Was ist Network Address Translation?

Network Address Translation (NAT) ist der Prozess, bei dem ein Netzwerkgerät, in der Regel eine Firewall, einem Computer (oder einer Gruppe von Computern) innerhalb eines privaten Netzwerks eine öffentliche Adresse zuweist. Der Hauptzweck von NAT besteht darin, die Anzahl der öffentlichen IP-Adressen, die eine Organisation oder ein Unternehmen verwenden muss, sowohl aus wirtschaftlichen als auch aus Sicherheitsgründen zu begrenzen.

Die häufigste Form der Netzwerkübersetzung umfasst ein großes privates Netzwerk, das Adressen in einem privaten Bereich verwendet (10.0.0.0 bis 10.255.255.255, 172.16.0.0 bis 172.31.255.255, oder 192.168.0 0 bis 192.168.255.255). Das private Adressierungsschema eignet sich gut für Computer, die nur auf Ressourcen innerhalb des Netzes zugreifen müssen, z. B. Arbeitsstationen, die Zugriff auf Dateiserver und Drucker benötigen. Router innerhalb des privaten Netzes können den Datenverkehr zwischen privaten Adressen problemlos weiterleiten. Für den Zugriff auf Ressourcen außerhalb des Netzes, wie z. B. das Internet, müssen diese Computer jedoch eine öffentliche Adresse haben, damit die Antworten auf ihre Anfragen an sie zurückkommen können. Hier kommt NAT ins Spiel.

Internetanfragen, die eine Network Address Translation (NAT) erfordern, sind recht komplex, laufen aber so schnell ab, dass der Endnutzer kaum etwas davon mitbekommt. Ein Arbeitsplatzrechner innerhalb eines Netzes stellt eine Anfrage an einen Computer im Internet. Die Router innerhalb des Netzes erkennen, dass die Anfrage nicht für eine Ressource innerhalb des Netzes bestimmt ist, und senden die Anfrage an die Firewall. Die Firewall sieht die Anfrage von dem Computer mit der internen IP. Sie stellt dann dieselbe Anfrage an das Internet unter Verwendung ihrer eigenen öffentlichen Adresse und sendet die Antwort der Internetressource an den Computer innerhalb des privaten Netzes zurück. Aus der Sicht der Internet-Ressource sendet sie Informationen an die Adresse der Firewall. Aus der Sicht des Arbeitsplatzes sieht es so aus, als ob die Kommunikation direkt mit dem Standort im Internet erfolgt. Wenn NAT auf diese Weise verwendet wird, haben alle Benutzer innerhalb des privaten Netzes, die auf das Internet zugreifen, dieselbe öffentliche IP-Adresse, wenn sie das Internet nutzen. Das bedeutet, dass nur eine öffentliche Adresse für Hunderte oder sogar Tausende von Nutzern benötigt wird.

Die meisten modernen Firewalls sind zustandsorientiert, d.h. sie sind in der Lage, die Verbindung zwischen der internen Workstation und der Internet-Ressource herzustellen. Sie können die Details der Verbindung, wie Ports, Paketreihenfolge und die beteiligten IP-Adressen, verfolgen. Dies wird als Verfolgung des Status der Verbindung bezeichnet. Auf diese Weise können sie die Sitzung verfolgen, die aus der Kommunikation zwischen dem Arbeitsplatz und der Firewall sowie zwischen der Firewall und dem Internet besteht. Wenn die Sitzung endet, verwirft die Firewall alle Informationen über die Verbindung.

Es gibt noch andere Verwendungszwecke für Network Address Translation (NAT), die über den einfachen Zugang von Arbeitsplätzen mit internen IP-Adressen zum Internet hinausgehen. In großen Netzwerken können einige Server als Webserver fungieren und benötigen Zugriff aus dem Internet. Diesen Servern werden in der Firewall öffentliche IP-Adressen zugewiesen, so dass die Öffentlichkeit nur über diese IP-Adresse auf die Server zugreifen kann. Als zusätzliche Sicherheitsebene fungiert die Firewall jedoch als Vermittler zwischen der Außenwelt und dem geschützten internen Netzwerk. Es können zusätzliche Regeln hinzugefügt werden, z. B. welche Ports unter dieser IP-Adresse zugänglich sind. Durch den Einsatz von NAT können Netzwerktechniker den internen Netzwerkverkehr effizienter zu denselben Ressourcen leiten und den Zugriff auf mehr Ports zulassen, während der Zugriff an der Firewall eingeschränkt wird. Außerdem kann die Kommunikation zwischen dem Netz und der Außenwelt detailliert protokolliert werden.

Zusätzlich kann NAT auch verwendet werden, um den selektiven Zugang zur Außenwelt des Netzes zu ermöglichen. Arbeitsstationen oder anderen Computern, die einen speziellen Zugang außerhalb des Netzes benötigen, können mit NAT bestimmte externe IPs zugewiesen werden, so dass sie mit Computern und Anwendungen kommunizieren können, die eine eindeutige öffentliche IP-Adresse benötigen. Auch hier fungiert die Firewall als Vermittler und kann die Sitzung in beide Richtungen kontrollieren, indem sie den Port-Zugang und die Protokolle einschränkt.