Nat Traversal (Nat-T) - Lancom Systems LCOS 9.10 Referenzhandbuch

Referenzhandbuch
10 Virtual Private Networks - VPN
1 n: Gibt die erweiterte Verwendung (extended key usage) an.
1
o: Gibt die Schlüssellänge (key length) an.
1
p: Gibt die Gültigkeitsdauer (validity period) in Tagen an.
1 q: Gibt das Passwort für die PKCS12-Datei an.
1 r: Gibt an, ob es sich um ein CA-Zertifikat handelt.
2
1: CA-Zertifikat
2
0: kein CA-Zertifikat
5
Der Wizard verarbeitet nur die Parameter, für die in der Presets-Tabelle die entsprechenden Zugriffsrechte gesetzt
sind.
Der Aufruf der URL mit den entsprechenden Parametern sieht wie folgt aus:
192.168.10.74/scepwiz/a=VPN&b=iPhone&q=company

10.10 NAT Traversal (NAT-T)

Die nicht ausreichende Anzahl von öffentlich gültigen IP-Adressen hat zur Entwicklung von Verfahren wie IP-Masquerading
oder NAT (Network Address Translation) geführt, bei denen ein ganzes lokales Netzwerk hinter einer einzigen, öffentlich
gültigen IP-Adresse maskiert wird. Auf diese Weise nutzen alle Clients in einem LAN die gleiche IP-Adresse beim
Datenaustausch mit öffentlichen Netzwerken wie dem Internet. Die Zuordnung der ein- und ausgehenden Datenpakete
zu den verschiedenen Teilnehmern im Netz wird dabei über eine Verbindung der internen IP-Adressen zu entsprechenden
Port-Nummern gewährleistet.
Dieses Verfahren hat sich in den letzten Jahren sehr bewährt und ist mittlerweile Standard in nahezu allen Internet-Routern.
Neue Schwierigkeiten in der Verarbeitung der maskierten Datenpakete treten jedoch bei der Verwendung von VPN auf.
Da Datenverbindungen über VPN sehr stark gesichert sind, kommen Mechanismen wie Authentifizierung und
Verschlüsselung hier hohe Bedeutung zu.
Die Umsetzung der internen IP-Adressen auf die zentrale, öffentlich gültige IP-Adresse des Gateways sowie die Umsetzung
von Quell- und Zielports kann in manchen Anwendungen zu Problemen führen, weil dabei z. B. der üblicherweise während
der IKE-Verhandlung verwendete UDP-Port 500 verändert wird und die IKE-Verhandlung somit nicht mehr erfolgreich
abgeschlossen werden kann. Die Adressänderung über NAT wird also von einem VPN-Gateway als sicherheitskritische
Veränderung der Datenpakete gewertet, die VPN-Verhandlung scheitert, es kommt keine Verbindung zustande. Konkret
treten diese Probleme z. B. bei der Einwahl über manche UMTS-Mobilfunknetze auf, bei denen die Server des Netzbetreibers
die Adress-Umsetzung in Verbindung mit IPSec-basierten VPNs nicht unterstützen.
Um auch in diesen Fällen eine VPN-Verbindung erfolgreich aufbauen zu können, steht mit NAT-T (NAT Traversal) ein
Verfahren bereit, die beschriebenen Probleme bei der Behandlung von Datenpaketen mit geänderten Adressen zu
überwinden.
5
NAT-T kann nur bei VPN-Verbindungen eingesetzt werden, die zur Authentifizierung ESP (Encapsulating Security
Payload) verwenden. ESP berücksichtigt im Gegensatz zu AH (Authentication Header) bei der Ermittlung des
Hashwertes zur Authentifizierung nicht den IP-Header der Datenpakete. Der vom Empfänger berechnete Hashwert
entspricht daher dem in den Paketen eingetragenen Hashwert.
Setzt die VPN-Verbindung zur Authentifizierung AH ein, kann grundsätzlich keine Verbindung über Strecken mit Network
Address Translation aufgebaut werden, da sich die AH-Hashwerte bei der Änderung der IP-Adressen ebenfalls ändern
und der Empfänger die Datenpakete als nicht vertrauenswürdig einstufen würde.
Das Verfahren von NAT Traversal überwindet die Probleme beim VPN-Verbindungsaufbau an den Endpunkten der
VPN-Tunnel. Folgende Szenarien lassen sich daher unterscheiden:
660