Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

2009-11: NAT bringt keine Sicherheit

Immer wieder ist zu lesen, NAT (Native Address Translation) würde zur Sicherheit des Firmennetzwerks beitragen. Erst vor einigen Wochen nahm ein Leserbriefschreiber im iX Magazin diese Mär' gar als Argument gegen IPv6. Das ist schlichtweg ziemlicher Blödsinn!

Es gibt mehrere Varianten von NAT und auch mehrere Namen dafür (z.B: PAT – Port Address Translation). Bei meinen Ausführungen hier beziehe ich mich ausschließlich auf das sogenannte „dynamische NAT“. Denn die anderen Varianten – insbesondere statisches NAT, also die direkte 1:1-Umsetzung von Adressen/Ports – bieten noch weniger Sicherheit.

Woher kommt also die verbreitete Meinung, dass NAT zur Sicherheit eines Netzwerkes beiträgt? Oder besser gesagt, vor welchen Risiken meinen diese „Sicherheitsexperten“, dass NAT überhaupt schützen sollte?

NAT verursacht zwei Dinge:

Erstens verhindert NAT, dass jemand von außen die Struktur eines internen Netzes erkennt. Doch es stellt sich unter dem Sicherheitsaspekt die Frage: Inwiefern ist die Topologie Ihres Netzes für einen Angreifer überhaupt wichtig? Was hat ein Angreifer davon, wenn er die Topologie Ihres Netzes kennt? Und hätten Sie kein NAT, käme ein Angreifer dann wirklich so einfach an die Informationen zur Netztopologie? Der Aufwand ist auch ohne NAT dafür nämlich ziemlich groß – also viel Aufwand für wenig Nutzen.

Aber nehmen wir dennoch mal an, die Topologie Ihres Netzes wäre höchst vertraulich. Ist NAT dann wirklich das richtige Mittel, diese Information zu schützen? Ich behaupte: Nein, NAT ist dafür unzureichend. Denn Informationen über die Topologie Ihres Netzes können auch durch viele Seitenkanäle sickern. Am deutlichsten wird dies in Mailheadern.

Zum zweiten Punkt, der oft als Argument für NAT angeführt wird: Es erschwert es NAT einem Angreifer, ins Netz einzudringen: Dies verhindert nämlich die Status-Tabelle, die der Router für dynamisches NAT benötigt. Sie funktioniert ähnlich der State Table einer Firewall, die unbekannte Pakete nicht durchlässt. Da jedoch heutzutage jeder billige WAN-Router eine Statefull Firewall eingebaut hat – die mehr leistet –, ist NAT für diesen Zweck einfach unnötig.

Soweit zum angeglichen Sicherheitsgewinn durch NAT. Dagegen steht, dass man für dieses geringe Mehr an Vertraulichkeit mit NAT bei der Authentizität, der Stabilität und der Verfügbarkeit In Kauf nimmt. Denn NAT ist und bleibt eine Notlösung, ein Hack. Eine ganze Reihe wichtiger Protokolle haben Probleme mit NAT: FTP, SIP, H.323, IPSec. Um diese Protokolle überhaupt mit NAT nutzen zu können, braucht es komplexe Software, bei IPSec sogar einen aufwändige Erweiterung wie NAT-Traversal. Zwar ist für die genannten Protokolle das NAT-Problem bereits gelöst, aber bei zukünftigen Protokollen werden Entwickler und Administratoren wieder mit NAT zu kämpfen haben.

Seien wir also froh, wenn wir mit IPv6 NAT endlich Lebewohl sagen können.

Und wer die Topologie seines Netzes unbedingt verstecken will, dem rate ich zu einem Proxy. Der kann dann auch gleich Cachen und Viren filtern.