Definition Network Address Translation | NAT Was ist NAT?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

NAT ist ein Verfahren in IP-basierten Netzwerken, das Absender- und/oder Ziel-Adressen von IP-Datenpaketen durch andere IP-Adressen ersetzt. Einer der Hauptgründe für den Einsatz von Network Address Translation ist die Knappheit von im Internet routbaren öffentlichen IPv4-Adressen. Der Austausch der IP-Adressen bietet zudem Sicherheitsvorteile, da die privaten IP-Adressen lokaler Endgeräte vor dem öffentlichen Internet verborgen bleiben.

Firmen zum Thema

Network Address Translation (NAT) erlaubt es, in lokalen Netzen private IP-Adressen zu verwenden und diese erst am Übergang zu öffentlichen Netzen wie dem Internet durch öffentliche IP-Adressen zu ersetzen.
Network Address Translation (NAT) erlaubt es, in lokalen Netzen private IP-Adressen zu verwenden und diese erst am Übergang zu öffentlichen Netzen wie dem Internet durch öffentliche IP-Adressen zu ersetzen.
(Bild: gemeinfrei / Pixabay )

NAT ist die Abkürzung für Network Address Translation. Es handelt sich um ein bereits in den 1990er-Jahren unter anderem im RFC 1631 standardisiertes Verfahren, mit dem sich die Absender- und/oder die Ziel-IP-Adressen von IP-Datenpaketen austauschen lassen. NAT wurde hauptsächlich deshalb entwickelt, da im Internet routbare öffentliche IPv4-Adressen knapp sind. Network Address Translation erlaubt es, in lokalen Netzen private IP-Adressen zu verwenden und diese erst am Übergang zu öffentlichen Netzen wie dem Internet durch öffentliche IP-Adressen zu ersetzen.

In der Regel übernehmen die an den Netzwerkgrenzen installierten Router die Aufgabe der Adressübersetzung. Das Austauschen der IP-Adressen bietet darüber hinaus Sicherheitsvorteile, da lokale Endgeräte in einem privaten Netz vor dem öffentlichen Internet verborgen bleiben. Die Einführung von IPv6 und die große Zahl an verfügbaren öffentlichen IPv6-Adressen macht Network Address Translation überflüssig.

Unterscheidung zwischen Source Network Address Translation und Destination Network Address Translation

Abhängig davon, ob die Ziel- oder die Absender-IP-Adressen ausgetauscht werden, bezeichnet man das Verfahren als Source oder Destination Network Address Translation (SNAT oder DNAT). SNAT und DNAT lässt sich einzeln oder gemeinsam auf ein Datenpaket anwenden. Für private Internetzugänge kommt üblicherweise Source Network Address Translation in Form von PAT zum Einsatz.

Unterschiede zwischen NAT und PAT

PAT (Port and Address Translation) ist eine Variante der Netzwerkadressübersetzung. IP-Adressen werden bei PAT nicht eins zu eins ausgetauscht, sondern verschiedene IP-Adressen werden durch eine einzige IP-Adresse ersetzt. Um an den Netzwerkgrenzen die richtige Zuordnung der Datenpakete zur jeweils ausgetauschten IP-Adresse zu treffen, werden Kombinationen aus IP-Adressen und UDP- oder TCP-Portnummern verwendet. PAT ist die passende Lösung, wenn ein Internetanschluss vom Provider nur eine einzige öffentliche IP-Adresse zugeteilt bekommt. Alle Endgeräte können dank PAT mit dieser einen öffentlichen IP-Adresse im Internet kommunizieren.

Probleme aufgrund von Network Address Translation

NAT verursacht in IP-Netzen Probleme, da das Grundprinzip der Ende-zu-Ende-Verbindung verletzt wird. Für einige Protokolle und Anwendungen wie Voice over IP (VoIP) benötigen Endgeräte und Server, die über NAT-Grenzen hinweg kommunizieren möchten, Verfahren und Mechanismen wie STUN-Server (Session Traversal Utilities for NAT) oder feste Portweiterleitungen. Probleme treten beispielsweise beim Verbindungsaufbau vom öffentlichen Internet zu einem Ziel in einem privat adressierten Netz oder bei kryptographischen Verfahren auf.

Zusätzliche Sicherheit durch NAT

Network Address Translation bietet in einem gewissen Umfang zusätzliche Sicherheit. Denn Endgeräte in einem privat adressierten Netz hinter einem NAT-Router bleiben vor Angreifern aus dem öffentlichen Internet verborgen. Ohne weitere Verfahren oder Maßnahmen wie fest eingerichtete Portweiterleitungen lassen sich aus dem Internet keine Verbindungen zu den Endgeräten aufbauen. Nur das Endgerät selbst kann einen Verbindungsaufbau zu einem Ziel im Internet initiieren. Die Schutzfunktion ist mit einer rudimentären Firewall vergleichbar. Vollwertige Firewallfunktionen wie Paketfilter und IP-Adressen-abhängige Sperr- und Weiterleitungsfunktionen bietet Network Address Translation jedoch nicht.

(ID:47386118)

Über den Autor