Network Address Translation (NAT) ist ein Weg, um ein gesamtes Netzwerk einer einzigen IP-Adresse zuzuweisen. NAT ist notwendig, wenn du mehr Rechner besitzt, denen du Internetzugriff ermöglichen möchtest, als dir dein Internetanbieter IP-Adressen bereitgestellt hat.

Funktionsweise:

Wenn ein Client im internen Netzwerk eine Maschine im Internet kontaktiert, sendet er IP-Pakete, die für diese Maschine bestimmt sind. Diese Pakete beinhalten alle Adressinformationen, die benötigt werden, um am Ziel anzukommen. NAT befasst sich mit diesen Informationen:

Quell-IP-Adresse (zum Beispiel 192.168.1.35)
Quell-TCP- oder -UDP-Port (zum Beispiel 2132)
Wenn das Paket durch das NAT-Gateway gesendet wird, wird es so modifiziert, dass es wirkt, als wenn es vom NAT-Gateway geschickt worden wäre. Das NAT-Gateway wird sich die Änderungen in der Statustabelle merken, so dass es a) die Änderungen für die Antwortpakete wieder rückgängig machen kann und b) sicherstellen kann, dass die Antwortpakete durch die Firewall gelassen und nicht geblockt werden. Zum Beispiel können die folgenden Änderungen durchgeführt werden:

Quell-IP: ersetzt mit der externen Adresse des Gateways (zum Beispiel 24.5.0.5)
Quell-Port: ersetzt mit einem zufällig gewählten, unbenutzen Port des Gateways (zum Beispiel 53136)
Weder die interne Maschine noch der Internethost wissen etwas von diesen Übersetzungsschritten. Für die interne Maschine ist das NAT-System einfach ein Internetgateway. Für den Internethost scheinen die Pakete vom NAT-System direkt zu kommen; er weiß noch nicht einmal, dass die interne Workstation überhaupt existiert.

Quelle: Sikora, Axel (2003): Technische Grundlagen der Rechnerkommunikation. Internet-Protokolle und Anwendungen. Münschen: Hanser

Dieser Beitrag handelt über IPsec, dieses Protokolformat wird häufig für ein Virtual Private Network verwendet.

VPN:
Als preiswerte Alternative zu Standleitungen im WAN besteht nun der Wunsch, das außergewöhnlich preiswerte Internet für die Verbindung privater Netzwerke heranzuziehen. Man macht dies, indem man einerseits Wege entwickelte, auch nicht-IP Pakete über das Internet zu transportieren und andererseits durch Verschlüsselung das Abhören oder Verfälschen der Daten durch Dritte zu unterbinden. Man nennt solcherart aufgebaute Netze virtuelle private Netze VPN.

IPsec:
Um die Gefahr, dass unbeteiligte den Datentransfer ausspähen könnten, zu verringern wurde IPsec entwickelt. Vorläufer ist die Cisco Encryption Technolgy (CET). Hier werden Datenpakete, sobald sie ans Internet abgegeben werden, verschlüsselt und signiert. Nur der autorisierte Kommunikationspartner kann sie entschlüsseln und weiterverarbeiten. IPsec kann auch die Kommunikationspartner authentifizieren, und damit vor Address-spoofing schützen. IPsec stellt zwei Methoden der Datensicherung zur Verfügung, die einzeln oder auch in Kombination verwendet werden können:

1. AH-Methode (Authentication Header):
Zuerst besteht die Möglichkeit, nur die Header und Daten der IP-Pakete gegen Veränderung und spoofing zu schützen.

2. ESP-Methode (Encapsulating security payload):
Im ESP-Modus hingegen wird der IP-header nicht geschützt, dafür aber der Nutzinhalt des IP-Paketes mit einem symmetrischen Verfahren verschlüsselt. So wird die Abhörsicherheit der Übertragung sichergestellt.

Quelle: Lipp, Manfred (2006): VPN - Virtuelle Private Netzwerke. Aufbau und Sicherheit. München: Addison-Wesley.