Wat is Network Address Translation?
Network Address Translation (NAT) is het proces waarbij een netwerkapparaat, meestal een firewall, een publiek adres toekent aan een computer (of groep computers) binnen een privénetwerk. Het belangrijkste gebruik van NAT is het beperken van het aantal openbare IP-adressen dat een organisatie of bedrijf moet gebruiken, zowel voor bezuinigings- als voor beveiligingsdoeleinden.
Bij de meest voorkomende vorm van netwerkvertaling gaat het om een groot privé-netwerk dat adressen in een privé-bereik gebruikt (10.0.0.0 tot 10.255.255.255, 172.16.0.0 tot 172.31.255.255, of 192.168.0 0 tot 192.168.255.255). Het privé-adresseringsschema werkt goed voor computers die alleen toegang hoeven te hebben tot bronnen binnen het netwerk, zoals werkstations die toegang nodig hebben tot bestandsservers en printers. Routers binnen het privé-netwerk kunnen zonder problemen verkeer tussen privé-adressen routeren. Om echter toegang te krijgen tot bronnen buiten het netwerk, zoals het Internet, moeten deze computers een publiek adres hebben zodat antwoorden op hun verzoeken naar hen kunnen terugkeren. Hier komt NAT om de hoek kijken.
Internetverzoeken waarvoor Network Address Translation (NAT) nodig is, zijn vrij complex, maar gebeuren zo snel dat de eindgebruiker er zelden weet van heeft dat het is gebeurd. Een werkstation binnen een netwerk doet een verzoek aan een computer op het Internet. Routers binnen het netwerk herkennen dat de aanvraag niet voor een bron binnen het netwerk is, dus sturen zij de aanvraag naar de firewall. De firewall ziet het verzoek van de computer met het interne IP. Vervolgens doet hij hetzelfde verzoek aan het internet met gebruikmaking van zijn eigen openbare adres, en stuurt het antwoord van de internetbron terug naar de computer binnen het particuliere netwerk. Vanuit het gezichtspunt van de bron op het internet, zendt het informatie naar het adres van de firewall. Vanuit het gezichtspunt van het werkstation lijkt het alsof de communicatie rechtstreeks plaatsvindt met de site op het Internet. Wanneer NAT op deze manier wordt gebruikt, hebben alle gebruikers binnen het privé-netwerk die toegang hebben tot het Internet hetzelfde openbare IP-adres wanneer zij het Internet gebruiken. Dat betekent dat er slechts één openbaar adres nodig is voor honderden of zelfs duizenden gebruikers.
De meeste moderne firewalls zijn stateful – dat wil zeggen dat zij in staat zijn de verbinding tussen het interne werkstation en de internetbron tot stand te brengen. Ze kunnen de details van de verbinding bijhouden, zoals poorten, de volgorde van de pakketten en de betrokken IP-adressen. Dit wordt het bijhouden van de status van de verbinding genoemd. Op deze manier kunnen zij de sessie bijhouden die bestaat uit communicatie tussen het werkstation en de firewall, en de firewall met het internet. Wanneer de sessie eindigt, verwijdert de firewall alle informatie over de verbinding.
Er zijn andere toepassingen voor Network Address Translation (NAT) dan alleen werkstations met interne IP-adressen toegang te geven tot het Internet. In grote netwerken kunnen sommige servers als webservers fungeren en toegang vanaf het internet nodig hebben. Deze servers krijgen openbare IP-adressen toegewezen op de firewall, zodat het publiek alleen via dat IP-adres toegang heeft tot de servers. Als extra beveiligingslaag fungeert de firewall echter als tussenpersoon tussen de buitenwereld en het beschermde interne netwerk. Er kunnen bijkomende regels worden toegevoegd, onder meer welke poorten op dat IP-adres toegankelijk zijn. Door NAT op deze manier te gebruiken, kunnen netwerkingenieurs het interne netwerkverkeer efficiënter naar dezelfde bronnen leiden, en toegang verlenen tot meer poorten, terwijl de toegang bij de firewall beperkt wordt. Het maakt ook gedetailleerde logging mogelijk van de communicatie tussen het netwerk en de buitenwereld.
Daarnaast kan NAT ook worden gebruikt om selectieve toegang tot de buitenkant van het netwerk mogelijk te maken. Werkstations of andere computers die speciale toegang tot buiten het netwerk nodig hebben, kunnen met NAT specifieke externe IP’s toegewezen krijgen, zodat ze kunnen communiceren met computers en toepassingen die een uniek openbaar IP-adres nodig hebben. Ook hier fungeert de firewall als tussenpersoon en kan hij de sessie in beide richtingen controleren, door poorttoegang en protocollen te beperken.