 IP 地址給全球的網路使用。當使用者裝置與網路設備尚未全面轉換到 IPv6 協議之前， IPv4 地址分配不足的問題已日趨嚴重，所以就發展了 NAT 技術來解決這樣的問題。NAT 技術是將網路分成私有網路與公眾網路，讓私有網路的IP 地址轉換成同一個外部地址再與公眾網路 Internet 作溝通。一個正常的 NAT 程序如圖 2.1 所示。假設內部網路的筆記型電腦 Client A 要傳送網路封包給外部網路的一台伺服器Server C，其步驟如下所述：

首先Client A 傳送封包給 ADSL 網路設備，此設備內建有 NAT 功能。此時網路

封包的來源端 IP 地址為 192.168.0.1，而目的地 IP 地址是 59.125.22.72。ADSL 網路設備收到這個網路封包後需轉送到 Server C 這個目的端。由於封包來源端 IP 地址為私有 IP 地址，不允許直接在網際網路中使用，因為目的端電腦沒有辦法回傳封包給一個私有IP 地址，因此 ADSL 網路設備必須將內部的私有 IP 地址 192.168.0.1:1001 轉換成一個可以跟外部網路溝通的公眾 IP 地址，即 NAT 裝置的外部IP 地址，如 60.12.101.61:9001，並將此轉換資訊紀錄在 Mapping Table 中。 ADSL 網路設備會將此 IP 地址取代網路封包中原來的來源端 IP 地址，然後把封包送往目的地Server C。

(15)

5

目的端伺服器Server C 收到來源端 IP 地址是 60.12.101.61:9001 的網路封包

後，如需要回傳資料，伺服器Server C 會將此 IP 地址及埠號(Port Number)作為

目的端 IP 地址及埠號來回傳網路封包。此時網路封包中的來源端 IP 地址會是

59.125.22.72:2001。然後這個網路封包會被原來那台 ADSL 網路設備收到，並發

現封包中的目的端IP 地址是 60.12.101.61:9001。為了將封包送到正確的目的地，

ADSL 網路設備會檢查 Mapping Table，搜尋到 60.12.101.61:9001 這個外部網路 IP 地址所對應的內部網路 IP 地址為 192.168.0.1:1001，並用這個地址當作網路封

包中的目的端IP 地址，這樣網路封包才能正確無誤地傳送到筆記型電腦上。

而內部網路的行動裝置 Client B 傳遞網路封包到 Server D 也是利用此方法， NAT 網路設備也會將此轉換資訊紀錄在 Mapping Table 中。Mapping Table 中一筆轉換紀錄稱之為一筆對應(Mapping)。

Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001 192.168.0.2:1002 60.12.101.61:9002 59.125.22.72:2001 ADSL NAT 192 .168 .1 .254 60 .12 .101 .61 內部網路 Src:192.168.0.1:1001 Dst:59.125.22.72:2001 Client A 192.168.0.1:1001 Src:192.168.0.2:1002 Dst:59.125.33.83:3001 Client B 192.168.0.2:1002 Src:60.12.101.61:9001 Dst:59.125.22.72:2001 Server C 59.125.22.72:2001 Server D 59.125.33.83:3001 Src:60.12.101.61:9002 Dst:59.125.33.83:3001 Src:59.125.22.72:2001 Dst:60.12.101.61:9001 Src:59.125.22.72:2001 Dst:192.168.0.1:1001 圖2.1 基本 NAT 流程圖如果公眾網路上的主機想要主動向 NAT 內部私有網路內的設備進行傳輸，必須知道該設備經轉換過的公眾 IP 地址，而且 NAT 設備上的 Mapping Table 需要有對應的紀錄，否則大多數的 NAT 設備是不允許這樣的傳輸動作，以免造成網路安全的疑慮。也因為 NAT 設備有這樣的保護機制，即使 IPv6 普及之後 NAT

(16)

6 設備依然有存在的必要。

2.2 NAT 特性

NAT 網路設備為了讓內部網路裝置與外部網路裝置可以互相傳遞訊息，必須遵循內部網路裝置 IP 地址的對應(Mapping)建立規則以及 NAT 網路設備針對外部網路IP_地址的過濾(Filtering)規則[FJ07]。本節介紹這些規則。

2.2.1 NAT 對應(Mapping)建立規則

當內部網路裝置需要連接外部網路時，NAT 設備會為此連線請求配置一個外部 IP 地址和埠號，稱為一個 NAT 對應( Mapping)，讓內部網路裝置可以將網路封包傳遞至外部網路。NAT 設備不見得會為每個新的連線請求建立新的對應。NAT 設備建立對應的規則可以分為三類，以下分別描述。

2.2.1.1 獨立對應 (Independent Mapping)

當某個內部網路裝置首次連接外部網路時，NAT 設備會建立新的對應，將此裝置對應為某個外部 IP 地址和埠號。之後同一內部裝置連接外部網路其他不同的目的端地址或埠號時，NAT 將會使用相同對應(同一外部 IP 地址和埠號)去做資料傳遞。此種對應建立規則稱之為(與外部裝置無關之)獨立對應(Independent Mapping)。其運作範例如圖 2.2。當 Client A 將網路封包傳送至 Client B 時，NAT

設備將IP 地址對應為 60.12.101.61:9001。之後 Client A 傳遞給 Client C 或 Client B

的不同埠號時，NAT 設備仍將此傳送請求透過同一對應(60.12.101.61:9001)傳遞。

獨立對應(Independent Mapping) Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2002

192.168.0.1:1001 60.12.101.61:9001 59.125.33.83:3001

(17)

7 Client C 59.125.33.83:3001 59.125.33.83:3002 ADSL NAT Client B 59.125.22.72:2001 59.125.22.72:2002 Src:192.168.0.1:1001 Dst:59.125.22.72:2001 Src:60.12.101.61:9001 Dst:59.125.22.72:2001 192 .168 .1 .254 60 .12 .101 .61 Src:60.12.101.61:9001 Dst:59.125.22.72:2002 Src:60.12.101.61:9001 Dst:59.125.33.83:3001 Src:60.12.101.61:9001 Dst:59.125.33.83:3002 Src:192.168.0.1:1001 Dst:59.125.33.83:3002 Src:192.168.0.1:1001 Dst:59.125.33.83:3001 Src:192.168.0.1:1001 Dst:59.125.22.72:2002 Client A 192.168.0.1:1001 圖2.2 獨立對應(Independent Mapping)範例

2.2.1.2 地址相依對應 (Address Dependent Mapping)

當內部網路裝置需要連接外部網路時，NAT 設備根據連線請求的目的端 IP 地址決定是否對應至已存在的對應(重複使用該對應的外部 IP 地址和埠號)。當目的端 IP 地址與之前存在的某個對應的目的端 IP 地址相同時，NAT 設備會將來源端 IP

地址對應為該對應的外部IP 地址和埠號。當目的端 IP 地址與任何之前對應的目

的端IP 地址皆不相同時，NAT 設備會為此連線請求建立新的對應。此種對應建

立規則稱之為地址相依對應(Address Dependent Mapping)。其運作範例如圖 2.3。

當Client A 將網路封包傳送至 Client B 時，雖然目的端的 IP 地址相同而埠號不

相同，NAT 設備仍會將這個連線請求對應至已存在的 60.12.101.61:9001。當 Client

A 將網路封包傳送給 Client C 時，NAT 設備也會因為 Client C 的地址與 Client B 不同而建立新的對應(此處使用另一個 Port：9002)。

地址相依對應(Address Dependent Mapping) Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2002

192.168.0.1:1001 60.12.101.61:9002 59.125.33.83:3001

(18)

8 Client C 59.125.33.83:3001 59.125.33.83:3002 ADSL NAT Client B 59.125.22.72:2001 59.125.22.72:2002 Src:192.168.0.1:1001 Dst:59.125.22.72:2001 Src:60.12.101.61:9001 Dst:59.125.22.72:2001 192 .168 .1 .254 60 .12 .101 .61 Src:60.12.101.61:9001 Dst:59.125.22.72:2002 Src:60.12.101.61:9002 Dst:59.125.33.83:3001 Src:60.12.101.61:9002 Dst:59.125.33.83:3001 Src:192.168.0.1:1001 Dst:59.125.33.83:3002 Src:192.168.0.1:1001 Dst:59.125.33.83:3001 Src:192.168.0.1:1001 Dst:59.125.22.72:2002 Client A 192.168.0.1:1001

圖2.3 地址相依對應(Address Dependent Mapping)範例

2.2.1.3 地址與埠相依對應 (Address and Port Dependent Mapping)

當內部網路裝置需要連接外部網路時，NAT 設備根據連線請求的目的端 IP 地址與埠號決定是否對應至已存在的對應(使用相同的外部地址與埠號)。當目的端 IP 地址和埠號與之前存在的某個對應的目的端IP 地址和埠號皆相同時，NAT 設備會將來源端 IP 地址對應為該對應的外部 IP 地址和埠號。當目的端 IP 地址和埠號並未與任何之前對應的目的端IP 地址和埠號完全相符時，NAT 設備會為此連線請求建立新的對應。此種對應建立規則稱為地址與埠相依對應(Address and Port Dependent Mapping)。其運作範例如圖 2.4。當 Client A 與 Client B 建立兩筆

資料連線時，這兩個連線的目的端IP 地址相同但埠號不相同。NAT 設備會為這

兩筆連線分別建立不同的對應(分別使用埠號 9001 和 9002)。Client A 與 Client C 建立兩筆資料連線的狀況類似。NAT 設備也會將這兩筆請連線請求建立不同的對應(分別使用埠號 9003 和 9004)。

地址與埠相依對應(Address and Port Dependent Mapping) Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001

192.168.0.1:1001 60.12.101.61:9002 59.125.22.72:2002

192.168.0.1:1001 60.12.101.61:9003 59.125.33.83:3001

(19)

9 Client C 59.125.33.83:3001 59.125.33.83:3002 ADSL NAT Client B 59.125.22.72:2001 59.125.22.72:2002 Src:192.168.0.1:1001 Dst:59.125.22.72:2001 Src:60.12.101.61:9001 Dst:59.125.22.72:2001 192 .168 .1 .254 60 .12 .101 .61 Src:60.12.101.61:9002 Dst:59.125.22.72:2002 Src:60.12.101.61:9003 Dst:59.125.33.83:3001 Src:60.12.101.61:9004 Dst:59.125.33.83:3001 Src:192.168.0.1:1001 Dst:59.125.33.83:3002 Src:192.168.0.1:1001 Dst:59.125.33.83:3001 Src:192.168.0.1:1001 Dst:59.125.22.72:2002 Client A 192.168.0.1:1001

圖2.4 地址與埠相依對應(Address and Port Dependent Mapping)範例

2.2.2 NAT 過濾(Filtering)規則

NAT 過濾(Filtering)是指外部網路需主動與內部網路進行資料傳遞時，NAT 設備會針對外部網路發起的連線請求加以過濾限制，避免內部網路裝置接收到不必要的訊息。NAT 過濾規則可以分為三類：獨立過濾、地址相依過濾、地址與埠相依過濾。以下分別敘述。

2.2.2.1 獨立過濾 (Independent Filtering)

當外部網路裝置傳送封包至 NAT，要求傳遞至某個內部網路裝置時，如果 NAT 先前已為此內部裝置建立對應，則此封包不會被阻擋。其運作範例如圖 2.5。當

內部裝置Client A 將網路封包傳送至外部裝置 Client B 時，NAT 設備會為 Client

A 建立對應，將其地址與埠號轉換為 60.12.101.61:9001。之後 NAT 設備允許 Client B 的另一個埠號或其他外部裝置 Client C 透過此對應 60.12.101.61:9001 將資料傳

送給Client A。此種過濾規則稱為獨立過濾 (Independent Filtering)。

Mapping Table

(20)

10 ADSL NAT Client A 192.168.0.1:1001 Src:192.168.0.1:1001 Dst:59.125.22.72:2001 Src:60.12.101.61:9001 Dst:59.125.22.72:2001 Src:59.125.22.72:2001 Dst:60.12.101.61:9001 192 .168 .1 .254 60 .12 .101 .61 Src:59.125.33.83:3002 Dst:60.12.101.61:9001 Src:59.125.22.72:2002 Dst:60.12.101.61:9001 Src:59.125.33.83:3001 Dst:60.12.101.61:9001 Client C 59.125.33.83:3001 59.125.33.83:3002 Client B 59.125.22.72:2001 59.125.22.72:2002 圖2.5 獨立過濾(Independent Filtering)範例

2.2.2.2 地址相依過濾 (Address Dependent Filtering)

此過濾規則要求 NAT 設備記錄每個對應的外部網路裝置地址。當外部網路裝置

欲傳遞資料至某個對應時，若此外部網路裝置地址與對應記錄的不符，則此資料

將被 NAT 設備過濾阻擋。此種過濾規則稱為地址相依過濾 (Address Dependent

Filtering)。其運作範例如圖 2.6。當 Client A 將網路封包傳送至 Client B 時，NAT

設備將IP 對應為 60.12.101.61:9001。之後 Client B 的其他 Port 可利用此對應 IP

與 Client A 進行資料傳遞，但 NAT 設備會過濾限制不同 IP 地址的 Client C 對

Client A 的傳送請求。

Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001 ADSL NAT Client A 192.168.0.1:1001 Src:192.168.0.1:1001 Dst:59.125.22.72:2001 Src:60.12.101.61:9001 Dst:59.125.22.72:2001 Src:59.125.22.72:2001 Dst:60.12.101.61:9001 192 .168 .1 .254 60 .12 .101 .61 Src:59.125.33.83:3002 Dst:60.12.101.61:9001 Src:59.125.22.72:2002 Dst:60.12.101.61:9001 Src:59.125.33.83:3001 Dst:60.12.101.61:9001 Client C 59.125.33.83:3001 59.125.33.83:3002 Client B 59.125.22.72:2001 59.125.22.72:2002

X

(21)

11

2.2.2.3 地址與埠相依過濾(Address and Port Dependent Filtering)

此過濾規則要求 NAT 設備記錄每個對應的外部網路裝置地址與埠號。如有外部

網路裝置欲傳遞資料至某個對應時，若此外部網路裝置地址與埠號與對應記錄的

不完全相符，則此資料將被 NAT 設備過濾阻擋。此過濾規則稱為地址與埠相依

過濾(Address and Port Dependent Filtering)。其運作範例如圖 2.7。當 Client A 將

網路封包傳送至Client B Port:2001 時，NAT 設備將 IP 對應為 60.12.101.61:9001。

之後Client B 埠號 2001 的程式可利用此對應 IP 將資料回傳到 Client A，但 NAT

設備會過濾限制Client B 的其他不同埠號如 2002 以及不同 IP 地址的 Client C 對

Client A 的傳送請求。

Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001 ADSL NAT Client A 192.168.0.1:1001 Src:192.168.0.1:1001 Dst:59.125.22.72:2001 Src:60.12.101.61:9001 Dst:59.125.22.72:2001 Src:59.125.22.72:2001 Dst:60.12.101.61:9001 192 .168 .1 .254 60 .12 .101 .61 Src:59.125.33.83:3002 Dst:60.12.101.61:9001 Src:59.125.22.72:2002 Dst:60.12.101.61:9001 Src:59.125.33.83:3001 Dst:60.12.101.61:9001 Client C 59.125.33.83:3001 59.125.33.83:3002 Client B 59.125.22.72:2001 59.125.22.72:2002

X

(22)

12

2.3 NAT 種類

2.3.1 Full Cone NAT

Full Cone NAT[RWH+03]只是單純的做 IP 地址的轉換，被沒有針對進出的封包做

出限制，此類型的NAT 是利用獨立對應(Independent Mapping)的特性去傳遞網路

封包，並使用獨立過濾(Independent Filtering)的特性去做限制。其運作範例如圖 2.8，當內部網路裝置 A 需訪問外部網路裝置 B 時，NAT 設備會將內部網路 IP 地

址轉換為 60.12.101.61:9001，這時候 Mapping Table 內的 Source IP 即可與

Destination IP 互相溝通。此時考慮外部網路裝置 C 的埠號 2002 與裝置 D 的 IP

地址與埠號。雖然Mapping Table 上並沒有相關的對應紀錄，但是其他 IP 地址也

可以透過Mapping Table 上記錄的轉換地址 60.12.101.61:9001 直接對內部網路的

裝置傳送訊息，此外內部網路裝置A 訪問外部網路裝置 B 與 C 的其他網路地址

與埠號時，NAT 設備也會將使用者 IP 地址也轉換為 60.12.101.61:9001，具有這

樣特性的NAT 裝置我們稱之為 Full Cone NAT。

Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001 192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2002 192.168.0.1:1001 60.12.101.61:9001 59.125.33.83:3001 192.168.0.1:1001 60.12.101.61:9001 59.125.33.83:3002 ADSL NAT Client A 192.168.0.1:1001 Src:192.168.0.1:1001 Dst:59.125.22.72:2001 Src:60.12.101.61:9001 Dst:59.125.22.72:2001 Src:59.125.22.72:2001 Dst:60.12.101.61:9001 192 .168 .1 .254 60 .12 .101 .61 Src:59.125.33.83:3002 Dst:60.12.101.61:9001 Src:59.125.22.72:2002 Dst:60.12.101.61:9001 Src:59.125.33.83:3001 Dst:60.12.101.61:9001 Client C 59.125.33.83:3001 59.125.33.83:3002 Client B 59.125.22.72:2001 59.125.22.72:2002

(23)

13

2.3.2 Restricted Cone NAT (Address Restricted Cone)

Restricted Cone NAT[RWH+03]與 Full Cone NAT 相同，也是使用獨立對應 (Independent Mapping)規則建立對應。對於外部網路的封包過濾是使用地址相依過濾(Address Dependent Filtering)的限制規則。其運作範例如圖 2.9。當 NAT 設

備將內部網路裝置A 的 IP 地址轉換為 60.12.101.61:9001 以與外部網路裝置 C 通訊，Mapping Table 內同時記錄此對應的外部通訊對象 C 的 IP 地址。此後外部通訊對象C 的網路埠號 2002 因與Mapping Table 紀錄的通訊對象 IP 地址相同，雖然Port 不相同，NAT 仍然允許其透過轉換地址 60.12.101.61:9001 與內部網路裝置A 進行通訊。但對另一個外部通訊對象 D 而言，因為 IP 地址與Mapping Table 上紀錄的通訊對象IP 的地址不同，所以會受到 NAT 設備阻擋與內部網路裝置通訊，此外內部網路裝置A 訪問外部網路裝置 B 與 C 的其他網路地址與埠號時， NAT 設備也會將使用者 IP 地址也轉換為 60.12.101.61:9001。具有這樣特性的 NAT 裝置我們稱之為 Restricted Cone NAT。

Mapping Table

X

(24)

14

2.3.3 Port Restricted Cone NAT

Port Restricted Cone NAT[RWH+03] 與 Full Cone NAT 同樣使用獨立對應 (Independent Mapping)規則來進行對應，對於外部網路的封包過濾是使用地址與埠相依過濾(Address and Port Dependent Filtering)規則。其運作範例如圖 2.10。當 NAT 設備將內部網路裝置 A 的 IP 地址轉換為 60.12.101.61:9001 以與外部網路裝置B 的網路埠號 2001 通訊，Mapping Table 內同時記錄此對應的外部通訊對象 B 的IP 地址與埠號。此後外部通訊對象 B 的網路埠號 2002 雖然與Mapping Table 紀錄的通訊對象 IP 地址相同，但是埠號不相同，所以會受到 NAT 設備阻擋與內部網路裝置通訊。另一個外部通訊對象C，也因為 IP 地址和埠號與Mapping Table 上紀錄的通訊對象地址不同，所以也會受到NAT 設備阻擋與內部網路裝置通訊。

與Restricted Cone NAT 的差異為增加了限制埠號。此外內部網路裝置 A 訪問外

部網路裝置 B 與 C 的其他網路地址與埠號時，NAT 設備也會將使用者 IP 地址

也轉換為60.12.101.61:9001。具有這樣特性的 NAT 裝置我們稱之為 Port Restricted

Cone NAT。

Mapping Table

X

(25)

15

2.3.4 Symmetric NAT

Symmetric NAT[RWH+03]使用地址與埠相依對應(Address and Port Dependent Mapping)規則來進行對應，並使用地址與埠相依過濾(Address and Port Dependent Filtering)規則來過濾外部網路對內部網路的資料傳遞。其運作範例如圖 2.11。當 NAT 設備將內部網路裝置 A 的 IP 地址轉換為 60.12.101.61:9001 以與外部網路裝置B 的網路埠號 2001 通訊，Mapping Table 內同時記錄此對應的外部通訊對象 B 的IP 地址與埠號。此後外部通訊對象 B 的網路埠號 2002 雖然與Mapping Table 紀錄的通訊對象 IP 地址相同，但是埠號不相同，所以會受到 NAT 設備阻擋與內部網路裝置通訊。另一個外部通訊對象C，也因為 IP 地址和埠號與Mapping Table 上紀錄的通訊對象地址不同，所以也會受到 NAT 設備阻擋與內部網路裝置通訊。此外當內部網路裝置 A 需訪問外部網路裝置 C 的網路埠號 2001 和 D 的網路埠號3001 與 3002 時，NAT 設備會將內部網路 IP 地址轉換外部網路 IP 地址的網

路埠號分別為9002、9003、9004。與 Port Restricted Cone NAT 的差異為 NAT 設

備會針對每一個外部連線建立不同的轉換IP，是四種 Cone NAT 中最為嚴謹的。

Mapping Table

X

(26)

16

圖 2.11 Symmetric NAT 流程圖

2.4 NAT 穿透(Traversal)技術

所謂NAT 穿透(Traversal)指的是用來解決位於不同 NAT 網路設備內的主機之

間無法建立網路連接的問題所發展出來的技術，這些技術大多依靠一個位於網際網路的伺服器，而這個伺服器目的是分析用戶端的網路行為或中繼用戶端的網路資料。本節將探討三種 NAT 穿透的技術。

2.4.1 STUN

Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs) [RWH+03, RMM+08] (簡稱 STUN)是由 IETF 所制定的一種協

定，可以讓 UDP 封包穿透 NAT。該協定由 RFC3489 所定義。透過 STUN 可讓

用戶端確認是否位於NAT 架構內，並可允許位於 NAT 或多重 NAT 內的用戶端

得知是屬於何種NAT 類型與找出對外的 IP 地址及所對應的埠號。

用戶端得知對外的 IP 地址與對應的連接埠號即可開始通訊。如果 NAT 類型

是Full Cone，那麼內部用戶端與外部伺服器任何一方都可以發起通訊。如果 NAT

是Restricted Cone 或 Port Restricted Cone 這兩種類型，那麼一定需要由內部用戶

端先發起通訊外部伺服器才可以與內部用戶端傳遞訊息。在RFC3489 中提出 MAPPED_ADDRESS 屬性。此屬性用來記錄內部網路地址穿透NAT 連接外部網路地址時所轉換的 Mapping 地址，並可從此屬性判斷出用戶端處於那一種類型的NAT 中。圖 2.13 顯示 RFC3489 NAT 類型檢測流程圖。我們針對此流程進行說明： 1. 在 TEST1 中，用戶端發送一個綁定請求到一個服務端。此請求沒有設定任何標籤。如果有收到response 回應，用戶端會檢查 MAPPED-ADDRESS 屬性。如果IP 地址和連接埠與發送請求的內部 IP 地址和連接埠相同，則用戶端知道自己並非處於NAT 架構內。

(27)

17

2. 在TEST2 中，用戶端發送一個含有 “change IP” 和 “change port” 的綁定請

求到服務端。這代表服務端用一個 IP 地址和連接埠號接收後，須再用另一

個 IP 地址和連接埠號發送回應訊息。如果用戶端有接收到 response 回應，

表示處於Full Cone NAT 架構中。如果沒有收到任何回應，則用戶端處於其

他類型的NAT 中。

3. 在 TEST1(Server#2)中，用戶端發送一個綁定請求到一個服務端。此服務端

的IP 地址與連接埠號和第一次使用的 TEST1 IP 地址與連接埠號不相同。此

時如果收到response 回應，用戶端會檢查 MAPPED-ADDRESS 屬性與 TEST1

是否相同。相同表示用戶端處於Restricted NAT 類型的環境中，否則表示處

於Symmetric NAT 環境中。

4.

TEST3 中，用戶端發送一個“change port” 的綁定請求到服務端。服務端接

收到此訊息後會用相同的 IP 地址但不同的連接埠號作為回應。若用戶端接

收到了回應訊息表示不受連接埠所影響，即為Restricted Cone 類型的 NAT，

(28)

18

(29)

19

2.4.2 TURN

TURN(Traversal Using Relay around NAT)[RMM10]提供比 STUN 更為強大的穿透

能力，足以穿透Symmetric NAT。一個 NAT session 中的兩個端點所送出的封包

全部先送給TURN 伺服器，再由 TURN 伺服器轉送給對方。其運作如圖 2.14 所

示。在NAT 架構內的用戶端 A 192.168.0.1:1000 在使用 TURN 服務時，需以一

個TURN 用戶端的身份發出一個 “TURN allocate” 請求給 TURN 伺服器。TURN

伺服器會記住這個請來源端的IP 地址和埠號，並回覆一個連線公眾 IP 地址和埠

號給用戶端。然後 TURN 伺服器就在這個分配的公眾 IP 和埠號上等資料傳入。

啟動完成的TURN 用戶端就可將封包送到所分配的公眾 IP 與埠號上，這個做法

是讓TURN 用戶端與 TURN 伺服器建立溝通橋梁。在另一個 NAT 架構下的用戶

端B 172.16.0.1:2000 也利用此方法與 TURN 伺服器建立溝通橋梁，當 TURN 伺

服器收到封包時，TURN 伺服器會儲存封包來源的 IP 地址和埠號，然後轉送到

所提出要傳送到的地址的請求給對方。TURN 伺服器之後就作為在兩個地址之間

的轉接者。從第一個地址收到的任何資料會被轉傳給第二地址，並且從第二地址

收到的任何資料也會提供給第一個地址。這種方式雖然可以成功解決 STUN 無

法穿透Symmetric NAT 防火牆，但喪失了 P2P 通訊的特色，變成 Client-Server 模

式，使得任何傳輸負載集中於 TURN 伺服器上。TURN 伺服器必須承擔所有的

(30)

20 ADSL NAT Client A 192.168.0.1:1000 172.16.0.1:2000Client B Internet TURN Server 防火牆 防火牆 ADSL NAT 1. Allocate relay 請求 2. 網路封包透過 TURN傳遞 圖2.13 TURN 流程圖

(31)

21

2.4.3 ICE

ICE ( Interactive Connectivity Establishment) [ROS10]是 IEFT 所制定，結合了 STUN 與 TURN 個別的優點所提出的完整穿透 NAT 網路設備的技術。

如圖2.15 所示，在 ICE 架構中，每一個在 NAT 底下的 Client 會有一個 Local IP

Address。當 Client 對 Internet 網際網路進行資料傳遞時，NAT 設備會轉換一個 NAT External Address 供 Client 使用，再加上為了要穿透 Symmetric NAT 必須使

用的TURN Relay Address，共計會有三個 IP 地址與埠號的連線方式。

當 Client A 與 Client B 都具有這樣的三種 IP 地址與埠號，兩個 Clinet 互相進

行資料傳遞就會有九條可能的資料傳遞路徑。ICE 針對這九條路徑進行連線測試，以找出可用的路徑來解決NAT 穿透問題。 NAT A NAT B Client A TURN Server A Internet TURN Server B STUN Server Client B 1. La <-> Lb 2. La <-> Nb 3. La <-> Rb 4. Na <-> Lb 5. Na <-> Nb 6. Na <-> Rb 7. Ra <-> Lb 8. Ra <-> Nb 9. Ra <-> Rb Local Address NAT EXternal Address TRUN Relay Address Local Address NAT EXternal Address TRUN Relay Address

Ra

Na

La

Rb

Nb

Lb

圖2.14 ICE 流程圖

(32)

22

第三章

NAT 穿透的可用性與安全性系統分析

本章將詳細說明我們所設計的安全性測試系統的運作方式，此系統是利用在

第二章所研究的NAT 特性與種類和技術所衍生出來的系統。系統採用 STUN 的

運作原理當作主要的結構。我們根據 NAT 的特性與種類來定義可用性與安全性

等級，並設計一個Agent 來檢測 NAT 網路架構的可用性與安全性。此 Agent 會

分別對單層與多層的 NAT 網路設備與行動網路業者和行動裝置的無線基地台功能進行可用性與安全性的模擬分析。

3.1 系統介紹

論文所設計的可用性與安全性測試環境架構理念主要來自 RFC3489 的 NAT 類型檢測流程。我們除了探討NAT 網路設備的安全性之外，還會探討 NAT 網路設備的可用性，首先我們探討 NAT 的三種對應(Mapping)建立方法，我們根據

NAT 設備建立對應(Mapping) IP 與 Port 的多寡去區分 NAT 網路設備的可用性。

舉例來說內部網路裝置對兩個不同的 IP 地址與埠號的外部網路裝置進行資料傳

輸的話，NAT 設備會有三種對應特性，如表 5-1。每一種對應特性 NAT 網路設

備會建立一個或多個對應IP:Port。在獨立對應(Independent Mapping)特性只有一

筆 Translation IP:Port 的對應，相較於地址與埠相依對應(Address and Port

Dependent Mapping) 特性會有四筆 Translation IP:Port 的對應，NAT 網路設備會

有更多的IP:Port 可供其他網路設備來使用。

因此我們依照上面的例子得知 NAT 三種對應建立規則的網路埠的可用性為

獨立對應(Independent Mapping)高於地址相依對應(Address Dependent Mapping) 高於地址與埠相依對應(Address and Port Dependent Mapping)。

(33)

23

表3.1 三種獨立對應的 Mapping Table

獨立對應(Independent Mapping) Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2002

192.168.0.1:1001 60.12.101.61:9001 59.125.33.83:3001

192.168.0.1:1001 60.12.101.61:9001 59.125.33.83:3002

地址相依對應(Address Dependent Mapping) Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2002

192.168.0.1:1001 60.12.101.61:9002 59.125.33.83:3001

192.168.0.1:1001 60.12.101.61:9002 59.125.33.83:3002

地址與埠相依對應(Address and Port Dependent Mapping) Mapping Table

192.168.0.1:1001 60.12.101.61:9001 59.125.22.72:2001 192.168.0.1:1001 60.12.101.61:9002 59.125.22.72:2002 192.168.0.1:1001 60.12.101.61:9003 59.125.33.83:3001 192.168.0.1:1001 60.12.101.61:9004 59.125.33.83:3002 接下來我們探討 NAT 的三種封包過濾(Filtering)規則。依照過濾機制的強弱看來，三種封包過濾(Filtering)規則的安全性優劣為地址與埠相依過濾(Address and Port Dependent Filtering) 高於地址相依過濾(Address Dependent Filtering) 高於獨立過濾(Independent Filtering)。

從上面所述的三種對應與過濾規則，我們得知理論上 NAT 設備可以有九種

傳遞接受的行為路徑。我們依據 NAT 設備的三種傳遞對應規則的可用性高低分

別給予不同的1-3 分，另外在針對三種接收過濾規則的安全性高低分別給予不同

(34)

24 表3.2 NAT 穿透的可用性與安全性 Filtering Mapping 獨立過濾 Independent Filtering 地址相依過濾 Address Dependent Filtering 地址與埠相依過濾 Address and Port Dependent Filtering 獨立對應 Independent Mapping 可用性：3 安全性：1 Full Cone 可用性：3 安全性：2 Address Restricted Cone

可用性：3 安全性：3 Port Restricted Cone 地址相依對應 Address Dependent Mapping 可用性：2 安全性：1 可用性：2 安全性：2 可用性：2 安全性：3 地址與埠相依對應

Address and Port Dependent Mapping 可用性：1 安全性：1 可用性：1 安全性：2 可用性：1 安全性：3 Symmetric 為了測試九條傳遞接受行為路徑中的可用性與安全性，我們設計出一個 Agent 程式，可以讓內部網路裝置透過與 RFC3489 的 NAT 類型檢測流程得知使用環境內的 NAT 設備是屬於那一個可用性與安全性。此程式可針對單層或多層 NAT 網路架構與行動網路進行模擬測試。

3.2 系統架構

本論文主要是針對 NAT 網路環境下進行可用性與安全性研究。因此我們設

計了一個Agent 程式可以讓內部網路裝置透過此 Agent 與外部網路的 STUN 伺服

(35)

25 192 .168 .1 .254 60 .12 .101 .61 內部網路 外部網路Internet Client A 192.168.0.1:1001 NAT設備 Stun Server C 219.81.64.94 219.81.64.95 Stun Server D stun.voxgratia.org Client B 192.168.0.2:1002 Agent STUN Client App Port 3478 3479 圖3.1 NAT 可用性與安全性檢測系統架構圖如圖3.1 所示。本系統架構主要包含以下不同的系統與元件，說明如下： A. 硬體設備：

1. Client A：NAT 架構內的一台筆記型電腦，上面執行我們所設計的 Agent。

2. Client B：NAT 架構內的一台行動裝置，上面執行 App Store 所下載的 STUN

Client App。

3. NAT 設備：內部網路與外部網路連接的待測試網路設備。

4. STUN Server C：我們於外部 Internet 網路架設一台 STUN Server。

5. STUN Server D：位於外部 Internet 網路公開的 STUN Server。

我們在外部Internet 網路建置一台 STUN Server 並找了一台公開的 STUN Server，

以輔助內部網路使用者進行NAT 穿透傳遞網路封包，並設定兩個實體 IP 地址分

別為219.81.64.94 與 219.81.64.95，在此我們稱為 Sc-IPa 與 Sc-IPb。這兩個實體

IP 分別開啟兩個網路埠號 3478 與 3479，在此我們稱為 Sc-PORTa 與 Sc-PORTb。

接著內部網路的 Client A 執行我們所設計的 Agent 並且讓 Client B 執行 STUN

Client App，兩者分別傳遞網路封包到外部網路的兩台 STUN 伺服器來交互驗證 NAT 設備的安全性。

(36)

26

用來確認 Client 是否位於 NAT 架構內並得知是屬於那種對應 Mapping 與

Filtering 過濾。

表3.3 Agent 程式檢測項目

TEST

Mapping&Filtering TEST1 TEST2 TEST3 TEST4 TEST5

NAT 網路 ●

獨立映射

Independent Mapping ●

地址相依映射

Address Dependent Mapping ● 地址與埠相依映射

Address and Port Dependent Mapping ● 獨立過濾

Independent Filtering ● 地址相依過濾

Address Dependent Filtering ● 地址與埠相依過濾

Address and Port Dependent Filtering ●

五個檢測流程如圖3.2 所示，詳細說明如下。

TEST1：Client A 發送一個綁定請求到 Server C 的 Sc-IPa 與 Sc-PORTa。此請求

沒有設定任何標籤。如果Client A 有收到 Server C 的 response 回應，Client A 會

檢查 MAPPED-ADDRESS 屬性。如果 IP 地址和連接埠與發送請求的內部 IP 地

址和連接埠不相同，則Client A 知道自己處於 NAT 架構內；如果 IP 地址與連接

埠相同，則Client A 知道自己處於非 NAT 架構內。

TEST2：Client A 發送一個含有“change IP”和“change port”的綁定請求到 Server C。

這代表Server C 用 Sc-IPa 與 Sc-PORTa 接收後，須使用 Sc-IPb 與 Sc-PORTb 發送

(37)

27

Filtering)類型的 NAT，如果沒有收到任何回應，則 Client A 屬於其他過濾類型的 NAT 中。Client A 會檢查封包內的 MAPPED-ADDRESS 屬性與 Test1 中 MAPPED-ADDRESS 屬性。如果兩者的屬性興同，表示屬於獨立對應(Independent Mapping)類型的 NAT。如果兩者屬性不相同，則 Client A 屬於其他對應類型的 NAT 中。

TEST3：Client A 發送一個含有“change port”的綁定請求到 Server C 的 S-IPa 與 S-PORTa。Server C 接收到此訊息後會用 S-IPa 與 S-PORTb 發送回應訊息。若 Client A 接有收到 Server C 的 response 回應，表示屬於地址相依過濾(Address Dependent Filtering)類型的 NAT。如果沒有收到任何回應，則 Client A 屬於地址與埠相依 (Address and Port Dependent Mapping)類型的 NAT。

TEST4：Client A 發送一個綁定請求到 Server C 的 S-IPa 與 S-PORTb。此請求沒有設定任何標籤。如果 Client A 有收到 Server C 的 response 回應，Client A 會檢查 MAPPED-ADDRESS 屬性。如果 IP 地址和連接埠與 TEST1 收到的 IP 地址和連接埠不相同，則 Client A 知道自己屬於地址相依對應(Address Dependent Mapping)類型的 NA 中。如果兩者屬性不相同，則 Client A 屬於其他對應類型的 NAT 中。

TEST5：Client A 發送一個綁定請求到 Server C 的 S-IPb 與 S-PORTb。此請求沒有設定任何標籤。如果 Client A 有收到 Server C 的 response 回應，Client A 會檢查 MAPPED-ADDRESS 屬性。如果 IP 地址和連接埠與 TEST1 收到的 IP 地址和連接埠不相同，則 Client A 知道自己屬於地址與埠相依對應(Address and Port Dependent Mapping)類型的 NAT。

(38)

28 Port 3478 3479 Intetnet 192.168.0.1:1001 Client A 60.12.101.61 NAT 設備 219.81.64.94 219.81.64.95 Server C 內部網路 Ca-IPa 192.168.0.1 Ca-PORTa 1001 Sc-IPa 219.81.64.94 Sc-PORTa 3478 Ca-IPa 60.12.101.61 Ca-PORTa 9001 Sc-IPa 219.81.64.94 Sc-PORTa 3478 Ca-IPa 192.168.0.1 Ca-PORTa 1001 Sc-IPa 219.81.64.94 Sc-PORTa 3478 Ca-IPa 60.12.101.61 Ca-PORTa 9001 Sc-IPa 219.81.64.94 Sc-PORTa 3478 MAPPRD-ADDRESS: SOURCE-ADDRESS: CHANGED-ADDRESS: 60.12.101.61:9001 219.81.64.94:3478 219.81.64.95:3479 MAPPRD-ADDRESS: SOURCE-ADDRESS: CHANGED-ADDRESS: 60.12.101.61:9001 219.81.64.94:3478 219.81.64.95:3479 TEST1

Ca IP:Port ≠ MAPPRD-ADDRESS 這是一個NAT網路環境。

Ca-IPa 192.168.0.1 Ca-PORTa 1001 Sc-IPa 219.81.64.94 Sc-PORTa 3478 Ca-IPa 60.12.101.61 Ca-PORTa 9001 Sc-IPa 219.81.64.94 Sc-PORTa 3478 Ca-IPa 60.12.101.61 Ca-PORTa 9001 Sc-IPa 219.81.64.95 Sc-PORTa 3479 MAPPRD-ADDRESS: SOURCE-ADDRESS: CHANGED-ADDRESS: 60.12.101.61:9001 219.81.64.95:3479 219.81.64.95:3479

CHANGE-REQUEST: Change IP=1,Change Port=1 X TEST2 如果Client A有收到有收到Server C的回傳封包， 這就屬於獨立過濾。 Test1-MAPPRD-ADDRESS=Test2-MAPPRD-ADDRESS 這就屬於獨立對應。 Ca-IPa 192.168.0.1 Ca-PORTa 1001 Sc-IPa 219.81.64.94 Sc-PORTb 3479 Ca-IPa 60.12.101.61 Ca-PORTa 9002 Sc-IPa 219.81.64.94 Sc-PORTb 3479 Ca-IPa 192.168.0.1 Ca-PORTa 1001 Sc-IPa 219.81.64.94 Sc-PORTb 3479 Ca-IPa 60.12.101.61 Ca-PORTa 9002 Sc-IPa 219.81.64.94 Sc-PORTb 3479 MAPPRD-ADDRESS: SOURCE-ADDRESS: CHANGED-ADDRESS: 60.12.101.61:9002 219.81.64.94:3478 219.81.64.95:3479 MAPPRD-ADDRESS: SOURCE-ADDRESS: CHANGED-ADDRESS: 60.12.101.61:9002 219.81.64.94:3478 219.81.64.95:3479 TEST4 Test3-MAPPRD-ADDRESS ≠ Test1-MAPPRD-ADDRESS 這就屬於地址相依對應。 Ca-IPa 192.168.0.1 Ca-PORTa 1001 Sc-IPb 219.81.64.95 Sc-PORTb 3479 Ca-IPa 60.12.101.61 Ca-PORTa 9003 Sc-IPb 219.81.64.95 Sc-PORTb 3479 Ca-IPa 192.168.0.1 Ca-PORTa 1001 Sc-IPb 219.81.64.95 Sc-PORTb 3479 Ca-IPa 60.12.101.61 Ca-PORTa 9003 Sc-IPb 219.81.64.95 Sc-PORTb 3479 MAPPRD-ADDRESS: SOURCE-ADDRESS: CHANGED-ADDRESS: 60.12.101.61:9003 219.81.64.94:3478 219.81.64.95:3479 MAPPRD-ADDRESS: SOURCE-ADDRESS: CHANGED-ADDRESS: 60.12.101.61:9003 219.81.64.94:3478 219.81.64.95:3479 TEST5 Test4-MAPPRD-ADDRESS ≠ Test1-MAPPRD-ADDRESS 這就屬於地址與埠相依對應。 Ca-IPa 192.168.0.1 Ca-PORTa 1001 Sc-IPa 219.81.64.94 Sc-PORTa 3478 Ca-IPa 60.12.101.61 Ca-PORTa 9001 Sc-IPa 219.81.64.94 Sc-PORTa 3478 Ca-IPa 60.12.101.61 Ca-PORTa 9001 Sc-IPa 219.81.64.94 Sc-PORTb 3479 MAPPRD-ADDRESS: SOURCE-ADDRESS: CHANGED-ADDRESS: 60.12.101.61:9001 219.81.64.94:3478 219.81.64.95:3479 TEST3

CHANGE-REQUEST: Change IP=0,Change Port=1 X

如果Client A有收到有收到Server C的回傳封包， 這就屬於地址相依過濾。

如果沒有收到任何回應始於地址與埠相依過濾。

(39)

29

3.3 NAT 可用性與安全性實際測試

我們利用NAT 可用性與安全性的 Agent 於單層 NAT 與多層 NAT 和行動網路架

構的Client 端進行實際測試。

3.3.1 單層 NAT 測試

首先我們利用台灣固網的Cable 線路連線至外部 Internet 網路。Client 端的 Agent

連線至外部網路的兩台STUN Server，一台為我們自己架設，另一台為網路上所

公眾的Stun Server，如圖 3.3 所示。經過 Agent 測試後發現 Client 端透過台灣固

網的網路設備連接Internet 網路並沒有經過 NAT 的轉換，此網路設備是屬於 Open

Internet。 Open Internet Open Internet 開發Stun Client Stun Server 219.81.64.95 CABLE 台灣固網 Stun Server stun.voipbuster.com 圖3.3 Cable 可用性與安全性測試

接下來我們找了兩款無線網路設備分別是EDIMX DR-6228nS 與 D-Link DIR-524

於測試架構中進行安全性測試，如圖3.4 所示。經過 Client 端測試後發現 EDIMX

網路設備是屬於 Symmetric 類型的 NAT，而 D-Link 網路設備是屬於 Restricted

Cone 類型的 NAT。參考我們的安全性分類可發現 EDIMX DR-6228nS 網路設備

(40)

30 台灣固網 CABLE Open Internet Symmetric Symmetric Restricted Cone Restricted Cone Stun Server 219.81.64.95 Stun Server stun.voipbuster.com EDIMX DR-6228nS Symmetric D-Link DIR-524 Restricted Cone 圖3.4 單層 NAT 可用性與安全性測試

3.3.2 多層 NAT 測試

我們的測試架構串接兩種不同類型 NAT 網路設備以進行安全性測試，如圖 3.5

所示。首先 Client 端連線 EDIMX 網路設備後再接著連接 D-Link 網路設備，測

試後發現這樣的網路架構是屬於Restricted Cone 類型的 NAT。

中華電信 ADSL Restricted Cone Stun Server stun.voipbuster.com Stun Server 219.81.64.95 EDIMX DR-6228nS Symmetric D-Link DIR-524 Restricted Cone Restricted Cone Restricted Cone Restricted Cone Restricted Cone 圖3.5 多層 NAT 可用性與安全性測試 I 接下來我們將兩個NAT 網路設備互相交換後進行可用性與安全性測試，如圖 3.6

所示。Client 端先連線 D-Link 網路設備後再接著連接 EDIMX 網路設備，測試後

(41)

31 中華電信 ADSL Stun Server stun.voipbuster.com Stun Server 219.81.64.95 D-Link DIR-524 EDIMX DR-6228nS Symmetric Symmetric Symmetric Symmetric 圖3.6 多層 NAT 可用性與安全性測試 II 經過測試結果發現，無論Client 所使用的網路架構中網路業者所提供的設備是否

有經過NAT 轉換，或網路連線中間經過幾層 NAT 的轉換，在網路架構中 Client

所連線的第一個NAT 網路設備為最主要的安全性網路設備。

3.3.3 行動網路的測試

由於我們測試 NAT 可用性與安全性的 Agent 並沒有開發手機可使用的版本，所

以我們利用一般App Store 下載的 STUN Client App 進行行動網路的測試。

首先我們將一支ASUS 手機裝載台灣大哥的行動網路與一支 HUAWEI 手機裝

載中華電信的行動網路，接著分別連線至外部Internet 網路的兩台 STUN Server，

如圖3.3 所示。經過 STUN Client App 測試後發現 ASUS 手機裝載台灣大哥大的

行動網路是屬於Full Cone 類型的 NAT，而 HUAWEI 手機裝載中華電信的行動

(42)

32 ASUS_Z00UD 台灣大哥大 Full Cone Full Cone Restricted Cone Restricted Cone HUAWEI_ALE-L02 中華電信 Stun Server stun.voipbuster.com Stun Server 219.81.64.95 圖3.7 行動網路可用性與安全性測試I 接下來我們將兩支手機互相交換在另一行動網路進行可用性與安全性測試，如圖 3.8 所示。經過我們利用 STUN Client App 測試後發現 ASUS 手機裝載中華電信

的行動網路是屬於Restricted Cone 類型的 NAT，而 HUAWEI 手機裝載台灣大哥

大的行動網路是屬於Full Cone 類型的 NAT。

ASUS_Z00UD 中華電信 Restricted Cone Restricted Cone Full Cone Full Cone HUAWEI_ALE-L02 台灣大哥大 Stun Server stun.voipbuster.com Stun Server 219.81.64.95 圖3.8 行動網路可用性與安全性測試II 測試結果顯示，行動網路業者所提供的網路服務是有經過NAT 轉換，且這些 NAT 可屬於不同的類型。參考我們的可用性與安全性分類後，我們認為中華電信所提供的行動網路安全性優於台灣大哥大所提供的行動網路。

(43)

33

3.3.4 可攜式無線基地台的測試

許多行動網路的使用者為了讓其他沒有行動數據服務的行動裝置可以順利連上網際網路，會將智慧型行動電話的可攜式無線基地台的功能開啟，以讓周遭的行動裝置可以透過此可攜式無線基地台使用網際網路。我們將這樣常態性的使用行為列入測試實驗中，研究分析這樣的使用行為是否有NAT 架構介入，並從中了解裝置的可用性與安全等級。此實驗環境如圖 3.9 所示。首先我們將一支 ASUS 手機裝載台灣大哥的行動網路，透過手機的可攜式無線基地台將上網的功能分享給內部網路裝置所使用。

經過Agent 測試結果後發現這樣的網路架構是屬於 Symmetric 類型的 NAT。相較

之前ASUS 手機裝載台灣大哥大的行動網路是屬於 Full Cone 類型的 NAT 是不相

同的。此實驗結果讓我們得知智慧型行動電話內的可攜式無線基地台的功能是具有NAT 功能的。至於大規模廣泛的測試結果列入下一章中。 Stun Server stun.voipbuster.com Symmetric Symmetric Symmetric Symmetric ASUS_Z00UD 台灣大哥大 Stun Server 219.81.64.95 圖3.9 可攜式無線基地台的實驗測試環境

(44)

34

第四章

實驗與結果

4.1 實驗環境

本論文主要是探討不同NAT 網路架構下的可用性與安全性。如前面章節所述，本次實驗將利用我們設計的Agent 對目前常見的 NAT 網路架構進行可用性與安全性測試。測試的網路與裝置類別有四種，分為有線網路、行動網路電信商、智慧型行動裝置、與市售無線基地台。參與測試的網路與裝置如表4.1 所列。表4.1 NAT 設備可用性與安全性測試列表 ISP 有線網路 No. 項目 No. 項目 1 中華電信光世代 3 台灣固網 2 中華電信 ADSL 4 第四台 Cable 行動網路電信商 No. 項目 No. 項目 1 中華電信 4G 5 遠傳電信 4G 2 中華電信 3G 6 遠傳電信 4G 3 台灣大哥大 4G 7 台灣之心 4G 4 台灣大哥大 3G 8 台灣之心 3G 智慧型行動裝置 No. 項目系統 No. 項目系統

1 ASUS ZenFone 2 6.0.1 16 iPhone 6s 9.35

4 ASUS ZenFone 2 4.4.1 19 iPad 2 9.35

5 ASUS ZenFone 2 4.2.1 20 iPhone 6 8.3

6 SONY C5520 6.0.1 21 iPhone 6s 9.35 7 SONY C5520 5.1.1 22 iPhone 5s 9.35 8 SONY C5520 5.0.1 23 iPhone 4s 9.35 9 SONY C5520 4.4.1 24 iPad 2 9.35 10 SONY C5520 4.2.1 25 iPhone 6 8.3 11 小米紅米手機 6.0.1 26 iPhone 5s 8.1.3 12 小米紅米手機 5.1.1 27 iPhone 4s 8.1.1 13 小米紅米手機 5.0.1 28 iPhone 5s 7.1

(45)

35

14 小米紅米手機 4.4.1 29 iPhone 4s 7.1

15 小米紅米手機 4.2.1 30 iPhone 4 6.1.2

市售無線基地台

No. 項目 No. 項目

1 ARUBA AP-105 16 D-Link DIR-619L

2 ASUS RT-AC54U 17 D-Link DIR-809

3 ASUS RT-N66U 18 D-Link DIR-815

4 ASUS RT-N12 19 EDIMAX DR-6228NS

5 ASUS RT-N16 20 EDIMAX BR-6428nS

6 ASUS RT-N56U 21 Linksys WRT150N

7 BUFALLO WHR-HP-G300N 22 netis WF2409E

8 BUFALLO WHR-HP-G450N 23 小米路由器 mini

9 D-Link DIR-101 24 Sapido BRC65c

10 D-Link DIR-320 25 Sapido GR-1736

11 D-Link DIR-524 26 Tenda FH307

12 D-Link DIR-600M 27 TOTOLINK AC5 AC1200

13 D-Link DIR-612 28 TP-LINK AC720

14 D-Link DIR-615 29 TP-LINK WR841N

15 D-Link DIR-618 30 TP-Link TL-WR740N

本次實驗的可用性與安全性檢測環境架構如圖 4.1 所示。我們在外部網路架

設一台有 Stun Server 功能的 Server C，並設定兩個網路 IP 地址，分別為

219.81.64.94 與 219.81.64.95，並開啟兩個網路埠號為 3478 與 3479。接著在內部

網路與外部網路的中間放置我們要測試的 NAT 設備，最後我們在內部網路內的

Client A 電腦上面運行我們所設計的 Agent 程式去穿透 NAT 網路設備，藉由 Server C 回傳的訊息去分析 NAT 網路設備的可用性與安全性。

(46)

36 內部網路 外部網路Internet Client A 192.168.0.1:1001 NAT安全性 檢測設備 Stun Server C_219.81.64.94 219.81.64.95 Agent Port 3478 3479 圖4.1 可用性與安全性檢測環境架構圖

4.2 ISP 有線網路可用性與安全性分析

首先我們先針對有線網路進行可用性與安全性分析。我們找了四個不同的有線網路ISP，分別是中華電信光世代、中華電信 ADSL、台灣固網、有線電視業者的纜線(Cable)網路。測試結果如表 4.2 所示。我們發現前三者的網路架構都含

有NAT 設備，所測得的可用性與安全性等級皆為 3，是屬於 Port Restricted Cone

類型的NAT。有線電視業者的纜線網路則是屬於 Open Internet。我們分析 Open

Internet 傳遞的網路封包後發現封包的對應機制為獨立對應(Independent Mapping)，而過濾機制為獨立過濾(Independent Filtering)。這樣的對應與過濾機制是最不安全的，因此建議此類型的網路架構可以加裝其他NAT 網路設備來增加網路的安全性。表4.2 有線網路可用性與安全性測試結果 ISP 纜線網路

No. 項目 NAT Type 可用性安全性

1 中華電信光世代 Port restricted Cone NAT 3 3

2 中華電信 ADSL Port restricted Cone NAT 3 3

3 台灣固網 Port restricted Cone NAT 3 3

(47)

37

4.3 行動網路營運商可用性與安全性分析

接著我們針對行動網路營運商的數據網路進行可用性與安全性分析。我們找了四家不同的行動網路營運商，分別是中華電信、台灣大哥大、遠傳電信、與台

灣之心。因為我們沒有開發手機所使用的App，所以我們下載可以於手機運行的

App 來檢測電信營運商 3G 與 4G 網路的 NAT Type。測試結果如表 4.3 所示。中

華電信與遠傳電信的NAT Type 為 Port restricted Cone NAT，而台灣大哥大與台灣

之心為Full Cone NAT。根據表 3.2 的 NAT 穿透的安全性等級，Full Cone NAT

的可用性等級為3、安全性等級為 1，Port restricted Cone NAT 的可用性與安全性

等級皆為3，兩者相較後 Port restricted Cone NAT 類型的網路較為安全。

表4.3 行動網路營運商可用性與安全性測試結果

行動網路電信商

No. 項目 NAT Type 可用性安全性

1 中華電信 4G Port restricted Cone NAT 3 3

2 中華電信 3G Port restricted Cone NAT 3 3

3 台灣大哥大 4G Full Cone NAT 3 1

4 台灣大哥大 3G Full Cone NAT 3 1

5 遠傳電信 4G Port restricted Cone NAT 3 3

6 遠傳電信 4G Port restricted Cone NAT 3 3

7 台灣之心 4G Full Cone NAT 3 1

8 台灣之心 3G Full Cone NAT 3 1

4.4 行動裝置的無線基地台可用性與安全性分析

行動裝置是藉由軟體去達到無線基地台的功能。我們此項實驗的目的是要在

同一個行動裝置上面進行不同版本的作業系統安全性分析。我們找了 30 種行動

裝置，作業系統分別為Android 與 iOS，其中 Android 的行動裝置品牌與型號為

ASUS ZenFone 2、Sony C5520、小米紅米手機，作業系統的版本有 6.0.1、5.1.1、 4.4.1、4.2.1，而 iOS 的行動裝置為 iPhone 與 iPad，作業系統為 9.35、8.3、8.1.3、 8.1.1、7.1。在這 30 種行動裝置上所測得的可用性與安全性等級皆為 3，是屬於

行動與纜線網路NAT技術之安全性探討

國立高雄大學資訊工程學系

碩士論文

行動與纜線網路

NAT 技術之安全性探討

Security of NAT devices under mobile and cable

networks

研究生：陳紘暉 撰

指導教授：陳建源 博士

共同指導教授：嚴力行 博士

致謝

行動與纜線網路

NAT 技術之安全性探討

摘要

Security of NAT devices under mobile and cable

networks

ABSTRACT

目錄

圖目錄

表目錄

第一章 簡介

X

第二章 背景知識與相關研究

2.1 NAT (Network Address Translation)

2.2 NAT 特性

2.2.1 NAT 對應(Mapping)建立規則

2.2.1.1 獨立對應 (Independent Mapping)

2.2.1.2 地址相依對應 (Address Dependent Mapping)

2.2.1.3 地址與埠相依對應 (Address and Port Dependent Mapping)

2.2.2 NAT 過濾(Filtering)規則

2.2.2.1 獨立過濾 (Independent Filtering)

2.2.2.2 地址相依過濾 (Address Dependent Filtering)

X

X

2.2.2.3 地址與埠相依過濾(Address and Port Dependent Filtering)

X

X

X

2.3 NAT 種類

2.3.1 Full Cone NAT

2.3.2 Restricted Cone NAT (Address Restricted Cone)

X

X

2.3.3 Port Restricted Cone NAT

X

X

X

2.3.4 Symmetric NAT

X

X

X

2.4 NAT 穿透(Traversal)技術

2.4.1 STUN

4.

2.4.2 TURN

2.4.3 ICE

Ra

Na

La

Rb

Nb

Lb

第三章

NAT 穿透的可用性與安全性系統分析

3.1 系統介紹

3.2 系統架構

3.3 NAT 可用性與安全性實際測試

3.3.1 單層 NAT 測試

3.3.2 多層 NAT 測試

3.3.3 行動網路的測試

3.3.4 可攜式無線基地台的測試

第四章

實驗與結果

4.1 實驗環境

4.2 ISP 有線網路可用性與安全性分析

4.3 行動網路營運商可用性與安全性分析

4.4 行動裝置的無線基地台可用性與安全性分析

研究生：陳紘暉撰

指導教授：陳建源博士

共同指導教授：嚴力行博士

第一章簡介

第二章背景知識與相關研究