Was ist eine NAT-Firewall und wie funktioniert sie?

Im Bereich der Computernetzwerke steht NAT für Network EINddress TÜbersetzung. Im einfachsten Sinne ermöglicht NAT vielen Geräten in einem privaten Netzwerk, eine einzige gemeinsam zu nutzen Tor in das Internet. Alle diese Geräte haben wiederum das gleiche öffentliche IP-Adresse– das des Gateways – und einzigartig private IP-Adressen. Diese Gateways sind häufig in WLAN-Routern und einigen VPN-Diensten zu finden. Beispielsweise haben alle an einen NAT-fähigen WLAN-Router angeschlossenen Geräte unterschiedliche private IP-Adressen, teilen sich jedoch die öffentliche IP-Adresse des Routers.

SPRUNG GERADE ZU: Die besten VPNs mit NAT-Firewalls

Wenn Sie eine Website besuchen, sendet Ihr Gerät eine Anfrage an den Router und identifiziert sich mit seiner privaten IP-Adresse. Der Router übersetzt dann die Anfrage und leitet sie mit seiner öffentlich zugänglichen IP-Adresse an den Server der Website weiter, wobei er die ursprüngliche private Adresse notiert. Der Server antwortet dem Router mit einer Kopie der Website, die Ihr Router dann über die private IP-Adresse an Ihr Gerät weiterleitet.

EIN Firewall ist eine Schutzschicht, die unerwünschte Kommunikationen zwischen Geräten in einem Netzwerk wie dem Internet verhindert.

EIN NAT-Firewall Dies funktioniert, indem der Internetverkehr nur durch das Gateway geleitet wird, wenn ein Gerät im privaten Netzwerk dies angefordert hat. Unerwünschte Anfragen oder Datenpakete werden verworfen, wodurch die Kommunikation mit potenziell gefährlichen Geräten im Internet verhindert wird. Wenn eingehender Internetverkehr keine private IP-Adresse hat, die über das Gateway weitergeleitet werden kann, weiß die NAT-Firewall, dass der Datenverkehr unerwünscht ist und verworfen werden sollte.

Computer und Server im Internet können nur die öffentliche IP-Adresse des Routers und keine der privaten IP-Adressen bestimmter Geräte wie Telefone, Laptops, Smart-TVs, Internet-of-Things-Geräte und Spielekonsolen anzeigen. Dies ist auch bekannt als IP-Maskierung.

Wie erkenne ich, ob ich mich hinter einer NAT-Firewall befinde?

Sie sind sich nicht sicher, ob auf Ihrem WLAN-Router eine NAT-Firewall aktiviert ist? Versuchen Sie, zwei Geräte an dasselbe WLAN-Netzwerk anzuschließen, z. B. einen Laptop und ein Smartphone.

Führen Sie jetzt auf jedem von ihnen eine Google-Suche nach “Was ist meine IP?”

Wenn für beide Geräte dieselbe IP-Adresse angezeigt wird, befindet sich möglicherweise eine NAT-Firewall im Hintergrund. Ihre Geräte haben unterschiedliche private (lokale) IP-Adressen, aber dieselbe öffentliche IP-Adresse.

Bei einem VPN kann es schwieriger sein, festzustellen, ob eine NAT-Firewall verwendet wird. In der Regel finden Sie dies jedoch in der Dokumentation Ihres VPN-Anbieters. Möglicherweise haben Sie die Möglichkeit, eine NAT-Firewall in Ihren VPN-App-Einstellungen zu aktivieren oder zu deaktivieren oder eine als Option zu erwerben.

NAT-Firewalls und VPNs

Ein VPN oder ein virtuelles privates Netzwerk verschlüsselt den Internetverkehr eines Geräts und leitet ihn über einen zwischengeschalteten Server an einen Ort Ihrer Wahl weiter. Da der gesamte Internetverkehr über das VPN “getunnelt” wird, bevor er ins Internet gelangt, kann die NAT-Firewall Ihres WLAN-Routers nicht zwischen angefordertem und unerwünschtem Datenverkehr unterscheiden. Da alles vom VPN-Server verschlüsselt wird, sieht es alle gleich aus, wodurch die NAT-Firewall Ihres Routers unbrauchbar wird.

Aus diesem Grund implementieren viele VPNs NAT-Firewalls. Anstatt dass Ihr WLAN-Router unerwünschten Datenverkehr herausfiltert, wird dies stattdessen vom VPN-Server ausgeführt. Manchmal sind NAT-Firewalls optional und manchmal standardmäßig in VPNs integriert.

Nicht alle sind sich einig, dass NAT-Firewalls und VPNs eine gute Kombination sind.

VPN-Anbieter fallen normalerweise in eines von zwei Camps: diejenigen, die NAT-Firewalls verwenden, und diejenigen, die PAT-Firewalls verwenden. Letzteres werden wir weiter unten erläutern.

Ein VPN, das eine NAT-Firewall verwendet, weist jedem Benutzer eine eindeutige private IP-Adresse zu. Es dehnt alle oben beschriebenen Vorteile der NAT-Firewall eines WLAN-Routers auf Ihre VPN-Verbindung aus.

Der Nachteil ist, dass Sie zwar vor unerwünschter Kommunikation geschützt sind, Ihr Gerät jedoch vom VPN-Anbieter oder einem Drittanbieter leichter nachverfolgt werden kann.

Die alternative Methode besteht darin, allen VPN-Benutzern, die mit demselben Server verbunden sind, dieselbe öffentliche IP-Adresse ohne eindeutige private IP-Adressen zuzuweisen. Dies erhöht die Anonymität erheblich, da Online-Aktivitäten nicht über eine IP-Adresse auf eine einzelne Person oder ein Gerät zurückgeführt werden können.

ExpressVPN ist ein Anbieter, der sich gegen NAT-Firewalls ausspricht. Das Unternehmen gibt an, anstelle einer NAT-Firewall eine Portblockierungsrichtlinie zu verwenden:

Die ExpressVPN-Server speichern alle Anforderungen und senden sie über verschiedene Ports auf dem Server. Der Benutzer erhält eine Antwort von ExpressVPN, andere Ports bleiben jedoch geschlossen. Das Schließen der Ports schützt Benutzer wie eine Firewall. “

Portadressübersetzung

Viele Systeme, die als NAT-Firewalls bezeichnet werden, sind eigentlich PAT-Firewalls. PAT steht für Port EINddress TÜbersetzung. Ähnlich wie bei NAT kann ein Netzwerk-Gateway mit einer IP-Adresse mehrere Computer darstellen. Der Unterschied besteht darin, dass jedem Gerät anstelle einer privaten IP-Adresse eine Portnummer zugewiesen wird.

Wenn ein Netzwerk-Gateway eine ausgehende Adresse von einem Computer im Netzwerk empfängt, ersetzt es die Rücksendeadresse des Computers durch seine eigene internetfähige Adresse und steckt am Ende eine Portnummer an. Das Gateway nimmt dann einen Eintrag in seiner Übersetzungstabelle vor, damit es weiß, dass die von ihm verwendete Portnummer einen bestimmten Computer im Netzwerk darstellt.

Dieses System ist sehr beliebt, da es die Anzahl der Internet-IP-Adressen verringert, die ein Unternehmen besitzen muss. Es ist auch ein sehr gutes System für VPN-Dienste, da der gesamte Datenverkehr, der das VPN-Gateway verlässt, dieselbe Absenderadresse aufweist. Da bei vielen VPN-Diensten Hunderte von Kunden gleichzeitig mit demselben Standort verbunden sind, ist es unmöglich, den Teilnehmer zu entwirren, von dem die einzelnen Anforderungen stammten.

NAT-Firewalls und Torrenting

Da NAT-Firewalls verhindern, dass unerwünschter Datenverkehr die Endbenutzergeräte erreicht, können sie beim Torrenting Probleme verursachen. Während Sie sich im Hintergrund befinden, können Sie möglicherweise keine (Seed-) Dateien hochladen, die andere Torrent-Benutzer herunterladen können. Umgekehrt können Sie möglicherweise nicht mit so vielen Peers eine Verbindung herstellen, von denen Sie (Leech-) Dateien herunterladen können. Eine NAT-Firewall kann Sie von einem erheblichen Teil der Benutzer in einem Torrent-Schwarm abhalten. Gleiches gilt für PAT-Firewalls.

Das heißt jedoch nicht, dass Torrenting mit einer NAT-Firewall nicht möglich ist. Die meisten NAT-Firewalls sind heutzutage nicht so streng, dass sie die Download- oder Upload-Leistung erheblich beeinträchtigen. In öffentlichen Umgebungen wie Hotels oder Schulen finden Sie möglicherweise strengere Firewalls, aber die meisten Heimrouter und VPN-Dienste beschränken das Torrenting nicht auf diese Weise.

Wenn Sie durch eine NAT-Firewall in Ihrem lokalen Netzwerk am Torrenting gehindert werden, können Sie sie mit einem VPN umgehen. Denken Sie daran, dass Ihre lokale NAT-Firewall nicht zwischen angefordertem und unerwünschtem Datenverkehr unterscheiden kann, da der gesamte eingehende Datenverkehr über das VPN erfolgt und verschlüsselt ist. Selbst wenn das VPN über eine eigene NAT-Firewall verfügt, ist diese wahrscheinlich weniger streng als die in Ihrem privaten Netzwerk.

Mit einer Handvoll VPNs können Sie die Portweiterleitung einrichten, um NAT-Firewall-Einschränkungen beim Torrenting zu umgehen. Beachten Sie jedoch, dass dies die Sicherheit gefährdet. Durch das Öffnen von Ports sind Sie anfälliger für Angriffe. Da Sie einen speziellen Port verwenden, kann der Internetverkehr besser von anderen VPN-Benutzern unterschieden werden. Das erleichtert die Verfolgung.

Die Portweiterleitung ist auch bei Torrent-Clients wie uTorrent eine häufige Funktion, es gelten jedoch dieselben Risiken.

Bestes VPN mit einer NAT-Firewall: IPVanish

Apps verfügbar:

• PC
• Mac
• IOS
• Android
• Linux

Webseite: www.IPVanish.com

Geld-Zurück-Garantie: 7 TAGE

Alle IPVanish Server verwenden NAT-Firewalls, damit Benutzer ihre öffentlichen IP-Adressen freigeben können. Mit den Apps können Sie sogar in bestimmten Zeitabständen die IP-Adresse wechseln. Aufgrund der NAT-Firewall können Sie den Forward-Zugriff auf Ihr Gerät nicht portieren, solange eine Verbindung besteht. Für einige ist dies eine nützliche Sicherheitsmaßnahme. Für andere ist es ein Hindernis. IPVanish gibt an, dass die meisten Benutzer keine Portweiterleitung durchführen und davon nicht betroffen sind.

Abgesehen von der NAT-Firewall ist IPVanish ein hochwertiges VPN mit strengen Sicherheitsstandards und einer No-Logs-Richtlinie. Sie können bis zu 10 Geräte gleichzeitig verbinden, das ist doppelt so viel wie bei den meisten VPNs. IPVanish erstellt Apps für Windows, MacOS, iOS, Android und Amazon Fire TV.

BESTE VPN MIT NAT FIREWALL: Trotz der Blockierung der Portweiterleitung wurde IPVanish von Grund auf mit Blick auf das Torrenting entwickelt: schnell und privat. Es kommt mit einer 7-tägigen Geld-zurück-Garantie.

Lesen Sie unseren vollständigen IPVanish-Test.

Zweiter Platz: VyprVPN

Apps verfügbar:

• PC
• Mac
• IOS
• Android
• Linux

Webseite: www.VyprVPN.com

Geld-Zurück-Garantie: 30 TAGE

VyprVPN bietet Benutzern eine NAT-Firewall, um Benutzer vor Hackern zu schützen, die andernfalls über Verbindungen, die von Ihren Anwendungen offen gelassen wurden, auf Ihr System gelangen könnten. Außerdem können Sie manuell festlegen, welche Ports vom OpenVPN-Protokoll verwendet werden. Wenn Sie Ihre VPN-Verbindung wirklich anpassen möchten, könnte VyprVPN das Richtige für Sie sein.

Das Unternehmen verwendet eine starke Verschlüsselung und protokolliert keine identifizierenden Informationen oder Aktivitäten. Es besitzt viele eigene Server und Rechenzentren in rund 60 Ländern.

VyprVPN erstellt Apps für Windows, MacOS, iOS und Android. Sie können bis zu fünf Geräte gleichzeitig anschließen.

NAT FIREWALL VPN: Mit der NAT-Firewall und anderen Sicherheitsmaßnahmen von VyprVPN können Sie von überall auf der Welt sicher browsen und herunterladen. Sie können es mit einer 3-tägigen kostenlosen Testversion testen.

Lesen Sie unseren vollständigen VyprVPN-Test.

Bestes VPN ohne eine NAT-Firewall: ExpressVPN

Apps verfügbar:

• PC
• Mac
• IOS
• Android
• Linux

Webseite: www.ExpressVPN.com

Geld-Zurück-Garantie: 30 TAGE

ExpressVPN bietet einen gemeinsam genutzten IP-Adressdienst und erweitert Sicherheitsmaßnahmen durch die Verwendung des OpenVPN-Protokolls mit 256-Bit-AES-Verschlüsselung. Der AES-Schlüsselaustausch ist durch eine 4096-Bit-RSA-Verschlüsselung geschützt, die nicht geknackt werden kann.

ExpressVPN speichert keine identifizierenden Protokolle und das Torrenting ist auf allen Servern zulässig. Der Service ist schnell und umfasst den Zugriff auf Tausende von Servern in 94 Ländern. Es funktioniert in China und kann verwendet werden, um viele geografisch eingeschränkte Inhalte auf Websites wie Netflix und Hulu zu entsperren.

ExpressVPN erstellt Apps für Windows, MacOS, iOS, Android, Linux, Amazon Fire TV und bestimmte WLAN-Router. Sie können bis zu drei Geräte gleichzeitig anschließen. Ein Router zählt als ein Gerät, egal wie viele Geräte daran angeschlossen sind.

BESTE VPN OHNE FIREWALL: ExpressVPN ist ein Premium-VPN mit robuster Sicherheit und hervorragenden Boot-Möglichkeiten. Es kommt mit einer 30-tägigen Geld-zurück-Garantie.

Lesen Sie unseren vollständigen ExpressVPN-Test.

Zweiter: NordVPN

Apps verfügbar:

• PC
• Mac
• IOS
• Android
• Linux

Webseite: www.NordVPN.com

Geld-Zurück-Garantie: 30 TAGE

NordVPN verwendet ein gemeinsames IP-Adressmodell, in den Apps sind jedoch einige dedizierte IP-Adressen verfügbar. Nord betreibt über 5.000 Server in mehr als 60 Ländern. Es befolgt eine strenge Null-Log-Richtlinie und seine Apps sind so sicher wie möglich. Dies ist auch eine gute Wahl, wenn Sie regionale Inhalte entsperren möchten.

Für eine Handvoll Server werden einige alternative Verbindungstypen angeboten. Dazu gehören P2P-optimierte Server, obwohl Torrenting auf keinem von ihnen in Ordnung ist. Andere Optionen sind Tor über VPN und Doppel-VPN.

NordVPN ermöglicht bis zu sechs gleichzeitige Verbindungen und erstellt Apps für Windows, MacOS, iOS, Android, Linux und Amazon Fire TV.

KEIN NAT-VPN: NordVPN bietet eine Vielzahl von Hochgeschwindigkeitsservern und eine Reihe verschiedener Verbindungstypen. Es kommt mit einer 30-tägigen Geld-zurück-Garantie.

Lesen Sie unseren vollständigen NordVPN-Test.

Einschränkungen der NAT-Firewall

Nicht alle Computer hinter einer NAT-Firewall sind immun gegen Viren. Heutzutage müssen Hacker Computerbenutzer dazu verleiten, Trojaner zu installieren. Diese Programme senden Anfragen an den Computer des Hackers. Da die vom Hacker eingehende Nachricht als Antwort auf eine Anforderung gesendet wird, die aus dem Netzwerk stammt, lässt das Gateway sie durch.

NAT-Firewalls schützen Sie nicht vor Phishing-Angriffen, bei denen Sie von Ihrer Online-Bank eine E-Mail erhalten, in der Sie aufgefordert werden, eine Schaltfläche in der E-Mail zu drücken, um eine Verbindung zu Ihrem Konto herzustellen. Bei diesem Trick stammt die E-Mail nicht von Ihrer Bank, sondern von einem Hacker. Wenn Sie sich in Ihrem Konto anmelden, geben Sie einfach Ihre Anmeldeinformationen auf einer vom Hacker erstellten gefälschten Seite ein.

Eine NAT-Firewall schützt Sie nicht vor Man-in-the-Middle-Angriffen, bei denen ein Hacker, der einen gefälschten WLAN-Hotspot ausführt, den gesamten Datenverkehr erfasst, indem er sich als Server ausgibt, zu denen Sie eine Verbindung herstellen möchten.

Es gibt immer noch viele Sicherheitslücken in jeder Verbindung, vor denen NAT-Firewalls Sie nicht schützen können. Die Verwendung eines VPN bietet den Vorteil, dass viele verschiedene Sicherheitsverfahren bereitgestellt werden, einschließlich Verschlüsselungs- und Authentifizierungszertifikaten, um zu verhindern, dass Sie betrogen oder ausspioniert werden.

So funktioniert die IP-Adressübersetzung

Wenn alle Computer in einem Netzwerk direkt mit dem Internet verbunden wären, würde jeder eine global eindeutige IP-Adresse benötigen. Die häufigere Konfiguration besteht jedoch darin, die gesamte Internetkommunikation für alle Computer in einem Netzwerk über ein einziges Gateway zu leiten. In diesem Szenario benötigen alle Computer IP-Adressen, die nur in diesem Netzwerk eindeutig sein müssen.

Andere private Netzwerke verwenden möglicherweise die gleichen Adressen, dies spielt jedoch keine Rolle, da diese Adressen in ihren jeweiligen Netzwerken jeweils eindeutig sind. Lediglich die Gateway-IP-Adresse muss im gesamten Internet eindeutig sein.

Das Gateway muss alle Computer im privaten Netzwerk überwachen, die Anfragen über das Internet gesendet haben. Wenn eine Antwort eingeht, prüft das Gateway, von welchem ​​Computer die Anforderung gesendet wurde Netzadressen-Übersetzungstabelle damit es weiß, wo es die Antwort weiterleiten soll.

Wenn ein Computer im Netzwerk eine Anfrage an einen Server im Internet sendet, ersetzt das Netzwerk-Gateway die in diesen Kommunikationen geschriebene private Netzwerkadresse durch eine eindeutige Internetadresse. Wenn die Sitzung endet, wird diese private Adresse an den Pool zurückgegeben und einem anderen Computer zugewiesen. Dadurch werden die Internetadressen im privaten Netzwerk ausgeblendet, und niemand außerhalb kann genau feststellen, von welchem ​​Computer im Netzwerk die Anforderung gesendet wurde. Das Gateway weiß es, weil es einen Datensatz in seiner Netzwerkadressübersetzungstabelle hat.

Wenn am Ende der Verbindung die zugewiesene Adresse an den Pool zurückgegeben wird, entfernt das Gateway den NAT-Eintrag für diese Adresse aus seiner Übersetzungstabelle.

Weitere Vorteile von NAT

NAT war ursprünglich nicht als Firewall gedacht. Es wurde erfunden, um Netzwerke portabler zu machen, damit nicht jedes Gerät neu adressiert werden muss, wenn das Netzwerk verschoben wird. Nur das NAT-Gerät (z. B. ein Router) würde eine neue öffentlich zugängliche IP-Adresse benötigen, während alle angeschlossenen Geräte weiterhin dieselben privaten IP-Adressen verwenden könnten.

NAT ist jetzt unerlässlich, um den globalen Adressraum zu schonen. Das IPv4-Protokoll, das festlegt, wie alle Geräte im Internet kommunizieren, verfügt über eine begrenzte Anzahl verfügbarer IP-Adressen. Wenn für jedes Gerät, das eine Verbindung zum Internet herstellt, eine eindeutige IP-Adresse erforderlich wäre, würden wir bald keine mehr haben. Wenn Sie mehrere Geräte in einem privaten Netzwerk über ein einziges NAT-Gateway verbinden, wird nur eine IPv4-Adresse verwendet.

IPv6 wurde erfunden, um schließlich IPv4 durch einen viel größeren Adressraum zu ersetzen, aber die Übernahme war langsam, sodass NAT ein sehr notwendiges Werkzeug ist, um das Internet am Laufen zu halten.

Bildnachweise:

• “CPT-NAT” [abgeleitet von] Miles J Pool, CC BY 4.0
• Yangliy in englischen Wikibooks [Public domain], über Wikimedia Commons (1), (2)