Network Address Translation (NAT) Prof. B. Plattner



Ähnliche Dokumente
Network Address Translation (NAT) Warum eine Übersetzung von Adressen?

Network Address Translation (NAT) Prof. B. Plattner

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

Internetanwendungstechnik (Übung)

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Mobilität in IP (IPv4 und IPv6)

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

IP-Adressen und Ports

Kontrollfragen Die nötigen Netzwerkgrundlagen

2.1 Adressierung im Internet

Internetzugang Modul 129 Netzwerk Grundlagen

Transition vom heutigen Internet zu IPv6

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Firewall-Versuch mit dem CCNA Standard Lab Bundle

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Technische Grundlagen von Internetzugängen

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer

Kontrollfragen: Internet

NAT und Firewalls. Jörn Stuphorn Universität Bielefeld Technische Fakultät

Adressen im Internet (Wdh.)

TCP/IP-Protokollfamilie

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

NAT / PAT Thomas Koch & Marco Reinel 1

Migration IPv4 auf IPv6. Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner,

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Grundkurs Routing im Internet mit Übungen

Prof. Dr. Klaus Lang, Fachhochschule Bingen. rwho rhosts.. NIS YP ... NFS RIP/OSPF/EGP ARP/RARP SLIP/PPP. Modem/V24/ISDN

TCP/UDP. Transport Layer

IPv6. Autor Valentin Lätt Datum Thema IPv6 Version V 1.0

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Anbindung des eibport an das Internet

WLAN Konfiguration. Michael Bukreus Seite 1

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

15 Transportschicht (Schicht 4)

Vorlesung SS 2001: Sicherheit in offenen Netzen

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Grundlagen der Rechnernetze. Internetworking

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

Internet und WWW Übungen

KN Das Internet

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Internetprotokoll TCP / IP

IPV6. Eine Einführung

Routing im Internet Wie findet ein IP Paket den Weg zum Zielrechner?

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan Subnetting

2.3 Applikationen. Protokolle: TCP/IP. Telnet, FTP, Rlogin. Carsten Köhn

Technische Grundlagen von Auskunftsansprüchen

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

Übung 6. Tutorübung zu Grundlagen: Rechnernetze und Verteilte Systeme (Gruppen MI-T7 / DO-T5 SS 2015) Michael Schwarz

Guide DynDNS und Portforwarding

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

a.i.o. control AIO GATEWAY Einrichtung

HBF IT-Systeme. BBU-NPA Übung 4 Stand:

IPv6: Fragen, Antworten & Diskussion

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

NAS 224 Externer Zugang manuelle Konfiguration

Wie macht man einen Web- oder FTP-Server im lokalen Netzwerk für das Internet sichtbar?

ARCHITEKTUR VON INFORMATIONSSYSTEMEN

Remote Tools. SFTP Port X11. Proxy SSH SCP.

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

Anwendungsprotokolle: HTTP, POP, SMTP

IPv6 im MWN. Bernhard Schmidt Planung Kommunikationsnetze Leibniz-Rechenzentrum Garching bei Muenchen. 26. November

Der Weg ins Internet von Jens Bretschneider, QSC AG, Geschäftsstelle Bremen, im Oktober 2004

AXIGEN Mail Server. s per Smarthost versenden s per Pop3 empfangen. Produkt Version: Dokument Version: 1.2

Konfigurationsanleitung Fax over IP (T.38) und CAPI Fax Server (T.30) Graphical User Interface (GUI) Seite - 1 -

Preis- und Leistungsverzeichnis der Host Europe GmbH. Firewalls V 1.1. Stand:

CCNA Exploration Network Fundamentals. Chapter 6 Subnetze

Einführung. Internet vs. WWW

Grundlagen Firewall und NAT

ICMP Internet Control Message Protocol. Michael Ziegler

Grundlagen der. Videokommunikation

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Netzwerk Teil 2 Linux-Kurs der Unix-AG

VIRTUAL PRIVATE NETWORKS

Gemeinsam statt einsam - ein Internet-Zugang für mehrere Rechner

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

IPv6 Vorbereitungen auf die neuen IP-Adressen

Tutorial. In diesem Tutorial möchte ich die Möglichkeiten einer mehrspracheigen Web-Site erläutern.

Inhaltverzeichnis 1 Einführung Zugang zu den Unifr Servern Zugang zu den Druckern Nützliche Links... 6

Migration zu IPv6. Ronald Nitschke

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

7. TCP-IP Modell als Rollenspiel

Vorlesung SS 2001: Sicherheit in offenen Netzen

Python Programmierung. Dipl.-Ing.(FH) Volker Schepper

Einführung in die Netzwerktechnik

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Lösungen zu Informations- und Telekommunikationstechnik - Arbeitsheft

Walther- Übungsaufgabe 24. Januar 2016 Rathenau- Routing Name: Gewerbeschule Freiburg DHCP Klasse: E3FI1T Seite 1 Punkte: /20 Note:

Konfigurationsanleitung IGMP Multicast - Video Streaming Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

IMAP und POP. Internet Protokolle WS 12/13 Niklas Teich Seite 1

René Hüftlein, B.Eng.; Wissenschaftlicher Mitarbeiter im Labor Kommunikationstechnik Beitrag für den IPv6-Kongress am 20./21.

Transkript:

Network Address Translation (NAT) Prof. B. Plattner

Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert): Classless Inter-Domain Routing (CIDR) ebenfalls kurzfristig und implementiert: Verwendung privater, nicht global sichtbarer Adressen innerhalb eines Intranets

Modell für NAT Privater Adressraum (Intranet) Adressen sind lokal eindeutig NAT Externer Adressraum (Internet) Adressen sind global eindeutig Zwei Fälle: Privater und Externer Adressraum sind disjunkt Privater und Externer Adressraum überlappen sich

Voraussetzungen für die Umsetzung Internet-Adressraum muss einen Teil mit global eindeutigen und einen Teil mit wiederverwendbaren, lokalen Adresssen aufgeteilt werden Wiederverwendbar, nur lokal geroutet: Klasse A: Netz 10.0.0.0 (10/8) Klasse B: Netze 172.16.0.0 bis 172.31.0.0 (172.16/12) Klasse C: Netze 192.168.0.0 bis 192.168.255.0 (192.168/16) Lokale Adressen werden nach aussen nicht bekannt gemacht, nur die zugehörigen globalen Adressen Routing-Protokoll innerhalb des Intranet arbeitet mit den lokalen Adressen

Beispiel: Basic NAT Internet (via ISP) Edge Router mit NAT NAT 192.168.1.2 Zugangsrouter des ISP 212.34.87.4 212.34.87.18 212.34.87.25 192.168.1.4 192.168.1.3 Intranet

Diskussion Wieviele globale Adressen braucht man? Soviele wie installierte private Hosts (statische Zuordnung) Soviele wie extern kommunizierende lokale Hosts (statische Zuordnung) Soviele wie gleichzeitig extern kommunizierende lokale Hosts (dynamische Zuordnung) nur eine für mehrere gleichzeitig extern kommunizierende lokale Hosts (!) -> Address & Port Translation NAT Router muss Adressen übersetzen statische Zuordnung (transparent routing) dynamische Zuordnung (pro Session) Adress- und Portübersetzung notwendig (Zuordnung pro Session)

Mehrere private Hosts, eine externe Adresse Eine einzige IP-Adresse wird mehreren Hosts zugeordnet Neben den IP-Adressen müssen auch Port-Nummern übersetzt werden Web-Server 205.244.37.56 192.168.0.5:1234 205.244.37.56:80 NAT 212.145.45.23 Host 192.168.0.5! 212.145.45.23:1234 205.244.37.56:80 192.168.0.6:1234 205.244.37.56:80 Host 192.168.0.6

Network Address and Port Translation 212.145.45.23:5566 205.244.37.56:80 Web-Server 205.244.37.56! 212.145.45.23:5567 205.244.37.56:80 192.168.0.5:1234 205.244.37.56:80 NAT 192.168.0.6:1234 205.244.37.56:80 212.145.45.23 Host 192.168.0.5 Host 192.168.0.6 NAT ordnet neue Port-Nummern zu

Funktionsweise des NAT Routers NAT Router unterhält eine Tabelle mit der Zuordnung von IP-Adressen und Port-Nummern (TCP und UDP) pro Session Erkennen von Sessionen: TCP-Sessionen sind leicht erkennbar (SYN, FIN, RST), jedoch nicht zuverlässig abgrenzbar (verlorene FINs, Crashes der Hosts) -> Garbage collection. Für UDP-Sessionen müssen Heuristiken angewendet werden (Packet classification, timeouts) Übersetzung: Abbildung privater Adressen auf globale und umgekehrt Abbildung der im privaten Bereich sichtbaren Port- Nummern auf die vom NAT Router gewählten und umgekehrt

Protokoll-Abhängigkeit von NAT Routern Problem: Adress/Port-Information in der Payload TCP, UDP: Anpassen der Prüfsumme FTP lokalisieren und Übersetzen von IP-Adressen im FTP- Anwendungsprotokoll Anpassen von Folgenummern und Bestätigungsnummern in TCP ICMP Anpassen des ICMP-Pakets und des Inhalts des referenzierten IP-Pakets, ebenfalls der Prüfsummen SNMP, DNS: Verwendet Adressen im Payload -> spezielle Application Level Gateways, die mit NAT zusammenarbeiten

IP Header Checksum und TCP/UDP Checksum müssen angepasst werden Differenzielle Anpassung, keine vollständige Neuberechnung notwendig Protokolle, die IP-Adressen als Daten übertragen FTP: Port Command teilt IP-Adresse und Port für Datentransfer mit. ICMP: im ICMP übertragener Teil eines IP-Pakets enthält IP-Adressen. Network Management & Diagnose-Protokolle Ende-zu-Ende-Verschlüsselung auf Ebene IP wird durch NAT verunmöglicht.

Beispiel: FTP-Session ftp:no connection> 220 tik2 FTP server (SunOS 5.6) ready. USER plattner 331 Password required for plattner. PASS ********** 230 User plattner logged in. CWD /home/plattner 250 CWD command successful. TYPE A N 200 Type set to A. PORT 192,168,0,8,4,127 200 PORT command successful. LIST 150 ASCII data connection for /bin/ls (172.16.130.225,18628) (0 bytes). 226 ASCII Transfer complete. TYPE I 200 Type set to I. ftp:tik2.ethz.ch> Die IP-Adresse wird in ASCII übertragen, d.h. dieser String kann sich bei der Übersetzung in der Länge verändern, was hier auch der Fall ist -> NAT Router muss FTP-Pakete erkennen und spezifisch behandeln. (Anpassen der TCP- Folge- und Bestätigungsnummern notwendig!)

Änderungen an einer ICMP-Nachricht IP-Header mit Absender- und Empfängeradressen Typ, Code, Prüfsumme unbenutzt IP Header und erste 64 Bit des Datengramms, auf welches sich die ICMP-Nachricht bezieht Zwei Adressänderungen und drei Anpassungen von Prüfsummen sind notwendig

Ende-zu-Ende Sicherheit IP Header TCP Header Prüfsumme NAT Host TCP Daten Server verschlüsselt

Literaturhinweise K. Egevang, P. Francis, The IP Network Address Translator (NAT), RFC 1631, Mai 1994 Rekhter, Moskowitz, Karrenberg, G. J. de Groot, E. Lear : Address Allocation for Private Internets, RFC 1918, Februar 1996 P. Srisuresh, M. Holdrege: IP Network Address Translator (NAT) Terminology and Considerations, RFC 2662, August 1999 The Trouble with NAT, Internet Protocol Journal, Volume 3, No. 4, Dec. 2000, Cisco Systems. http://www.cisco.com/warp/public/759/ipj_3-4/ipj_3-4_nat.html

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback