Network Address Translation (NAT).

Network Address Translation bildet private interne IP-Adressen auf öffentliche, im Internet genutzte Adressen ab und umgekehrt. Das traditionelle NAT und die zugehörige Terminologie sind in RFC 3022 und RFC 2663 beschrieben. Die häufigste Variante PAT (auch NAT overload genannt) multiplext tausende interne Hosts hinter einer einzigen öffentlichen Adresse, indem zusätzlich die Quellports umgeschrieben und eine über das 5-Tupel indizierte Translation-Tabelle geführt wird. NAT wurde primär eingeführt, um den IPv4-Adressmangel zu verlangsamen, verbirgt aber auch die interne Topologie und blockiert standardmäßig unaufgeforderten eingehenden Verkehr, was schwache, aber nützliche Verschleierung bietet.

NAT ist für sich allein keine Sicherheitsgrenze. Es erschwert Protokolle, die Adressen in ihren Payloads tragen (SIP, FTP, IPsec), weshalb Router Application Level Gateways (ALGs) mitbringen, die diese Payloads umschreiben. Samy Kamkars NAT Slipstreaming-Angriff von 2020 (CVE-2020-28041) machte sich genau dies zunutze: bösartiges JavaScript auf einer Webseite brachte den Browser des Opfers dazu, präparierte Pakete zu senden, die das SIP-ALG des Routers falsch interpretierte und so ein eingehendes Pinhole zu einem beliebigen internen Port öffnete. Chrome (v87.0.4280.141) und Firefox (v85) lieferten Patches aus, die die missbrauchten Ports blockieren, und Forscher von Armis veröffentlichten später einen v2.0-Bypass.

Schutzmaßnahmen: unnötige ALGs deaktivieren, NAT mit einer echten Stateful Firewall kombinieren und bedenken, dass NAT unter IPv6 an Bedeutung verliert, wo jeder Host eine global routbare Adresse halten kann.

flowchart LR
  subgraph LAN [Private network]
    H1[192.168.1.10:51000]
    H2[192.168.1.11:51001]
  end
  H1 --> N[NAT router<br/>translation table]
  H2 --> N
  N -->|src 203.0.113.5:40001| I[Internet]
  N -->|src 203.0.113.5:40002| I