Privátna sieť (súkromná IP sieť): definícia, RFC 1918, NAT a bezpečnosť
Privátna sieť (súkromná IP, RFC 1918): prehľad NAT, rozsahov adries a bezpečnosti. Ako funguje izolácia súkromných sietí a ochrana pred vonkajšími hrozbami.
V internetovej terminológii je privátna sieť zvyčajne sieť, ktorá používa privátny adresný priestor IP definovaný v norme RFC 1918. Adresy z tohto priestoru sa prideľujú počítačom a iným zariadeniam, ktoré majú komunikovať v rámci intranetovej (vnútornej) siete bez potreby globálne jedinečných adries.
Rozsahy RFC 1918 (privátne IPv4 adresy)
- 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
- 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
- 192.168.0.0/16 (192.168.0.0 – 192.168.255.255)
Tieto rozsahy určil RFC 1918, aby sa zmiernila nedostatok verejných IPv4 adries. Z rovnakého dôvodu vznikli rôzne doplnkové rezervované a špeciálne rozsahy (napr. link‑local adresy 169.254.0.0/16, rozsahy pre dokumentáciu), ktoré sa tiež nesmú routovať v jadre verejného internetu.
NAT, proxy a „sprostredkujúca brána“
Ak zariadenie v privátnej sieti potrebuje prístup na internet alebo inú verejnú sieť, je potrebná „sprostredkujúca brána“ (medzibrána), ktorá preklápa vnútorné privátne adresy na verejnú adresu alebo inak sprostredkuje komunikáciu. Takúto úlohu často plnia:
- NAT (Network Address Translation) – statický NAT, dynamický NAT alebo PAT (port‑address translation, tzv. NAT overload), ktorý premapuje privátne adresy/porty na verejnú adresu.
- proxy server – aplikačná brána, ktorá vykonáva požiadavky za vnútorné klienty (napr. HTTP proxy).
Smerovače na internete by mali byť nakonfigurované tak, aby zahadzovali pakety s adresami RFC 1918 v IP hlavičke (tzv. bogon filtering). Táto izolácia tiež spôsobuje, že zvyčajne nemožno priamo iniciovať spojenie z verejného internetu na zariadenie s privátnou IP adresou bez explicitného mapovania (napr. port forwarding, statický NAT alebo priame pridelenie verejnej adresy).
Obmedzenia a problémy spôsobené NAT
- Narúšanie end‑to‑end komunikácie: NAT mení IP/port informácie a môže zlomiť protokoly, ktoré vkladajú IP adresy alebo očakávajú pôvodnú end‑to‑end konektivitu (napr. niektoré režimy FTP, SIP, IPsec bez NAT‑Traversal).
- Prichádzajúce spojenia: Pri použití NAT je potrebné nastaviť preposielanie portov alebo statické premapovanie, inak sa vonkajší hostia nedostanú k vnútorným službám.
- Bezpečnostné omyly: NAT nie je náhradou za firewall. Samotná prítomnosť NATu neposkytuje kompletnú ochranu – treba používať stateful firewall, ACL, segmentáciu siete a ďalšie bezpečnostné opatrenia.
- Škálovanie a zdieľanie adries: Pri veľkom počte klientov alebo pri poskytovaní služieb (ISP) sa používa CGN (Carrier‑Grade NAT), čo prináša ďalšie problémy s trasovateľnosťou a cestou späť pre spätné hľadanie incidentov.
Bezpečnosť privátnych sietí
Aj keď sú privátne siete vo všeobecnosti izolované od verejného internetu (vďaka tomu, že internetové smerovače nepreposielajú pakety s RFC 1918 adresami), interné siete zostávajú zraniteľné. Odporúčané opatrenia:
- Nevyhlasovať bezpečnosť: Neriešite bezpečnosť len prostredníctvom NAT. Použite stateful firewall, segmentáciu siete (VLAN, VRF), IPS/IDS, a prístupové politiky.
- Segmentácia a least‑privilege: Oddelte kritické služby (servery) od pracovných staníc a IoT, obmedzte komunikáciu len na minimum potrebné pre prevádzku.
- Autentifikácia a šifrovanie: Používajte VPN na vzdialený prístup, TLS pre aplikácie, a silné metódy autentifikácie.
- Monitorovanie a patchovanie: Logovanie, pravidelné aktualizácie, skenovanie zraniteľností a reakcie na incidenty.
- Egress/ingress filtering: Implementujte filtrovanie smerom von i dovnútra (napr. BCP 38) na zamedzenie spoofingu a úniku dát.
Kolízie pri prepájaní sietí a ich riešenia
Problém nastane, keď sa pokúsite prepojiť dve siete, ktoré používajú rovnaký privátny adresný priestor (napr. pri fúzii firiem, pri prepojení pobočiek cez internet alebo pri migrácii do cloudu). Možné riešenia:
- Renumbering: Najčistejšie riešenie – prečíslovať jednu zo sietí tak, aby nedochádzalo k prekrývaniu (náročné pri veľkých sieťach, ale odporúčané kam je to možné).
- Site‑to‑site VPN s NAT: Použiť NAT vo VPN bránach (NAT on VPN) tak, aby sa premietli vnútorné adresy do iného rozsahu pri komunikácii medzi lokalitami.
- Double NAT alebo port‑based mapping: Použiť NAT pravidlá, ktoré mapujú vnútorné hosty na unikátne porty/adresy — riešenie často používané pri rýchlom premostení.
- Izolované prepájanie (MPLS, VRF): Použiť poskytovateľské služby ako VRF/MPLS, ktoré udržia súkromné siete oddelené aj pri použití rovnakých adresných priestorov.
- Proxy / aplikačné brány: Pre určité služby môže byť jednoduchšie použiť aplikačné proxy, ktoré vykonávajú premosťovanie na aplikačnej vrstve.
IPv6 a privátne adresy
Jedným z dôvodov zavedenia protokolu IPv6 je odstránenie nedostatku adries v IPv4. Protokol IPv6 však stále prechádza adoptovaním na rôznych miestach a prevádzka zmiešaných sietí trvá. Pre IPv6 existujú analógy privátnych adries:
- Unique Local Addresses (ULA) – rozsah
fc00::/7, určený pre lokálne použitie (podobné ako RFC 1918 pre IPv4). - Link‑local – adresy začínajúce
fe80::/10, použité len na lokálny segment.
IPv6 zjednodušuje end‑to‑end konektivitu a znižuje potrebu NATu, ale v praxi sa NAT a mechanizmy na izoláciu sietí stále používajú, najmä pri interoperabilite s IPv4 a pri politike poskytovateľov služieb.
Odporúčané postupy
- Plánujte adresovanie dopredu (centrálne riadené plánovanie, DHCP, dokumentácia).
- Vyhnite sa používaniu obľúbených „defaultných“ sietí (napr. 192.168.0.0/24) vo veľkých prostrediach, aby ste minimalizovali riziko konfliktov pri prepájaní lokalít.
- Pri migráciách alebo prepájaní sietí zvážte renumbering alebo použitie NAT vo VPN ako dočasné riešenie.
- Nespoliehajte sa len na to, že privátne adresy „sú bezpečné“ — implementujte viacvrstvovú bezpečnostnú stratégiu.
Na záver: privátne siete definované RFC 1918 poskytujú praktické a široko používané riešenie pre vnútorné adresovanie v IPv4 svete. Ich kombinácia s NATom a bránami umožňuje prístup na internet, ale zároveň prináša obmedzenia v konektivite a nesmie sa nahrádzať za úplné bezpečnostné opatrenia. Pre dlhodobejšie riešenia a odstránenie obmedzení adresovania je odporúčané postupné zavádzanie IPv6 a dôsledné plánovanie sieťovej architektúry.
Privátne adresy Úradu pre prideľovanie čísel v internete (IANA)
Úrad pre prideľovanie čísel v internete (IANA) je subjekt, ktorý spravuje globálne prideľovanie adries IP, správu koreňovej zóny DNS, typy médií a ďalšie prideľovanie internetových protokolov. Prevádzkuje ho organizácia ICANN.
Pre niekoho, kto pozná hranice triedneho adresovania, je dôležité poznamenať, že hoci rozsah RFC 1918 172.16.0.0-172.31.255.255 patrí do tradičného rozsahu triedy B, blok vyhradených adries nie je /16, ale /12. To isté platí pre rozsah 192.168.0.0-192.168.255.255; tento blok nie je /24, ale /16. Niekto však stále môže (a mnoho jednotlivcov to zvyčajne robí) používať adresy z týchto blokov CIDR a použiť masku podsiete vhodnú pre tradičnú hranicu triedy adresy.
Súčasné súkromné internetové adresy IANA (nazývané aj nerutovateľné) sú:
| Názov | Rozsah adries IP | počet adries | popis triedy | najväčší blok CIDR | definované v |
| 24-bitový blok | 10.0.0.0 – 10.255.255.255 | 16,777,216 | jedna trieda A, 256 susediacich tried B | 10.0.0.0/8 | RFC 1597 (zastarané), RFC 1918 |
| 20-bitový blok | 172.16.0.0 – 172.31.255.255 | 1,048,576 | 16 susediacich tried B | 172.16.0.0/12 | |
| 16-bitový blok | 192.168.0.0 – 192.168.255.255 | 65,536 | jedna trieda B, 256 susediacich tried C | 192.168.0.0/16 |
Na zníženie zaťaženia koreňových menných serverov spôsobeného spätnými vyhľadávaniami DNS týchto IP adries poskytuje sieť AS112 systém menných serverov "čiernych dier".
Súvisiace stránky
- Súbor internetových protokolov
- Komunikačný protokol
Otázky a odpovede
Otázka: Čo je to súkromná sieť?
Odpoveď: Privátna sieť je počítačová sieť, ktorá používa súkromný adresný priestor IP podľa normy RFC 1918. Zvyčajne sa používa pre interné siete v rámci organizácie alebo domáce a kancelárske lokálne siete (LAN).
Otázka: Aký bol dôvod vytvorenia súkromných adries IP?
Odpoveď: Súkromné adresy IP boli vytvorené z dôvodu nedostatku verejne registrovaných adries IP vytvorených štandardom IPv4. Jedným z dôvodov vytvorenia protokolu IPv6 je prekonanie tohto obmedzenia štandardu IPv4.
Otázka: Ako izolácia poskytuje súkromným sieťam bezpečnosť?
Odpoveď: Izolácia poskytuje súkromným sieťam základnú formu bezpečnosti, pretože zvyčajne nie je možné, aby vonkajšie zariadenia nadviazali spojenie priamo so strojmi, ktoré používajú tieto súkromné adresy. Smerovače na internete by mali byť nakonfigurované tak, aby zahadzovali všetky pakety obsahujúce tieto adresy, aby sa zabezpečila táto ochrana.
Otázka: Ako môžu rôzne organizácie používať rovnaký rozsah súkromných adries bez rizika konfliktov adries?
Odpoveď: Keďže medzi rôznymi súkromnými sieťami nie je možné nadviazať spojenie cez internet, rôzne organizácie môžu používať rovnaký rozsah súkromných adries bez rizika konfliktov adries (komunikačné nehody spôsobené oslovením tretej strany, ktorá používa rovnakú adresu IP).
Otázka: Aký typ zariadenia je potrebný, ak zariadenie v súkromnej sieti potrebuje komunikovať s inými sieťami?
Odpoveď: Ak zariadenie v súkromnej sieti potrebuje komunikovať s inými sieťami, je potrebná "sprostredkujúca brána" (medzibrána), ktorá zabezpečí, aby sa vonkajším zariadeniam zobrazovala verejne dosiahnuteľná adresa, aby internetové smerovače umožnili komunikáciu. Táto brána je zvyčajne buď zariadenie NAT, alebo proxy server.
Otázka: Potrebujú verejné internetové smerovače ďalšiu konfiguráciu, aby mohli preposielať pakety s adresami RFC 1918?
Odpoveď: Verejné internetové smerovače štandardne nepreposielajú pakety s adresami RFC 1918 a vyžadujú si dodatočnú konfiguráciu, aby tak mohli urobiť. Interné smerovače však nepotrebujú žiadnu dodatočnú konfiguráciu, aby mohli tieto pakety preposielať, čo môže spôsobiť problémy pri prepojení dvoch rôznych sietí, ktoré používajú podobné schémy IP adresovania.
Súvisiace články
Autor
AlegsaOnline.com Privátna sieť (súkromná IP sieť): definícia, RFC 1918, NAT a bezpečnosť Leandro Alegsa
URL: https://sk.alegsaonline.com/art/79275