Definition

Was ist NAT (Network Address Translation)?

| Autor / Redakteur: Stefan Luber / Andreas Donner

(© aga7ta - Fotolia)

Network Address Translation (NAT) ermöglicht es, die Ziel- oder Quell-IP-Adressen eines Datenpakets durch eine andere Adresse zu ersetzen. NAT wird häufig verwendet, um aufgrund der Knappheit öffentlicher IP-Adressen mit privaten IP-Adressen im Internet zu kommunizieren. Diese Maskierung mehrerer privater IP-Adressen hinter einer öffentlichen IP-Adresse hat auch sicherheitstechnische Vorteile.

Network Address Translation, abgekürzt NAT, wurde bereits in den 1990er Jahren spezifiziert und ist unter anderem im RFC 1631 beschrieben. Mit Hilfe von NAT ist es möglich, die IP-Adressen in IP-Datenpaketen zu ersetzen. Dies betrifft grundsätzlich sowohl Absender- als auch Zieladressen.

Einer der Hauptgründe für die Entwicklung dieses Standards war die Knappheit an öffentlichen IP-Adressen und die Möglichkeit, private Adressierungen in abgegrenzten Netzbereichen zu verwenden. Mit Network Address Translation lassen sich private und öffentliche Netzbereiche trennen. Geräte an den Netzgrenzen wie Router übernehmen das Austauschen der privaten und öffentlichen IP-Adressen. Prinzipiell sinkt dadurch der Bedarf an öffentlichen IP-Adressen, da es so möglich ist, viele verschiedene Endgeräte mit nur einer einzigen öffentlichen IP-Adresse mit dem Internet zu verbinden. Durch die Verwendung von Network Address Translation kann zudem ein Zugewinn an Sicherheit für private Netzwerke erzielt werden.

Hauptmotivation für die Verwendung von NAT

Wie bereits erwähnt ist die Knappheit an öffentlichen IPv4-Adressen eine der Hauptmotivationen für die Verwendung von Network Address Translation. Lokale Netzwerke lassen sich mit dem Internet verbinden, ohne dass für die einzelnen Endgeräte eigene öffentliche IP-Adressen vorhanden sein müssen.

Im lokalen Netzwerk kommen private Adressen zum Einsatz, die im öffentlichen Internet nicht geroutet und daher mehrfach in verschiedenen Netzwerken nutzbar sind. Überschreitet ein Datenpaket die Netzwerkgrenze zwischen öffentlichem und lokalen Netzwerk, tauscht der Router die IP-Adressen passend aus. Hierfür ist er mit einer Übersetzungstabelle ausgestattet (NAT-Table).

Da NAT die Ende-zu-Ende-Konnektivität der Kommunikation unterbricht, stellt es nur eine Art Notlösung dar. Durch die Einführung von IPv6 verschwindet die Notwendigkeit der Adressübersetzung, da mit IPv6 genügend öffentliche IP-Adressen für jedes Endgerät vorhanden sind.

Network Address Translation lässt sich auch dafür verwenden, verschiedene lokale Netzwerke mit überlappenden Adressbereichen miteinander zu verbinden. Zudem sind Server in einem lokalen Netz durch die Adressübersetzung vor dem öffentlichen Internet verborgen und geschützt.

Abgrenzung der Begriffe NAT und PAT

Oft kommen die Begriffe NAT und PAT (Port-and-Address-Translation) im Umfeld der Adressübersetzung parallel zum Einsatz. Technisch lassen sich die beiden Verfahren jedoch klar voneinander trennen. Während bei NAT eine IP-Adresse 1:1 durch eine andere IP-Adresse ersetzt wird, teilen sich bei PAT mehrere IP-Adressen nach der Übersetzung eine einzige IP-Adresse. Um dennoch eine exakte Zuordnung der Datenpakete zu treffen, kommen Portnummern zum Einsatz.

PAT hat sich als Standard für die Verbindung von Heimnetzwerken mit dem Internet etabliert. In der Regel erhält ein Teilnehmer von seinem Internetprovider nur eine einzige öffentliche IP-Adresse zugeteilt, mit der sich alle Endgeräte im heimischen Netz mit dem Internet verbinden. Der Internetzugangsrouter übernimmt die Aufgabe der Adressübersetzung und nutzt die Portnummern für die Zuteilung der Datenpakete aus dem Internet.

Durch Network Address Translation verursachte Probleme

Network Address Translation durchbricht das Grundprinzip der Ende-zu-Ende-Verbindung im IP-Netz und verursacht dadurch viele Probleme. Sollen Endgeräte über NAT-Grenzen hinweg kommunizieren, sind Mechanismen vorzusehen, die das Überwinden der Netzwerkgrenzen ermöglichen.

Aufgrund der Umschreibung von IP-Adressen in den Paket-Headern haben viele Protokolle und Verschlüsselungstechniken Probleme. Auch die Voice over IP Telefonie und andere Netzwerkservices leiden unter den durch die Network Address Translation verursachten Komplikationen. Beispielsweise ist es bei VoIP nicht möglich, direkte Verbindungen zwischen Gesprächsteilnehmern hinter NAT-Grenzen aufzubauen. Es müssen spezielle Server bereitgestellt werden, an die sich die Teilnehmer wenden, um die für den Verbindungsaufbau benötigten Adressen zu erfragen. So genannte STUN-Server (Session Traversal Utilities for NAT) bieten Lösungen für dieses Problem.

Ein weiterer Nachteil ist, dass ab einer bestimmten Anzahl an Verbindungen der NAT-Router unter Umständen an seine Übersetzungskapazität gelangt und keine neuen Verbindungen mehr möglich sind oder bestehende Sessions abbrechen.

Soll ein Server mit privater IP-Adresse hinter einem Router Services für User im öffentlichen Internet anbieten, sind dauerhafte Port-Weiterleitungen einzurichten. Die Weiterleitungen machen den Server über die öffentliche IP-Adresse des Routers und einen bestimmten TCP- oder UDP-Port erreichbar.

Verschlüsselungsprotokolle haben aufgrund von Network Address Translation und den ausgetauschten IP-Adressen oft Probleme mit den Checksummen der Header und der Integritätskontrolle.

Source und Destination Network Address Translation

Grundsätzlich kann zwischen Source und Destination Network Address Translation (SNAT und DNAT) unterschieden werden. Während beim SNAT die Quelladresse ausgetauscht wird, ersetzt DNAT die Zieladresse. SNAT und DNAT sind einzeln aber auch gemeinsam auf ein IP-Paket anwendbar. SNAT ist das typische Verfahren für private Internetzugänge. DNAT lässt sich beispielsweise nutzen, um Serverdienste, die auf verschiedenen Rechnern betrieben werden, über eine einzige Adresse erreichbar zu machen.

NAT und Aspekte der Sicherheit

Oft wird Network Address Translation als Sicherheitsmerkmal bezeichnet, da es Endgeräte hinter einem Router vor dem öffentlichen Internet verbirgt. Die Systeme sind dadurch aus dem Internet nicht mehr erreichbar. Nur der Verbindungsaufbau vom Endgerät aus ist möglich. Dadurch entsteht ein Schutz ähnlich wie bei einer rudimentären Firewall. Allerdings kann Network Address Translation keine vollwertige Firewall und Paketfilter ersetzen.

IP-Adressübersetzung und IPv6

IPv6 mit seinem wesentlich größeren Adressraum macht Network Address Translation überflüssig. Jedes Endgerät erhält eine eigene öffentliche IPv6-Adresse und kann ohne die typischen Probleme der Adressübersetzung mit beliebigen Endgeräten Ende-zu-Ende-Verbindungen aufbauen. Auch Protokolle wie STUN werden dank IPv6 nicht mehr benötigt. Die Notwendigkeit von Firewalls zum Schutz von Endgeräten und Netzwerken bleibt jedoch bestehen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Diese Probleme von Traceroute sollten Sie kennen

Netzwerkdiagnose mit Traceroute unter der Lupe – Teil 2

Diese Probleme von Traceroute sollten Sie kennen

Die Möglichkeiten von Traceroute – dem bei vielen Admins sehr beliebten Tools für die Analyse des Netzwerk-Verhaltens – sind leider begrenzt. Neben den bereits in Teil 1 dieser Miniserie genannten Schwachstellen (siehe Verlinkung in den ersten Absätzen) schmälern aber noch zwei weitere Aspekte die Tauglichkeit des Monitoring-Werkzeugs. lesen

SD-WANs für globale cloudorientierte Unternehmen

SD-WAN-Edge-Plattform für mehr als 10.000 Standorte

SD-WANs für globale cloudorientierte Unternehmen

Mit Silver Peak Unity EdgeConnect sei nun die Orchestrierung und Verwaltung unterschiedlicher Netzwerk-Fabrics, eine „One-Click“-Automatisierung für die Anbindung an führende Cloud-Services, eine erweiterte Netzwerksegmentierung sowie ein unternehmensweiter Netzaufbau im Cloud-Maßstab möglich. lesen

IPTables für die Paketfilterung nutzen

Linux-Firewall verstehen

IPTables für die Paketfilterung nutzen

Geht es um die Einrichtung von Firewalls für Linux-Server, spielt der im Kernel enthaltene Netfilter, der mit „iptables“ gesteuert wird eine wichtige Rolle. Mit Regeln lassen sich komplexe Firewall-Umgebungen erstellen. Wir geben einen Überblick. lesen

Die beliebtesten VPN-Anbieter 2019

IT-Awards 2019

Die beliebtesten VPN-Anbieter 2019

Wer über das Internet eine sichere Verbindung zu einem Firmennetzwerk herstellen will, setzt in der Regel auf ein Virtual Private Network (VPN). Es gestattet den Aufbau einer verschlüsselten, in sich geschlossenen und manipulationssicheren Kommunikation über eigentlich öffentlich zugängliche Netzwerke. lesen

Mellanox SN3000-Familie kommt mit Spectrum 2

Ethernet Cloud Fabric bringt mehr Performance und Features

Mellanox SN3000-Familie kommt mit Spectrum 2

Mit der SN3000-Familie kündigt Mellanox die ersten Switches an, die auf dem Spectrum-2-ASIC basieren. Der Chip unterstützt Port-Geschwindigkeiten bis zu 400 Gbit/s und soll genug Leistung für anspruchsvolle virtualisierte Umgebungen liefern. lesen

Drahtlose Echtzeit-Videoübertragung mit Terahertz

Demonstration von Fraunhofer HHI und IAF

Drahtlose Echtzeit-Videoübertragung mit Terahertz

Forschenden des Fraunhofer Heinrich-Hertz-Instituts HHI und des Fraunhofer-Instituts für Angewandte Festkörperphysik IAF ist es erstmals gelungen, ein 4K-Video in Echtzeit über einen drahtlosen Terahertz-Link mit einer Kapazität von 100 GBit/s zu übertragen. lesen

400G-Plattformen für die Transformation von Cloud-Netzwerken

Switches für alle Layer eines Netzwerks

400G-Plattformen für die Transformation von Cloud-Netzwerken

Die von Arista Networks neu entwickelte Switch-Serie Arista 7800R3 sowie die aktualisierten Serien 7500R3 und 7280R3 unterstützen 100G- und 400G-Ethernet und bieten laut Hersteller neueste Telemetrie. Das Betriebssystem EOS sorge für Verbesserungen bei Routing, Sicherheit und Automatisierung. lesen

Industrierouter mit Firewall

VPN-Lösung für das IoT

Industrierouter mit Firewall

Der Tosibox Lock 150 von Hy-Line Communication könne als Endpunkt für sichere Fernverbindungen dienen. Mit dem Lock verbundene IoT-Geräte seien über das Internet und die meisten LAN- und WAN-Netzwerke mittels verschlüsselter VPN-Verbindung sicher zugänglich. lesen

Juniper plant SD-WAN as a Service

Contrail-Lösung mit Managed-Cloud-Deployment-Option

Juniper plant SD-WAN as a Service

Juniper Networks will seine SD-WAN-Lösung nun auch als Cloud-basierten Dienst verfügbar machen. Das skalierbare Angebot solle Vorzüge von Software-Defined Networking (SDN) in Zweigstellen bringen, Sicherheitslösungen integrieren und die WLAN-Lösungen des übernommen Anbieters Mist Systems einbinden. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45013879 / Definitionen)