NAT (Network Address Translation)
Network Address Translation (NAT) ist in Rechnernetzen der Sammelbegriff für Verfahren, die automatisiert Adressinformationen in Datenpaketen durch andere ersetzen, um verschiedene Netze zu verbinden. Daher kommen sie typischerweise auf Routern zum Einsatz.
Diese Seite ist eine inhaltsgekürzte Version aus Wikipedia und unter der Lizenz Creative Commons Attribution/Share Alike verfügbar.
NAT-Typen
NAT wird in Source-NAT und Destination-NAT unterteilt. Während beim Source-NAT die Adresse des Computers umgeschrieben wird, der die Verbindung aufbaut, wird beim Destination-NAT die Adresse des angesprochenen Computers verändert.
Source-NAT
Große Verbreitung fand Source-NAT durch die Knappheit öffentlicher IPv4-Adressen und die Tendenz, private Subnetze mit dem Internet zu verbinden. Die einfachste Lösung dieses Problems war oft die durch NAT mögliche Verwendung mehrerer privater IP-Adressen mit nur einer öffentlichen IP-Adresse, wobei die Abbildung auf diese aufgrund der 16 Bit breiten Portnummern auf etwa 65000 Sitzungen (Port-Address-Translation Einträge) beschränkt bleibt.
Gerade in privaten oder möglichst preisgünstig ausgeführten Netzinstallationen wird Source-NAT als eine Art Sicherheitsmerkmal und zur Trennung von internem und externem Netz eingesetzt. Während eine NAT-Installation oberflächlich tatsächlich diese gewünschte Wirkung erzielt, kann sie weder Sicherheitsinfrastruktur noch wirksame Maßnahmen zur Trennung von Netzen ersetzen. So wird die Source-NAT-Funktion eines Routers im professionellen Bereich oft durch ein zusätzlich betriebenes Application Level Gateway unterstützt.
Funktionsweise
Bei jedem Verbindungsaufbau durch den Client wird die Quell-IP-Adresse durch eine des Routers ersetzt. Außerdem wird der Quellport durch einen freien Port des Routers ersetzt, der dadurch belegt wird. Diese Zuordnung wird im Router gespeichert. Der Vorgang wird als PAT (Port Address Translation) bezeichnet.
lokales Netz (LAN) | öffentliches Netz (WAN) | |||
---|---|---|---|---|
Quelle | Ziel | Router ⇒ NAT | Quelle | Ziel |
192.168.0.2:4701 | 170.0.0.1:80 | Absender umgeschrieben zu: | 205.0.0.2:6787 | 170.0.0.1:80 |
192.168.0.3:5387 | 170.0.0.1:80 | Absender umgeschrieben zu: | 205.0.0.2:8709 | 170.0.0.1:80 |
192.168.0.4:1001 | 170.0.0.1:23 | Absender umgeschrieben zu: | 205.0.0.2:4806 | 170.0.0.1:23 |
Destination-NAT
Destination-NAT wird beispielsweise verwendet, um mehrere, unterschiedliche Serverdienste, die auf verschiedenen Computern betrieben werden, unter einer einzigen IP-Adresse anzubieten.
Auch wird es manchmal bei Hot Spots benutzt, um Zugriffe auf Webseiten vor der Anmeldung auf den Rechner umzuleiten, der die Anmeldung anbietet.
Funktionsweise
Bei jedem Verbindungsaufbau durch den Client wird die Ziel-IP-Adresse durch eine andere ersetzt. Außerdem wird der Zielport durch einen freien Port des Routers ersetzt, der dadurch belegt wird. Diese Zuordnung wird im Router gespeichert.
lokales Netz (LAN) | öffentliches Netz (WAN) | |||
---|---|---|---|---|
Quelle | Ziel | Router ⇒ NAT | Quelle | Ziel |
170.0.0.1:1001 | 171.4.2.1:80 | Absender umgeschrieben zu: | 170.0.0.1:1001 | 192.168.0.2:80 |
170.0.0.1:1001 | 171.4.2.1:22 | Absender umgeschrieben zu: | 170.0.0.1:1001 | 192.168.0.3:22 |
170.0.0.1:1001 | 171.4.2.1:81 | Absender umgeschrieben zu: | 170.0.0.1:1001 | 192.168.0.3:80 |
Kritik
- NAT wird oft nur als eine Notlösung betrachtet, um bei nicht dauerhaft verbundenen Netzinstallationen das Problem der knappen IPv4-Adressen zu umgehen.
- Das größte Problem an NAT ist, dass die saubere Zuordnung „1 Host mit eindeutiger IP-Adresse“ nicht eingehalten wird. Durch die Umschreibung von Protokoll-Headern, die einer Man-in-the-middle (MITM)-Attacke ähnelt, haben so insbesondere ältere Protokolle und Verschlüsselungsverfahren auf Netzwerk- und Transportebene durch diesen Designbruch Probleme (IPsec]]-AH). Protokollkomplikationen durch NAT werden in RFC 3027 beschrieben.
- Ebenso leiden insbesondere Netzwerkdienste, die Out-of-Band-Signalisierung und Rückkanäle einsetzen, etwa VoIP-Protokolle, unter Komplikationen durch NAT-Gateways.
- NAT-Gateways heben die strenge Trennung des OSI-Schichtenmodells auf.