Definition

Was ist PAT (Port Address Translation)?

| Autor / Redakteur: tutanch / Andreas Donner

(© aga7ta - Fotolia)

Port Address Translation (PAT) ersetzt IP-Adressen eines privaten Netzwerks mit einer einzigen öffentlichen IP-Adresse. Die Zuordnung zu den Endgeräten erfolgt über neu vergebene Portnummern. PAT wird häufig für den Internetzugang genutzt und hilft, IPv4-Adressen einzusparen.

Die Abkürzung PAT steht für Port Address Translation und bezeichnet eine bestimmte Variante der Network Address Translation (NAT). Bei dieser Form der Adressübersetzung werden die IP-Adressen aus einem privaten Netzwerk auf eine einzige öffentliche IP-Adresse abgebildet. Um eine Zuordnung von Datenpaketen zu den einzelnen Endgeräten im Internet zu treffen, werden die Portnummern neu vergeben.

Geräte, die Port Address Translation durchführen, arbeiten auf dem Layer 3 des ISO/OSI-Referenzmodellsund sind häufig Internetzugangsrouter wie DSL- oder Kabel-Router. Dank PAT benötigt ein privates Netzwerk nur noch eine öffentliche IP-Adresse, um mit anderen Geräten im Internet zu kommunizieren.

Die Methode hilft Providern, IPv4-Adressen einzusparen, da sie für einen Internetanschluss nur eine IP-Adresse aus ihrem Pool öffentlicher Adressen zuteilen müssen. Da die Geräte hinter einem PAT-Router von außen ohne eine bestehende Kommunikationsverbindung nicht erreichbar sind, erhöht sich die Sicherheit im privaten Netzwerk.

Andere Begriffe für Port Address Translation sind Network Address Port Translation (NAPT) oder 1-zu-n-NAT. Alle Geräte und Anwender im privaten Netzwerk treten im Internet unter einer IP-Adresse auf.

Funktionsweise von Port Address Translation

Private IP-Adressen sind im Netz nicht routbar. Sollen Endgeräte aus einem privaten Netz im Internet kommunizieren, benötigen sie eine registrierte öffentliche IP-Adresse. Bei der Port Address Translation ersetzt der für die Adressumsetzung verantwortliche Router im Datenpaket die Quelladresse des privaten Endgeräts gegen die öffentliche IP-Adresse des Routers. Zudem tauscht er die vom Client verwendete TCP- oder UDP-Portnummer gegen einen freien Port des Routers aus. Gegenüber Servern oder anderen Kommunikationsteilnehmern im Internet tritt der Router damit als Absender aller aus dem privaten Netzwerk versendeten Datenpakete auf.

Die Zuordnungen von IP-Adressen und Portnummern speichert der Router in einer NAT-Tabelle. Erhält er ein Datenpaket aus dem Internet auf einen bestimmten Port, schlägt er diesen in seiner Tabelle nach und fügt die ursprüngliche IP-Adresse und Portnummer als Zielinformation des Datenpakets ein. Anschließend kann die Zustellung im privaten Netzwerk erfolgen.

Außer der Zuordnung von IP-Adressen und Portnummern in der NAT-Tabelle besitzen die Router zu jeder Verbindung einen Zeitstempel und einen allgemeingültigen Timeout. Wird die Timoutzeit überschritten, löscht der Router den Eintrag aus seiner Tabelle. Treffen jetzt noch Datenpakete an das aus der Tabelle gelöschte Endgerät ein, stellt er aufgrund der als inaktiv gekennzeichneten Verbindung keine Pakete mehr zu. Dieser Mechanismus stellt sicher, dass die NAT-Tabellen überschaubar bleiben und inaktive Verbindungen nicht zu dauerhaft offenen Ports führen. Offene Ports sind von Hackern für Angriffe aus dem Internet missbräuchlich nutzbar.

Abgrenzung zwischen NAT und PAT

Die Begriffe Network Address Translation und Port Address Translation werden oft synonym verwendet. Allerdings handelt es sich bei PAT streng genommen um eine Variante von NAT. Während NAT die Möglichkeit beinhaltet, einzelne IP-Adressen 1:1 zu übersetzen, findet bei PAT stets eine n:1-Übersetzung statt. Durch die n:1-Adressübersetzung ist bei Port Address Translation zusätzlich der Austausch der Portnummern erforderlich. Bei der 1:1-Übersetzung können die Portnummern erhalten bleiben.

Da PAT bei IPv4-basierten Internetzugängen im privaten Umfeld Standard ist und es sich um eine NAT-Variante handelt, hat sich für dieses Verfahren im Sprachgebrauch der Begriff NAT etabliert. Meist ist, wenn von NAT gesprochen wird, Port Address Translation gemeint.

Vor- und Nachteile von PAT

Port Address Translation bringt viele Vorteile und einige Nachteile mit sich. Von Vorteil ist, dass bei PAT für mehrere Geräte nur noch eine öffentliche IPv4-Adresse benötigt wird. Dies spart Adressen und hilft der Knappheit von IPv4-Adressen zu begegnen. Gleichzeitig stellt der PAT-Router eine Barriere für Angriffe aus dem Netz dar, da er nur aktuell benutzte Ports offen hält. Alle anderen aus dem Internet eintreffenden Datenpakete werden verworfen. Dieses Verhalten erhöht die Sicherheit im privaten Netz.

Es handelt sich beim Router zwar nicht um eine vollwertige Firewallfunktion, es sind jedoch grundsätzliche Schutzmechanismen gegeben. Für die User hinter einem PAT-Router ist eine gewisse Anonymität sichergestellt, da alle Endgeräte mit der IP-Adresse des Routers kommunizieren. Eine Zuordnung zu den Endgeräten ist für Außenstehende nicht möglich und kann nur vom Router getroffen werden.

Ein gravierender Nachteil von PAT ist, dass das Grundprinzip der Ende-zu-Ende-Verbindung des Internets aufgebrochen wird. Anwendungen, die auf diesem Grundprinzip beruhen, können durch veränderte IP-Adressen und Portnummern Schwierigkeiten bekommen. Server im privaten Netzwerk sind hinter dem PAT-Router aus dem Internet nicht mehr erreichbar. In diesem Fall sind ständige Portweiterleitungen am Router einzurichten.

Verbindungsprobleme treten bei verschlüsselten Protokollen auf, die die ursprünglichen IP-Adressen und Portnummern in ihre Verschlüsselungsalgorithmen integrieren. Weitere Nachteile sind Quality of Service-Probleme aufgrund zusätzlicher Verarbeitungszeiten, eine Begrenzung der Kommunikationsverbindungen durch die maximal mögliche Größe von NAT-Tabellen und Probleme bei der Strafverfolgung aufgrund der nicht zuzuordnenden Endgeräte.

Der Betrieb eines Servers hinter einem Router mit Port Address Translation

Soll hinter einen PAT-Router ein Server betrieben werden, ist auf dem Router eine Regel einzurichten, die alle auf einem bestimmten öffentlichen Port eintreffende Datenpakete an den Server weiterleitet. Dies bezeichnet man auch als Port-Forwarding oder Port-Weiterleitung. Da offene Ports jedoch ein Sicherheitsrisiko für ein Netzwerk darstellen, empfiehlt es sich, den Server in einer isolierten demilitarisierten Zone (DMZ) zu betreiben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Die 68er-Revolution in der IT-Welt

50 Jahre Intel

Die 68er-Revolution in der IT-Welt

Auch Intel gehört zu den 68ern: Am 18. Juli 1968 wurde der Chiphersteller gegründet, dessen Prozessoren die IT-Welt, so wie wir sie heute kennen, entscheidend geprägt haben. Denn von Intel kam nicht nur der erste serienreife Mikroprozessor der Welt, sondern mit der x86er-Technologie auch die Basis für den Siegeszug des PC. lesen

VMware verleibt sich Velocloud Networks ein

Einstieg in das SD-WAN-Geschäft

VMware verleibt sich Velocloud Networks ein

Die Übernahme von Velocloud Networks verschafft VMware die Eintrittskarte in den als vielversprechend geltenden Wachstumsmarkt softwaredefinierter WAN-Lösungen. Der daraus resultierende Ausbau des Angebots an hauseigenen Netzwerkprodukten wird von Experten als Kampfansage gegen Cisco gewertet. Wie viel Geld der Virtualisierungspionier hierfür in die Hand nimmt, ist bislang nicht bekannt. lesen

Integration von VMware NSX und Pivotal Cloud Foundry

„Developer-Ready Infrastruktur“

Integration von VMware NSX und Pivotal Cloud Foundry

VMware und Pivotal erweitern ihre strategische Allianz mit dem Ziel eine „Developer-Ready Infrastruktur“ bereitzustellen. Die Kunden sollen von einer Kombination aus Microservices und Mikrosegmentierung profitieren. lesen

Verizon liefert UCCaaS mit Cisco-Lösungen

Quality of Service im 4G-Netz

Verizon liefert UCCaaS mit Cisco-Lösungen

Verizon ergänzt das Collaboration-Angebot um Cisco-basierte Lösungen. Die bieten laut Anbieter Quality of Service über LTE-Netze oder besonders kostengünstiges Conferencing. lesen

VMware-Plattform für virtuelle Netzwerkfunktionen

VMware kündigt vCloud für NFV mit Integrated OpenStack an

VMware-Plattform für virtuelle Netzwerkfunktionen

VMware hat auf dem Mobile World Congress in Barcelona mit „VMware vCloud für NFV“ eine integrierte Plattform für Network Functions Virtualization (NFV) vorgestellt. Laut VMware die einzige heute verfügbare Plattform, welche den Betrieb von unterschiedlichen NFVs verschiedener Hersteller auf einer einheitlichen Cloud-Plattform erlaubt. lesen

Die erste einheitliche Plattform für Hybrid Clouds von VMware

Neue VMware OpenStack-Distribution und vSphere 6

Die erste einheitliche Plattform für Hybrid Clouds von VMware

Mit der Verbindung von „NSX“ und „vCloud Air“ will Hersteller VMware Public und Private Clouds mit einem einzigen Netzwerk verbinden. Als Software-definierte Plattform werde es möglich, eine konsistente Umgebung aufzubauen und darin jede native Cloud-Anwendung und traditionelle Anwendung zu betreiben, zu schützen und zu verwalten. lesen

HP: Aus Eins mach Zwei

Branchengerücht: HP will PC- und Drucker-Sparte ausgliedern

HP: Aus Eins mach Zwei

HP plant die Abspaltung des Geschäftsbereichs für PCs und Drucker in ein separates Unternehmen. lesen

VMware übernimmt AirWatch

1,5 Mrd. Dollar für Enterprise Mobile Device Management‎

VMware übernimmt AirWatch

VMware kauft AirWatch für 1,5 Milliarden US-Dollar. Der Anbieter für das Management mobiler Endgeräte soll VMwares Sparte für End-User Computing komplettieren. lesen

Europäische VMworld in Barcelona: Von der Konsolidierung zur Automatisierung

Konzentration auf Cloud-Management und mobiles Arbeiten

Europäische VMworld in Barcelona: Von der Konsolidierung zur Automatisierung

Nach der VMworld in San Francisco konzentrierte sich VMware auf der europäischen VMworld in Barcelona auf zwei Kernthemen, die in den Keynotes dargestellt wurden: Automatisierung und Cloud Management sowie Mobilität. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45103083 / Definitionen)