Wirkt NAT wie eine Firewall und sichert Ihr Netzwerk?
Kurzantwort
Nein. NAT (und PAT) bildet private Adressen auf eine öffentliche IP ab und verwirft als Nebeneffekt unaufgeforderte eingehende Verbindungen, weil für sie keine Zuordnung existiert. Das ist keine Sicherheitsrichtlinie — keine Inspektion, keine Regeln, kein Logging — und NAT-Traversal, Hole Punching sowie ausgehend initiiertes C2 passieren ungehindert. NAT ist ein Adressierungswerkzeug; Sie brauchen trotzdem eine echte Firewall. „NAT = Firewall“ ist der Irrtum.
Weil ein Heimrouter hinter NAT geschützt wirkt — zufällige eingehende Scans erreichen Ihren Laptop nicht — schließen viele, NAT sei eine Firewall. Diese Frage prüft, ob Sie den Unterschied zwischen einer Sicherheitskontrolle und einem Nebeneffekt der Adressierung verstehen.
Was NAT tatsächlich tut
NAT (und seine verbreitete portüberladene Form, PAT) existiert, um die Adressknappheit zu lösen: Es bildet viele private RFC-1918-Adressen auf eine öffentliche IP ab, schreibt beim Ausgang Quelladressen und -ports um und kehrt die Übersetzung bei Antworten um. Dazu führt es eine Übersetzungstabelle der aktiven ausgehenden Flows. Es gibt keine Richtlinien-Engine, kein Regelwerk, keine tiefe Inspektion und typischerweise kein Sicherheits-Logging.
Warum Eingang verworfen wird (und warum das keine Sicherheit ist)
Ein unaufgefordertes eingehendes Paket trifft ohne passenden Eintrag in der Übersetzungstabelle ein, also weiß das NAT-Gerät nicht, an welchen internen Host es es senden soll, und verwirft es. Das sieht aus wie eine Firewall, die das Internet blockiert — aber es ist ein Zufall der Funktionsweise der Übersetzung, keine durchgesetzte Richtlinie. Es gibt kein Konzept von „verweigern“, kein Logging des Versuchs und keine Inspektion dessen, was durchgelassen wird.
Wie Angreifer hindurchgehen
Der Schutz ist einseitig und oberflächlich. Ausgehend initiierte Verbindungen erzeugen bei Bedarf Zuordnungen, also passiert Malware, die zu einem Command-and-Control-Server funkt, geradewegs hindurch — genau das Muster, das die meiste moderne Malware nutzt. NAT-Traversal / Hole Punching (STUN, die Arbeitsweise von P2P- und VoIP-Apps) öffnet absichtlich Pfade durch das NAT. Und jeder bewusst weitergeleitete Port stellt den Host direkt bloß.
Warum die Distraktoren verlocken
„NAT ist eine zustandsbehaftete Firewall“ vermengt den Zustand der Übersetzungstabelle mit der Durchsetzung einer Richtlinie. „Interne IPs sind verborgen, also kann nichts zu ihnen routen“ verwechselt das Verwerfen des Eingangs mit Unerreichbarkeit. Die voll negative Option überkorrigiert — NAT ist nicht nichts, es ist nur keine Firewall, und die globale Adressierung von IPv6 entfernt sogar dieses beiläufige Verwerfen des Eingangs.
Worauf Interviewer achten
Ein festes „nein“, die Unterscheidung Nebeneffekt gegen Richtlinie und ein Beispiel (ausgehendes C2 oder Hole Punching), das zeigt, dass der Schutz illusorisch ist. Die Lehre: Setzen Sie eine echte zustandsbehaftete Firewall ein; verlassen Sie sich nicht auf NAT.
Wahrscheinliche Anschlussfragen
- Wie umgeht ausgehend initiiertes Malware-C2 den „Schutz“, den NAT zu bieten scheint?
- Was ist NAT-Hole-Punching und warum funktioniert es?
- Warum macht IPv6 mit globalen Adressen die Gewohnheit „NAT als Sicherheit“ gefährlich?