Definition

Was ist NAT (Network Address Translation)?

| Autor / Redakteur: Stefan Luber / Andreas Donner

(© aga7ta - Fotolia)

Network Address Translation (NAT) ermöglicht es, die Ziel- oder Quell-IP-Adressen eines Datenpakets durch eine andere Adresse zu ersetzen. NAT wird häufig verwendet, um aufgrund der Knappheit öffentlicher IP-Adressen mit privaten IP-Adressen im Internet zu kommunizieren. Diese Maskierung mehrerer privater IP-Adressen hinter einer öffentlichen IP-Adresse hat auch sicherheitstechnische Vorteile.

Network Address Translation, abgekürzt NAT, wurde bereits in den 1990er Jahren spezifiziert und ist unter anderem im RFC 1631 beschrieben. Mit Hilfe von NAT ist es möglich, die IP-Adressen in IP-Datenpaketen zu ersetzen. Dies betrifft grundsätzlich sowohl Absender- als auch Zieladressen.

Einer der Hauptgründe für die Entwicklung dieses Standards war die Knappheit an öffentlichen IP-Adressen und die Möglichkeit, private Adressierungen in abgegrenzten Netzbereichen zu verwenden. Mit Network Address Translation lassen sich private und öffentliche Netzbereiche trennen. Geräte an den Netzgrenzen wie Router übernehmen das Austauschen der privaten und öffentlichen IP-Adressen. Prinzipiell sinkt dadurch der Bedarf an öffentlichen IP-Adressen, da es so möglich ist, viele verschiedene Endgeräte mit nur einer einzigen öffentlichen IP-Adresse mit dem Internet zu verbinden. Durch die Verwendung von Network Address Translation kann zudem ein Zugewinn an Sicherheit für private Netzwerke erzielt werden.

Hauptmotivation für die Verwendung von NAT

Wie bereits erwähnt ist die Knappheit an öffentlichen IPv4-Adressen eine der Hauptmotivationen für die Verwendung von Network Address Translation. Lokale Netzwerke lassen sich mit dem Internet verbinden, ohne dass für die einzelnen Endgeräte eigene öffentliche IP-Adressen vorhanden sein müssen.

Im lokalen Netzwerk kommen private Adressen zum Einsatz, die im öffentlichen Internet nicht geroutet und daher mehrfach in verschiedenen Netzwerken nutzbar sind. Überschreitet ein Datenpaket die Netzwerkgrenze zwischen öffentlichem und lokalen Netzwerk, tauscht der Router die IP-Adressen passend aus. Hierfür ist er mit einer Übersetzungstabelle ausgestattet (NAT-Table).

Da NAT die Ende-zu-Ende-Konnektivität der Kommunikation unterbricht, stellt es nur eine Art Notlösung dar. Durch die Einführung von IPv6 verschwindet die Notwendigkeit der Adressübersetzung, da mit IPv6 genügend öffentliche IP-Adressen für jedes Endgerät vorhanden sind.

Network Address Translation lässt sich auch dafür verwenden, verschiedene lokale Netzwerke mit überlappenden Adressbereichen miteinander zu verbinden. Zudem sind Server in einem lokalen Netz durch die Adressübersetzung vor dem öffentlichen Internet verborgen und geschützt.

Abgrenzung der Begriffe NAT und PAT

Oft kommen die Begriffe NAT und PAT (Port-and-Address-Translation) im Umfeld der Adressübersetzung parallel zum Einsatz. Technisch lassen sich die beiden Verfahren jedoch klar voneinander trennen. Während bei NAT eine IP-Adresse 1:1 durch eine andere IP-Adresse ersetzt wird, teilen sich bei PAT mehrere IP-Adressen nach der Übersetzung eine einzige IP-Adresse. Um dennoch eine exakte Zuordnung der Datenpakete zu treffen, kommen Portnummern zum Einsatz.

PAT hat sich als Standard für die Verbindung von Heimnetzwerken mit dem Internet etabliert. In der Regel erhält ein Teilnehmer von seinem Internetprovider nur eine einzige öffentliche IP-Adresse zugeteilt, mit der sich alle Endgeräte im heimischen Netz mit dem Internet verbinden. Der Internetzugangsrouter übernimmt die Aufgabe der Adressübersetzung und nutzt die Portnummern für die Zuteilung der Datenpakete aus dem Internet.

Durch Network Address Translation verursachte Probleme

Network Address Translation durchbricht das Grundprinzip der Ende-zu-Ende-Verbindung im IP-Netz und verursacht dadurch viele Probleme. Sollen Endgeräte über NAT-Grenzen hinweg kommunizieren, sind Mechanismen vorzusehen, die das Überwinden der Netzwerkgrenzen ermöglichen.

Aufgrund der Umschreibung von IP-Adressen in den Paket-Headern haben viele Protokolle und Verschlüsselungstechniken Probleme. Auch die Voice over IP Telefonie und andere Netzwerkservices leiden unter den durch die Network Address Translation verursachten Komplikationen. Beispielsweise ist es bei VoIP nicht möglich, direkte Verbindungen zwischen Gesprächsteilnehmern hinter NAT-Grenzen aufzubauen. Es müssen spezielle Server bereitgestellt werden, an die sich die Teilnehmer wenden, um die für den Verbindungsaufbau benötigten Adressen zu erfragen. So genannte STUN-Server (Session Traversal Utilities for NAT) bieten Lösungen für dieses Problem.

Ein weiterer Nachteil ist, dass ab einer bestimmten Anzahl an Verbindungen der NAT-Router unter Umständen an seine Übersetzungskapazität gelangt und keine neuen Verbindungen mehr möglich sind oder bestehende Sessions abbrechen.

Soll ein Server mit privater IP-Adresse hinter einem Router Services für User im öffentlichen Internet anbieten, sind dauerhafte Port-Weiterleitungen einzurichten. Die Weiterleitungen machen den Server über die öffentliche IP-Adresse des Routers und einen bestimmten TCP- oder UDP-Port erreichbar.

Verschlüsselungsprotokolle haben aufgrund von Network Address Translation und den ausgetauschten IP-Adressen oft Probleme mit den Checksummen der Header und der Integritätskontrolle.

Source und Destination Network Address Translation

Grundsätzlich kann zwischen Source und Destination Network Address Translation (SNAT und DNAT) unterschieden werden. Während beim SNAT die Quelladresse ausgetauscht wird, ersetzt DNAT die Zieladresse. SNAT und DNAT sind einzeln aber auch gemeinsam auf ein IP-Paket anwendbar. SNAT ist das typische Verfahren für private Internetzugänge. DNAT lässt sich beispielsweise nutzen, um Serverdienste, die auf verschiedenen Rechnern betrieben werden, über eine einzige Adresse erreichbar zu machen.

NAT und Aspekte der Sicherheit

Oft wird Network Address Translation als Sicherheitsmerkmal bezeichnet, da es Endgeräte hinter einem Router vor dem öffentlichen Internet verbirgt. Die Systeme sind dadurch aus dem Internet nicht mehr erreichbar. Nur der Verbindungsaufbau vom Endgerät aus ist möglich. Dadurch entsteht ein Schutz ähnlich wie bei einer rudimentären Firewall. Allerdings kann Network Address Translation keine vollwertige Firewall und Paketfilter ersetzen.

IP-Adressübersetzung und IPv6

IPv6 mit seinem wesentlich größeren Adressraum macht Network Address Translation überflüssig. Jedes Endgerät erhält eine eigene öffentliche IPv6-Adresse und kann ohne die typischen Probleme der Adressübersetzung mit beliebigen Endgeräten Ende-zu-Ende-Verbindungen aufbauen. Auch Protokolle wie STUN werden dank IPv6 nicht mehr benötigt. Die Notwendigkeit von Firewalls zum Schutz von Endgeräten und Netzwerken bleibt jedoch bestehen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Die beliebtesten VPN-Anbieter 2019

IT-Awards 2019

Die beliebtesten VPN-Anbieter 2019

Wer über das Internet eine sichere Verbindung zu einem Firmennetzwerk herstellen will, setzt in der Regel auf ein Virtual Private Network (VPN). Es gestattet den Aufbau einer verschlüsselten, in sich geschlossenen und manipulationssicheren Kommunikation über eigentlich öffentlich zugängliche Netzwerke. lesen

Mellanox SN3000-Familie kommt mit Spectrum 2

Ethernet Cloud Fabric bringt mehr Performance und Features

Mellanox SN3000-Familie kommt mit Spectrum 2

Mit der SN3000-Familie kündigt Mellanox die ersten Switches an, die auf dem Spectrum-2-ASIC basieren. Der Chip unterstützt Port-Geschwindigkeiten bis zu 400 Gbit/s und soll genug Leistung für anspruchsvolle virtualisierte Umgebungen liefern. lesen

Drahtlose Echtzeit-Videoübertragung mit Terahertz

Demonstration von Fraunhofer HHI und IAF

Drahtlose Echtzeit-Videoübertragung mit Terahertz

Forschenden des Fraunhofer Heinrich-Hertz-Instituts HHI und des Fraunhofer-Instituts für Angewandte Festkörperphysik IAF ist es erstmals gelungen, ein 4K-Video in Echtzeit über einen drahtlosen Terahertz-Link mit einer Kapazität von 100 GBit/s zu übertragen. lesen

400G-Plattformen für die Transformation von Cloud-Netzwerken

Switches für alle Layer eines Netzwerks

400G-Plattformen für die Transformation von Cloud-Netzwerken

Die von Arista Networks neu entwickelte Switch-Serie Arista 7800R3 sowie die aktualisierten Serien 7500R3 und 7280R3 unterstützen 100G- und 400G-Ethernet und bieten laut Hersteller neueste Telemetrie. Das Betriebssystem EOS sorge für Verbesserungen bei Routing, Sicherheit und Automatisierung. lesen

Industrierouter mit Firewall

VPN-Lösung für das IoT

Industrierouter mit Firewall

Der Tosibox Lock 150 von Hy-Line Communication könne als Endpunkt für sichere Fernverbindungen dienen. Mit dem Lock verbundene IoT-Geräte seien über das Internet und die meisten LAN- und WAN-Netzwerke mittels verschlüsselter VPN-Verbindung sicher zugänglich. lesen

Juniper plant SD-WAN as a Service

Contrail-Lösung mit Managed-Cloud-Deployment-Option

Juniper plant SD-WAN as a Service

Juniper Networks will seine SD-WAN-Lösung nun auch als Cloud-basierten Dienst verfügbar machen. Das skalierbare Angebot solle Vorzüge von Software-Defined Networking (SDN) in Zweigstellen bringen, Sicherheitslösungen integrieren und die WLAN-Lösungen des übernommen Anbieters Mist Systems einbinden. lesen

Test: Airtame Screen Mirroring

Screen Mirroring, Digital Signage und Access Point in einem

Test: Airtame Screen Mirroring

Weit mehr als Screen Mirroring bietet die gleichnamige Lösung des dänischen Anbieters Airtame. Das Produkt wertet ungenutzte Bildschirme zusätzlich mit Digital Signage auf und fungiert notfalls sogar als Access Point für das Firmennetz. Wir haben das alles ausprobiert. lesen

WPA3 für Access Points und Router von Lancom

Betriebssystem-Release LCOS 10.20

WPA3 für Access Points und Router von Lancom

Mit dem Betriebssystem-Release LCOS 10.20 unterstützen alle aktuellen Access Points und WLAN-Router von Lancom den neuen WLAN-Sicherheitsstandard WPA3. Das kostenlose Update biete zudem einen Auto-Updater sowie Unterstützung für WAN Policy-Based NAT und die Routing-Architektur LISP. lesen

So funktioniert Network Functions Virtualization

Ein Netzwerk, ein Server

So funktioniert Network Functions Virtualization

Unterschiedliche Netzwerkfunktionen wie Firewall, Load Balancer oder Router laufen gemeinsam auf einem Standard-x86-Server: Network Functions Virtualization heißt dieser Trend. Unternehmen werden damit flexibler und sparen Wartungskosten, Strom und Platz. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45013879 / Definitionen)