Definition Was ist NAT (Network Address Translation)?

NAT ersetzt die Ziel- und/oder Quelladressen von IP-Datenpaketen durch andere IP-Adressen. Es wird zum Beispiel verwendet, um die privaten IPv4-Adressen aus dem Heimnetz durch eine öffentliche IPv4-Adresse zu ersetzen und mit dieser im Internet zu kommunizieren. Das reduziert die Probleme durch die Knappheit öffentlicher IPv4-Adressen und bietet einige Sicherheitsvorteile.

NAT ist das Akronym für Network Address Translation. Es handelt sich um den Sammelbegriff für verschiedene Arten von Verfahren, mit denen sich die Adressen von IP-Datenpaketen durch andere IP-Adressen ersetzen lassen. Dies ist grundsätzlich sowohl für Absender- als auch für Zieladressen möglich. NAT arbeitet auf der Schicht 3 des ISO/OSI-Referenzmodells und wurde bereits in den 1990er Jahren im RFC 1631 spezifiziert. Im Jahr 2001 löste der RFC 3022 den RFC 1631 ab. Neben RFC 3022 existiert mit RFC 2663 (Terminology and Considerations) ein weiterer RFC zum Thema NAT.

NAT ist beispielsweise essenziell, um lokale, privat adressierte IPv4-Netzwerke mit dem öffentlichen Internet zu verbinden. Es lässt sich aber auch dafür verwenden, verschiedene lokale Netzwerke mit überlappenden Adressbereichen miteinander zu verbinden. Allerdings unterbricht NAT das Grundprinzip der Ende-zu-Ende-Konnektivität einer IP-Kommunikation und kann dadurch zu Problemen führen. NAT stellt eine Art Notlösung dar, um das Problem der Knappheit öffentlicher IP-Adressen zu umgehen. Die Notwendigkeit der Adressübersetzung verschwindet durch die Einführung von IPv6, da mit IPv6 genügend öffentliche IP-Adressen für jedes Endgerät bereitgestellt werden können.

Am grundsätzlichen NAT-Konzept hat sich in den letzten Jahren zwar kaum etwas verändert, dennoch gibt es einige Entwicklungen und Trends im NAT-Umfeld. So setzen zum Beispiel Netzanbieter aufgrund des anhaltenden IPv4-Adressmangels verstärkt auf Carrier-Grade NAT (CGN/CGNAT). Zudem ist NAT teils eng mit aktuellen IPv6-Übergangstechnologien verzahnt.

Welche Gründe gibt es für den Einsatz von NAT?

Einer der Hauptgründe für die Einführung von NAT war die Knappheit an öffentlichen IP-Adressen. Mit NAT können private IPv4-Adressen in lokalen Netzen verwendet werden. Dennoch ist es möglich, mit den Endgeräten aus diesen Netzen über öffentliche IP-Adressen im Internet zu kommunizieren. Für die einzelnen Endgeräte müssen keine eigenen öffentlichen IP-Adressen vorhanden sein. Die im lokalen Netzwerk verwendeten privaten, im öffentlichen Internet nicht gerouteten Adressen sind mehrfach in verschiedenen Netzwerken nutzbar. Dadurch sinkt der Bedarf an öffentlichen IPv4-Adressen. Mit NAT ist es sogar möglich, viele verschiedene Endgeräte mit nur einer einzigen öffentlichen IPv4-Adresse mit dem Internet zu verbinden.

Die IP-Adressübersetzung sorgt zudem für einen Zugewinn an Sicherheit für die Endgeräte in den privaten Netzwerken, da sie hinter einem NAT-Router vor dem öffentlichen Internet quasi verborgen sind. Die Systeme sind ohne weitere Maßnahmen nicht mehr aus dem Internet erreichbar. Nur der Verbindungsaufbau vom Endgerät aus in das Internet ist möglich. Es entsteht ein Schutz, ähnlich wie bei einer rudimentären Firewall. Eine vollwertige Firewall mit Paketfiltern und weiteren Features kann NAT allerdings nicht ersetzen.

Network Address Translation lässt sich auch dafür verwenden, verschiedene lokale Netzwerke mit überlappenden Adressbereichen miteinander zu verbinden, ohne dass es zu Adresskollisionen kommt. Das kann zum Beispiel notwendig werden, wenn bei einer Firmenübernahme mehrere zuvor getrennte Netzwerke zu einem gemeinsamen Netzwerk verschmelzen sollen.

Wo wird NAT durchgeführt und wie funktioniert es prinzipiell?

NAT wird von Geräten beziehungsweise Gateways, die an den Netzgrenzen, beispielsweise zwischen privaten lokalen Netzwerken (LAN) und einem öffentlichen Netzwerk wie dem Internet, positioniert sind, durchgeführt. Üblicherweise sind das Geräte wie Router oder Firewalls. Überschreitet ein Datenpaket eine solche Netzwerkgrenze, tauscht der Router die IP-Adressen entsprechend einer zuvor getroffenen Festlegung aus. Er arbeitet hierfür mit statischen oder dynamischen Übersetzungstabellen (NAT-Tables), über die er sowohl die Adressen der eintreffenden als auch die der ausgehenden Datenpakete passend austauschen kann.

Welche verschiedenen Arten von NAT gibt es?

NAT ist der Sammelbegriff für verschiedene Arten von IP-Adressübersetzungen und lässt sich nach verschiedenen Kriterien einteilen. Beispiele hierfür sind:

Source und Destination NAT (SNAT und DNAT)
Abhängig davon, welche Adresse (Quell- oder Zieladresse) ersetzt wird, ist eine Unterscheidung zwischen Source und Destination Network Address Translation (SNAT und DNAT) möglich. Während beim SNAT die Quelladresse des die Verbindung aufbauenden Rechners ausgetauscht wird, ersetzt DNAT die Zieladresse des angesprochenen Rechners. SNAT und DNAT sind einzeln oder gemeinsam auf ein IP-Paket anwendbar. SNAT ist das typische Verfahren für private Internetzugänge. DNAT lässt sich beispielsweise nutzen, um Serverdienste, die auf verschiedenen Rechnern betrieben werden, über eine einzige Adresse erreichbar zu machen.

Statisches und dynamisches NAT
Eine weitere Unterscheidungsmöglichkeit besteht zwischen statischem und dynamischem NAT. Beim statischen NAT erfolgt eine feste, dauerhafte Zuordnung der ausgetauschten Adressen. Eine private, interne IP-Adresse wird beispielsweise 1:1 immer derselben öffentlichen IP-Adresse zugeordnet. Beim dynamischen NAT hingegen erfolgt die Zuordnung aus einem vordefinierten Pool an Adressen. Die Zuordnung ist vorübergehend und kann sich beispielsweise je nach Verfügbarkeit an öffentlichen IP-Adressen verändern.

Port Address Translation (PAT)
Port Address Translation (PAT) zählt zu den bekanntesten und am häufigsten angewandten NAT-Verfahren. Fälschlicherweise wird PAT daher oft mit NAT gleichgesetzt, obwohl es sich nur um eine von mehreren existierenden NAT-Varianten handelt. Alternativ werden für PAT auch die Begriffe Network Address and Port Translation (NAPT), IP-Maskierung (IP Masquerading), NAT Overload oder Many-to-One NAT verwendet.

PAT ist eine n:1-Variante von Network Address Translation. Mehrere private IP-Adressen teilen sich dabei eine einzige öffentliche IP-Adresse. Um die Datenpakete den einzelnen Endgeräten richtig zuzuordnen, kommen TCP- und UDP-Portnummern zum Einsatz. Der PAT-Router tauscht dabei private IP-Adressen und Ports gegen eine öffentliche IP und temporäre Ports aus.

Dieses Verfahren hat sich als Standard für die Verbindung von Heimnetzwerken mit dem Internet etabliert. Ein Teilnehmer erhält von seinem Internetprovider üblicherweise nur eine einzige öffentliche IPv4-Adresse zugeteilt. Mit dieser können sich dank PAT alle Endgeräte im heimischen Netz mit dem Internet verbinden. Der Internetzugangsrouter übernimmt die Aufgabe der Adressübersetzung und nutzt die Portnummern für die Trennung der Sitzungen und die richtige Zuteilung der Datenpakete aus dem Internet.

Welche Probleme können durch NAT entstehen?

NAT durchbricht das Grundprinzip der Ende-zu-Ende-Konnektivität im IP-Netz und kann dadurch zahlreiche Probleme verursachen. Sollen Endgeräte über NAT-Grenzen hinweg fehlerfrei kommunizieren, sind in bestimmten Fällen Mechanismen vorzusehen, die ein korrektes Überwinden der Netzwerkgrenzen ermöglichen.

Die Umschreibung der IP-Adressen in den Paket-Headern sorgt bei bestimmten Protokollen und Verschlüsselungsverfahren für Probleme. Beispielsweise wird die Integritätskontrolle durch veränderte Prüfsummen der Header erschwert oder unmöglich gemacht.

Auch die Voice-over-IP-Telefonie und andere Netzwerkservices oder Anwendungen wie Online-Gaming und Peer-to-Peer-Verbindungen können unter durch NAT verursachten Komplikationen leiden. Beispielsweise ist es bei VoIP nicht möglich, direkte Verbindungen zwischen Gesprächsteilnehmern hinter NAT-Grenzen aufzubauen. So genannte STUN-Server (Session Traversal Utilities for NAT) bieten Lösungen für dieses Problem.

Ein weiterer Nachteil ist, dass ab einer bestimmten Anzahl an Verbindungen der NAT-Router unter Umständen an seine Übersetzungskapazität gelangt und keine neuen Verbindungen mehr möglich sind oder bestehende Sessions abbrechen. Auch die Verbindungsgeschwindigkeit kann aufgrund von durch NAT-Prozesse überlasteten Routern leiden.

Sollen Services auf einem Rechner mit privater IP-Adresse hinter einem NAT-Router für User aus dem öffentlichen Internet erreichbar sein, müssen entsprechende Port-Weiterleitungen auf bestimmte TCP- oder UDP-Ports über die öffentliche IP-Adresse des Routers eingerichtet werden.

Mit dem RFC 3027 (Protocol Complications with the IP Network Address Translator) gibt es einen eigenen RFC, der diverse Probleme verschiedener Protokolle bei der Nutzung von NAT beschreibt. Die für die verschiedenen Protokolle existierenden NAT-Umgehungsmechanismen sorgen teils für zusätzliche Komplexität und weitere Fehleranfälligkeiten.

NAT und IPv6

IPv6 mit seinem wesentlich größeren Adressraum macht IP-Adressübersetzungen prinzipiell überflüssig. Jedes Endgerät kann eine eigene öffentliche IPv6-Adresse erhalten und ohne die typischen Probleme der Adressübersetzung mit beliebigen Endgeräten direkte Ende-zu-Ende-Verbindungen aufbauen. Auch Protokolle wie STUN werden dank IPv6 nicht mehr benötigt. Der Wegfall von NAT verbessert die Performance und verringert potenzielle Fehlerquellen. Die Notwendigkeit von Firewalls und anderen Netzwerksicherheitskomponenten zum Schutz von Endgeräten und Netzwerken bleibt jedoch bestehen.

(ID:45013879)