Wie funktioniert NAT ?

B

BobaFett

0
Hallo.

Habe hier einen Netgear Router der NAT macht und somit ist mein LAN dahinter doch versteckt.
Wie sicher ist diese Methode das kein Hacker in mein LAN kommt?
 
NAT hat mit Sicherheit ersteinmal gar nix zu tun...

Was da passiert wird u.a. auch masquerading genannt...
ausgehende Pakete eines Rechners der ueber Deinen Router ins Internet geht, bekommt als Absender die IP Adresse (MAC weiss ich jetzt nicht) des Routers.
Das ist das "maskieren".
Die Information die an Deinen Router aus dem Inet zurueckkommt wird wiederum demaskiert und an den Zielrechner weitergeleitet.

Um nun sicherzustellen, dass niemand eventuelle Dienste nutzen kann, die auf einem der Rechner hinter dem Router liegen brauchst Du explizite Filterregeln, die festlegen welche Pakete(von wem, auf welchem Port und welches Protokoll sie nutzen), den Router passieren dürfen bzw. in Dein Netzwerk gelangen duerfen.
Der Router sollte im home-net idealerweise auch gleich den Firewall darstellen.

unter Linux --> ipchains , iptables

Auch wenn Du kein LInux hast, ist eine Lektuere bezueglich dieser Themen sinnvoll, weil Du dort eine Menge ueber das Prinzip der Filterung lernen kannst...

:wq!
 
Beim Kauf dieses Netgear RT 311 Routers wurde mir gesagt er hätte eine Firewall drin. Damit ist dann wohl NAT gemeint.
Wie sieht es denn jetzt mit Filterregelm aus?
Was habe ich im Moment für eine Sicherheit was kann ich für eine machen, denn von D-FW haltet ihr ja nicht viel und ich dachte das ich bei diesem Router eine Hardware Firewall drin hätte.
Thx
 
Original von seth
NAT hat mit Sicherheit ersteinmal gar nix zu tun...
Zum Vergrößern anklicken....
dem ist nicht so, denn sie sperrt den direkten zugriff auf diesen pc --> das hat sehr wohl was mit sicherheit zu tun

also ein 0815 h4x0r wird nicht auf deinen pc kommen...
 
Nochmal ganz kurz eine etwas genauere Erklärung zur "Network Adress Translation". Im Grunde stimmt es schon so wie seth gesagt hat, das die IP's sozusagen maskiert werden. Um das jedoch zu verstehen, sollten wir darauf nochmal etwas genauer eingehen.

In Deinem Fall hast Du 2 verschiedene Subnetze mir mehreren Host's, die miteinander kommunizieren wollen (einmal dein lokales Subnetz und zum zweiten das Internet).
Damit die Weiterleitung deiner Daten in beiden Richtungen klappt, muss die Adressvergabe für jeden Host weltweit eindeutig sein. Da aber die IP-Adressen deines lokalen Netzes (z.B. ist 192.168.x.x für lokale LAN's reserviert) nicht im Internet weitergeleitet werden, greift genau hier NAT ein.

Der Router muss also die Absenderadresse eines ins Internet abgehenden Datenpaketes in eine für das Internet gültige Adresse umwandeln. Ebenso muss das Antwortpaket aus dem Internet wieder in eine nur im lokalen Netz gültige Adresse zurückübersetzt werden. Dabei muss der Router sich aber auch merken können von welchem Host eine Anfrage kam, um genau diesem auch die dazugehörige Antwort mitteilen zu können. Das Problem besteht nun darin, das es beim Aufbau der Verbindung nur eine im Internet gültige IP gibt (die wird meistens dynamisch bei jedem PPP-Verbindungsaufbau vom Provider vergeben), aber viele lokale IP's (jeder Host hat eine). Somit ist es nicht so einfach, Antworten aus dem Internet genau dem Host zuzustellen, der das Paket angefordert hat.

Bei der Kommunikation muss man auch auf die Protokolle höherer Netzwerkschichten achten (www, ftp, telnet usw.). Diese nennt man Socket-Verbindungen: Sie werden von der jeweiligen Anwendung (unter Angabe des Paares IP-Nummer und Portnummer) eindeutig mit einer Nummer adressiert. Die Portnummer ist für den jeweiligen Dienst ist festgelegt (www: Port 80 oder 8080 , ftp : Port 21 usw.). Doch nur die Kombination aus IP und Port reicht immer noch nicht aus (Es könnten ja mehrere telnet - Sitzungen auf einem Client gleichzeitig laufen).

Die Sockets werden also immer aus IP-Adresse und Port-Nummer erstellt. Und genau das nutzt der Router aus. Da ja nur eine öffentliche IP existiert, aber mehrere Portnummern möglich sind, klinkt sich der Router in den IP-Stack ein und manipuliert in allen herausgehenden Paketen den Absenderanteil (LAN-IP:Port auf Internet-IP:Port). Bei eingehenden Paketen kann er dann auf Grund einer internen Tabelle und der Portnummer des ankommenden Paketes die Adresse im LAN ermitteln und den Adressatenanteil des Paketes manipulieren (Internet-IP:Port auf LAN-IP:Port). So kommt das angeforderte Paket genau beim Absender der Anforderung an. Diesen Vorgang nennt man: IP-Masquerading. Genau genommen ist IP-Masquerading (es setzt eine Internet-IP auf mehrere LAN-IP um) eine Sonderform von NAT. Wenn mehrere Internet-IP auf mehrere LAN-IP umgesetzt werden ist es das eigentliche NAT: Network Adress Translation.

Ich hoffe mal das das einigermassen verständlich war und du das Prinzip verstanden hast. Somit dürftest Du Dir nun Deine Frage, ob der Router eine Firewallfunktion beinhaltet selber beantworten können. Falls doch noch Frage offen geblieben sind, immer her damit ;)
 
mehr Details wären nützlich!

Wie sieht es denn jetzt mit Filterregelm aus?
Zum Vergrößern anklicken....

kommt drauf an was für eine Art von Paket-Filterung Du verwenden willst, und ob Du diese auch implementieren kannst (entweder am Router direkt, oder über einen PC). Vielleicht willste auch ein Application-Gateway hochziehen?
 
Danke erstmals.
Verstanden habe ich es, denke ich.
Durch NAT habe ich ja dann ja eine Firewall die ich aber wohl nicht selber Konfigurieren kann weil jedes Traffic da durchgelassen wird weil es ja als "Schutz" quasi nur umgewandelt wird.
Dann brauche ich wohl eher was in die Richtung Filterregeln.
Ein Beispiel: Wenn jemand bereits mit einem Trojaner auf meinem Rechner ist und Daten von mir saugt merke ich das gar nicht, weil NAT das nicht einschränkt.
Ich kann nur davon Sprechen als ich die D-FW von Norton eingesetzt habe und da konnte ich festlegen welche Programme aufs Internet zugreifen sollen, welche nicht. Z.B.: Eiginge XP Progs... Das hatte ich selber einfluss drauf.
Den habe ich im Moment mit NAT nicht deshalb suche ich wohl noch etwas um den Daten Fluss zu kontrollieren.
 
Durch NAT habe ich ja dann ja eine Firewall
Zum Vergrößern anklicken....
kommt auf den typ trojaner an ob dieser das NAT umgehen kann oder nicht (meistens eher nicht).


Ein Beispiel: Wenn jemand bereits mit einem Trojaner auf meinem Rechner ist und Daten von mir saugt merke ich das gar nicht, weil NAT das nicht einschränkt.
Zum Vergrößern anklicken....

port monitor nutzen!!


als ich die D-FW von Norton eingesetzt habe und da konnte ich festlegen welche Programme aufs Internet zugreifen sollen, welche nicht
Zum Vergrößern anklicken....

wenn die dfw nicht korrekt implementiert worden ist, dann kann mittels ip-forwarding traffic an der dfw vorbei gesendet werden (ist meistens ein kernel-prob dann).

oder der trojaner killt deine dfw (bei ziemlich vielen der neueren generation ist diese option enthalten).
 
O.k.
Und welchen Port Monitor kanst Du empfehlen?
?MT???????￾{Q×h Filter Regeln erstellen?
Ich will nicht die ganze Zeit irgendwelche Ports überwachen müssen...
 
@BobaFett:

Du hast es offenbar nicht verstanden:

"Danke erstmals.
Verstanden habe ich es, denke ich.
Durch NAT habe ich ja dann ja eine Firewall die ich aber wohl nicht selber Konfigurieren kann weil jedes Traffic da durchgelassen wird weil es ja als "Schutz" quasi nur umgewandelt wird."

Denn: NAT filtert ueberhaupt nichts und kann es auch gar nicht...Wenn dein Router eine Software besitzt ist das eine andere Sache....

Wie throjan schon bemerkte:

"Diesen Vorgang nennt man: IP-Masquerading. Genau genommen ist IP-Masquerading (es setzt eine Internet-IP auf mehrere LAN-IP um) eine Sonderform von NAT. Wenn mehrere Internet-IP auf mehrere LAN-IP umgesetzt werden ist es das eigentliche NAT: Network Adress Translation."

Auch wenn es nicht nur eine "Sonderform" ist...denn masquerading ist (streng genommen) ein Effekt (oder auch Ergebnis) von NAT....

"O.k.
Und welchen Port Monitor kanst Du empfehlen? ?MT???????￾{Q×h Filter Regeln erstellen?
Ich will nicht die ganze Zeit irgendwelche Ports überwachen müssen..."

Du willst keinen Portmonitor, denn dieser dient (und das willst Du ja nicht) lediglich dem Ueberwachen von ports...
Filterregeln kannst Du erstellen wenn Du einen Firewall findest, der sich ziemlich gezielt auf Deine Anforderungen einstellen laesst...
Ob diese Desktop FWs und WIN das koennen weiss ich nicht..das wird hier sicherlich jemand anderes wissen...


@soox:
NAT sperrt nix....


@throjan

"Doch nur die Kombination aus IP und Port reicht immer noch nicht aus (Es könnten ja mehrere telnet - Sitzungen auf einem Client gleichzeitig laufen)."

NAT kuemmert sich nicht darum ob ein (z.B.) ftp Server mehrere connects auf dem gleichen Port (21,20) zu bedienen hat....die alle ueber NAT eines Routers zu dem Server geroutet werden...
Dies wird intern von der Serversoftware geregelt....
Wenn ein ftp-Server einen connect erhaelt..(accept) dann "kreiert" er einen child-Prozess...kopiert die infos in diesen Prozess und der child laeft unabhaengig weiter...
Der "Mutter"(lol)-Prozess geht wieder in den listen Zustand ueber und kreiert..wenn noetig wieder einen child....
Und selbst wenn es 20 connects sind..laeuft alles ueber Port 21 (wobei bei ftp der eigentliche DAtenverkehr ueber Port 20 laeuft)...


:wq!
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben