Carrier-grade NAT

Carrier Grade NAT

Carrier-grade NAT (CGN oder CGNAT; deutsch NAT auf Betreiber-Ebene), auch bekannt als large-scale NAT (LSN) ist ein Entwurf für ein IPv4-Netzwerkdesign, welches Endstellen (meistens private Netzwerke) mit speziellen privaten IPv4-Adressen ausstattet, um diese dann über ein NAT-Verfahren auf Betreiber-Ebene in öffentliche IPv4-Adressen zu übersetzen. Dies soll einen Pool von wenigen IP-Adressen für viele Endnutzer nutzbar machen.

Carrier-grade NAT wurde nach RFC 6264[1] als eine Übergangslösung entwickelt, um IPv4-Adressen vor der Einführung von IPv6 effizienter ausnutzen zu können.

Kritisiert wurde an diesem Vorgehen vor allem folgendes:

  • Wie jede Art von NAT bricht es mit dem Prinzip der direkten Kommunikation ohne Unterbrechung[2]
  • Es hat signifikante Sicherheits-, Skalierungs- und Zuverlässigkeitsprobleme
  • Ermittlungen und Aufzeichnungen von Strafverfolgungsbehörden werden erschwert
  • Es ist in der Regel unmöglich, von einem Anschluss hinter einem CGN einen unter einer IPv4-Adresse erreichbaren Dienst anzubieten, heißt also: Port-Forwarding zu einem eigenen Server ist unmöglich und auch der Router wie z. B. eine Fritz-Box selbst (z. B. mit der eigenen NAS-Funktion) ist aus dem Internet nicht erreichbar.
  • Es löst nicht das Problem, wenn ein Provider routbare IP-Adressen benötigt (beispielsweise im Hosting- und Housing-Bereich)

Ein Anwendungsszenario kann als NAT444[3] bezeichnet werden, da die Kundenverbindung zum Server im Internet drei verschiedene IPv4-Netze durchquert (jeweils getrennt durch ein NAT): das eigene Heimnetzwerk, das private Netzwerk des Internetanbieters und das öffentliche Internet.

Ein anderes CGN-Szenario ist Dual-Stack Lite, bei welchem das Providernetz auf IPv6 basiert und nur zwei verschiedene IPv4-Netze durchquert werden (auch via NAT).

Wenn ein ISP CGN benutzen möchte und hierfür die herkömmlichen privaten IPv4-Adressbereiche nach RFC 1918[4] benutzt, so besteht die Gefahr, dass Kunden diesen Bereich ebenfalls benutzen und die Kundenrouter keine Pakete mehr vermitteln, da der Adressbereich auf beiden Seiten gleich ist.

Dies führte dazu, dass mehrere Provider an die ARIN (IP-Adressvergabestelle für Nordamerika) herantraten und um Vergabe von neuen privaten IP-Adressen baten (explizit für CGN). ARIN verwies hierbei auf die IETF, bevor via RFC 2860[5] festgelegt wurde, dass dies keine typische Adressvergabe, sondern eine Reservierung aus technischen Gründen ist.

Die IETF beschrieb hierauf in RFC 6598[6] einen gemeinsam genutzten Adressraum für die Nutzung in CGNs und NAT-Routern. ARIN gab im Jahr 2012 den für die Vergabe benötigten IPv4-Adressraum an die IANA zurück.[7] Diese blockte nun den Adressraum 100.64.0.0/10.[8]

  • Geräte bzw. Software, die herauszufinden versuchen, ob eine IPv4-Adresse öffentlich oder privat ist, müssen nun aktualisiert werden, um diesen neuen Adressbereich zu erkennen.
  • Die Vergabe von weiteren privaten IPv4-Adressbereichen für NAT-Übersetzungen nimmt den Druck des ständig kleiner werdenden IPv4-Adresspools von den Internetprovidern und verzögert somit die IPv6-Umstellung.
  • Understanding Carrier Grade NAT. networkworld.com (englisch)
  • RFC 6888 – Common Requirements for Carrier-Grade NATs (CGNs). April 2013 (englisch).
  • RFC 7021 – Assessing the Impact of Carrier-Grade NAT on Network Applications. September 2013 (englisch).

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. RFC 6264 – An Incremental Carrier-Grade NAT (CGN) for IPv6 Transition. April 2011 (englisch).
  2. Assessing the Impact of NAT444 on Network Applications. ietf.org
  3. NAT444 (CGN/LSN) and What it Breaks. chrisgrundemann.com
  4. RFC 1918 – Address Allocation for Private Internets. Februar 1996 (englisch).
  5. RFC 2860 – Memorandum of Understanding Concerning the Technical Work of the Internet Assigned Numbers Authority. Juni 2000 (englisch).
  6. RFC 6598 – IANA-Reserved IPv4 Prefix for Shared Address Space. April 2012 (englisch).
  7. Re: shared address space… a reality! seclists.org; abgerufen am 13. September 2012
  8. 100.64.0.0/10 – Shared Transition Space. chrisgrundemann.com