NAT-Router richtig einrichten: VoIP, P2P und IM im Griff

Für VoIP, P2P-Filesharing und viele andere Protokolle gibt es Lösungsansätze. Ein bekannter Ansatz ist Universal Plug and Play (UPnP). UPnP setzt voraus, dass die Client-Software und der NAT-Router UPnP beherrschen. Gleiches gilt auch für das von Apple entwickelte NAT-PMP, das exakt die gleiche Funktionalität bietet wie UPnP. Das Prinzip ist einfach: Die Client-Software fragt beim NAT-Router einen oder mehrere TCP- oder UDP-Ports an, um aus dem Internet erreicht werden zu können. Der NAT-Router teilt dem Client die benötigten Ports zu und nennt dem Client die öffentliche IP-Adresse. Anschließend nennt die Client-Software ihren Servern oder Peers im Internet die öffentliche IP-Adresse und die vom NAT-Router zugewiesenen Ports.

Allerdings verfügt das UPnP-Protokoll über keinerlei Sicherheitsmaßnahmen. Versehentlich heruntergeladene Schadsoftware kann so beliebige Ports umbiegen und Rechner aus dem Intranet ungeschützt ins Internet bringen. Außerdem besteht die Möglichkeit, dass Benutzer von jedem beliebigen Rechner im Intranet absichtlich Ports umkonfigurieren. Daher wird in Firmen UPnP auf NAT-Routern meist abgeschaltet. Zudem verfügen viele Router für den professionellen Markt erst gar nicht über eine UPnP-Funktion.

In Heimnetzwerken und kleineren Firmen ist UPnP allerdings besser als sein Ruf. Kann man davon ausgehen, dass Benutzer UPnP nicht absichtlich missbrauchen, bleibt die Gefahr gering. Malware, die einmal die Kontrolle über einen Rechner übernommen hat, ist nicht auf UPnP angewiesen. Schadprogramme können von sich aus Verbindung zu einem Server aufnehmen und dort weitere Programme nachladen oder Anweisungen entgegennehmen. Letzteres gilt vor allem für Botnetze. Gegen "moderne" Malware hilft das Abschalten von UPnP wenig.

Gängige P2P-Filesharing-Programme, beispielsweise eMule oder Bittorrent, unterstützen UPnP in neueren Versionen. Ist UPnP auf dem NAT-Router vorhanden und aktiviert, so können diese Programme einfach und komfortabel verwendet werden, siehe Bilder 9 und 10.

Viele andere Programme nutzen ebenfalls UPnP, etwa Instant-Messaging-Programme. Hier kommt es allerdings nicht zu spürbaren Probleme, wenn UPnP nicht verfügbar ist. Die großen IM-Anbieter, beispielsweise Microsoft, Yahoo, AOL und ICQ, bieten einen Relay-Service. Über diesen Dienst werden Nachrichten, Bilder und Dateien versendet. Das zwingt die Anbieter allerdings zum Betrieb von Serverfarmen mit immensem Datendurchsatz. Könnten sich IM-Teilnehmer direkt erreichen, müsste nicht jedes Byte über die Server der Anbieter geroutet werden. Oft wird für die Dateitransferfunktion allerdings UPnP verlangt. Die Betreiber, beispielsweise Microsoft, weigern sich, Relay für mehre hundert Megabyte große Dateien zu spielen.