Network Address Translation (NAT): Eine Einführung

Die Netzwerkadressübersetzung (NAT) stellt eine effektive Methode dar, die es sowohl Einzelpersonen als auch Organisationen ermöglicht, eine sichere, kostengünstige und unkomplizierte Verbindung zum Internet aufzubauen.

Neben der Erhöhung der Sicherheit bietet NAT eine bemerkenswerte Flexibilität, Skalierbarkeit und Geschwindigkeit bei der Kommunikation über das Internet.

Zusätzlich trägt die Nutzung von NAT aktiv zur Schonung öffentlicher IP-Adressen bei.

Doch was verbirgt sich genau hinter dem Begriff NAT, und weshalb sollte man sich die Mühe machen, diese Technologie zu verstehen oder einzusetzen?

Diese Fragen werde ich in diesem Artikel umfassend beantworten.

Beginnen wir daher mit der grundlegenden Definition von NAT.

Was bedeutet Netzwerkadressübersetzung (NAT)?

Die Netzwerkadressübersetzung (NAT) ist ein Prozess, bei dem ein Bereich von IP-Adressen einem anderen zugeordnet wird, indem die Netzwerkadressinformationen während der Datenübertragung verändert werden.

Einfacher ausgedrückt, erlaubt NAT einer einzelnen IP-Adresse (Internet Protocol), einen oder mehrere Computer zu repräsentieren. Das bedeutet, dass mehrere Geräte im selben Netzwerk sich eine einzige öffentliche IP-Adresse teilen können, obwohl sie im Netzwerk selbst jeweils private IP-Adressen verwenden.

Ursprünglich wurde diese Technik eingeführt, um die Notwendigkeit zu eliminieren, jedem Host eine neue IP-Adresse zuzuweisen, sobald der Upstream-ISP (Internet Service Provider) gewechselt oder ein Netzwerk verschoben wurde. Die IP-Adresse des Netzwerks selbst bleibt jedoch identisch.

Interessanterweise kann ein NAT-Gateway eine einzelne, routingfähige IP-Adresse bereitstellen, die ohne weiteres für ein komplettes privates Netzwerk eingesetzt werden kann. Da NAT die IP-Adressdaten während der Übertragung ändert, existieren verschiedene NAT-Implementierungen, die unterschiedliche Verhaltensweisen in verschiedenen Adressierungsszenarien aufweisen und unterschiedliche Auswirkungen auf den Netzwerkverkehr haben.

Welche Funktion erfüllt NAT?

Im Rahmen von NAT ordnet ein Netzwerkgerät, wie beispielsweise eine NAT-Firewall oder ein Router, einem einzelnen Computer oder einer Gruppe von Computern in einem privaten Netzwerk eine öffentliche IP-Adresse zu. Auf diese Weise ermöglicht NAT einem Gerät, als Vermittler zwischen öffentlichen, privaten und lokalen Netzwerken zu agieren.

NAT hilft, IP-Adressen zu sparen, indem es privaten IPs den Zugang zum Internet unter Nutzung nicht registrierter Adressen ermöglicht. Vor der Weiterleitung von Datenpaketen zwischen verbundenen Netzwerken übersetzt NAT die lokalen, privaten Netzwerkadressen in eindeutige, globale und gültige Adressen.

Bei NAT-Konfigurationen ist lediglich eine einzige IP-Adresse für die Außenwelt sichtbar, obwohl sie das gesamte Netzwerk repräsentiert. Hierdurch ist es möglich, das gesamte interne Netzwerk zu verbergen, was ein höheres Maß an Sicherheit und Privatsphäre zur Folge hat. NAT-Implementierungen sind besonders geeignet für Umgebungen mit Remote-Zugriff.

Wie funktioniert NAT?

Die Netzwerkadressübersetzung ermöglicht es einem Gerät, wie einem NAT-Router oder einer Firewall, als Bindeglied zwischen dem internen Netzwerk (lokales Netzwerk) und externen Netzwerken (dem Internet) zu fungieren. Dies führt dazu, dass die gesamte Gruppe von Geräten dieselbe IP-Adresse nach außen hin widerspiegelt, wenn eine Kommunikation außerhalb des Netzwerks stattfindet.

NAT agiert ähnlich wie eine Empfangsdame in einem Unternehmen, die nach klaren Anweisungen entscheidet, welche Besucher oder Anrufe weitergeleitet, in die Warteschleife gestellt oder abgewiesen werden. Auf ähnliche Weise treffen alle Anfragen am öffentlichen Port und an der IP-Adresse ein. Hier entscheiden die NAT-Anweisungen, wohin die Anfrage weitergeleitet werden soll, während die private IP-Adresse des Ziels verborgen bleibt.

NAT wählt Gateways zwischen zwei verschiedenen lokalen Netzwerken – dem externen Netzwerk und dem internen Netzwerk. Alle Systeme im Inneren verfügen über IP-Adressen, die nicht an ein externes Netzwerk weitergeleitet werden können. Darüber hinaus werden einige der extern gültigen IPs dem Gateway zugewiesen, wodurch der ausgehende Datenverkehr den Anschein erweckt, von einer gültigen externen IP-Adresse zu stammen.

Als Nächstes leitet NAT den eingehenden Datenverkehr an das korrekte interne System weiter. Auf diese Weise wird ein Sicherheitsmechanismus etabliert. Da sowohl eingehende als auch ausgehende Anfragen einen Übersetzungsprozess durchlaufen müssen, entsteht eine ausgezeichnete Methode zur Validierung eingehenden Datenverkehrs, indem dieser mit ausgehenden Datenströmen abgeglichen wird.

Beispiel für einen NAT-Prozess

Hier ist ein illustratives Beispiel, das die Funktionsweise von NAT in der realen Welt veranschaulicht:

Ein Benutzer verbindet seine Geräte mit seinem Wi-Fi-Heimnetzwerk. Der Heimrouter weist dem Gerät eine private IP-Adresse zu, die ausschließlich innerhalb dieses Netzwerks verwendet werden kann.

Wenn der Benutzer nun versucht, eine bestimmte Webseite aufzurufen, fordert die Adresse die Zielwebseite über den Router an. An diesem Punkt ändert der NAT-Router die Quelladresse der Anfrage von der privaten IP-Adresse des Geräts in die öffentliche IP-Adresse des Netzwerks. Eine NAT-Tabelle speichert diese Übersetzung, in der das Gateway nachschlägt, um festzustellen, ob das Datenpaket die Übersetzungsbedingung erfüllt.

Darüber hinaus sendet der Server, auf den der Benutzer zugreifen möchte, das angeforderte Datenpaket an die öffentliche Adresse des Netzwerks zurück. Anschließend ändert der Router die Zieladresse in die private IP-Adresse des Geräts, während er die Datenpakete an das Gerät des Benutzers weiterleitet.

Verschiedene Arten von NAT

Es gibt verschiedene NAT-Typen, die für unterschiedliche Zwecke verwendet werden können.

#1. SNAT

Statisches NAT (SNAT) ist ein NAT-Typ, der eine private IP-Adresse in eine öffentliche IP-Adresse transformiert. Für die Übersetzung wird stets dieselbe öffentliche IP-Adresse verwendet.

SNAT ermöglicht es, eine nicht registrierte IP-Adresse mithilfe einer Eins-zu-Eins-NAT einer registrierten IP-Adresse zuzuordnen. Dies impliziert, dass alle Geräte in diesem Netzwerk dieselbe öffentliche Adresse verwenden. Bei diesem Prozess werden nur zwei Elemente in der Netzwerkadresse verändert: der Header und die IP-Adresse.

Dies ist insbesondere nützlich für Geräte, auf die Benutzer über das externe Netzwerk zugreifen müssen. Es findet auch Anwendung, wenn zwei separate IP-Netzwerke mit inkompatiblen Adressen miteinander verbunden werden. Darüber hinaus wird SNAT beim Webhosting eingesetzt. Normalerweise nutzen Einzelpersonen und kleinere Organisationen SNAT mit weniger Geräten, um die Kosten so gering wie möglich zu halten.

#2. DNAT

Dynamisches NAT (DNAT) ist eine NAT-Art, bei der eine private IP-Adresse einem Pool öffentlicher IP-Adressen zugewiesen wird. Im Gegensatz zu SNAT wird hier nicht immer dieselbe IP-Adresse genutzt, sondern für jede Übersetzung eine andere, wobei jedoch wie bei SNT eine Eins-zu-Eins-Verbindung verwendet wird.

Dabei verfügt die DNAT-Firewall oder der Router über einen Pool öffentlicher, registrierter IPs. Wenn DNAT eine Netzwerkadresse von privat zu öffentlich übersetzt, kann der Router eine beliebige öffentliche IP-Adresse aus diesem Pool auswählen. Anschließend beginnt die Zuordnung einer nicht registrierten IP zu einer registrierten IP-Adresse.

Folglich ermöglicht DNAT einem Gerät, für jede Übersetzung unterschiedliche IPs zu verwenden. Das bedeutet, dass nicht zurückverfolgt werden kann, welcher globalen IP-Adresse eine private Adresse zugeordnet wurde. Diese Methode erweist sich als effiziente Lösung, da so eine größere Anzahl von Geräten mit dem Netzwerk verbunden werden kann.

Es kann jedoch kostspielig sein, da in einen Pool öffentlicher IP-Adressen investiert werden muss. Darüber hinaus ist die Anzahl der zu übertragenden Datenpakete begrenzt. Es können nur so viele Datenpakete gesendet und empfangen werden, wie öffentliche IP-Adressen im Pool vorhanden sind.

DNAT eignet sich besonders gut für große Organisationen mit mehreren internen Netzwerken. Es ist auch ideal, wenn eine feste Anzahl von Benutzern auf das Internet zugreifen soll.

#3. PAT

Bei der Port Address Translation (PAT), auch als NAT-Überlastung bezeichnet, verwenden alle internen Geräte eine gemeinsame öffentliche IP-Adresse. Allerdings wird jeder privaten IP-Adresse ein separater Port zugewiesen.

In PAT werden unterschiedliche Ports eingesetzt, um mehrere lokale, nicht registrierte und private IP-Adressen auf eine einzige registrierte IP-Adresse abzubilden. Zudem wird dadurch unterschieden, welcher Netzwerkverkehr welcher IP-Adresse zugeordnet ist.

PAT stellt eine Form von NAT dar, bei der Datenpakete geänderte Quelladressen haben, wenn sie vom privaten in ein öffentliches Netzwerk gelangen. Ebenso verfügen sie über eine geänderte Zieladresse, wenn sie vom öffentlichen zurück zum privaten Netzwerk gesendet werden.

Zusätzlich werden auch die Portnummern der Datenpakete verändert, um eine eindeutige Übersetzung sicherzustellen. Diese Kombination aus geänderter IP-Adresse und Portnummer wird mithilfe einer registrierten privaten IP-Adresse abgebildet.

Viele halten PAT für kostengünstiger als NAT, da sich viele Benutzer mit nur einer einzigen öffentlichen IP-Adresse mit dem Internet verbinden können. Somit ist PAT unabhängig von der Größe einer Organisation anwendbar.

Neben SNAT, DNAT und PAT gibt es auch RNAT und überlappendes NAT.

  • RNAT ermöglicht eine Verbindung mit dem eigenen Netzwerk über das öffentliche Internet oder das Internet.
  • Überlappendes NAT tritt auf, wenn Netzwerke von zwei Organisationen, die RFC 1918-IPs verwenden, zusammengeführt werden. Es kann auch auftreten, wenn registrierte IPs mehreren Geräten zugewiesen oder in mehreren internen Netzwerken eingesetzt werden. In solchen Fällen verbindet überlappendes NAT die Netzwerke, ohne dass jedes Gerät neu adressiert werden muss.

Weshalb ist NAT so wichtig?

Ein Gerät oder Netzwerksystem benötigt eine IP-Adresse – eine eindeutige Zahlenfolge, die durch Punkte getrennt ist – um eine Kommunikation mit dem Internet aufzubauen. Diese Nummer dient zur Identifizierung und Lokalisierung eines Netzwerkgeräts und ermöglicht die Interaktion mit dem Internet.

Es gibt zwei Haupttypen von IPs: IPv4 und IPv6. In den frühen Tagen des Internets wurden etwa 4,3 Milliarden IPv4-Adressen erstellt. Jedoch konnten nicht alle davon für die Gerätekommunikation genutzt werden. Einige waren für Testzwecke, das Militär und Broadcast reserviert, während die verbleibenden 3 Milliarden IPs für die Kommunikation bereitstanden.

Im Jahr 2019 vergab RIPE NCC die letzten verbleibenden IPv4-Adressen aus dem verfügbaren Pool, wodurch sich der Mangel an IPv4-Adressen abzeichnete. Als Gegenmaßnahme wurde die IPv6-Adressierung eingeführt. IPv6 definiert die IP-Adressierung neu und bietet eine größere Anzahl an Optionen für die Zuweisung von Adressen. Jedoch dauerte es viele Jahre, das Netzwerksystem umzustellen oder die neue Methode zu implementieren.

An dieser Stelle kommt NAT ins Spiel. In der Zwischenzeit führte Cisco NAT ein, das sich seitdem weit verbreitet hat.

NAT hat sich als wertvolle und beliebte Methode zur Schonung des globalen Adressraums etabliert, insbesondere im Kontext der Erschöpfung von IPv4-Adressen. Zudem wird NAT genutzt, um private Netzwerk-IP-Adressbereiche aus Gründen der Kosteneffizienz und Sicherheit zu verbergen.

Vorteile der Netzwerkadressübersetzung

Einsparung von IP-Adressen

NAT trägt zur Einsparung legal registrierter IP-Adressen bei und wirkt auch deren Erschöpfung entgegen. Angesichts der weltweit wachsenden Zahl von Internetnutzern ist dies eine wichtige Maßnahme, um das Web für alle zugänglich zu machen.

Sicherheit

NAT ermöglicht einen sicheren und privaten Zugang zum Internet, da es die IP-Adresse des Geräts vor dem öffentlichen Netzwerk verbirgt, selbst während der Datenübertragung. Durch die NAT-Ratenbegrenzung lässt sich zudem die maximale Anzahl von NAT-Operationen, die gleichzeitig auf dem Router stattfinden können, beschränken.

Dies führt zu einer verbesserten Kontrolle über die Nutzung von NAT-Adressen und minimiert die Auswirkungen von Viren, Würmern, Denial-of-Service-Angriffen (DoS) usw. Die Implementierung von Dynamic NAT (DNAT) generiert automatisch eine Firewall zwischen dem Internet und dem internen Netzwerk. Einige NAT-Router bieten zusätzlich Sicherheitsfunktionen wie die Verkehrsfilterung und Protokollierung.

Mehrere Verbindungen

Das Einrichten von mehreren Internetverbindungen trägt zur Aufrechterhaltung der Netzwerkzuverlässigkeit bei und verringert die Wahrscheinlichkeit von Ausfällen bei Verbindungsabbrüchen. Außerdem wird ein Lastausgleich erreicht, da die Anzahl der Geräte, die eine einzige Verbindung nutzen, reduziert wird.

Multihomed-Netzwerke verbinden sich üblicherweise mit mehreren ISPs, die einer Organisation einzelne oder mehrere IP-Adressen zuweisen. Router können zudem NAT nutzen, um Netzwerke mit verschiedenen NAT-Protokollen zu routen.

Darüber hinaus kommuniziert ein Multihomed-Netzwerk, indem es dem Router erlaubt, einen Teil des TCP- oder IP-Protokolls, das Border Gateway Protocol (BGP), zu verwenden. Subdomain-Sites teilen sich intern das BGP (IBGP), während Router externes BGP (EBGP) zur Interaktion nutzen. Im Falle eines Verbindungsabbruchs leitet Multi-Homing die Daten über einen anderen Router um.

Geschwindigkeit

NAT ist sowohl für Quell- als auch für Zielcomputer transparenter als Proxyserver. Dadurch wird ein direkter Austausch mit hoher Geschwindigkeit ermöglicht. Proxyserver agieren typischerweise auf Schicht vier oder der Transportschicht des OSI-Modells oder sogar noch höher, was sie langsamer macht als NAT, das sich auf Schicht drei oder der Netzwerkschicht befindet.

Skalierbarkeit

Wenn der Bedarf steigt, werden mehr IPs für die Benutzer und Geräte benötigt. Anstatt die IANA nach zusätzlichen IPs zu fragen, kann NAT genutzt werden. In Verbindung mit DHCP (Dynamic Host Configuration Protocol) wird die Skalierung noch einfacher.

Dies liegt daran, dass NAT und DHCP gut zusammenarbeiten, um nicht registrierte IPs für die Subdomain aus der verfügbaren Liste nach Bedarf zuzuweisen. Dadurch lässt sich der verfügbare IP-Adressbereich erweitern und DHCP kann schnell konfigurieren und Platz für weitere Netzwerkcomputer schaffen.

Flexibilität und Einfachheit

NAT bietet Flexibilität bei der Bereitstellung und beim Herstellen von Verbindungen. Es kann in einem drahtlosen, öffentlichen LAN eingesetzt werden. Manchmal kann mit statischem NAT (SNAT) und eingehender Zuordnung externen Geräten der Zugriff auf Geräteverbindungen in der Subdomain gestattet werden.

Darüber hinaus reduziert NAT die Komplexität und ermöglicht einfache Internetverbindungen, da IP-Adressen nach dem Wechsel oder der Zusammenlegung eines Netzwerks nicht neu nummeriert werden müssen. Mit NAT lässt sich auch ein virtueller Host im internen Netzwerk erstellen, der den TCP-Lastausgleich koordiniert.

Einschränkungen der Netzwerkadressübersetzung

Einige Einschränkungen von NAT sind:

  • Ressourcenverbrauch: NAT kann erhebliche Prozessorleistung und Speicherressourcen beanspruchen, da alle IPv4-Adressen für ein- und ausgehende IPv4-Datagramme übersetzt und alle Übersetzungsdetails im Speicher abgelegt werden.
  • Funktionalität: Die Aktivierung von NAT kann die Funktionalität einiger Technologien und Anwendungen einschränken.
  • Tunneling-Komplikationen: NAT kann Tunneling-Protokolle verkomplizieren. Zur Bewältigung dieser Problematik lässt sich IPsec für eine sichere Netzwerkadressübersetzung nutzen.
  • Layer-Probleme: Wenn ein Router als NAT-Gerät fungiert, kann er auf Layer 4 oder der Transportschicht die Portnummern beeinflussen, obwohl er für Layer 3 oder die Netzwerkschicht vorgesehen ist.
  • Verzögerungen: Während der Übersetzung können Pfadverzögerungen auftreten.

Wichtige Begriffe im Zusammenhang mit NAT

  • Quelladresse: Die IP-Adresse des Hosts, von dem die Anfrage initiiert wird.
  • Quellport: Die TCP/UDP-Portnummer, die der initiierende Host zuweist.
  • Zieladresse: Die IP-Adresse des Empfängers.
  • Zielport: Der TCP- oder UDP-Port, den ein initiierender Host beim Empfänger zum Öffnen auffordert.
  • Interne lokale Adresse: Eine private IP-Adresse, die einem Host in einem lokalen (internen) Netzwerk zugewiesen wird und nicht von einem Dienstleister vergeben wird. Es handelt sich um den internen Host für ein internes Netzwerk.
  • Innere globale Adresse: Eine IP-Adresse, die eine oder mehrere lokale IPs repräsentiert und den internen Host für das externe Netzwerk darstellt.
  • Außerhalb der lokalen Adresse: Die tatsächliche IP-Adresse des Zielhosts, die sich in einem lokalen Netzwerk befindet, sobald die Übersetzung abgeschlossen ist.
  • Externe globale Adresse: Die IP-Adresse des externen Zielhosts vor der Übersetzung. Sie ist der externe Host für das externe Netzwerk.
  • Subdomain: Eine nicht registrierte private IP-Adresse, die sich zusammensetzt aus:
  • Außerhalb lokaler Adressen, die von NAT-Routern bereitgestellt werden, und
  • Innerhalb lokaler Adressen, die vom lokalen Netzwerk verwendet werden
  • NAT-Tabelle: NAT weist Portnummern und IP-Adressen neu zu und verfolgt diese mit einer NAT-Übersetzungstabelle.

Angenommen, ein Router hat ein Datenpaket von einem lokalen Gerät erhalten, dem eine öffentliche IP-Adresse zugewiesen wurde. Der Router ändert nun die IP-Adresse des Quellgeräts, damit es seine eigene IP-Adresse verwenden kann. Anschließend wird die Portnummer der Quelle geändert, um sicherzustellen, dass der Router weiß, wohin die empfangenen Pakete zugestellt werden müssen. Diese Neuzuweisung von IP-Adressen wird in der NAT-Umsetzungstabelle protokolliert.

Fazit

Angesichts der wachsenden Zahl von Internetnutzern und der zunehmenden Sicherheitsprobleme weltweit besteht ein Bedarf an einer sichereren und effizienteren Verbindungsmethode. NAT zielt darauf ab, diese Anforderungen zu erfüllen. Es trägt zur Einsparung öffentlicher IP-Adressen bei und bietet gleichzeitig die Vorteile von Sicherheit, Geschwindigkeit, Flexibilität und Skalierbarkeit bei der Verbindung mit dem Internet.