M 5.70 Adreßumsetzung - NAT (Network Address Translation)

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Network Address Translation (NAT) ist ein Mechanismus, bei dem eine aktive Netzkomponente (in der Regel ein Router) bei der Weiterleitung eines Paketes die IP-Adresse des Paketes verändert. Der Router speichert in einer Tabelle die Zuordnung der internen Adresse und des internen Quell-Ports zur externen Adresse, Zielport und dem Port, den der Router selbst für das veränderte Paket gewählt hat und setzt die Antwortpakete entsprechend um.

NAT kann zu verschiedenen Zwecken verwendet werden:

Eine Umsetzung der internen in eine oder mehrere offiziell registrierte IP-Adressen und umgekehrt erfolgt über eine Adressumsetzungskomponente. Auch Proxies verfügen über eine implizite Adressumsetzung, da der Proxy extern nur seine offizielle Adresse verwendet und die Datenpakete an die jeweiligen internen Rechner weiterleitet.

Eine Adressumsetzung durch Router oder dedizierte Paketfilter kann entweder statisch oder dynamisch geschehen. Die statische Adressumsetzung ist einfach und schnell. Es wird jeder internen Adresse genau eine externe zugeordnet. Hierzu wird natürlich für jede interne Adresse genau eine externe benötigt.

Häufiger findet die dynamische Adressumsetzung Verwendung, insbesondere wenn die Anzahl der internen IP-Adressen größer ist als die der extern sichtbaren ist sie Voraussetzung. Im Router oder Paketfilter wird eine Zuordnungstabelle geführt, in der die internen Adressen mit dazugehöriger Portnummer eines Pakets einer externen Adresse mit neuer Portnummer zugeordnet wird. Häufig wird nach außen hin nur eine IP-Adresse sichtbar gemacht, die über die Portnummer-Zuordnung alle internen IP-Adressen verbirgt.

Eine Folge der dynamischen Adressumsetzung ist, dass ein Verbindungsaufbau zu einem internen Rechner aus dem Internet normalerweise nicht möglich ist. Soll dies doch möglich sein, so muss das Sicherheitsgateway "Destination NAT" bzw. "Port Forwarding" beherrschen (siehe unten).

Bestimmte Dienste müssen bei Adressumsetzung besonders behandelt werden (z. B. traceroute oder ftp).

Zugriff von außen bei NAT

Für einen Verbindungsaufbau von außen (z. B. bei Anfragen an einen Web-Server) werden am NAT-Gateway alle Pakete, die an einen bestimmten Port gerichtet sind, umgesetzt und an einen entsprechenden Port des Servers weitergeleitet. Dieser Mechanismus wird auch als "Destination NAT" oder "Port-Forwarding" bezeichnet. Mit den Antwortpaketen des Servers verfährt das NAT-Gateway analog.

Prüffragen: