Como o Stitching NAT funciona?

9

Ao ler sobre o CISCO NetFlow Analysis, criei um termo chamado NAT Stitching.

Entendo Flow Stitchingqual ingressar no mesmo tipo de conexão de entrada e saída.

Mas não é possível encontrar nada discreto, NAT Stitchingexceto o seguinte,

Agrupamento NAT: unifique as informações NAT de dentro do firewall com informações de fora do firewall para identificar quais IPs e usuários dentro da rede são responsáveis ​​por uma ação específica

Então, como funciona em detalhes? É um processo / protocolo ou um tipo específico de NAT?

Maomé
fonte

Respostas:

12

Você deve se lembrar que um fluxo usando NAT se parecerá com dois fluxos diferentes: um fluxo pré-NAT e um fluxo pós-NAT. Isso ocorre porque o NAT está alterando um ou mais dos endereços nos pacotes. Isso pode apresentar uma visão distorcida de seus fluxos.

Como a Cisco explica, a costura NAT costurará os fluxos (aparentemente) separados para fornecer a visualização de fluxo único:

A exportação do NetFlow a partir dos dispositivos NAT unirá os fluxos pré e pós NAT.

O livro NetPress da Cisco Press NetFlow for Cybersecurity entra em mais detalhes:

A solução StealthWatch da Lancope suporta um recurso chamado costura de conversão de endereço de rede (NAT). A junção NAT usa dados de dispositivos de rede para combinar informações de dentro de um firewall (ou um dispositivo NAT) com informações de fora do firewall (ou um dispositivo NAT) para identificar quais endereços IP e usuários fazem parte de um fluxo específico. Um ótimo recurso da solução StealthWatch é a capacidade de executar a "desduplicação do NetFlow". Esse recurso permite implantar vários coletores NetFlow em sua organização sem se preocupar com a contagem dupla ou tripla do tráfego.

Ron Maupin
fonte