Ga je je router instellen, dan kun je raadselachtige termen en instellingen tegenkomen. Wat doe je met die lan- en wan-poorten? Wat betekenen NAT en dhcp? En wat is het nut van een statisch ip-adres? In dit artikel leggen we de meest voorkomende terminologie en afkortingen aan je uit.
Op internet krijgt elke gebruiker een uniek ip (Internet Protocol)-adres. Zonder ip-adres besta je immers niet op internet. Er bestaan echter openbare ip-adressen en ip-adressen voor intern gebruik. Het openbare of publieke ip-adres word je toegewezen door de provider en via dit adres communiceer je voortaan met de buitenwereld.
Op je eigen thuisnetwerk worden de ip-adressen voor de gebruikers en apparaten uitgegeven door de router en via de router delen alle gebruikers het openbare ip-adres. De functie die het delen en doorsturen verzorgt wordt NAT genoemd.
Lan en wan
Een router of modem/router heeft doorgaans vier lan-poorten en een wan-poort. Lan staat voor Local Area Network en via de lan-poorten verbind je de computers en de apparatuur binnenshuis met ethernetkabels. Binnen het lan kun je dan eenvoudig bestanden en apparaten delen met andere aangesloten gebruikers. Wan staat voor Wide Area Network en de wan-poort zorgt ervoor dat je verbinding maakt met de buitenwereld en meestal zal dit het internet zijn.
Deze poort staat meestal los van de overige poorten en heeft een ander kleurtje. Vaak staat er WAN of Internet bij genoteerd. Heb je een aparte modem en router, dan verbind je een lan-poort van de modem met de wan-poort op de router. In de afgelopen jaren is wlan, Wireless Local Area Network, veel belangrijker geworden dan gewoon lan. Wlan heeft dezelfde functionaliteit als lan, maar dan draadloos via de wifi-antennes op de router. Een draadloos netwerk is in principe door iedereen te zien, zodat hierbij beveiliging essentieel is.
NAT
NAT staat voor Network Address Translation en is een techniek die in routers is geïmplementeerd toen duidelijk werd dat de voorraad van 4 miljard ipv4-adressen wel eens op zou kunnen raken. Door NAT hoeft niet elk aangesloten apparaat een publiek ip-adres te hebben, maar wordt het ip-adres dat je van de provider hebt gekregen gedeeld. De router kent dan een eigen intern ipv4-adres toe aan een apparaat dat verbinding wil maken met het internet. Voor intern gebruik zijn enkele blokken ip-adressen gereserveerd, waarvan de reeks 192.168.xxx.xxx het meest wordt gebruikt.
Met deze adressen houdt de router de computers in je thuisnetwerk uit elkaar. Als een gebruiker op het thuisnetwerk nu een webpagina opvraagt en de site bezoekt, vervangt de router het interne ip-adres door het openbare ip-adres. Op deze manier kunnen tientallen apparaten met een intern privé-adres als 192.168.1.2 of 192.168.1.3 hetzelfde publieke ip-adres benutten.
Voor de aangesloten apparaten met een NAT-adres lijkt het alsof ze met een eigen openbaar ip-adres werken. Bijkomend voordeel is dat het ook veiliger is, omdat de verschillende computers in het thuisnetwerk niet afzonderlijk zichtbaar zijn vanaf het internet.
Dhcp
Meestal hoef je je over de interne ip-adressen niet druk te maken. De pc’s, laptops en smartphones in je netwerk krijgen automatisch een ip-adres toegewezen door de dhcp-server van de router. Dhcp staat voor Dynamic Host Configuration Protocol. De dhcp-server kijkt steeds in zijn pool met vrije ip-adressen en kent het eerstvolgende ip-adres dat vrij is toe aan de computer of het apparaat dat verbinding met het thuisnetwerk maakt, bekabeld of draadloos.
De omvang van de pool is meestal in te stellen op een Lokaal Netwerk-pagina, waar je het eerst te gebruiken ip-adres en het aantal gebruikers opgeeft. Standaard worden de DNS (Domain Name System) servers geregeld door je provider, maar je kunt hier ook de adressen van een alternatieve of OpenDNS server invullen. Wordt het contact verbroken dan wordt het ip-adres na de ingestelde leasetijd weer vrijgegeven. Dat betekent ook dat het ip-adres van een apparaat elke keer dat je opnieuw contact met het netwerk maakt, anders kan zijn. Dhcp biedt geen zekerheid dat een apparaat altijd hetzelfde ip-adres krijgt toegewezen.
Vast ip-adres
Soms is het wenselijk een computer of een apparaat in het netwerk wel een vast ip-adres, ofwel een statisch ip-adres te geven. Voor nas’en, netwerkprinters en webcamera’s bijvoorbeeld is het handig als steeds hetzelfde ip-adres wordt gebruikt. Ook als je thuis een ftp- of mailserver draait is het essentieel dat de router het binnenkomende verkeer steeds naar een vast adres stuurt. Zou de server een wisselend dynamisch adres hebben dan zou deze niet altijd bereikbaar kunnen zijn.
Om een pc of laptop een statisch adres te geven ga je naar Netwerkinstellingen en selecteer je Adapteropties wijzigen waar je bij Internet Protocol Version 4 een eigen ip-adres kunt invoeren. Voorwaarde is dat het vaste ip-adres in het subnet van de router ligt en buiten de dhcp-pool.
Poortnummers
Bij elk soort communicatie over een lan wordt een poortnummer toegevoegd dat aangeeft voor welke softwarematige poort een pakketje bestemd is. De bekendste poort is wellicht de http-poort 80, de poort waarmee je het internet op gaat. Andere bekende nummers als 110 of 995 voor pop3 en 25 of 587 voor smpt zijn de meesten van ons wellicht wel eens tegengekomen bij het configureren van een e-mailaccount. Voor deze standaardservices zijn de poorten tot 1023 gereserveerd.
Elke gebruiker krijgt voor elk communicatieproces door het besturingssysteem ook een intern poortnummer toegewezen. Dit ligt in de reeks ‘geregistreerde’ poorten tussen de nummers 1024 en 49151. En net zoals het ip-adres vervangt de router ook dit poortnummer in de tcp/ip-header door een ‘dynamisch’ poortnummer om mee naar buiten te treden. Deze vertaalslag wordt Port Address Translation genoemd. De router onthoudt in de NAT-tabel welke computer met welk poortnummer een bepaalde website heeft opgevraagd.
Wanneer er nu antwoord van die site komt doet de router het omgekeerde. Het externe poortnummer wordt vervangen door het oorspronkelijke herkomstpoortnummer en het publieke adres wordt vervangen door het interne adres van de pc in het thuisnetwerk die de aanvraag indiende. In het voorbeeld bezoeken twee gebruikers tegelijk een website; de een zoekt een koopje bij Bol.com, de ander is bij ING aan het internetbankieren.
Tcp/ip protocol
Het internet maakt gebruik van het tcp/ip-protocol (Transmission Control Protocol/ Internet Protocol) om gegevens uit te wisselen. Tcp/ip is een pakketgeschakeld protocol waarbij de gegevens in kleine pakketjes onafhankelijk van elkaar langs verschillende wegen worden verzonden. Een beter inzicht in het tcp/ip-protocol waarmee de internetverbindingen werken maakt veel zaken duidelijk. Het protocol is onder te verdelen in vijf lagen. In drie daarvan wordt een header toegevoegd aan de datapakketjes. In de bovenste laag – de applicatielaag – bevinden zich de internettoepassingen, zoals http, ftp en pop3.
De transportlaag daaronder verzorgt de communicatie en de datatransmissie tussen de endpoints. Als de transportlaag een tcp-segment overgeeft aan de onderliggende netwerklaag, dan wordt de ip-header toegevoegd. De netwerklaag, ook wel Layer 3 genoemd, verzorgt de adressering en de routering van pakketten. Ook de NAT-vertaling gebeurt op de netwerklaag.
Op de daaronder liggende datalinklaag, ook bekend als Layer 2, wordt een ip-pakket verder ingepakt in een frame. Ook wordt er weer een header toegevoegd waarin onder meer de mac (Medium Access Control)-adressen staan voor het verkeer over een lan. De frames worden ten slotte via ethernetkabels, glasvezel of draadloze wifi over de fysieke laag (de hardware, ofwel Layer 1) gestuurd. Bij het versturen komt er op bijna elke laag dus een header bij. Bij de ontvangst van een frame of een pakket haalt elke laag er in omgekeerde volgorde weer een header af.
Het praktische tcp/ip-protocol heeft veel overeenkomsten met het theoretische OSI-model (Open Systems Interconnection), dat zeven lagen kent. De toepassingslaag uit het tcp/ip-protocol wordt hierin opgesplitst in drie lagen: toepassing, presentatie en sessie, zoals in de afbeelding te zien is.
Mac-adres
Mac-adressen horen bij de datalinklaag van het tcp/ip-protocol. Een mac-adres is een hardware-adres en bedoeld om een specifiek apparaat te vinden. Het mac (Media Access Control)-adres is een unieke cijfer- en letterreeks die ieder netwerkapparaat van zijn fabrikant heeft gekregen en waarmee het zich onderscheidt van andere apparaten in een netwerk. Het mac-adres bestaat uit zes hexadecimale getallen gescheiden door een dubbele punt, bijvoorbeeld C0:11:6E:D2:2F:A3. Het mac-adres van je eigen lan-controller vind je met ipconfig/all, het mac-adres van een apparaat staat doorgaans op een sticker achter op het apparaat.
Als nu een pakketje voor een bepaald ip arriveert, moet de router nog weten waar dat adres zich fysiek bevindt. Daartoe bestaat het ARP (Address Resolution Protocol), dat mac-adressen met elkaar in contact brengt. Met dit protocol wordt een bestemmings-mac-adres achterhaald door middel van een broadcast-bericht aan alle aangesloten apparaten. Uitsluitend de computer die zijn eigen ip-adres herkent zal op grond daarvan het bericht beantwoorden en zijn mac-adres doorgeven. D
Op de meeste routers zijn de mac-adressen ook in te zetten filter. Je kunt dan een whitelist of een blacklist opstellen met toegestane of te blokkeren apparaten. Je kunt hier echter niet blind op vertrouwen, want een mac-adres is vrij makkelijk te hacken. De ARP-broadcast is de achilleshiel van het tcp/ip-protocol.
De datalinklaag is kwetsbaar voor ARP-spoofing waarbij een hacker door een vals ARP-verzoek datapakketjes die voor een bepaald ip-adres zijn bedoeld naar een eigen mac-adres kan routeren. In een zogeheten man-in-the-middle-attack kan hij dan het verkeer tussen twee gebruikers onderscheppen. Met dhcp-reservering of ARP-binding kan je er iets tegen doen, maar ook dit kan spoofing niet geheel voorkomen.it wordt dan in de header van het ethernetframe gezet en naar het betreffende apparaat gestuurd.
Port-forwarding
Bij de communicatie over internet worden niet alleen ip-adressen, maar zoals gezegd ook poorten gebruikt. Elk type communicatie gebruikt een andere poort. Zo gaat het webverkeer via poort 80, terwijl voor de e-mail poorten 110 (POP3) of 143 (IMAP) worden gebruikt. Gewoonlijk zijn op een ip-adres alle poorten dicht en gaan deze alleen open als het bijbehorende programma draait. Na het beëindigen van de applicatie worden met het oog op de veiligheid de poorten standaard weer gesloten, zodat iemand niet zomaar van buitenaf toegang tot een computer kan krijgen.
Als je een pakketje verstuurt krijg je antwoord op hetzelfde adres, omdat de router je ip-adres en het poortnummer heeft genoteerd en onthouden. Bij normaal internetgebruik hoef je daarom geen poorten open te zetten als je zelf een actie initieert. Als een ander jou echter spontaan een pakketje stuurt, dan komt dat wel aan op het publieke ip-adres van je internetaansluiting, maar weet de router niet wat hij ermee aan moet en negeert hij het pakketje. Als jouw computer voor anderen vanaf internet bereikbaar moet zijn, dan dien je zelf een of meer poorten open te zetten.
Dit proces wordt port forwarding genoemd. Als je bijvoorbeeld thuis een webserver draait of enkele webcamera’s hebt geïnstalleerd, moet je daarmee verbinding kunnen maken zonder te worden tegengehouden door de NAT-firewall. Port triggering is een variant op port forwarding waarbij de forwarding wordt geregeld door een on/off-switch op een andere poort.
Ipv6
Ipv6 is het nieuwe internetprotocol dat ipv4 in de komende jaren moet gaan vervangen. De twee zijn echter niet compatibel en verschillen sterk van elkaar. Om te beginnen in de adresruimte. Waar ipv4 het met 32 bits moet stellen, werkt het nieuwe ipv6 protocol met 128bit-adressen, wat betekent dat onder ipv6 de astronomische hoeveelheid van 3,4 x 10^38 ip-adressen beschikbaar komt, uitgeschreven 340 sextiljoen adressen. Waar ipv4 dus niet eens alle mensen op de wereld een adres kan geven, kan ipv6 als het ware elk zandkorreltje op aarde van een adres voorzien.
Dit maakt NAT volkomen overbodig, met ipv6 kan ieder apparaat zijn eigen unieke publieke ip-adres hebben. De router hoeft de interne adressen niet meer naar een publiek adres te vertalen en bij te houden welk verkeer aan welk apparaat toebehoort. Ook de noodzaak van een dhcp-server vervalt, omdat ipv6-apparaten zichzelf een adres kunnen toekennen.
Een ipv6-adres ziet er totaal anders uit dan een ipv4-adres en bestaat uit acht blokken van vier hexadecimale cijfers die door een dubbele punt worden gescheiden, bijvoorbeeld: 2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b. Normaal gesproken wordt een ipv6 adres opgesplitst in een netwerk-ID of Prefix van 64 bits en een Interface-ID van 64 bits. De Prefix wordt weer opgedeeld in een netwerk-ID van 48 bits en een subnet-ID van 16 bits. De Interface Identifier is gebaseerd op het mac-adres van de node en maakt het adres uniek.
Naast het grote adresbereik en het overbodig maken van NAT biedt ipv6 een veel betere gegevensbeveiliging. Waar bij ipv4 de beveiliging er als het ware met ducttape is aangeplakt, is ipv6 vanaf de grond opgebouwd met veiligheid in gedachten. Zo ondersteunt ipv6 standaard end-to-end IPSec-encryptie, iets wat bij ipv4 enkel met een toevoeging als vpn of https op de applicatielaag mogelijk is.
Een andere verbetering van de veiligheid is dat er geen gebruik meer wordt gemaakt van het ARP op de linklaag, maar van het veiliger Neighbor Discovery Protocol. Het komt er op neer dat een router eerst verkent welke apparaten er op de linklaag aanwezig zijn in plaats van een broadcast-signaal uit te zenden en op antwoord te wachten.
Veel nieuwe routers zijn al voorbereid op ipv6 en ipv6-apparaten hebben vaak ‘dual stack’ aan boord, wat maakt dat ze met beide protocollen kunnen werken. Mogelijk heb je wel een firmware-upgrade nodig. Echt overstappen kun je pas als je provider native ipv6 beschikbaar stelt - en dan niet de 6RD-tussenoplossing. Nederland blijft echter ver achter met de uitrol van ipv6. Inmiddels kan dertien procent van de internetgebruikers over ipv6 beschikken, terwijl dit in België al meer dan vijftig procent is.
Wat is mijn ip-adres?
Wil je weten wat je publieke of externe ip-adres is waarmee je met de buitenwereld communiceert? Ga dan eens naar www.myip.nl. Bovenin staat je wan of externe ip-adres. Daaronder kun je aflezen welke browser je gebruikt en met welk poortnummer je de site hebt gezocht.
Wat is mijn lan-ip- of mac-adres?
Wil je weten wat je interne ip-adres of je mac-adres is? Ga dan naar het opdrachtpromptscherm, typ ipconfig /all in en druk op Enter. Misschien zullen niet alle gegevens je even duidelijk zijn, maar het ip-adres van je computer vind je in de regel ipv4 Address.
Bij een dynamisch ip-adres kan dat iedere keer als je de computer aanzet veranderen, bij een vast IP-adres blijft dit gelijk. Het mac-adres staat in de regel Physical Address. De Default Gateway komt steeds overeen met het eigen ip-adres van de router. Het ip-adres ligt meestal in de gereserveerde reeks 192.168.x.x. Om alle opties van je router te benutten log je met dit adres in op de interne webinterface van de router.
Tekst: Hans Niepoth