NAT-Typen: Ist Ihr Netzwerk bedroht?

Heute wollen wir mal ein wenig Typenkunde betreiben - welcher Typ sind Sie? Wer von uns kennt nicht diese Ansprachen aus Werbemitteilungen - in diesem Fall geht es aber um Ihr heimisches oder Unternehmensnetzwerk. Und da geht es um eine Begrifflichkeit, die in vielerlei Hinsicht erstaunlich ist - genauer gesagt um die unterschiedlichen NAT-Typen. Sie wissen nicht, was das ist, weil es doch nur NAT oder nicht-NAT gibt? Dann lesen Sie weiter und bleiben Sie gespannt!

01.06.2022 Von: Lars Behrens
NAT-Typen

Netzwerke sind heutzutage durch Router und Firewalls vom grossen, weiten Internet abgetrennt

Jeder kennt es, jeder nutzt es - Netzwerke sind heutzutage durch Router und Firewalls vom grossen, weiten Internet abgetrennt. Das hat nicht nur technische Gründe - wie beispielsweise die Knappheit der IP-Adressen des IPv4-Adressraums. Da nicht ausreichend IP-Adressen zur Verfügung stehen, um jedes lokale Netzwerk mit einer so genannten «öffentlichen» IP-Adresse zu versorgen, ist man schon vor über zwanzig Jahren herangegangen, für lokale Netzwerke bestimmte IP-Adressbereiche zu verwenden und erst am Übergang zum weltweiten Internet am Router eine öffentliche - und das heisst weltweit erreichbare - IP-Adresse zu nutzen. Diese Adressen kennen die meisten sicher, am populärsten dürfte einer der Bereiche der so genannten Class-C-Netze sein: 192.168.0.0 bis 192.168.0.255. Gefühlt 80 Prozent aller Router in kleineren Netzwerken in der Schweiz dürften auf eine dieser Adressen 192.168.0.1 oder 192.168.1.1 «hören». Da diese so genannten «privaten» IP-Adressen im Internet nicht sinnvoll ausgewertet werden können, muss die IP-Adresse eines PCs in Ihrem Netzwerk - es könnte zum Beispiel die 192.168.0.50 sein - am Router in dessen eigene, öffentliche IP-Adresse umgesetzt werden. Eine Anfrage Ihres PCs im lokalen Netzwerk auf https://www.weka.ch/ würde von WEKA's Webserver an die öffentliche IP-Adresse Ihres Routers zurückgeschickt, dieser leitet die Antwort des Webservers dann an Ihren PC im abgetrennten privaten Netzwerk weiter. Es ist immer wieder eine beliebte Diskussion unter Administratoren und IT-Sicherheitsexperten, ob dieses «Maskieren» der lokalen Systeme, das «Masquerading», für sich genommen bereits eine Schutzfunktion darstellt. Gängige Meinung ist eher, dass dies nicht der Fall ist – andererseits ist klar, dass die IT-Systeme in Ihrem Netzwerk erst einmal nicht vom Internet aus erreicht werden können, solange diese Systeme oder gar der Router nicht von sich aus Verbindungen öffnen.

Network Address Translation (NAT) und NAT-Typen

So weit, so gut und bekannt. Nun gibt es aber einige Fälle, in denen man mit dieser Abtrennung und Übersetzung der privaten IP-Adressen - dem so genannten NAT (für Network Address Translation) bestimmte Dienste im Internet nicht erreichen kann. Ein klassischer Fall ist der Zugriff auf einen FTP-Server - dieser wird zwar von Ihrem PC aus dem lokalen Netzwerk heraus angesprochen, kann aber nicht auf dem «klassischen» Weg mittels Kommunikation mit Ihrem Router antworten. Er muss für den Rückweg eine weitere Verbindung öffnen.

Und spätestens an dieser Stelle sollten sie schon einmal hellhörig werden - eine neue Verbindung, die von einem Computer ausserhalb Ihres Netzwerks zu einem Computer innerhalb Ihres Netzwerks aufgebaut wird? Das hört sich nicht nur verdächtig nach einem potentiell gefährlichen Eindringen in Ihr lokales Netzwerk an - das ist es auch. Deswegen verwenden Firewalls auf Routern diverse Mechanismen, um eine FTP-Verbindung nur dann zuzulassen, wenn diese auch von dem anfragenden PC oder Laptop aus Ihrem Netzwerk stammt. Eine weiterer Anwendungsfall, der gerne einmal übersehen wird, sind Online-Spiele. Um mit Call of Duty, GTA V und wie sie alle heissen nicht nur einsam vor dem heimischen PC «daddeln», sondern auch im Multiplayer-Modus online auf virtuelle Mitspieler treffen zu können, müssen teils haarsträubende Um- und Weiterleitungskonstruktionen eingerichtet werden. Es genügt leider nicht, die Firewall so einzustellen, dass Verbindungen aus dem Internet heraus nur über die «klassischen» Wege für HTTP und HTTPS, IMAP, POP und SMTP (für Emails) und FTP in Ihr lokales Netzwerk möglich sind - und das eben auch nur, wenn zuvor eine Anfrage eines Ihrer Systeme über den Router hinweg stattgefunden hat. Viele Online-Spiele verlangen, dass die Server der Gamingbetreiber eine Vielzahl weiterer Ports Ihres Routers erreichen und darüber Verbindungen zu dem «Gaming-PC» aufbauen können. Schauen Sie beispielsweise einmal auf dieser beeindruckend langen Liste:

https://portforward.com/ports.htm

Nun ist es ja grundsätzlich eigentlich kein Problem, diese Ports am Router weiterzuleiten, solange sichergestellt ist, dass «drinnen» eben nur Ihr Gaming-PC (oder die PlayStation oder die XBox) antworten. Dummerweise enthält das ganze aber zwei Haken:

  • Lokale Netzwerke sind üblicherweise so eingerichtet, dass die für die Kommunikation notwendigen IP-Adressen nicht fest gesetzt, sondern nach Bedarf von einem DHCP-Server vergeben werden. In 95 % aller lokalen (und auch kleineren Unternehmensnetzwerke) dürfte der Router diese Funktion übernehmen. Sie könnten jetzt beigehen und dem Gaming-PC einfach eine feste IP-Adresse zuweisen und die notwendigen Portweiterleitungen am Router eintragen. Nachteil dieser Methode: ein solches Vorgehen ist nicht nur recht aufwendig, sondern auch fehleranfällig; und wenn es sich bei Ihrem Gaming-PC um Ihren auch beruflich genutzten Laptop handelt, den Sie an wechselnden Einsatzorten nutzen müssen, wäre bei jedem Wechsel in ein anderes Netzwerk wieder die Umstellung des Netzwerkadapters notwendig. Zudem müssten Sie bei wechselnden IP-Adressen in Ihrem Netzwerk ständig die Portweiterleitungen von Aussen nach Innen, die Sie für die Online-Spiele benötigen, nachjustieren - das ist ebenso wenig komfortabel und birgt jedes Mal das Risiko für Fehlkonfigurationen.
  • Dagegen hilft eine Technik, die bereits länger bekannt, aber eben auch nicht ungefährlich ist: Mit «Universal Plug and Play» (UPnP) kann Ihr Router auch ohne fest eingetragene Portweiterleitungen (die oft auch als «Portfreigaben» bezeichnet werden) Anfragen von Aussen in Ihr lokales Netzwerk weiterleiten. UPnP ist ein eigenes Protokoll, es ermöglicht, dass IT-Systeme im Netzwerk ohne manuelle Konfiguration durch Sie oder einen Administrator miteinander kommunizieren können. Was in Ihrem heimischen Netzwerk sicher eine feine Sache ist, wenn sich PC, Drucker, NAS, Smart-TV oder Smartphone untereinander finden, macht einen Router für gezielte Angriffe aus dem Internet verwundbar.

Sicherheitsrisiko

Es dürfte nachvollziehbar sein, dass UPnP ein erhebliches Sicherheitsrisiko darstellt - Sie sollten es deswegen an Ihrem Router grundsätzlich abschalten. Unglaublicher Weise ist UPnP in den meisten Routern für kleinere Netzwerke wie beispielsweise den beliebten FritzBoxen von AVM standardmässig aktiviert.

Weshalb soll es unterschiedliche NAT-Typen geben?

Nun wollen wir noch das eingangs gestellte Rätsel auflösen - weshalb soll es unterschiedliche NAT-Typen geben? Falls Sie einmal von Computerspielsüchtigen Jugendlichen gefragt werden, welcher NAT-Typ an der XBox oder dem Router eingestellt werden muss und Sie hektisch auf der Webseite von https://tools.ietf.org/ nach der standardisierten Beschreibung von «Open NAT», «Strict NAT» und «Moderate NAT» suchen und nicht fündig werden: diese Unterteilung in drei «NAT-Typen» ist gar kein technischer Standard, sondern eine Erfindung von Microsoft. Der Spielkonsolenhersteller nutzt diese Unterscheidung, um die verschiedenen Techniken der Portweiterleitungen zu definieren, die man eben für besagte Online-Spiele nutzt.

Die verschiedenen NAT-Typen:

  • Typ 1 – Open NAT: Jedes IT-System aus dem Internet kann Verbindungen zu den Ports und somit dem PC in Ihrem Netzwerk aufbauen.
  • Typ 2 - Closed NAT: Ein IT-System aus dem Internet kann eine Verbindung zu den Ports und dem PC in Ihrem Netzwerk nur dann aufbauen, wenn das lokale System zuvor die Verbindung initiiert hat - das «klassische» NAT und Masquerading.
  • Typ 3 - Moderate NAT: Ihr Router leitet nur ein bestimmtes IT-System aus dem Internet an wiederum beliebige Ports Ihres PCs weiter.

Es gibt zuhauf Anleitungen im Internet, wie welcher NAT-Typ an bestimmten Routern oder den Spielkonsolen einzustellen sei – und oft genug sind Onlinespieler damit überfordert, die «richtigen» Einstellungen für Ihr System zu finden. Auf so mancher Webseite heisst es dann auch:

«Should I use UPnP, Port Forwarding, or both? When possible, use UPnP. Port Forwarding should only be configured when you cannot use UPnP. It is not recommended to enable both UPnP and Port Forwarding at the same time.»

Hier scheint den Betreibern von Online-Gamingplattformen das Risko, welches die Umsetzung solcher Empfehlungen mit sich bringen kann, gar nicht bewusst zu sein.

Was kann das Problem lösen?

Wie erwähnt die aufwendige Methode, das Port Forwarding und die IP-Adressen manuell einzurichten, oder die Einrichtung einer abgetrennten Zone in Ihrem Netzwerk, in die sie die Spielkonsole platzieren. Eine solche DMZ, eine «entmilitarisierte» Zone, wird auch in professionellen Netzwerken genutzt, um Server zu betreiben, ohne dabei die Sicherheit des lokalen Netzwerks aufs Speil zu setzen. Anleitungen zur Einrichtung einer solchen DMZ finden Sie im Internet - oder in unserem Online-Portal «InformatikPraxis».

Newsletter W+ abonnieren