¿Cómo funciona NAT Stitching?

9

Mientras leía sobre CISCO NetFlow Analysis se me ocurrió un término llamado NAT Stitching.

Entiendo Flow Stitchingcuáles se unen al mismo tipo de conexión entrante y saliente.

Pero no puedo encontrar nada discreto NAT Stitchingexcepto lo siguiente,

Unión de NAT: unifique la información de NAT desde dentro del firewall con información desde fuera del firewall para determinar qué IP y usuarios dentro de la red son responsables de una acción en particular

Entonces, ¿cómo funciona en detalle? ¿Es un proceso / protocolo o un tipo específico de NAT?

Mahoma
fuente

Respuestas:

12

Debe recordar que un flujo que usa NAT se verá como dos flujos diferentes: un flujo previo a NAT y un flujo posterior a NAT. Esto se debe a que NAT está cambiando una o más de las direcciones en los paquetes. Esto puede presentar una visión distorsionada de sus flujos.

Como lo explica Cisco, la unión de NAT unirá los flujos (aparentemente) separados para brindarle una vista de flujo único:

La exportación de NetFlow desde los dispositivos NAT unirá los flujos NAT anteriores y posteriores.

El libro de Cisco Press NetFlow para Ciberseguridad entra en más detalles:

La solución StealthWatch de Lancope admite una característica llamada unión de traducción de direcciones de red (NAT). La unión de NAT utiliza datos de dispositivos de red para combinar información de NAT dentro de un firewall (o un dispositivo NAT) con información de fuera del firewall (o un dispositivo NAT) para identificar qué direcciones IP y usuarios son parte de un flujo específico. Una gran característica de la solución StealthWatch es su capacidad para realizar la "deduplicación de NetFlow". Esta característica le permite implementar varios recopiladores de NetFlow dentro de su organización sin preocuparse por el doble o triple conteo del tráfico.

Ron Maupin
fuente