Häufig wird bei Sicherheitsfunktionen NAT als Feature aufgeführt. Es ist aber bei Weitem nicht so, dass NAT ein wirkliches Security-Feature ist. Es füllt nur die Liste der zur Verfügung stehenden Sicherheitsfunktionen auf, denn mit Sicherheit hat NAT nichts zu tun.
Network Address Translation (NAT) ist eine Funktion die unter IPv4 implementiert wurde, da sonst die IPv4 Adressen schon längst ausgegangen wären. Die Entwicklung von NAT hatte nie etwas mit Sicherheit zu tun. Der Ansatz war viel pragmatischer, es galt auf einfache Art und Weise zu verhindern, dass die IP Adressen die unter IPv4 zur Verfügung stehen durch das boomende Internet zu Neige gingen.
Zugegeben, mit NAT kann man teile seiner Infrastruktur „verstecken“, jedoch hat das nichts mit Sicherheit zu tun. Es werden lediglich die Absender-Adressen umgeschrieben. Zum einen wird dies benutzt um rfc-Netze an das Internet anzubinden oder auch bei VPN Verbindungen andere Absender-Adressen zu verwenden. Um wirklich die Zugriffe der internen Hosts auf Systeme im Internet zu „verstecken“ ist ein Web-Proxy oder ein Web-Gateway der einzige Weg dies zu realisieren.
Oft wird angeführt, dass NAT einen direkten Zugriff auf den Host hinter einem Gateway verhindert. Aber das kann schon die simpelste Firewall eines einfachen Zugangsrouters, wie zum Beispiel eine Fritz!Box. NAT ist nicht mehr und nicht weniger nur eine Funktion von IPv4-Gateways um Adressen umzuschreiben – mit Sicherheit hat dies rein gar nichts zu tun. Daher stellt der Wegfall von NAT unter IPv6 keinen Verlust oder auch eine Beeinträchtigung der Sicherheit dar.
Sicherheit kommt von restriktiven Policies, klar definierten Kommunikationswegen und Firewall-Systemen die auf dem aktuellen Stand der Technik sind. Dazu kommen abgestimmte Maßnahmen in der Infrastruktur selbst. All dies hat aber nichts mit NAT zu tun. Wer glaubt, dass NAT seine Sicherheitsprobleme löst oder einen schützt, der irrt gewaltig.