Hide NAT vs. Masquerading

#1 hi

erster beitrag und gleich ein hammer

ich wollte wissen, wo der unterschied zw. oben genannten NAT verfahren liegt
ich hoffe einer von euch weiß das...

danke

#2 Was meinst Du mit "Hide NAT"?

Masquerading ist nach meinem Verständnis die Angelegenheit, daß viele interne IP Adressen durch eine externe repräsentiert werden.
Bei NAT gibt es verschiedenste Implementierungen. Einmal das normale NAT, auch Masquerading genannte, und zum Beispiel PAT (Port Adress Translation).

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Hab mal kurz gegoogelt:

http://www.geocities.com/~ronih/cp-fw/faq/default.htm

Findest aber bestimmt noch mehr...

Tja, wenn ich es richtig verstanden habe, ist das "hide NAT" das uns bekannte "masquerading" oder halt "NAT".
Das "static NAT" kapier ich net so richtig.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#4 Genau, da steht es ja:

Static NAT ist die Version, daß zu einer externen IP eine interne IP gehört, also beispielsweise:

193.155.80.1 ---> 192.168.1.1
193.155.80.3 ----> 192.168.1.168

Somit ist einem Pool von externen Adressen, ein Pool von internen Adressen eineindeutig zugeordnet. Das geht dann wie erwähnt auch auf Portebene (PAT)

Hide NAT ist nun unser geliebte Masquerading - ich verstecke ein ganze Netz hinter einer einzigen öffentlichen IP.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Static Nat ist soweit ich weiß Nat mit der DMZ funktion also alle packete die ankommen werden an einen bestimmt Pc weitergeleitet (ähnlich wie port mapping) nur die extra angeforderten packete erreichen den DMZ nicht
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#6 hi

nein es existiert 100% ein unterschied zw. hide und masq.
nur so richtig weiß das auch keiner, außer mein ausbilder
und der weiß leider von was er redet°
irgendwie setzen die auf versch. osi schichten auf...nur welche und in welcher art?
danke euch trotzdem schonmal

is nich trivial...

greez

#7 Dann bin ich mal gespannt welcher! IMHO ist das 1:1 dasselbe!
Auf verschiedenen OSI Schichten klingt auch etwas abenteuerlich. NAT findet immer auf OSI-Schicht-3 statt. Darunter geht nicht, darüber macht es keinen Sinn!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#8 Da bin ich mit robert einer meinung von der Logik kann es nicht anders sein
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#9 und mein ausbilder treibt mich in den wahnsinn!

greez

#10 Guten Abend zusammen,

da hier wohl niemand so richtig weiß wie NAT funktioniert,
denke ich, dass eine Definition von NAT hier als allererstes angebracht ist.

NAT steht für Network Address Translation, was ungefähr "Netzwerkadressen Übersetzung" heißt. Beim "NATen" von IP Adressen werden also IP Adressen "übersetzt", d.h. sie werden gegen andere IP Adressen ausgetauscht.
NAT arbeitet auf der OSI Schicht 3.

Beispiel:
Client Gerät: 10.0.0.1/24 195.0.0.10 (externe NAT IP)
NAT Gerät (z.B. Firewall): 10.0.0.254/24 (intern) 195.0.0.254/24 (extern)
Ziel Gerät: 62.0.0.1/24
(Quell IP->Ziel IP) --> NAT Gerät --> (Quell IP->Ziel IP)

Augehende Verbindung:
(10.0.0.1->62.0.0.1) --> NAT Gerät --> (195.0.0.10->62.0.0.1)
Bei dieser Verbindung "übersetzt" das NAT Gerät die Quell IP (10.0.0.1) des Clients zu seiner externen NAT IP (195.0.0.10). Dieses Verfahren nennt man SNAT (Source NAT), da die Quelladresse ausgetauscht wird.

Eingehende Verbindung:
(62.0.0.1->10.0.0.1) <-- NAT Gerät <-- (62.0.0.1->195.0.0.10)
Bei dieser Verbindung übersetzt das NAT Gerät die externe NAT IP (195.0.0.10) des Clients zu seiner realen IP (10.0.0.1). Das nennt man DNAT (Destionation NAT), da die Zieladresse ausgetauscht wird.

Aus diesen beiden Verfahren läßt sich ein 1:1 NAT erstellen. (10.0.0.1:195.0.0.10)
Den Austausch der Adressen nimmt das NAT Gerät vor (durch Regeln konfiguriert), bei Firewalls werden meißt auch nocht Filterregeln gesetzt.
Der Client bekommt von einem 1:1 NAT nichts mit, es ist transparent für ihn.



Aber jetzt zum Thema: Hide NAT vs. MASQUERADING

Die Bezeichnung Hide NAT wird von dem Firewall Hersteller Check Point genutzt und der Begriff MASQUERADING wird z.B. von Netfilter/IPtables (Linux Kernel 2.4) sowie IPchains (Linux Kernel 2.2) verwendet.
Beide Begriffe bezeichenen prinzipiell die gleiche Technik, unterscheiden sich aber in der Implementation. (Wie sooft bei verschiedenen Herstellern).

Diese "Technik" wird als "Many to One NAT" (n:1) bezeichnet, es werden also viele IP Adressen hinter einer IP Adresse versteckt. "Many to One NAT" arbeitet auf OSI Schicht 3 und 4.
Hierbei enstehen drei Probleme:
Problem 1:
Da viele IPs auf eine umgesetzt werden, kann es zu Überschneidungen in den Quellports der Clients kommen. Dies ist bei verschiedenen Zieladressen noch nicht Problematisch, sobald aber die gleiche Zieladresse von zwei Clients, welche die gleichen Quellports nutzen, angesprochen wird, weiß das NAT Gerät nicht mehr welcher Client welche Daten bekommt.
Ein Beispiel dazu:
(Quell IPort->Ziel IPort)
(10.0.0.1:5000->62.0.0.1:80) --> NAT Gerät --> (195.0.0.254:5000->62.0.0.1:80)
(10.0.0.5:5000->62.0.0.1:80) --> NAT Gerät --> (195.0.0.254:5000->62.0.0.5:80)
(62.0.0.1:80->10.0.0.?:5000) <-- NAT Gerät <-- (62.0.0.1:80->195.0.0.254:5000)
Nun kann das NAT Gerät die Daten nicht mehr dem entsprechenden Client zuordnen. Um dieses Problem zu lösen wurde eine Technik mit der Bezeichnung PAT (Port Address Translation) entwickelt. Diese Technik übersetzt die Quellports um überschneidungen zu vermeiden. Hier das Beispiel mit PAT:
(10.0.0.1:5000->62.0.0.1:80) --> NAT Gerät --> (195.0.0.254:10001->62.0.0.1:80)
(10.0.0.5:5000->62.0.0.1:80) --> NAT Gerät --> (195.0.0.254:10002->62.0.0.5:80)
(62.0.0.1:80->10.0.0.1:5000) <-- NAT Gerät <-- (62.0.0.1:80->195.0.0.254:10001)
(62.0.0.1:80->10.0.0.5:5000) <-- NAT Gerät <-- (62.0.0.1:80->195.0.0.254:10002)
Problem 2:
Da nur eine "öffentliche" IP Adresse vorhanden ist, kann man durch diese nicht jeden Client 1:1 ansprechen. Wenn also eine neue Verbindung aus dem "öffentlichen" Segment auf die NAT IP aufgebaut wird, kann diese nicht einem beliebigen Client zugeordnet werden. Dieses Problem lässt sich leider nur Teilweise durch "Portforwardings" (modifiziertes DNAT) lösen. Hier werden wir jetzt aber nicht näher drauf eingehen.
Problem 3:
Einige Protokolle die auf höheren OSI Ebenen arbeiten (5-7) wie z.B. FTP bringen ein weiteres Problem mit sich, sie übermitteln Ports oder gar IP Adressen auf denen eine neue Verbindung erstellt werden soll. Der Client versteht dies zwar, aber das NAT Gerät nicht, da n:1 NAT mit PAT auf OSI Schicht 3 und 4 arbeitet. Diese Protokolle sind leider nicht transparent zu n:1 NAT und müssen mit zusätzlichen Techniken inspiziert werden, um genutzt werden zu können.

Jetzt zu dem Unterschied:
Hide NAT hat folgende Regel für PAT:
Wenn der Quellport des Clients unter 1024 liegt wird folgender Portpool als neuer Quellport verwendet: 600 bis 1023.
Wenn der Quellport des Clients über 1024 liegt wird folgender Portpool als neuer Quellport verwendet: 10000 bis 60000.
Das Hide NAT von Check Point ist in der Lage für die meisten Protokolle der höheren Schichten NAT zu nutzen, sowie für die meisten IP Protokolle (z.B. ICMP). Hide NAT kann die Clients nicht nur hinter der IP der ausgehenden Netzwerkschnittstelle des NAT Gerätes maskiert, es ist auch möglich eine andere IP Adresse zu nutzen (wie z.B. bei dem 1:1 NAT).

MASQUERADING (ich gehe nur auf Netfilter/IPtables ein) nutzt folgende Ports für PAT:
Die Quellports werden in drei Klassen eingestuft:
a. Ports unter 512
b. Ports zwischen 512 und 1023
c. Ports ab 1024
Diese Ports aus diesen Klassen werden niemals in andere Klassen gemappt.
D.h. Eine Anfrage aus der Klasse a. wird niemals in die Klasse b. oder c. gemappt.
Die Verbindungen werden Grundsätzlich hinter der IP Adresse der ausgehenden Netzwerkschnittstelle maskiert. Auch Netfilter/IPtables sieht das maskieren schwieriger Protokolle wie z.B. FTP vor, hierfür kommen sogenannter NAT Helper Module zum Einsatz.

Ich hoffe ihr habt alle etwas mehr Durchblick bekommen und es haben sich keine Fehler eingeschlichen ;-)

An Robert und spunki: Es ist lobenswert, dass ihr anderen Helfen wollt, aber man muss immer darauf Achten keine falschen Informationen zu liefern. Es wäre fatal für den Hilfesuchenden, wenn er diese Falschinformationen als wahr ansieht. Das soll auf keinenfall ein Vorwurf noch Kritik sein! ;-)

An Emba: Es wäre sehr schön gewesen wenn du noch ein wenig mehr Informationen hättest liefern können, wie z.B. Betriebsystems, worauf sich deine Frage genau bezieht und auch Produkte für die du diese Informationen benötigst.
Wenn ich fragen darf: Was machst du für eine Ausbildung, und was hast du da für eine Aufgabe bekommen? Reine neugier ;-)

Wenn Ihr noch weitere Fragen habt, stellt sie :-)

Gruß,
Simon

#11 ->na das ist doch ma was...
so in etwa hats mir dann auch mein ausbilder erklärt...

den artikel kann man auch mal als sticky machen
sehr schön simon

@simon:
naja, mehr infos darf ich auch nich rausrücken
bin beim MPI Fachinform/systemint. im ersten lehrjahr
und mein ausbilder will mich zum eliteschüler machen

danke

#12 @simon: ist wirklich genial dein Text! Muss einen Vortrag über PAT schreiben und du hast mir gerade sehr dabei geholfen!

was ich noch nicht so genau verstehe ist die sache mit dem Hide NAT.
wieso wird bei einem Quellport unter 1024 ein portpool von 600 bis 1023 verwendet. für wass soll das gut sein?

wäre sehr dankbar über deine hilfe.

danke schon mal zum vornherein!

-Robin-