Ich brauche eine Web-Seite vom Server im Internet Die Sender IP-Adresse ist ein private Adresse nach RFC 1918. Das Paket wird verworfen. 192.168.1.1 141.131.13.1 12.11.2018
Adressbereich nach RFC 1918 Problem: IPv4 Adressen nach RFC 1918 dürfen im Internet nicht geroutet werden Klasse Adressbereich nach RFC 1918 CIDR-Präfix A 10.0.0.0 … 10.255.255.255 10.0.0.0/8 B 172.16.0.0 … 172.31.255.255 172.16.0.0/12 C 192.168.0.0 … 192.168.255.255 192.168.0.0/16 Diese Adressen werden auch private Adressen genannt. Das heißt Computer, die solche Adressen verwenden können nicht ohne weiteres auf das Internet zugreifen. 12.11.2018
Network Address Translation Lösung: Network Address Translation RFC 1631
Peter Maaß Network Address Translation Es gibt verschiedene Varianten des Network Address Translation: Statisches Nat Dynamisches Nat Port Address Translation (PAT) Eine Kombination der drei Varianten auf einem Router ist möglich. 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Allgemeine Informationen: Vorteile von Network Address Translation sind: Der Einsatz von NAT hilft öffentliche Adressen einzusparen, da sich mehrere Rechner im Idealfall eine öffentliche Adresse teilen können. Nat verhindert den Zugriff externer Geräte auf interne Geräte, da die internen Geräte nach außen nicht sichtbar sind. NAT versteckt die internen Geräte vor externen Geräten. Dadurch werden Angriffe erschwert, da der Aufbau des internen Netzwerkes verschleiert wird. Nat erleichtert einen Providerwechsel, da nur die Konfiguration des NAT-fähigen Routers nicht jedoch die des internen Netzwerkes geändert werden muss. Nachteile: Der direkte Zugriff auf interne Server ist nicht möglich. Durch den Austausch von IP-Adressen im Header eines IP-Paketes ist keine Ende-zu-Ende Sicherheit möglich. 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Network AddressTranslation - statisch: Die Anfrage im Detail: Die Zuordnung der privaten IP Adresse zur öffentlichen IP Adresse wird fest im Router konfiguriert. Ein Datenpaket wird vom PC mit der privaten IP-Adresse an den Router verschickt. Der Router entfernt die private IP Adresse aus dem Header des Paketes und ersetzt diese durch die zugeordnete öffentliche IP Adresse. Der Router versendet das Datenpaket in Richtung des Ziels. 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Network AddressTranslation - statisch: Daten … 192.168.1.1 111.1.1.21 Quell-IP 192.168.1.1 111.1.1.21 141.131.13.1 Ziel-IP Ich brauche eine Web-Seite vom Server im Internet Die private Sender IP Adresse 192.168.1.1 ist der öffentlichen Adresse 111.1.1.21 zugeordnet. Private Adresse! Sie wird nicht geroutet 192.168.1.1 141.131.13.1 Zuordnungstabelle Interne IP Externe IP 12.11.2018 Peter Maaß Network Address Translation 192.168.1.1 192.168.1.1 111.1.1.21 111.1.1.21
Peter Maaß Network Address Translation Network AddressTranslation - statisch: Die Antwort im Detail: Der Server antwortet an die öffentliche Zieladresse aus dem Anfragepaket (hier: 111.1.1.21). Der Router empfängt das Paket, entfernt die öffentliche Adresse aus dem Header und ersetzt diese durch die in der Übersetzungstabelle gespeicherte private Adresse (hier: 192.168.1.1), Der Router sendet das Datenpaket weiter an den Ziel PC mit der privaten IP-Adresse (hier: 192.168.1.1). Der PC empfängt das Datenpaket. 12.11.2018 Peter Maaß Network Address Translation
Die Adresse wird ersetzt. Network AddressTranslation - statisch: Ziel-IP 111.1.1.21 192.168.1.1 111.1.1.21 192.168.1.1 141.131.13.1 Quell-IP Daten … Ich habe eine Antwort für den PC mit der Adresse 111.1.1.21. Die öffentliche Sender IP Adresse 111.1.1.21 ist der privaten Adresse 192.168.1.1 zugeordnet. 111.1.1.21 wird im internen Netzwerk nicht genutzt. Die Adresse wird beim NAT verwendet. Die Adresse wird ersetzt. 192.168.1.1 141.131.13.1 Zuordnungstabelle Interne IP Externe IP 12.11.2018 Peter Maaß Network Address Translation 192.168.1.1 192.168.1.1 111.1.1.21 111.1.1.21
Peter Maaß Network Address Translation Network AddressTranslation - statisch: Vorteile: Die internen Geräte sind von außen erreichbar. Das interne Adressschema wird nach außen hin verschleiert. Nachteile: Für jedes Endgerät mit einer privaten Adresse wird eine öffentliche Adresse benötigt. 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Network AddressTranslation - dynamisch: Die Anfrage im Detail: Es wird ein Pool öffentlicher IP-Adressen konfiguriert. Interne IP Adressen können durch diese öffentlichen Adressen ersetzt werden. Ein Datenpaket wird vom PC mit der privaten IP-Adresse an den Router verschickt. Der Router empfängt das Paket, entfernt die private Adresse aus dem Header und ersetzt diese durch eine öffentliche Adresse. Diese Zuordnung wird in einer Tabelle eingetragen. Diese Einträge sind nur temporär. Die Zugeordnete öffentliche IP-Adresse wird für die Dauer der Zuweisung aus dem Pool entfernt. Der Router versendet das Datenpaket in Richtung des Ziels. 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Network AddressTranslation - dynamisch: Die private Sender IP Adresse 192.168.1.1 wird der öffentlichen Adresse 111.1.1.21 temporär zugeordnet. Ich brauche eine Web-Seite vom Server im Internet 192.168.1.1 141.131.13.1 Pool: 111.1.1.21 – 111.1.1.22 Zuordnungstabelle Interne IP Externe IP Timer 192.168.1.1 111.1.1.21 10s 8s 9s 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Network AddressTranslation - dynamisch: Ich habe eine Web-Seite vom Server im Internet erhalten. Die öffentliche IP Adresse 111.1.1.21 ist mit der privaten Adresse 192.168.1.1 verknüpft. Ich habe eine Antwort für den PC mit der Adresse 111.1.1.21. 192.168.1.1 141.131.13.1 Pool: 111.1.1.21 – 111.1.1.22 Zuordnungstabelle Interne IP Externe IP Timer 192.168.1.1 111.1.1.21 5s 10s 6s 7s 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Network AddressTranslation - dynamisch: Vorteile: Mehrere private Adressen können sich eine geringere Anzahl an öffentlichen IP-Adressen teilen. Die internen Geräte werden vor den äußeren Geräten versteckt. Sie können daher schwerer angegriffen werden. Nachteile: die einzelnen Rechner sind nicht von außen erreichbar. Wenn der IP-Adresspool leer ist, d.h. alle öffentlichen IP-Adressen an private Adressen gebunden sind, könne keine weiteren Endgeräte mit dem externen Netz kommunizieren. 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Port AddressTranslation: Die Anfrage im Detail: Es wird eine öffentliche IP-Adresse (es ist auch ein Pool öffentlicher IP-Adressen möglich) konfiguriert. Interne IP Adressen können durch diese öffentliche(n) Adresse(n) ersetzt werden. Ein Datenpaket wird vom PC mit der privaten IP-Adresse an den Router verschickt. Der Router empfängt das Paket, entfernt die private IP-Adresse und den Quell-Port aus dem Header und ersetzt diese durch die öffentliche IP-Adresse sowie einen neuen Quell-Port. Diese Zuordnung wird in einer Tabelle eingetragen. Diese Einträge sind nur temporär. Die zugeordnete Kombination aus öffentlicher IP-Adresse und neuem Quellport wird für die Dauer der Zuweisung gesperrt. Der Router versendet das Datenpaket in Richtung des Ziels. 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Port AddressTranslation: Die private Sender IP Adresse 192.168.1.1 Quell-Port 2455 wird der öffentlichen Adresse 111.1.1.21 Quell-Port 9553 temporär zugeordnet. Ich brauche eine Web-Seite vom Server im Internet 192.168.1.1 141.131.13.1 Zuordnungstabelle Pool: 111.1.1.21 – 111.1.1.22 Interne IP Quell-Port Externe IP Quell-Port Timer 192.168.1.1 2455 111.1.1.21 9553 9s 10s 8s 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Port AddressTranslation: Ich habe eine Web-Seite vom Server im Internet erhalten. Die öffentliche IP Adresse 111.1.1.21 und der Port 9553 sind mit der privaten Adresse 192.168.1.1 und Port 2455 verknüpft. Ich habe eine Antwort für den PC mit der Adresse 111.1.1.21. 192.168.1.1 141.131.13.1 Zuordnungstabelle Pool: 111.1.1.21 – 111.1.1.22 Interne IP Ziel-Port Externe IP Ziel.-Port Timer 192.168.1.1 2455 111.1.1.21 9553 10s 6s 5s 7s 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Port AddressTranslation: Die Antwort im Detail: Die Antwort auf die Anfrage wird vom Server an die Kombination von öffentlicher IP-Adresse und Quell-Port (ab jetzt natürlich der Ziel-Port) geschickt. Das Datenpaket wird also an den Router verschickt. Der Router empfängt das Datenpaket und überprüft ob er die Kombination aus öffentlicher IP-Adresse und Port in seiner Tabelle eingetragen hat. Ist dies der Fall, entfernt der Router die öffentliche IP-Adresse und den Ziel-Port aus dem Datenpaket und ersetzt diese durch die in der Tabelle gespeicherten Werte. Der Router versendet das Datenpaket in Richtung des Ziels. 12.11.2018 Peter Maaß Network Address Translation
Peter Maaß Network Address Translation Port AddressTranslation: Vorteile: Mit einer öffentlichen IP-Adresse können theoretisch bis zu 216 = 65536 (praktisch ca. 4000) Endgeräte mit privaten Adressen gleichzeitig ins Internet kommunizieren. Der Einsatz von PAT ermöglicht die Einsparung von öffentlichen IP- Adressen. Damit ist der Zeitpunkt an dem nicht mehr genügend öffentliche IP-Adressen zur Verfügung stehen zeitlich nach hinten verschoben worden. Die internen Geräte werden vor dem Zugriff von außen geschützt, da sie vor dem äußeren Netz versteckt werden. Nachteile: Die internen Geräte sind nicht von außerhalb ansprechbar. 12.11.2018 Peter Maaß Network Address Translation