Bundesamt für Sicherheit in der Informationstechnik

M 5.70 Adreßumsetzung - NAT (Network Address Translation)

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Network Address Translation (NAT) ist ein Mechanismus, bei dem eine aktive Netzkomponente (in der Regel ein Router) bei der Weiterleitung eines Paketes die IP-Adresse des Paketes verändert. Der Router speichert in einer Tabelle die Zuordnung der internen Adresse und des internen Quell-Ports zur externen Adresse, Zielport und dem Port, den der Router selbst für das veränderte Paket gewählt hat und setzt die Antwortpakete entsprechend um.

NAT kann zu verschiedenen Zwecken verwendet werden:

  • NAT kann verhindern, dass anhand der IP-Adressen im lokalen Netz auf dessen Struktur rückgeschlossen wird, denn vom externen Netz aus ist nur die IP-Adresse des NAT-Gateways sichtbar. Dies verhindert gleichzeitig, dass Angreifer von außen direkt einzelne Rechner im internen Netz attackieren können.
  • Im lokalen Netz werden oft mehr IP-Adressen benötigt, als offiziell registriert sind. Bei Verwendung eines NAT-Gateways wird für jedes Netz nur eine einzige offizielle IP-Adresse zwingend benötigt, die internen Adressen können beliebig gewählt werden.
    Beim Aufbau eines internen Netzes sollten interne Adressen unbedingt nur aus den Bereichen gewählt werden, die offiziell für solche Zwecke vorgesehen sind (siehe RFC 1918 - Address Allocation for Private Internets). Diese Bereiche sind:
    • 10.0.0.0 - 10.255.255.255 (8-Bit Netzmaske)
    • 172.16.0.0 - 172.31.255.255 (12-Bit Netzmaske)
    • 192.168.0.0 - 192.168.255.255 (16-Bit Netzmaske)
    Diese Adressen werden im "allgemeinen Internet" nicht geroutet und müssen daher am Gateway zum Internet in eine offiziell zugeteilte IP-Adresse umgesetzt werden.
  • Gelegentlich wurden beim Aufbau eines internen Netzes einfach beliebige IP-Adressen verwendet. Beim Anschluss eines solchen Netzes an das Internet können diese bisher verwendeten IP-Adressen dann oft nicht benutzt werden, da der betreffende Adressbereich an andere Institutionen vergeben wurde. Um nicht alle Rechner neu konfigurieren zu müssen, kann eine Adressumsetzung von den internen zu den offiziell registrierten externen Adressen sinnvoll sein. Allerdings werden in diesem Fall oft Probleme bei der Namensauflösung eintreten und die Rechner, denen die intern verwendeten Adressen im Internet zugeordnet sind, werden aus dem internen Netz nicht erreichbar sein.
    Auch bei einem Wechsel des Internet-Providers kann dieser Fall eintreten.
  • Beim Zusammenschluss zweier Netze, bei denen IP-Adressen aus den Bereichen des RFC-1918 gewählt wurden, kann ebenfalls eine Adressumsetzung notwendig werden, wenn in beiden Netzen dieselben Adressen verwendet wurden.

Eine Umsetzung der internen in eine oder mehrere offiziell registrierte IP-Adressen und umgekehrt erfolgt über eine Adressumsetzungskomponente. Auch Proxies verfügen über eine implizite Adressumsetzung, da der Proxy extern nur seine offizielle Adresse verwendet und die Datenpakete an die jeweiligen internen Rechner weiterleitet.

Eine Adressumsetzung durch Router oder dedizierte Paketfilter kann entweder statisch oder dynamisch geschehen. Die statische Adressumsetzung ist einfach und schnell. Es wird jeder internen Adresse genau eine externe zugeordnet. Hierzu wird natürlich für jede interne Adresse genau eine externe benötigt.

Häufiger findet die dynamische Adressumsetzung Verwendung, insbesondere wenn die Anzahl der internen IP-Adressen größer ist als die der extern sichtbaren ist sie Voraussetzung. Im Router oder Paketfilter wird eine Zuordnungstabelle geführt, in der die internen Adressen mit dazugehöriger Portnummer eines Pakets einer externen Adresse mit neuer Portnummer zugeordnet wird. Häufig wird nach außen hin nur eine IP-Adresse sichtbar gemacht, die über die Portnummer-Zuordnung alle internen IP-Adressen verbirgt.

Eine Folge der dynamischen Adressumsetzung ist, dass ein Verbindungsaufbau zu einem internen Rechner aus dem Internet normalerweise nicht möglich ist. Soll dies doch möglich sein, so muss das Sicherheitsgateway "Destination NAT" bzw. "Port Forwarding" beherrschen (siehe unten).

Bestimmte Dienste müssen bei Adressumsetzung besonders behandelt werden (z. B. traceroute oder ftp).

Zugriff von außen bei NAT

Für einen Verbindungsaufbau von außen (z. B. bei Anfragen an einen Web-Server) werden am NAT-Gateway alle Pakete, die an einen bestimmten Port gerichtet sind, umgesetzt und an einen entsprechenden Port des Servers weitergeleitet. Dieser Mechanismus wird auch als "Destination NAT" oder "Port-Forwarding" bezeichnet. Mit den Antwortpaketen des Servers verfährt das NAT-Gateway analog.

Prüffragen:

  • Entsprechen die für das interne Netz vergebenen internen Adressen dem RFC 1918 Standard?

  • Ist der Einsatz von NAT mit den Sicherheitsrichtlinien der Organisation abgestimmt?

  • Entspricht das eingesetzte Portforwarding den Sicherheitsbestimmungen der Organisation?

Stand: 13. EL Stand 2013