Security auf dem Network Layer

Sicherheitsaspekte

Bei der Adressumsetzung via NAT ergeben sich eine Reihe von interessanten Aspekten:

• NAT beschreibt keinen Tunnelmechanismus. Es wird also kein zusätzlicher IP-Header angehängt, sondern der bestehende IP-Header modifiziert. Dieses Verfahren arbeitet prinzipiell sehr effizient, da es keine zusätzlichen Daten generiert. Allerdings bringt es bei einigen Applikationen, die auch auf Anwendungsebene IP-Adressen berücksichtigen, Probleme mit sich.

• Sind mehrere interne IP-Adressen auf eine externe IP-Adresse abzubilden, wie dies bei typischen Dial-up-Routern der Fall ist, dann muss die Umsetzungstabelle noch zusätzliche Informationen abspeichern. Anhand der verwendeten Source-TCP-Ports bleibt eine eindeutige Zuordnung möglich. Dies bedeutet aber einen deutlich höheren Verwaltungsaufwand für den NAT-Router, der die Zuordnung verbindungsorientiert treffen muss.

• Im gleichen Schritt kann auch die Entscheidung fallen, ein Paket mit einer bestimmten Zieladresse (outbound) oder Quelladresse (inbound) gar nicht umzusetzen, sondern statt dessen zu blockieren. Diese Filterung auf Adressebene kann als IP-Firewall verstanden werden. Auf der Basis der entsprechenden Cisco-Nomenklatur hat sich dafür auch der Begriff der Access-Control-Lists durchgesetzt.