Suchen

Definition Was ist PAT (Port Address Translation)?

Port Address Translation (PAT) ersetzt IP-Adressen eines privaten Netzwerks mit einer einzigen öffentlichen IP-Adresse. Die Zuordnung zu den Endgeräten erfolgt über neu vergebene Portnummern. PAT wird häufig für den Internetzugang genutzt und hilft, IPv4-Adressen einzusparen.

(© aga7ta - Fotolia)

Die Abkürzung PAT steht für Port Address Translation und bezeichnet eine bestimmte Variante der Network Address Translation (NAT). Bei dieser Form der Adressübersetzung werden die IP-Adressen aus einem privaten Netzwerk auf eine einzige öffentliche IP-Adresse abgebildet. Um eine Zuordnung von Datenpaketen zu den einzelnen Endgeräten im Internet zu treffen, werden die Portnummern neu vergeben.

Geräte, die Port Address Translation durchführen, arbeiten auf dem Layer 3 des ISO/OSI-Referenzmodellsund sind häufig Internetzugangsrouter wie DSL- oder Kabel-Router. Dank PAT benötigt ein privates Netzwerk nur noch eine öffentliche IP-Adresse, um mit anderen Geräten im Internet zu kommunizieren.

Die Methode hilft Providern, IPv4-Adressen einzusparen, da sie für einen Internetanschluss nur eine IP-Adresse aus ihrem Pool öffentlicher Adressen zuteilen müssen. Da die Geräte hinter einem PAT-Router von außen ohne eine bestehende Kommunikationsverbindung nicht erreichbar sind, erhöht sich die Sicherheit im privaten Netzwerk.

Andere Begriffe für Port Address Translation sind Network Address Port Translation (NAPT) oder 1-zu-n-NAT. Alle Geräte und Anwender im privaten Netzwerk treten im Internet unter einer IP-Adresse auf.

Funktionsweise von Port Address Translation

Private IP-Adressen sind im Netz nicht routbar. Sollen Endgeräte aus einem privaten Netz im Internet kommunizieren, benötigen sie eine registrierte öffentliche IP-Adresse. Bei der Port Address Translation ersetzt der für die Adressumsetzung verantwortliche Router im Datenpaket die Quelladresse des privaten Endgeräts gegen die öffentliche IP-Adresse des Routers. Zudem tauscht er die vom Client verwendete TCP- oder UDP-Portnummer gegen einen freien Port des Routers aus. Gegenüber Servern oder anderen Kommunikationsteilnehmern im Internet tritt der Router damit als Absender aller aus dem privaten Netzwerk versendeten Datenpakete auf.

Die Zuordnungen von IP-Adressen und Portnummern speichert der Router in einer NAT-Tabelle. Erhält er ein Datenpaket aus dem Internet auf einen bestimmten Port, schlägt er diesen in seiner Tabelle nach und fügt die ursprüngliche IP-Adresse und Portnummer als Zielinformation des Datenpakets ein. Anschließend kann die Zustellung im privaten Netzwerk erfolgen.

Außer der Zuordnung von IP-Adressen und Portnummern in der NAT-Tabelle besitzen die Router zu jeder Verbindung einen Zeitstempel und einen allgemeingültigen Timeout. Wird die Timoutzeit überschritten, löscht der Router den Eintrag aus seiner Tabelle. Treffen jetzt noch Datenpakete an das aus der Tabelle gelöschte Endgerät ein, stellt er aufgrund der als inaktiv gekennzeichneten Verbindung keine Pakete mehr zu. Dieser Mechanismus stellt sicher, dass die NAT-Tabellen überschaubar bleiben und inaktive Verbindungen nicht zu dauerhaft offenen Ports führen. Offene Ports sind von Hackern für Angriffe aus dem Internet missbräuchlich nutzbar.

Abgrenzung zwischen NAT und PAT

Die Begriffe Network Address Translation und Port Address Translation werden oft synonym verwendet. Allerdings handelt es sich bei PAT streng genommen um eine Variante von NAT. Während NAT die Möglichkeit beinhaltet, einzelne IP-Adressen 1:1 zu übersetzen, findet bei PAT stets eine n:1-Übersetzung statt. Durch die n:1-Adressübersetzung ist bei Port Address Translation zusätzlich der Austausch der Portnummern erforderlich. Bei der 1:1-Übersetzung können die Portnummern erhalten bleiben.

Da PAT bei IPv4-basierten Internetzugängen im privaten Umfeld Standard ist und es sich um eine NAT-Variante handelt, hat sich für dieses Verfahren im Sprachgebrauch der Begriff NAT etabliert. Meist ist, wenn von NAT gesprochen wird, Port Address Translation gemeint.

Vor- und Nachteile von PAT

Port Address Translation bringt viele Vorteile und einige Nachteile mit sich. Von Vorteil ist, dass bei PAT für mehrere Geräte nur noch eine öffentliche IPv4-Adresse benötigt wird. Dies spart Adressen und hilft der Knappheit von IPv4-Adressen zu begegnen. Gleichzeitig stellt der PAT-Router eine Barriere für Angriffe aus dem Netz dar, da er nur aktuell benutzte Ports offen hält. Alle anderen aus dem Internet eintreffenden Datenpakete werden verworfen. Dieses Verhalten erhöht die Sicherheit im privaten Netz.

Es handelt sich beim Router zwar nicht um eine vollwertige Firewallfunktion, es sind jedoch grundsätzliche Schutzmechanismen gegeben. Für die User hinter einem PAT-Router ist eine gewisse Anonymität sichergestellt, da alle Endgeräte mit der IP-Adresse des Routers kommunizieren. Eine Zuordnung zu den Endgeräten ist für Außenstehende nicht möglich und kann nur vom Router getroffen werden.

Ein gravierender Nachteil von PAT ist, dass das Grundprinzip der Ende-zu-Ende-Verbindung des Internets aufgebrochen wird. Anwendungen, die auf diesem Grundprinzip beruhen, können durch veränderte IP-Adressen und Portnummern Schwierigkeiten bekommen. Server im privaten Netzwerk sind hinter dem PAT-Router aus dem Internet nicht mehr erreichbar. In diesem Fall sind ständige Portweiterleitungen am Router einzurichten.

Verbindungsprobleme treten bei verschlüsselten Protokollen auf, die die ursprünglichen IP-Adressen und Portnummern in ihre Verschlüsselungsalgorithmen integrieren. Weitere Nachteile sind Quality of Service-Probleme aufgrund zusätzlicher Verarbeitungszeiten, eine Begrenzung der Kommunikationsverbindungen durch die maximal mögliche Größe von NAT-Tabellen und Probleme bei der Strafverfolgung aufgrund der nicht zuzuordnenden Endgeräte.

Der Betrieb eines Servers hinter einem Router mit Port Address Translation

Soll hinter einen PAT-Router ein Server betrieben werden, ist auf dem Router eine Regel einzurichten, die alle auf einem bestimmten öffentlichen Port eintreffende Datenpakete an den Server weiterleitet. Dies bezeichnet man auch als Port-Forwarding oder Port-Weiterleitung. Da offene Ports jedoch ein Sicherheitsrisiko für ein Netzwerk darstellen, empfiehlt es sich, den Server in einer isolierten demilitarisierten Zone (DMZ) zu betreiben.

(ID:45103083)

Über den Autor