Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

192.168.10.0 aus dem Internet erreichbar

Mitglied: Poddeldunkt

Poddeldunkt (Level 1) - Jetzt verbinden

29.09.2019, aktualisiert 21:02 Uhr, 1505 Aufrufe, 44 Kommentare, 6 Danke

Hallo zusammen,

als ich heute mein VPN einrichten wollte, bin ich auf ein merkwürdiges Problem gestoßen, welches ich euch hier kurz schildern möchte, vielleicht kann mir ja der ein oder andere sagen was hier "abgeht".

Folgendes ist die Situation bzw. meine Annahmen:

1. 192.168.XXX.XXX ist eine private IP-Range, kann also für private Netzwerke genutzt werden. (Das schließt meiner Annahme nach auch 192.168.10.XXX ein.)
2. Ich habe im Büro das interne Netzwerk 192.168.10.0, Provider Kabel Deutschland.
3. Ich habe zuhause das Private Netzwerk 192.168.178.0 FritzBox / Provider: lokale Stadtwerke

Ich hatte heute mein VPN am MikroTik Router eingerichtet, (danke nochmal für die Hilfe in meinem anderen Thread). Anschließen habe ich die Verbindung von zuhause unter Windows 10 getestet, konnte ich aufbauen. Zum testen habe ich die 192.168.10.1 (Router im Büro) gepingt, der Router ist erreichbar. Ich habe die Verbindung wieder abgebaut und wollte die Gegenprobe machen, also wieder 192.168.10.1 gepingt -> ich bekomme immernoch eine Antwort!?! Das hat mich stuzig gemacht, da mein VPN definitv getrennt war. Also an einen anderen PC, der noch nie im VPN war und wieder 192.168.10.1 gepingt, mit dem Ergebnis dass ich wieder eine Antwort bekommen habe.

In meinem Netzwerk gibt es nur die FritzBox, mit dem Netz 192.168.178.0, diese ist direkt via Kabelmodem an die "Aussenwelt" angeschlossen.

Als Gegenprobe, habe ich einen anderen Internetanschluss eines Kunden benutzt und dort die 192.168.10.1 angepingt, wie man erwarten würde -> keine Antwort. Auch wenn ich mich per mobile Hotspot einwähle und dann dort die 192.168.10.1 pinge, keine Antwort. Schlussfolgerung: Die IP-Adresse ist nur erreichbar wenn ich den Zugang meines lokalen Provider benutze.

Also habe ich einen IP-Scan gemacht und mich im Netz mal umgesehen. Das Ergebnis, in diesem Netz sind 112 Hosts alive. Jetzt bin ich mir sicher dass es sich hierbei nicht um mein Heim- und auch nicht um mein Büronetz handelt. (Siehe Screenshot 1).

Ich habe dann auf eine dieser IPs mal einen NMAP gefahren um zu schauen was da offen ist, mit dem Ergebnis dass auf allen Hosts, Telnet, SSH, FTP, SMB offen ist (siehe Screenshot 2). Desweiteren läuft ein Postgree SQL.

Eine SSH Verbindung habe ich nicht aufgebaut, auch weitere Versuche einzudringen habe ich nicht unternommen (lediglich geschaut ob der FTP anonymous Verbindungen zulässt, was er nicht tut). Ich habe ja nicht die Intention hier etwas kaputt zu machen, oder irgendwo eunzudringen.

Daher wollte ich euch Fragen, was ist hier los? Was habe ich hier gefunden? Ist das normal?
bildschirmfoto von 2019-09-29 20-56-48 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto von 2019-09-29 20-58-35 - Klicke auf das Bild, um es zu vergrößern
44 Antworten
Mitglied: lcer00
29.09.2019, aktualisiert um 21:39 Uhr
Hallo,

Entsprechen die offenen Ports zufällig denen des VPN Routers? Ich würde schätzen, dass hier einer der Router denkt, alle Anfragen auf das entfernte Netz beantworten zu müssen. Wie sieht denn die arp Ausgabe für diese IPs aus? Haben die IPs unterschiedliche MAC-Adressen?

Grüße

lcer
Bitte warten ..
Mitglied: Pjordorf
29.09.2019 um 21:47 Uhr
Halo,

Zitat von Poddeldunkt:
1. 192.168.XXX.XXX ist eine private IP-Range, kann also für private Netzwerke genutzt werden. (Das schließt meiner Annahme nach auch 192.168.10.XXX ein.)
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche

und wollte die Gegenprobe machen, also wieder 192.168.10.1 gepingt -> ich bekomme immernoch eine Antwort!?!
Und wie sieht dein Ping und dessen Antwort aus, da gibt es ja so schane wie Millisekunde usw. Da sollten beide doch (VPN Aufgebaut, VPN abgebaut) jeweils andere Informationen liefern. Und dann schaut man wenn VPN Aufgebaut ist seine MAC Tabbelle an. Z.B. mit ARP -a und dann noch tracert 192.168.0.1 usw. Die Werte sagen dir dann schon mal genauso wie dein IP SCAN ob es ein und das gleiche selbe IP Netz ist. Vermutlich hat dein ISP (Stadtwerke?) mist konfiguriert.

Daher wollte ich euch Fragen, was ist hier los? Was habe ich hier gefunden? Ist das normal?
Vermutlich war ein Azubi am Konfigurieren beim ISP (Stadtwerke?).

Gruß,
Peter
Bitte warten ..
Mitglied: LordGurke
29.09.2019 um 21:53 Uhr
Hast du denn auch mal einen Traceroute gemacht um zu sehen, ob das wirklich dein Netz verlässt?
Bitte warten ..
Mitglied: Lochkartenstanzer
29.09.2019, aktualisiert um 22:23 Uhr
Moin,

Mach mal ein Traceroute. Entweder hat der ISP was falsch konfiguriert oder Dein VPN-Router hat noch etwas im Cache.

lks
Bitte warten ..
Mitglied: Poddeldunkt
29.09.2019 um 22:30 Uhr
Tracert ist gemacht, das Ziel befindet sich definitv ausserhalb meines Netzes ;)
bildschirmfoto von 2019-09-29 22-28-38 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto von 2019-09-29 22-28-49 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: NordicMike
29.09.2019 um 22:51 Uhr
Der Besitzer von 85.233.35.14 hat sein Router falsch konfiguriert, bestimmt bastelt jemand mit Open Source Routern herum.

Und Cablesurf auch, Du kannst es Ihnen ja melden.

Es sollte Dir jedoch nichts passieren, wenn Du die Fritzbox verwendest.
Bitte warten ..
Mitglied: LordGurke
29.09.2019, aktualisiert um 23:26 Uhr
WENN der Besitzer von 85.233.35.14 es tatsächlich fertig bringt, irgendwie IP-Routen für dieses Netz zu sich zu routen zu können, sollte Tele Columbus sich in Tele Dilettanti umbenennen. Denn das würde implizieren, dass jeder Kunde per RIP, OSPF oder anderen Protokollen autonom und ungefiltert IP-Routen in das Netz injizieren kann. Nicht nur Netze aus RFC1918 sondern so ganz allgemein alles.

Da ich aber Tele Columbus zutraue, ihr Netz dahingehend im Griff zu haben, bleibt als Erklärung nur übrig, dass diese Route von TC selbst so angelegt wurde. Ob sie sich im Klaren sind, dass jeder innerhalb des TC-Netzwerks darauf zugreifen kann, ist eine andere Sache.

Woher dein Ärger auf "Open Source Router" kommt, ist mir unklar (ich lege auch keinen Wert drauf, diese Wissenslücke zu schließen), sei dir aber versichert, dass er hier vollkomen deplatziert ist
Bitte warten ..
Mitglied: Lochkartenstanzer
29.09.2019, aktualisiert 30.09.2019
3> Zitat von NordicMike:

Der Besitzer von 85.233.35.14 hat sein Router falsch konfiguriert, bestimmt bastelt jemand mit Open Source Routern herum.

Das hat garantiert nichts mit Open Source-Routern zu tun, sondern Diletanten beim Provider.


@TO
Einfach Deinem diletantischen Provider melden und an der Fritzbox einstellen, daß alles an RFC1918-Netzen nicht raus darf

lks
Bitte warten ..
Mitglied: Poddeldunkt
30.09.2019 um 00:08 Uhr
Hallo zusammen,

ich werde mich dahingehend morgen beim Provider melden.

Der zuständigen Mitarbeiterin (die normalerweise nur Aufträge annimmt und Techniker bucht) zu erklären was ich von ihr will, wird sicherlich lustig.

Prinzipiell ergeben sich hieraus ja keine Probleme für mich. Ich war die erste halbe Stunde etwas Perplex, was hier gerade passiert, und wollte beim ISP nicht als Depp da stehen, weil ich eventuell etwas übersehen habe
Bitte warten ..
Mitglied: NordicMike
30.09.2019 um 07:07 Uhr
Das hat garantiert nichts mit Open Source-Routern zu tun, sondern Diletanten beim Provider
Beide müssen es zusammen verursachen. Wenn der Provider einen Fehler gemacht hat, sollten es die Router noch blockieren und umgekehrt.

Woher dein Ärger auf "Open Source Router" kommt
Kein Ärger. Bei Open Source Routern (und Software) kann man NAT und IP Filter einfach abschalten, wobei es bei Kaufroutern, wie der Fritzbox, fest implementiert ist. Natürlich gibt es noch andere Kaufrouter, bei denen es auch möglich ist z.B. um es Netzwerkintern zu betreiben. So weit wollte ich jedoch nicht ausholen. Es spielt einfach jemand mit falschem Werkzeug herum, der keine Ahnung hat.
Bitte warten ..
Mitglied: Lochkartenstanzer
30.09.2019, aktualisiert um 07:32 Uhr
Zitat von NordicMike:

Das hat garantiert nichts mit Open Source-Routern zu tun, sondern Diletanten beim Provider
Beide müssen es zusammen verursachen. Wenn der Provider einen Fehler gemacht hat, sollten es die Router noch blockieren und umgekehrt.

Das kannst Du genauso mit Junipers, Huaweis, Ciscos & Co. auch hinbekommen. Da passiert das eher, weil da manche gar keine Ahnung haben, was sie tun und irgendwelche skripten blind ausführen.


Es spielt einfach jemand mit falschem Werkzeug herum, der keine Ahnung hat.

Das ist das Problem und nicht Open Source.

lks
Bitte warten ..
Mitglied: NordicMike
30.09.2019, aktualisiert um 07:54 Uhr
Natürlich gibt es alle Router in allen Varianten. Das müsste man genauer definieren.

Mit Open Source Routern meine ich Software, wie pfSence, OPNsence oder sogar nur iptables, bei dem ein falscher Buchstabe schon solche Folgen haben kann. Das, was Bastel-Nerds halt gerne verwenden.

Das passiert ihm mit einer Fritzbox z.B. nicht. Deswegen kann man nicht verallgemeinern, dass es mit Closed Source Routern nicht möglich wäre. Es gibt genug Router, bei denen man es abschalten kann, wenn man will.
Bitte warten ..
Mitglied: IceAge
30.09.2019 um 08:10 Uhr
Zitat von NordicMike:

Natürlich gibt es alle Router in allen Varianten. Das müsste man genauer definieren.

Mit Open Source Routern meine ich Software, wie pfSence, OPNsence oder sogar nur iptables, bei dem ein falscher Buchstabe schon solche Folgen haben kann. Das, was Bastel-Nerds halt gerne verwenden.

opnsense und pfsense sind 2 hervorragende OpenSource Firewall Systeme und nicht nur für Bastel-Nerds geeignet
Bitte warten ..
Mitglied: Lochkartenstanzer
30.09.2019 um 08:19 Uhr
Zitat von NordicMike:

Natürlich gibt es alle Router in allen Varianten. Das müsste man genauer definieren.

Mit Open Source Routern meine ich Software, wie pfSence, OPNsence oder sogar nur iptables, bei dem ein falscher Buchstabe schon solche Folgen haben kann. Das, was Bastel-Nerds halt gerne verwenden.

Das verwenden nicht nur "BastelNerds". Das wird sehr gerne vorwiegend von Profis verwendet. Und falsche Buchstaben haben auch bei Profiroutern manchmal fatale Folgen.

Das passiert ihm mit einer Fritzbox z.B. nicht. Deswegen kann man nicht verallgemeinern, dass es mit Closed Source Routern nicht möglich wäre. Es gibt genug Router, bei denen man es abschalten kann, wenn man will.

Was hat eine Fritzbox bei einem Provider zu suchen?

Du verwechselst Inkompetenz bei Providern mit OS-bashing.

lks
Bitte warten ..
Mitglied: NordicMike
30.09.2019 um 08:48 Uhr
Gar nichts. Wie kommst Du darauf, dass die Fritzbox beim Provider sei?

Der TO könnte ja mal die IP untersuchen und schauen, was er (der Kunde, der die IP benutzt) als Router einsetzt.
Bitte warten ..
Mitglied: aqui
30.09.2019, aktualisiert um 08:48 Uhr
ich werde mich dahingehend morgen beim Provider melden.
Die Antwort dürfte der spannenste Post seit langem hier im Forum sein !!!
Wie die sich rausreden das sie ein privates 192.168er RFC 1918 Netz im Internet exponieren dürfte megaspannend sein... Tele Dilettanti eben....
Bitte warten ..
Mitglied: erikro
30.09.2019 um 09:13 Uhr
Moin,

nett. Der erste Hop ist auch ein privates Netz. Ich bin gespannt, was der Provider dazu sagt.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Lochkartenstanzer
30.09.2019 um 09:28 Uhr
Zitat von erikro:

Moin,

nett. Der erste Hop ist auch ein privates Netz. Ich bin gespannt, was der Provider dazu sagt.


Die Probider nehmen intern auch gerne pricatee Netze, um Adress-Resozrcen zu schonen und auch um zu vermeiden, daß die internen Systeme von außen erreichbar sind. Allerdings werden die normalerweise i.d.R. nach außen rausgefiltert odet genatted.

Da liegt also definitiv ein Problem bei TC vor.

lks
Bitte warten ..
Mitglied: brammer
30.09.2019 um 09:32 Uhr
Hallo,

das einzige was hier Sinn machen würde, wenn der Provider die RFC 1918 Adressen intern einsetzt... also sowas wie Carrier Grade NAT.
Allerdings sollten dann die IP Adressen im tracert besser nicht zu sehen sein.

Aus deinem Tracert geh für mich auch nicht hervor ob die 192.168. er Adresse der letzt Hop ist.

brammer
Bitte warten ..
Mitglied: aqui
30.09.2019, aktualisiert um 09:42 Uhr
Aber dann dürfte niemals eine Kommunikation mit fremden Endgeräte Adressen in diesem Netz möglich sein ! Sowas wäre fahrlässig.
Der Provider hat dann vergessen was Private VLANs sind oder Firewalls oder sowas. Wie war das noch...??? Genau ! Tele Dilettanti !
Bitte warten ..
Mitglied: brammer
30.09.2019 um 09:50 Uhr
Hallo,

@aqui
"dürfte nicht möglich sein" und "ist aber möglich" sind ja auch 2 paar Schuhe...

Bei den Providern ist es ja auch immer noch so das man fast eine Strafanzeige riskiert wenn man einen tracert (Hackertools) macht ... man hat ja versucht in das Netzwerk einzubrechen... (ist mir so bei einem Reseller aus der Koblenzer Gegend angedroht worden.. ).

brammer
Bitte warten ..
Mitglied: aqui
30.09.2019 um 09:51 Uhr
sind ja auch 2 paar Schuhe...
Wohl wahr !!
Bitte warten ..
Mitglied: Poddeldunkt
30.09.2019 um 12:26 Uhr
"Aus deinem Tracert geh für mich auch nicht hervor ob die 192.168. er Adresse der letzt Hop ist." - 192.168.10.X ist hier tatsächlich der letzte Hop. Ich habe lediglich Benutzername & Pfade meines Notebook herausgeschnitten

Wie erwartet konnten die Mitarbeitet der lokalen Stadtwerke nichts mit meinem Problem anfangen bzw. haben anscheinend nicht verstanden was ich Ihnen hier mitteilen wollte.

Ich habe nun eine E-Mail mit einer Problembeschreibung verfasst und diese mit bitte um Weiterleitung an den ISP an meine Stadtwerke gesendet. Ich bin sehr gespannt, ob ich eine Antwort bekomme und wenn ja welche.


"Bei den Providern ist es ja auch immer noch so das man fast eine Strafanzeige riskiert wenn man einen tracert (Hackertools) macht ... man hat ja versucht in das Netzwerk einzubrechen... (ist mir so bei einem Reseller aus der Koblenzer Gegend angedroht worden.. )." - Praktisch habe ich meinen Tracert benutzt, da ich am Anfang dachte dass im internen Netz jemand das Netz 192.168.10.1 abfängt, etc. Access-Point Controller, FritzBox etc.

Außerdem wundert es mich seitwann selbst Windows PCs mit vorinstallieren Hackertools ausgeliefert werden
Bitte warten ..
Mitglied: Pjordorf
30.09.2019 um 12:44 Uhr
Hallo,

Zitat von Poddeldunkt:
Außerdem wundert es mich seitwann selbst Windows PCs mit vorinstallieren Hackertools ausgeliefert werden
Du bist also auch ein Mörder, oder? Du hast sicherlich große Messer in deinen Küchenschubladen, oder? Es kommt immer auf den Blickwinkel und so an. Ein SystemAdmin der Netzwerke betreut ist froh das diese Werkzeuge dabei sind. Ein Admin der nur Standalone Rechner macht weiß vermutlich gar nichts von diesen Werkzeugen. Dann kommen noch die Gesetzte des jeweiligen Landes hinzu usw. Nicht in jedem Land begehst du damit eine evl Strafbare Handlung. Das Vertuschen von Fakten löst keine falsche Konfiguration, so wie bei dir vorzufinden.

Gruß,
Peter
Bitte warten ..
Mitglied: Poddeldunkt
30.09.2019 um 12:48 Uhr
"Das Vertuschen von Fakten löst keine falsche Konfiguration, so wie bei dir vorzufinden." - Ich weiß nicht ob wir über die selbe Sache reden. Die fehlerhafte Konfiguration liegt ja nicht bei mir vor, sondern bei meinem Provider, welchen ich gerne darauf hinweisen möchte (bzw. hingewiesen habe).
Bitte warten ..
Mitglied: Lochkartenstanzer
30.09.2019, aktualisiert um 12:49 Uhr
Zitat von brammer:

Bei den Providern ist es ja auch immer noch so das man fast eine Strafanzeige riskiert wenn man einen tracert (Hackertools) macht ... man hat ja versucht in das Netzwerk einzubrechen... (ist mir so bei einem Reseller aus der Koblenzer Gegend angedroht worden.. ).

Ich hätte den mal ausgelacht und an die aktuelle Rechtslage verwiesen. Das Benutzen von Messern um ein Schwein zu zerlegen ist erlaubt, allerdings nur dann, wenn das Schwein kein Mensch ist. Genauso darf man Diagnosetools verwenden, um Probleme einzugrenzen. Aber mit taceroute ein Netz "aufhacken" ist nur lachhaft. Ich hätte dem Reseller eine kalte Dusche verpaßt.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
30.09.2019 um 12:52 Uhr
Zitat von Poddeldunkt:

"Das Vertuschen von Fakten löst keine falsche Konfiguration, so wie bei dir vorzufinden." - Ich weiß nicht ob wir über die selbe Sache reden. Die fehlerhafte Konfiguration liegt ja nicht bei mir vor, sondern bei meinem Provider, welchen ich gerne darauf hinweisen möchte (bzw. hingewiesen habe).

Die falsche Konfiguration bei Dir liegt insoweit vor, als das Du Deinen Router nicht angewiesen hast, alle Pakete mit RFC1918-Ziel oder -Quelle am WAN-Port zu droppen, sofern sie nciht über einen VPN-Tunnel gehen.

lks
Bitte warten ..
Mitglied: Poddeldunkt
30.09.2019 um 12:59 Uhr
Diese Einstellung kann ich in der Tat noch vornehmen, löst ja aber auch nicht das Grundproblem dass das RFC1918 Netz 192.168.10.0 wahrscheinlich noch von anderen Haushalten mit einem Anschluss des selben Providers erreichbar ist.
Bitte warten ..
Mitglied: brammer
30.09.2019 um 13:01 Uhr
Hallo

@Lochkartenstanzer,
so etwas in der Art ist auch passiert.
Anscheinend gibt es für meine Kundennummer inzwischen sowas wie einen "Sicherheitshinweis", nachdem ich irgendwann mal im Rahmen einer technischen Diskussion darauf hingewiesen habe das ich selber im Netzwerksupport tätig bin.

brammer
Bitte warten ..
Mitglied: aqui
30.09.2019, aktualisiert um 15:45 Uhr
dass das RFC1918 Netz 192.168.10.0 wahrscheinlich noch von anderen Haushalten mit einem Anschluss des selben Providers erreichbar ist.
Was ja das eigentlich Fatale ist.
Du solltest das mal öffentlich machen mit einem Hinweis an die ct' oder ein anderes Fachmagazin was sowas entsprechend publiziert oder den Verursacher entsprechend richtig informiert.
Meist raffen solche relativ ahnungslosen Provider nur wenn sie irgendwo mal am Pranger stehen. Also auf die harte Tour.
Genau rechtlich fragwürdig ist es nämlich auch wenn du nichts unternimmst und damit diesen gefährlichen Missstand quasi mit deckst.
Bitte warten ..
Mitglied: lcer00
30.09.2019 um 14:41 Uhr
In der Konsequenz heißt dass doch, dass man seine Firewallregeln auch in Hinblick auf RFC1918 Netze überprüfen muss.

Eine Regel: RFC1918 eingehend über die WAN-Schnittstelle blocken, wäre damit vielleicht in der einen oder anderen Firewall-Konfiguration erforderlich (zumindest wenn man Accept-Regeln für interne IPs verwendet)

Grüße

lcer
Bitte warten ..
Mitglied: Poddeldunkt
30.09.2019, aktualisiert um 15:12 Uhr
@aqui
Ich kann im Moment wirklich nicht abschätzen wie viel Ironie in deinem Beitrag steckt
Bitte warten ..
Mitglied: Lochkartenstanzer
30.09.2019 um 15:29 Uhr
Zitat von lcer00:

In der Konsequenz heißt dass doch, dass man seine Firewallregeln auch in Hinblick auf RFC1918 Netze überprüfen muss.

Genau.

Eine Regel: RFC1918 eingehend über die WAN-Schnittstelle blocken, wäre damit vielleicht in der einen oder anderen Firewall-Konfiguration erforderlich (zumindest wenn man Accept-Regeln für interne IPs verwendet)

Bei mir ist i.d.R 192.168.0.0/16, 172.16.0.0/12 und 10.0.0.0/8 auf den WAN-Schnittstellen immer gesperrt. Denn es besteht kein Grund, daß ich mit dem Provider über RFC1918-Adressen kommunizieren muß. Und es gibt auch kaum einen Provider, der das sauber umgesetzt hat.

lks
Bitte warten ..
Mitglied: aqui
30.09.2019 um 15:45 Uhr
...eigentlich war das durchaus Ernst gemeint !
Bitte warten ..
Mitglied: Lochkartenstanzer
30.09.2019, aktualisiert um 15:50 Uhr
Zitat von Poddeldunkt:

@aqui
Ich kann im Moment wirklich nicht abschätzen wie viel Ironie in deinem Beitrag steckt

Aqui meint solche Sachen immer ernst. Bei Netzwerkpfusch kennt er keine Gnade.

lks
Bitte warten ..
Mitglied: aqui
30.09.2019, aktualisiert um 16:00 Uhr
...besonders nicht wenn es auch noch ein Provider verbrochen hat, der ja eigentlich eine Vorbild Funktion hat.
Bitte warten ..
Mitglied: brammer
30.09.2019 um 16:19 Uhr
Hallo,

Zitat von Poddeldunkt:

@aqui
Ich kann im Moment wirklich nicht abschätzen wie viel Ironie in deinem Beitrag steckt

ich sehe hier auch gar keine Grund zur Ironie.
Vielleicht sollte man dem Provider mal die RFC's zuschicken...

brammer
Bitte warten ..
Mitglied: LordGurke
30.09.2019 um 17:23 Uhr
Zitat von aqui:
Du solltest das mal öffentlich machen mit einem Hinweis an die ct' oder ein anderes Fachmagazin was sowas entsprechend publiziert oder den Verursacher entsprechend richtig informiert.
Meist raffen solche relativ ahnungslosen Provider nur wenn sie irgendwo mal am Pranger stehen. Also auf die harte Tour.
Genau rechtlich fragwürdig ist es nämlich auch wenn du nichts unternimmst und damit diesen gefährlichen Missstand quasi mit deckst.

Ich habe es aufgegeben, mich mit sowas rumzuärgern und melde das immer an CERT-Bund. Dann hat man moralisch seine Schuldigkeit getan und das BSI geht dem jeweiligen Provider dann als Behörde auf die Nerven
Umso mehr, wenn anzunehmen ist, dass da etwas "öffentlich" innerhalb des AS erreichbar ist, was nicht erreichbar sein soll.
Bitte warten ..
Mitglied: Andrew01
30.09.2019 um 17:40 Uhr
Nabend

passend zum Provider Tele Columbus hier

Gruss Andreas
Bitte warten ..
Mitglied: aqui
30.09.2019, aktualisiert um 18:40 Uhr
und das BSI geht dem jeweiligen Provider dann als Behörde auf die Nerven
Was ja auch ein guter Weg ist. Jedenfalls sollte man so einen Provider Fauxpas ja nicht einfach so schulterzuckend hinnehmen. Es betrifft einen als User dieses Providers indirekt ja auch wenn die so schluderig mit der Security umgehen.
Das Internet und Magazine sind voll von Dramen bei Pyür/Tele Columbus
https://www.heise.de/select/ct/2018/19/1536975440241439
Bitte warten ..
Mitglied: Ex0r2k16
01.10.2019 um 09:53 Uhr
Poah danke für die Artikel. Das ist auch mein lokaler ISP hier (also Pyür/Solingen). Gut, dass ich die Buchse ignoriert habe und mich dann trotz 400Mbit für die Tkom entschieden habe. Das sind ja waschechte Horror Storys.
Bitte warten ..
Mitglied: aqui
01.10.2019 um 11:28 Uhr
Eine weise Entscheidung !!
Bitte warten ..
Mitglied: Poddeldunkt
01.10.2019 um 11:51 Uhr
Lustigerweise, wusste man bei uns vorher nicht über wen die lokalen Stadtwerke anbinden, anscheinend wird für die Anbindung via Glasfaser/Kupfer ein anderer Provider genutzt, mit diesen Anschlüssen war ich bisher aber auch immer sehr zufrieden.

Bis jetzt habe ich übrigens noch keine Antwort erhalten!
Bitte warten ..
Mitglied: aqui
01.10.2019 um 11:58 Uhr
Das ist ja noch übler...die machen das noch nichtmal selber. Vermutlich aus mangelndem eigenen KnowHow und kaufen sich dann völlig blind bei einem externen Dienstleister ein...traurig !
Bis jetzt habe ich übrigens noch keine Antwort erhalten!
Wundert einen dann wohl auch nicht bei der Konstellation !
Auf alle Fälle hartnäckig bleiben und zyklisch immer nachhaken bis du eine Antwort hast !
Bitte warten ..
Ähnliche Inhalte
Windows Server

SQL 2014 SICHER über Internet Erreichbar machen

gelöst Frage von masterhinzWindows Server8 Kommentare

Hallo Zusammen, um den Aufwand von VPN Einrichtungen zu umschiffen, bin ich am Überlegen wie man am besten sicher ...

Netzwerkgrundlagen

Heimnetzwerk über Server im Internet und OpenVPN erreichbar machen

gelöst Frage von byt0xmNetzwerkgrundlagen16 Kommentare

Hallo Jungs, ich habe folgendes Problem: Ich will mein Heimnetz über OpenVPN im Internet verfügbar machen. Folgende Vorraussetzungen sind ...

Informationsdienste

Website nicht erreichbar, aber doch erreichbar (?)

gelöst Frage von YannoschInformationsdienste14 Kommentare

Guten Tag zusammen, ich hatte schonmal einen ähnlichen Threat eröffnet, allerdings ohne Lösung. Vielleicht kann mir jemand von euch ...

Batch & Shell

Scripterweiterung - Prüfung ob Netzwerk-IP aus dem Internet über eine DNS erreichbar ist

Frage von 115129Batch & Shell4 Kommentare

Hallo zusammen, ich nutze ein Script, welches prüft ob der Server Online ist. Falls ja, startet Remotedesktop. Falls nein, ...

Neue Wissensbeiträge
Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 6 StundenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 22 StundenGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Datenschutz
Im Zweifel ist die Cloud immer unsicher
Information von certifiedit.net vor 23 StundenDatenschutz19 Kommentare

Hallo, wie schon mehrmals angesprochen, egal, womit der Dienst wirbt, im Zweifel ist es in der Cloud immer unsicher(er) ...

MikroTik RouterOS

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Anleitung von aqui vor 4 TagenMikroTik RouterOS2 Kommentare

1. Allgemeine Einleitung: Das folgende Tutorial gibt einen Überblick über die dynamische VLAN Zuweisung von WLAN und LAN Clients ...

Heiß diskutierte Inhalte
Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Windows Server
AD, Sysprep, Clone, SID . oh weh
Frage von heifumaWindows Server22 Kommentare

Moin, ich versuche es so kurz wie möglich zu halten: Ist-Zustand: - IT Dienstleister hat Monopol für die bei ...

Windows Server
Probleme und Beratung Server 2016 Hyper V aufgesetzt durch Systemhaus
Frage von Moebler78Windows Server22 Kommentare

Hallo all, erst einmal DANKE an das tolle Board, dies hat mir schon sehr viel geholfen, bei Problem Situationen. ...

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 719 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...