Die Abkürzung NAT steht für Network Address Translation, dabei handelt es sich um ein Verfahren das den Datenaustausch lokaler, privater Netzwerke mit dem Internet koordiniert. Das NAT-Verfahren wird in Router implementiert und bildet die Schnittstelle zum öffentlichen Netzwerk.
PCs oder Netzwerkgeräte können nicht über die Grenzen ihres Netzwerks hinaus kommunizieren, um dies zu ermöglichen werden Router zwischen den Netzen eingesetzt. Soll ein Zugriff auf öffentliche Ressourcen stattfinden sind nochmals gesonderte Mechanismen anzuwenden. Für den Informationsaustausch zwischen privaten und öffentlichen Netzwerken werden sogenannte Gateways gebraucht, die NAT-Router stellen in spezieller Weise ein solches Gateway dar.
Lokale Netzwerkgeräte besitzen in ihrem Netzwerk eine eindeutige IP-Kennung, da aber die privaten IP-Adressen von Routern im Internet nicht weitergeleitet werden, ist eine Kommunikation über das öffentliche Netzwerk nicht möglich. An dieser Stelle kommt NAT ins Spiel, es sorgt dafür dass ein Netzwerkgerät mit einer öffentlichen Adresse nach außen kommunizieren kann. Das Verfahren arbeitet mit einer speziellen Routingtabelle, die alle Anfragen an öffentliche Netzwerkdienste speichert und Antworten an die jeweiligen Stationen weiterleitet.
Das NAT-Verfahren stellt in der Netzwerkkommunikation nur eine Zwischenlösung dar, die durch IPv6 abgelöst wird. Zurzeit wird das Verfahren noch gebraucht, da der IP-Adressraum von IPv4 nicht ausreicht allen Netzwerkstationen eine eindeutige Kennung im globalen Netzwerk zuzuweisen.
Die Funktionsweise von NAT
Wie bereits erwähnt stellt NAT die Schnittstelle eines privaten Netzwerks zum Internet dar, dabei verwendet der Router mit NAT-Konfiguration eine im öffentlichen Netz eindeutige IP-Adresse. Mit einer internen Routingtabelle werden alle Verbindungen koordiniert. Die Zuweisung erfolgt hierbei dynamisch in dem bei jedem Verbindungsaufbau die Quell- und Zieladresse sowie der Port in der Tabelle eingetragen wird.
Das NAT ersetzt die Quelladresse im Datenpaket und sendet dieses an den Internetdienst weiter. Genau genommen handelt es sich hierbei um das Source NAT-Verfahren, im Allgemeinen wird dazu aber nur NAT gesagt. Das reine NAT-Verfahren dient nur der Umsetzung einer internen Adresse in eine externe (öffentliche) im Verhältnis 1:1. SNAT jedoch bildet eine 1:n Verbindung, wodurch alle privaten Adressen durch eine öffentliche ersetzt werden.
Mit den zuvor hinterlegten Verbindungsdaten (Quelladresse, Portnummer, Zieladresse) werden eintreffende Pakete an die entsprechende Station im lokalen Netz weitergeleitet. Wird die Verbindung abgebaut oder über einen bestimmten Zeitraum nicht genutzt, löscht SNAT die Daten aus der Tabelle, sodass einer anderen Station der wieder freigegebene Port zur Verfügung gestellt werden kann.
Durch diese Funktionsweise ist es nicht möglich eine Verbindung von außen in das lokale Netzwerk aufzubauen. Der Datenaustausch funktioniert nur dann, wenn zuvor eine Anfrage mit den entsprechenden Verbindungsdaten stattgefunden hat. Ist das nicht der Fall, reagiert der Router nicht auf die eintreffenden Pakete. Hierdurch treten auch Probleme auf und zwar dann, wenn aus Platzgründen eine ältere Verbindung ersetzt wurde und nach längerem Warten noch Pakete übermittelt werden. Die Zustellung ist dadurch nicht mehr möglich.
Destination Network Address Translation (DNAT)
Das Destination NAT-Verfahren ist unter den Fachleuten auch als Port-Forwarding bekannt und wird zur Einrichtung einer persistenten Verbindung zwischen lokalen und öffentlichen Netzwerkstationen verwendet. Die Konfiguration ermöglicht es die Datenübertragung aufrechtzuerhalten, selbst wenn vom Router eine hohe Anzahl an Verbindungen koordiniert werden müssen. Durch eine feste Zuweisung eines Ports an eine IP-Adresse werden alle Datenpakete die diesen Port adressieren vom Router entsprechend weitergeleitet. Die Portnummer wird hierbei nicht mehr freigegeben, sondern ist dauerhaft in der Routingtabelle hinterlegt. Eine manuelle Änderung ist dennoch möglich, um einen Port wieder freizugeben oder eine weitere IP-Adresse mit einem Port zu verknüpfen.
Bei der Verwendung von DNAT ist jedoch Vorsicht geboten, da über den entsprechend freigehaltenen Port ein permanenter Datentransfer stattfindet. Hackt sich über diesen ein Angreifer ein, kann der Schaden das komplette Netzwerk betreffen. Um dieses Szenario zu verhindern ist hier der Einsatz einer Firewall anzuraten oder man verzichtet gänzlich auf dieses Verfahren.
Nachteile des Netzwerkverfahrens
Da NAT eher als eine Art Notlösung anzusehen ist und nicht in die Konzeption der OSI/ISO Referenz passt, birgt es Risiken und Probleme im Netzwerkumfeld. Das Verfahren arbeitet mit Routingtabellen, über die nur eine begrenzte Anzahl an Verbindungen koordiniert werden können. Ist eine hohe Auslastung durch eine Vielzahl an Verbindungen vorhanden werden ältere Einträge der Tabelle gelöscht. Gibt es im Netzwerk Stationen die eine permanente Verbindung benötigen jedoch nicht ununterbrochen Informationen mit externen Stationen austauschen, kann es zur Löschung des Eintrags in der Routingtabelle kommen. Hierdurch kommt es zum Abbruch der Anwendung, wenn dies dauerhaft auftritt, ist die Software im lokalen Netzwerk nicht lauffähig. Besonders Punkt-zu-Punkt Verbindungen sind durch NAT problemanfällig und können gestört werden. Auch die Protokolle der IP-Telefonie laufen unter NAT nicht stabil.
Systementwickler implementieren Mechanismen um das NAT zu umgehen, laufen dabei aber Gefahr für Angreifer und unbefugte Anwendungen Tür und Tor zu öffnen.
Neben den Schwierigkeiten mit Netzwerkanwendungen gibt es auch Probleme innerhalb der Protokollschichten. Das NAT greift nachhaltig in das Routing von Datenpaketen ein, indem die Adressinformationen manipuliert werden. Um dies möglich zu machen, bedarf es eines Eingriffs in mehrere Protokollschichten, das den Paradigmen über den Aufbau des Netzwerks widerspricht. Zudem sind einige Verschlüsselungsverfahren nicht in der Lage diese Vermischung der Schichten zu kompensieren.
Positiver Nebeneffekt – Mehr Sicherheit durch NAT
Der Einsatz von Network Address Translation hat einen ungewollten aber positiven Nebeneffekt. Da das Verfahren die interne Netzstruktur nach außen verwaltet und einen Zugriff darauf nicht zulässt, schützt NAT das lokale Netz vor Zugriff aus dem Internet. Der NAT-Router leitet lediglich Prozesse und Datenpakete von angeforderten Diensten an die internen Stationen weiter. Diese werden durch den Ziel-Port als auch den Source-Angaben identifiziert, unbekannte Prozesse haben dabei keine Chance. Ein bekanntes Vorgehen von Hackern wird dadurch blockiert, es beruht darauf einen freien Port zu identifizieren, um über diesen Datenpakete oder Prozesse einzuschleusen.
Auch wenn hierdurch ein guter Schutzmechanismus vorhanden ist, sollten Firmen oder private Anwender ihr Netzwerk zusätzlich schützen. Es gibt sehr viel raffiniertere Verfahren Zugriff auf lokale PCs zu bekommen und das NAT kann diese weder erkennen noch überprüfen. Welche Informationen ein Webservice tatsächlich übermittelt, kann nur durch eine Paketfilterung und einen Virenscaner überprüft werden. Diese Schutzfunktionen werden üblicherweise von Firewalls bereitgestellt und sind sehr zuverlässig.
Wer gesagt bekommt, dass die Installation eines NAT zur absoluten Sicherheit des Netzwerks beiträgt, sei gewarnt. Das Verfahren ist nicht zur Netzsicherheit konzipiert und bietet nur zu einem kleinen Teil Schutz vor Angriffen aus dem Internet.
IPv6 löst die NAT-Konfiguration ab
Mit der Einführung von IPv6 wird die Verwendung von NAT überflüssig. Mit dem neuen Protokoll stehen ausreichend IP-Adressen zur Verfügung, sodass jede Netzwerkkarte eine eindeutige Kennung im Internet besitzen wird. Das hat zum einen Auswirkungen auf die Entwicklung von Software, da hier der hohe Integrationsaufwand durch NAT wegfällt und das Risiko von Anwendungsfehlern und Übertragungsstörungen reduziert wird. Zum anderen wird auch der Nebeneffekt der Zugriffssicherheit entfallen, dadurch müssen Unternehmen und Privatanwender ihr Netzwerk mit zusätzlichen Mechanismen vor Fremdzugriff schützen. In erster Linie sollte hier verstärkt auf die Installation einer Hardware-Firewall gesetzt werden.
Tags:
- wie funktioniert ein nat zugriff
- wie funktioniert nat
- was ist Port Address Translation und wie funktioniert es?
- natting netzwerk
- ein NAT überflüssig