Suchen

Definition Was ist NAT (Network Address Translation)?

Network Address Translation (NAT) ermöglicht es, die Ziel- oder Quell-IP-Adressen eines Datenpakets durch eine andere Adresse zu ersetzen. NAT wird häufig verwendet, um aufgrund der Knappheit öffentlicher IP-Adressen mit privaten IP-Adressen im Internet zu kommunizieren. Diese Maskierung mehrerer privater IP-Adressen hinter einer öffentlichen IP-Adresse hat auch sicherheitstechnische Vorteile.

(© aga7ta - Fotolia)

Network Address Translation, abgekürzt NAT, wurde bereits in den 1990er Jahren spezifiziert und ist unter anderem im RFC 1631 beschrieben. Mit Hilfe von NAT ist es möglich, die IP-Adressen in IP-Datenpaketen zu ersetzen. Dies betrifft grundsätzlich sowohl Absender- als auch Zieladressen.

Einer der Hauptgründe für die Entwicklung dieses Standards war die Knappheit an öffentlichen IP-Adressen und die Möglichkeit, private Adressierungen in abgegrenzten Netzbereichen zu verwenden. Mit Network Address Translation lassen sich private und öffentliche Netzbereiche trennen. Geräte an den Netzgrenzen wie Router übernehmen das Austauschen der privaten und öffentlichen IP-Adressen. Prinzipiell sinkt dadurch der Bedarf an öffentlichen IP-Adressen, da es so möglich ist, viele verschiedene Endgeräte mit nur einer einzigen öffentlichen IP-Adresse mit dem Internet zu verbinden. Durch die Verwendung von Network Address Translation kann zudem ein Zugewinn an Sicherheit für private Netzwerke erzielt werden.

Hauptmotivation für die Verwendung von NAT

Wie bereits erwähnt ist die Knappheit an öffentlichen IPv4-Adressen eine der Hauptmotivationen für die Verwendung von Network Address Translation. Lokale Netzwerke lassen sich mit dem Internet verbinden, ohne dass für die einzelnen Endgeräte eigene öffentliche IP-Adressen vorhanden sein müssen.

Im lokalen Netzwerk kommen private Adressen zum Einsatz, die im öffentlichen Internet nicht geroutet und daher mehrfach in verschiedenen Netzwerken nutzbar sind. Überschreitet ein Datenpaket die Netzwerkgrenze zwischen öffentlichem und lokalen Netzwerk, tauscht der Router die IP-Adressen passend aus. Hierfür ist er mit einer Übersetzungstabelle ausgestattet (NAT-Table).

Da NAT die Ende-zu-Ende-Konnektivität der Kommunikation unterbricht, stellt es nur eine Art Notlösung dar. Durch die Einführung von IPv6 verschwindet die Notwendigkeit der Adressübersetzung, da mit IPv6 genügend öffentliche IP-Adressen für jedes Endgerät vorhanden sind.

Network Address Translation lässt sich auch dafür verwenden, verschiedene lokale Netzwerke mit überlappenden Adressbereichen miteinander zu verbinden. Zudem sind Server in einem lokalen Netz durch die Adressübersetzung vor dem öffentlichen Internet verborgen und geschützt.

Abgrenzung der Begriffe NAT und PAT

Oft kommen die Begriffe NAT und PAT (Port-and-Address-Translation) im Umfeld der Adressübersetzung parallel zum Einsatz. Technisch lassen sich die beiden Verfahren jedoch klar voneinander trennen. Während bei NAT eine IP-Adresse 1:1 durch eine andere IP-Adresse ersetzt wird, teilen sich bei PAT mehrere IP-Adressen nach der Übersetzung eine einzige IP-Adresse. Um dennoch eine exakte Zuordnung der Datenpakete zu treffen, kommen Portnummern zum Einsatz.

PAT hat sich als Standard für die Verbindung von Heimnetzwerken mit dem Internet etabliert. In der Regel erhält ein Teilnehmer von seinem Internetprovider nur eine einzige öffentliche IP-Adresse zugeteilt, mit der sich alle Endgeräte im heimischen Netz mit dem Internet verbinden. Der Internetzugangsrouter übernimmt die Aufgabe der Adressübersetzung und nutzt die Portnummern für die Zuteilung der Datenpakete aus dem Internet.

Durch Network Address Translation verursachte Probleme

Network Address Translation durchbricht das Grundprinzip der Ende-zu-Ende-Verbindung im IP-Netz und verursacht dadurch viele Probleme. Sollen Endgeräte über NAT-Grenzen hinweg kommunizieren, sind Mechanismen vorzusehen, die das Überwinden der Netzwerkgrenzen ermöglichen.

Aufgrund der Umschreibung von IP-Adressen in den Paket-Headern haben viele Protokolle und Verschlüsselungstechniken Probleme. Auch die Voice over IP Telefonie und andere Netzwerkservices leiden unter den durch die Network Address Translation verursachten Komplikationen. Beispielsweise ist es bei VoIP nicht möglich, direkte Verbindungen zwischen Gesprächsteilnehmern hinter NAT-Grenzen aufzubauen. Es müssen spezielle Server bereitgestellt werden, an die sich die Teilnehmer wenden, um die für den Verbindungsaufbau benötigten Adressen zu erfragen. So genannte STUN-Server (Session Traversal Utilities for NAT) bieten Lösungen für dieses Problem.

Ein weiterer Nachteil ist, dass ab einer bestimmten Anzahl an Verbindungen der NAT-Router unter Umständen an seine Übersetzungskapazität gelangt und keine neuen Verbindungen mehr möglich sind oder bestehende Sessions abbrechen.

Soll ein Server mit privater IP-Adresse hinter einem Router Services für User im öffentlichen Internet anbieten, sind dauerhafte Port-Weiterleitungen einzurichten. Die Weiterleitungen machen den Server über die öffentliche IP-Adresse des Routers und einen bestimmten TCP- oder UDP-Port erreichbar.

Verschlüsselungsprotokolle haben aufgrund von Network Address Translation und den ausgetauschten IP-Adressen oft Probleme mit den Checksummen der Header und der Integritätskontrolle.

Source und Destination Network Address Translation

Grundsätzlich kann zwischen Source und Destination Network Address Translation (SNAT und DNAT) unterschieden werden. Während beim SNAT die Quelladresse ausgetauscht wird, ersetzt DNAT die Zieladresse. SNAT und DNAT sind einzeln aber auch gemeinsam auf ein IP-Paket anwendbar. SNAT ist das typische Verfahren für private Internetzugänge. DNAT lässt sich beispielsweise nutzen, um Serverdienste, die auf verschiedenen Rechnern betrieben werden, über eine einzige Adresse erreichbar zu machen.

NAT und Aspekte der Sicherheit

Oft wird Network Address Translation als Sicherheitsmerkmal bezeichnet, da es Endgeräte hinter einem Router vor dem öffentlichen Internet verbirgt. Die Systeme sind dadurch aus dem Internet nicht mehr erreichbar. Nur der Verbindungsaufbau vom Endgerät aus ist möglich. Dadurch entsteht ein Schutz ähnlich wie bei einer rudimentären Firewall. Allerdings kann Network Address Translation keine vollwertige Firewall und Paketfilter ersetzen.

IP-Adressübersetzung und IPv6

IPv6 mit seinem wesentlich größeren Adressraum macht Network Address Translation überflüssig. Jedes Endgerät erhält eine eigene öffentliche IPv6-Adresse und kann ohne die typischen Probleme der Adressübersetzung mit beliebigen Endgeräten Ende-zu-Ende-Verbindungen aufbauen. Auch Protokolle wie STUN werden dank IPv6 nicht mehr benötigt. Die Notwendigkeit von Firewalls zum Schutz von Endgeräten und Netzwerken bleibt jedoch bestehen.

(ID:45013879)

Über den Autor