Network Address Translation für IPv6
Nach Ansicht einiger Entwickler bringt die aus IPv4 bekannte Network Address Translation auch Vorteile, die auch bei IPv6 nützlich sein können. Um einem Wildwuchs vorzubeugen, empfehlen einige IETF-Experten einen Internet-Standard zu NAT unter IPv6.
Network Address Translation (NAT, die Umsetzung von privaten IP-Adressen im LAN auf eine oder mehrere öffentliche, im Internet weitergeleitete IP-Adressen) unter IPv6 ist nach Ansicht mancher Entwickler nicht ganz so schlimm wie klassische IPv4-NAT. Das Übermaß an Adressen, das mit der Einführung von IPv6 zur Verfügung steht, erfordert nämlich nicht mehr zwangsläufig, dass viele lokale Adressen hinter einer einzelnen globalen IP-Adresse verborgen werden muss. Darauf weisen die Experten bei der Internet Engineering Task Force (IETF) hin und fordern dringend, einen Standard für IPv6-NAT zu erarbeiten. Netzbetreiber hätten sich so sehr daran gewöhnt, NAT einzusetzen, dass man einem Wildwuchs von NAT-Varianten wie bei IPv4 zuvorkommen müsse, empfahl Margaret Wasserman. Auch wird fieberhaft nach Möglichkeiten gesucht, NAT und Ende-zu-Ende_Prinzip mittels eines Source-Address-Finding-Mechanismus (SAF) zu versöhnen.
Wasserman arbeitet gemeinsam mit dem ehemaligen IETF-Vorsitzenden und Cisco-Ingenieur Fred Baker an einem Standardisierungsvorschlag , den sie als stateless und transport-agnostic bezeichnete. In den Routern muss also nicht die Konfiguration beim Ausgang des Pakets eingefroren ("stateful") werden, damit das Antwortpaket wieder zugestellt werden kann. Eine feste, algorithmische Abbildung der lokalen auf die globale Adresse soll die Rückübersetzung erleichtern ( PDF-Datei). Wassermann wies darauf hin, dass beim Umzug von einem Provider zu einem anderen kein Aufwand durch die Neuzuweisung von IP-Adressen entsteht. Für die lokale Adressierung empfiehlt der Vorschlag so genannte Unique Local IPv6 Unicast Addressen (ULA).
Diese Providerunabhängigkeit sorgte für die Attraktivität und die große Verbreitung von NAT unter IPv4. NAT verschleiert außerdem die Netztopologie nach außen, was viele Netzbetreiber als positiv beurteilen. Diesen Trick würde IPv6-NAT erhalten. Ein echtes Sicherheitsfeature ist NAT nicht, warnen die Experten. Es ersetze keine Firewall. Durch die Veränderung des IP-Headers ist IPv6-NAT eben gerade nicht mit Ende-zu-Ende-Sicherheitstechnologie vereinbar. Dadurch leiden auch einzelne Anwendungen. Ganz vermeiden lassen sich die aus IPv4 bekannten NAT-Probleme nicht, räumte Wasserman jedoch ein.
Genau daher lehnen viele IETF-Entwickler NAT ab, insbesondere für IPv6, das gerade als "Killer" für NAT gehandelt wurde. Auch das Internet Architecture Board hat das Ende-zu-Ende-Prinzip in einem aktuellen Grundsatzdokument zu IPv6-NAT noch einmal als unverzichtbares Design-Prinzip unterstrichen.
Einen Vorschlag, wie das Ende-zu-Ende-Prinzip beim IPv6-NAT doch noch irgendwie gerettet werden kann, kommt jetzt von IAB-Mitglied Dave Thaler von Microsoft. Thaler entwirft in seinem Dokument das SAF-Konzept: Dem lokalen System soll darüber genau die Adresse oder das Präfix zugänglich gemacht werden, unter der dieses System draußen im Netz sichtbar ist. "Die über SAF gewonnene Adressinformation wird bei einem virtuellen Interface hinterlegt, genau so wie bei der Hinterlegung einer normalen IP-Adresse beim Ethernet Interface," beschrieb Thaler das Konzept gegenüber heise online. Beim Versenden von Daten durch den Nutzer würde die gewonnene globale Adresse über das virtuelle Interface in die lokale Adresse übersetzt und anschließend durch IPv6-NAT wieder in die globale Adresse umgewandelt. Umgekehrt würden eingehende Pakete zunächst in lokale Adressen umgewandelt, vom virtuellen Interface dann wiederum in globale. Hässlich wird es, wenn mehrere NAT-Boxen hintereinanderstehen. Trotz viel Widerstand scheint es so, als würde die IETF mit NAT66 erstmals einen NAT-Standard verabschieden. (Monika Ermert) / (rek)
