Gourt Home::Gourt :: Network Address Translation
NAT (Network Address Translation) ist in Computernetzen ein Verfahren, um eine IP-Adresse in einem Datenpaket durch eine andere zu ersetzen. Häufig wird dies benutzt, um private IP-Adressen auf öffentliche IP-Adressen abzubilden. Werden auch die Port-Nummern umgeschrieben, spricht man dabei von Maskieren oder PAT (Port Address Translation).
Der NAT-Standard wurde 1994 von der IETF als RFC 3022 veröffentlicht.
Verwendung
Hauptsächlich ist NAT notwendig, weil öffentliche IP-Adressen immer knapper werden, und man deshalb in einem internen (privaten) Netz private IP-Adressen einsetzt. Damit man trotzdem mit dem Internet kommunizieren kann, müssen die internen, privaten Adressen am Gateway zum Internet (oder zu einem anderen öffentlichen Netz) in öffentliche Adressen übersetzt werden. Da die Clients mit privaten Adressen von außen nicht direkt ansprechbar sind, kann keine Verbindung von außen initiiert werden - kein Portscan, kein Zugriff auf offene Ports.
NAT selbst ist jedoch kein Sicherheitsfeature, sondern eine Notwendigkeit mit Sicherheitsaspekt. Die (interne) Netzstruktur ist zwar durch NAT nach außen nicht sichtbar, dies kann jedoch auch ohne NAT problemlos erreicht werden (indem man beispielsweise am Firmengateway nur erlaubte Anfragen ins Firmennetz weiterleitet).
Funktionsweise
NAT arbeitet auf der dritten OSI-Schicht, der Vermittlungsschicht (engl. network layer). Üblicherweise wird NAT an einem Übergang zwischen zwei Netzen durchgeführt. Ein solches NAT-Gerät kann ein Router, eine Firewall oder ein anderes spezialisiertes Gerät sein. So kann zum Beispiel ein NAT-Gerät mit zwei Netzwerkkarten das lokale Netz mit dem Internet verbinden.
Man unterscheidet zwischen Source NAT, bei dem die Quell-IP-Adresse ersetzt wird, und Destination NAT, bei dem die Ziel-IP-Adresse ersetzt wird.
Bei Basic NAT (auch als Static NAT bekannt) wird jede interne IP durch eine externe IP ersetzt. Man spricht deshalb von einer 1:1-Übersetzung.
Bei Hiding NAT (eigentlich PAT oder auch NAPT (Network Address Port Translation)) werden mehrere Quell-IP-Adressen in die gleiche externe Quell-IP-Adresse übersetzt. Bei diesem Masquerading werden auch die Ports umgeschrieben.
Beispiel für eine 1:1 Übersetzung: Öffentliche verfügbare Adressen: 205.0.0.2, 205.0.0.3, 205.0.0.4
Source NAT
| lokales Netz (LAN) | öffentliches Netz (WAN) | |||
| Quell-IP | Ziel-IP | Router ===> NAT | Quell-IP | Ziel-IP |
|---|---|---|---|---|
| 192.168.0.2 | 170.0.0.1 | 205.0.0.2 | 170.0.0.1 | |
| 192.168.0.3 | 170.0.0.1 | 205.0.0.4 | 170.0.0.1 | |
| 192.168.0.4 | 170.0.0.1 | 205.0.0.3 | 170.0.0.1 |
Bei ausgehenden Paketen wird die (private) Quell-IP-Adresse durch eine noch nicht benutzte (öffentliche) IP-Adresse ersetzt. Dabei merkt sich das NAT-Gerät diese Umsetzung:
- 192.168.0.2 ⇔ 205.0.0.2
- 192.168.0.3 ⇔ 205.0.0.4
- 192.168.0.4 ⇔ 205.0.0.3
Destination NAT
| lokales Netz (LAN) | öffentliches Netz (WAN) | |||
| Quell-IP | Ziel-IP | Router <=== NAT | Quell-IP | Ziel-IP |
|---|---|---|---|---|
| 170.0.0.1 | 192.168.0.2 | 170.0.0.1 | 205.0.0.2 | |
| 170.0.0.1 | 192.168.0.3 | 170.0.0.1 | 205.0.0.4 | |
| 170.0.0.1 | 192.168.0.4 | 170.0.0.1 | 205.0.0.3 |
Bei eingehenden Paketen kann anhand der IP-Adresse (welche nun die Ziel-IP-Adresse ist) und des Tabelleneintrags festgestellt werden, welcher Computer die Pakete angefordert hatte (hier: 192.168.0.2, 192.168.0.3 und 192.168.0.4). Das NAT-Gerät kann dadurch die (öffentliche) Ziel-IP-Adresse durch die ursprüngliche Quell-IP-Adresse 192.168.0.2, 192.168.0.3 bzw. 192.168.0.4 austauschen.
Für die beteiligten Endgeräte im internen Netz (z.B. 192.168.0.2) oder externen Netz sind diese Vorgänge transparent, d.h. sie bekommen von der Adressumsetzung nichts mit.
Kritik
NAT ist die Antwort auf das Problem der knappen IPv4-Adressen, mit der Verbreitung von IPv6 wird die Technik überholt sein.
Das größte Problem an NAT ist, dass die saubere Zuordnung "1 Host mit eindeutiger IP-Adresse" nicht eingehalten wird. Durch die Umschreibung von Protokollheadern haben vor allem Verschlüsselungsverfahren auf Netzwerk- und Transportebene große Probleme (siehe IPsec). Protokollkomplikationen durch NAT sind beschrieben in RFC 3027.
Weblinks
- RFC 3022 (englisch)
- Tunnel durch NAT-Gateways ohne Notwendigkeit zur Anpassung der beteiligten Router (englisch)
- Einrichtung NAT unter Windows 2003 (englisch)
Network address translation | Network Address Translation | Network address translation | Traducción de dirección de red | Osoitteenmuunnos | Network address translation | Network Address Translation | Network address translation | IPマスカレード | Network address translation | Network Address Translation | NAT | NAT | NAT | Network Address Translation | NAT | 网络地址转换
"Network Address Translation"