Definition

Was ist NAT (Network Address Translation)?

| Autor / Redakteur: tutanch / Andreas Donner

(© aga7ta - Fotolia)

Network Address Translation (NAT) ermöglicht es, die Ziel- oder Quell-IP-Adressen eines Datenpakets durch eine andere Adresse zu ersetzen. NAT wird häufig verwendet, um aufgrund der Knappheit öffentlicher IP-Adressen mit privaten IP-Adressen im Internet zu kommunizieren. Diese Maskierung mehrerer privater IP-Adressen hinter einer öffentlichen IP-Adresse hat auch sicherheitstechnische Vorteile.

Network Address Translation, abgekürzt NAT, wurde bereits in den 1990er Jahren spezifiziert und ist unter anderem im RFC 1631 beschrieben. Mit Hilfe von NAT ist es möglich, die IP-Adressen in IP-Datenpaketen zu ersetzen. Dies betrifft grundsätzlich sowohl Absender- als auch Zieladressen.

Einer der Hauptgründe für die Entwicklung dieses Standards war die Knappheit an öffentlichen IP-Adressen und die Möglichkeit, private Adressierungen in abgegrenzten Netzbereichen zu verwenden. Mit Network Address Translation lassen sich private und öffentliche Netzbereiche trennen. Geräte an den Netzgrenzen wie Router übernehmen das Austauschen der privaten und öffentlichen IP-Adressen. Prinzipiell sinkt dadurch der Bedarf an öffentlichen IP-Adressen, da es so möglich ist, viele verschiedene Endgeräte mit nur einer einzigen öffentlichen IP-Adresse mit dem Internet zu verbinden. Durch die Verwendung von Network Address Translation kann zudem ein Zugewinn an Sicherheit für private Netzwerke erzielt werden.

Hauptmotivation für die Verwendung von NAT

Wie bereits erwähnt ist die Knappheit an öffentlichen IPv4-Adressen eine der Hauptmotivationen für die Verwendung von Network Address Translation. Lokale Netzwerke lassen sich mit dem Internet verbinden, ohne dass für die einzelnen Endgeräte eigene öffentliche IP-Adressen vorhanden sein müssen.

Im lokalen Netzwerk kommen private Adressen zum Einsatz, die im öffentlichen Internet nicht geroutet und daher mehrfach in verschiedenen Netzwerken nutzbar sind. Überschreitet ein Datenpaket die Netzwerkgrenze zwischen öffentlichem und lokalen Netzwerk, tauscht der Router die IP-Adressen passend aus. Hierfür ist er mit einer Übersetzungstabelle ausgestattet (NAT-Table).

Da NAT die Ende-zu-Ende-Konnektivität der Kommunikation unterbricht, stellt es nur eine Art Notlösung dar. Durch die Einführung von IPv6 verschwindet die Notwendigkeit der Adressübersetzung, da mit IPv6 genügend öffentliche IP-Adressen für jedes Endgerät vorhanden sind.

Network Address Translation lässt sich auch dafür verwenden, verschiedene lokale Netzwerke mit überlappenden Adressbereichen miteinander zu verbinden. Zudem sind Server in einem lokalen Netz durch die Adressübersetzung vor dem öffentlichen Internet verborgen und geschützt.

Abgrenzung der Begriffe NAT und PAT

Oft kommen die Begriffe NAT und PAT (Port-and-Address-Translation) im Umfeld der Adressübersetzung parallel zum Einsatz. Technisch lassen sich die beiden Verfahren jedoch klar voneinander trennen. Während bei NAT eine IP-Adresse 1:1 durch eine andere IP-Adresse ersetzt wird, teilen sich bei PAT mehrere IP-Adressen nach der Übersetzung eine einzige IP-Adresse. Um dennoch eine exakte Zuordnung der Datenpakete zu treffen, kommen Portnummern zum Einsatz.

PAT hat sich als Standard für die Verbindung von Heimnetzwerken mit dem Internet etabliert. In der Regel erhält ein Teilnehmer von seinem Internetprovider nur eine einzige öffentliche IP-Adresse zugeteilt, mit der sich alle Endgeräte im heimischen Netz mit dem Internet verbinden. Der Internetzugangsrouter übernimmt die Aufgabe der Adressübersetzung und nutzt die Portnummern für die Zuteilung der Datenpakete aus dem Internet.

Durch Network Address Translation verursachte Probleme

Network Address Translation durchbricht das Grundprinzip der Ende-zu-Ende-Verbindung im IP-Netz und verursacht dadurch viele Probleme. Sollen Endgeräte über NAT-Grenzen hinweg kommunizieren, sind Mechanismen vorzusehen, die das Überwinden der Netzwerkgrenzen ermöglichen.

Aufgrund der Umschreibung von IP-Adressen in den Paket-Headern haben viele Protokolle und Verschlüsselungstechniken Probleme. Auch die Voice over IP Telefonie und andere Netzwerkservices leiden unter den durch die Network Address Translation verursachten Komplikationen. Beispielsweise ist es bei VoIP nicht möglich, direkte Verbindungen zwischen Gesprächsteilnehmern hinter NAT-Grenzen aufzubauen. Es müssen spezielle Server bereitgestellt werden, an die sich die Teilnehmer wenden, um die für den Verbindungsaufbau benötigten Adressen zu erfragen. So genannte STUN-Server (Session Traversal Utilities for NAT) bieten Lösungen für dieses Problem.

Ein weiterer Nachteil ist, dass ab einer bestimmten Anzahl an Verbindungen der NAT-Router unter Umständen an seine Übersetzungskapazität gelangt und keine neuen Verbindungen mehr möglich sind oder bestehende Sessions abbrechen.

Soll ein Server mit privater IP-Adresse hinter einem Router Services für User im öffentlichen Internet anbieten, sind dauerhafte Port-Weiterleitungen einzurichten. Die Weiterleitungen machen den Server über die öffentliche IP-Adresse des Routers und einen bestimmten TCP- oder UDP-Port erreichbar.

Verschlüsselungsprotokolle haben aufgrund von Network Address Translation und den ausgetauschten IP-Adressen oft Probleme mit den Checksummen der Header und der Integritätskontrolle.

Source und Destination Network Address Translation

Grundsätzlich kann zwischen Source und Destination Network Address Translation (SNAT und DNAT) unterschieden werden. Während beim SNAT die Quelladresse ausgetauscht wird, ersetzt DNAT die Zieladresse. SNAT und DNAT sind einzeln aber auch gemeinsam auf ein IP-Paket anwendbar. SNAT ist das typische Verfahren für private Internetzugänge. DNAT lässt sich beispielsweise nutzen, um Serverdienste, die auf verschiedenen Rechnern betrieben werden, über eine einzige Adresse erreichbar zu machen.

NAT und Aspekte der Sicherheit

Oft wird Network Address Translation als Sicherheitsmerkmal bezeichnet, da es Endgeräte hinter einem Router vor dem öffentlichen Internet verbirgt. Die Systeme sind dadurch aus dem Internet nicht mehr erreichbar. Nur der Verbindungsaufbau vom Endgerät aus ist möglich. Dadurch entsteht ein Schutz ähnlich wie bei einer rudimentären Firewall. Allerdings kann Network Address Translation keine vollwertige Firewall und Paketfilter ersetzen.

IP-Adressübersetzung und IPv6

IPv6 mit seinem wesentlich größeren Adressraum macht Network Address Translation überflüssig. Jedes Endgerät erhält eine eigene öffentliche IPv6-Adresse und kann ohne die typischen Probleme der Adressübersetzung mit beliebigen Endgeräten Ende-zu-Ende-Verbindungen aufbauen. Auch Protokolle wie STUN werden dank IPv6 nicht mehr benötigt. Die Notwendigkeit von Firewalls zum Schutz von Endgeräten und Netzwerken bleibt jedoch bestehen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Mit Carrier-Grade-NAT gegen die IPv4-Knappheit

Leucom setzt in Sachen Network Address Translation auf Thunder CGN von A10 Networks

Mit Carrier-Grade-NAT gegen die IPv4-Knappheit

Beim Thurgauer Internet-Provider Leucom werden, wie bei vielen ISPs, die IPv4-Adressen knapp. Carrier-Grade-NAT (CGN) ermöglicht es dort jedoch, mit der aufwendigen und komplexen Umstellung auf IPv6 noch zu warten. lesen

A10 erweitert ADC-Portfolio

SSL per Hardware beschleunigt, Latenzen und Jitter gesenkt

A10 erweitert ADC-Portfolio

A10 Networks erweitert das Angebot seiner Application Delivery Controller (ADC) der Thunder-Reihe. Während die Appliance A10 Thunder 3745 für latenzsensible Anwendungen von Finanzinstituten optimiert ist, sollen Thunder 940 und 1040 als Einstiegslösungen für Unternehmen dienen. lesen

OS-Update für besseres Experience-Management

Flexibilität der Mandantenfähigkeit und der Datenebene

OS-Update für besseres Experience-Management

SmartZone OS, das Betriebssystem für das Controller-Portfolio von Ruckus Wireless, bietet laut Hersteller in der Version 3.5 mehr als 30 neue Funktionen und Erweiterungen für eine bessere End-User-Erfahrung und ein flexibleres Sicherheits- und Policy-Management. lesen

SDN für alle

VMware veröffentlicht NSX 6.3

SDN für alle

VMware hat eine neue Hauptversion 6.3 seines Netzwerkvirtualisierungsprodukts „NSX“ veröffentlicht. Neben der Variante „NSX for vSphere 6.3“ wurde auch die Version „NSX for Multihypervisors - NSX-T 1.1“ aktualisiert. Beide bieten Verbesserungen im Bereich Sicherheit und Überwachung. lesen

Fallstricke der Cloud-Migration

Die Netzwerkarchitektur richtig vorbereiten

Fallstricke der Cloud-Migration

Die Cloud ist mittlerweile auch in deutschen Unternehmen angekommen. Bei der Einführung von Cloud-Projekten bestehen aber immer noch Unsicherheiten. Am Beispiel von Office 365 erklärt Zscaler Solution Architect Claus Vaupel, worauf es bei der Migration ankommt. lesen

IPv6 – Ignorieren (fast) unmöglich

Status und Planungsansätze von IPv6

IPv6 – Ignorieren (fast) unmöglich

IPv6 kommt! Diese Aussage hören IT-Verantwortliche schon eine ganze Weile und doch arbeitet ein Großteil der Firmen noch mit IPv4. Die oft beschworene Unterversorgung mit Netzwerkadressen lässt scheinbar ebenfalls auf sich warten. lesen

VPN – sicherer Tunnel für den Datenverkehr

VPN-Grundlagen, -Bestandteile und -Lösungen

VPN – sicherer Tunnel für den Datenverkehr

Wer Außendienstmitarbeiter und Zweigstellen mit dem Firmennetzwerk verbinden will oder muss, wird diese Verbindung über das Internet aufbauen. Doch ein derartiger Zugriff muss sicher sein – es wird Zeit, sich mit der Einführung eines virtuellen privaten Netzwerks (VPN) zu befassen. lesen

NAT in Hyper-V- und vSphere-Umgebungen nutzen

Netzwerkkonfiguration virtueller Maschinen

NAT in Hyper-V- und vSphere-Umgebungen nutzen

Nicht immer benötigen virtuelle Server oder Hosts in Hyper-V oder vSphere direkte Verbindungen zum Internet, sondern können auf Basis von NAT auch über die Netzwerke des Hosts kommunizieren. Die Erzeugung von NAT-Swiches für ein NAT-Netz ist aktuell in Microsoft Hyper-V-Umgebungen allerdings ein wenig Tricky. lesen

Wie das mobile Internet IPv6 vorantreibt

Mobilfunknetze als Akzeptanzbeschleuniger

Wie das mobile Internet IPv6 vorantreibt

Unternehmen, in denen mobile Performance eine wichtige Rolle spielt, sollten sicherstellen, dass ihre Apps sowohl im reinen IPv6- als auch im Dual-Stack-Betrieb arbeiten. In Mobilfunknetzen ist IPv6 bereits weit verbreitet und das Internetprotokoll bietet zudem in einigen Netzen schon eine höhere Geschwindigkeit als IPv4. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45013879 / Definitionen)