Eigenes LAN vor dem ISP verstecken durch eigene Router Modem Box ?

Mitglied: panguu

panguu (Level 2) - Jetzt verbinden

01.01.2021 um 19:26 Uhr, 1447 Aufrufe, 21 Kommentare, 4 Danke

Hallo,

als Kunde bei den bekannten und gängigen Internetprovidern hier in Deutschland (Telekom, Vodafone, UnityMedia, ...) bekommt man bei Errichtung des Internetanschlusses meist ein passendes Modem-/Router mit. Ob es jetzt ein Speedport ist, eine Fritz!Box oder sonstwas spielt erstmal keine Rolle.

Diese Geräte müssen dem ISP bekannt und entsprechend kompatibel sein, d.h.: der Provider hat für den Internetanschluss die entsprechende MAC-Adresse des Routers/Modems in der Vermittlungsstelle eingetragen und provisioniert den Router remote. Kurzum: der ISP hat jederzeit vollumfänglichen und somit unbeschränkten Zugriff auf diese entsprechender Router-/Modemkombination. Es spielt keine Rolle welches Adminpasswort man für die Administrations Weboberfläche des Routers konfiguriert, im Hintergrund gibt es "hidden service accounts" die vom ISP genutzt werden und volle Zugriffsrechte und Einsicht auf die Box erlauben. Damit kann der Provider sämtliche Infos einsehen, zum Beispiel welcher Netzwerkbereich für das LAN verwendet wird, welche Anrufe ein-/ausgehen falls man die Fritz!Box verwendet, welche Hosts im LAN aktiv oder bekannt sind, welche WiFi-Geräte angemeldet sind oder waren, und so weiter und so fort ... Der Provider kann jederzeit die Konfiguration des Routers einsehen und auch verändern, ob für Firmwareupgrades oder für Supportzwecke.

Soweit so gut und alles bekannt. Nun zu meiner eigentlichen Frage:

welche Möglichkeiten hat man, um dies zu unterbinden? Beispiel: man bekommt vom ISP eine allgemeine günstige Modem-/Routerbox (keine Fritzbox). Kann ich davon lediglich das Modem nutzen, damit der Anschluss an sich funktioniert und dahinter dann einen eigenen Router verwenden? Muss das irgendwie gebridged werden oder wie geht man davor? Macht es Sinn eine HW-Firewall dazwischenzuschalten und alle Verbindungen, die man nicht explizit erlaubt hat, abzublocken? Welche Tips könnt ihr mitgeben? bin gespannt und freue mich auf eure Antworten.
Mitglied: michi1983
01.01.2021, aktualisiert um 19:32 Uhr
Hallo,

ob du das vom ISP bereitgestellte Gerät im Bridge Modus (ohne Routerfunktionalität) verwenden kannst, hängt prinzipiell von der Hadware ab die du bekommst.

Im best case kann das Gerät das, dann klemmst du dahinter deinen eigenen Router/Firewall und bist von daher mal safe.

Im worst case betreibst du eine Routerkaskade und bist deine „Ängste“ auch los. Mit den zugrundeliegenden Nachteilen einer Kaskade eben.

Für beide Fälle findest du hier im Forum dutzende Tutorials.

Gruß
michi
Bitte warten ..
Mitglied: keine-ahnung
01.01.2021 um 20:03 Uhr
Moin,

und provisioniert den Router remote

mir würde das Angst machen 🤣. Ich habe sowohl privat als auch in der Praxis die Telekomiker als ISP - einen Router wollten die mir zwar jeweils aufschwatzen, aber das war nicht zwingend.

LG, Thomas
Bitte warten ..
Mitglied: tech-flare
01.01.2021, aktualisiert um 20:06 Uhr
Entweder du verwendet das bereitgestellte Modem, wofür man mittlerweile ja auch monatlich bezahlen soll....

Oder du verwendest ein eigenes Modem + Firewall.

Bei VDSL zb Draytek Vigor 130 oder 165 + Firewall.

Bei Kabel sieht es dann schon wieder anders aus, aber da gibt es auch alternative Modems, welche DOCSIS 3.1 unterstützten

In den o. g. Varianten verhinderst du jedenfalls eine Routerkaskade.
Bitte warten ..
Mitglied: Stefan007
01.01.2021 um 21:06 Uhr
Hi,

meine Konstellation sieht wie folgt aus:

TC4400 Modem (MAC bei Unitymedia angegeben) -> Sophos UTM -> Heimnetz

Vielleicht ist das für dich auch mal eine Überlegung wert?

Gruß,
Stefan
Bitte warten ..
Mitglied: IceBeer
01.01.2021 um 21:34 Uhr
Hallo,

....."Soweit so gut und alles bekannt. ".... das würde ich in Frage stellen:
- Routerzwang gibt es doch nicht mehr
- die "MAC-Bindung" war noch nie bei allen Providern gängig, kenne/kannte das nur von Kabel-Anschlüssen
- der Aussage nach müsste ich jedes Mal wenn ich einen Router wechsel das meinem Provider "sagen"
-> hab ich die letzten mindestens 6 Mal an diversen Anschlüssen, diverser Provider nicht gemacht - Teils auch noch vor dem Ende des Routerzwang
- ich hab noch von keiner "Backdoor" für Provider gehört
Ich kann mir das maximal bei Gebrandeten-Anbieter-Routern vorstellen, dass sich da der Provider die Möglichkeit vorbehält.
Auf welcher Grundlage entsteht denn diese Aussage ihrerseits??

Davon abgesehen:
Wenn diese Ängst plagen, lässt sich das "private" Netz durch eine Routerkaskade, eine zusätzliche Firewall oder den Einsatz des ProviderRouter als Modem+ eigenen Router natürlich zusätzlich verschleiern. Ob sich der ProviderRouter als reines Modem betreiben lässt, kommt auf selbigen an.
Warum dann aber nicht einfach: Kein Modem/Router vom Provider und ab zum Elektronikhändler des Vertrauens!?

MfG IceBeer
Bitte warten ..
Mitglied: Franz-Josef-II
01.01.2021, aktualisiert um 21:56 Uhr
Was willst Du erreichen?

Ob der ISP jetzt den Netzwerktraffic bei Dir oder bei ihm ausliest ist doch egal, oder? Wenn Du ein Netz "verstecken" willst, dann schalte noch einen Router dazwischen ..... nur welchen Sinn hat das?

Internet <-> Modem (wandelt die Signale um) <-> Router (verbindet Netze, öffentliche auf private IP) <-> zweiter Router (hat einseitig Verbindung zum ISP Router, jeder der beiden sieht bei der Verbindung nur eine Gegenstelle, der zweite Router sieht auf der zweiten Verbindung das gesamte Netz)

Wenn Du einen VPN-Dingsdums (egal oft Fortigate, .... oder Software) dazwischenschaltest kann er nichteinmal mitlesen. Nur der Tunnel muß nicht nur in den Berg (Internet) hinein, Du willst ja irgendwo wieder raus ...... und genau dort hast Du dasselbe "Problem", Du verlagerst es nur und ob z.B. kgb.ru oder nsa.us jetzt um soviel vertrauenswürdiger ist als Dein ISP ..... ich weiß nicht so richtig ;-) face-wink

Edith:
Es würde aber ein Switch nach dem Provider-Dings genügen und das DHCP und DNS mußt ihm auch wegnehmen ;-) face-wink
Bitte warten ..
Mitglied: Franz-Josef-II
01.01.2021, aktualisiert um 21:48 Uhr
Zitat von IceBeer:
Routerzwang gibt es doch nicht mehr
- die "MAC-Bindung" war noch nie bei allen Providern gängig, kenne/kannte das nur von Kabel-Anschlüssen
- ich hab noch von keiner "Backdoor" für Provider gehört

Ich kenne das schon. Da ist wohl die Angst oder Erfahrung des Providers, daß der Kunde etwas verstellt und dann dem Provider die Schuld gibt, weil ja der dafür verantwortlich ist. Wenn ich für etwas verantwortlich bin, dann hat der Kunde keinen Zugriff darauf oder er macht was er will und ich rühre keinen Finger
;-) face-wink

OK, MAC-Bindung nicht, aber die Einstellungen auf der WAN-Seite ..... macht genau einer, er ODER ich
Bitte warten ..
Mitglied: 142583
142583 (Level 2)
01.01.2021 um 23:01 Uhr
Schlechten Stoff bekommen?

Glaubst du wirklich, dass der Provider sich für dich interessiert und mit TR69 dich stänkert?

Ansonsten ist die Knippex-Firewall das was Du suchst.
Bitte warten ..
Mitglied: Stefan007
02.01.2021 um 08:25 Uhr
Zitat von 142583:

Schlechten Stoff bekommen?

Glaubst du wirklich, dass der Provider sich für dich interessiert und mit TR69 dich stänkert?

Ansonsten ist die Knippex-Firewall das was Du suchst.


Moin,

Prof, meinst du DIE Knippex-Firewall ? Also die Zange? :D

Gruß,
Stefan
Bitte warten ..
Mitglied: maretz
02.01.2021 um 08:57 Uhr
Ich denke mal die Antwort muss man in 2 Teile packen.

Teil 1: Router: Ja, da kannst du natürlich was eigenes verwenden - egal ob jetzt z.B. wg. der Sicherheit oder weils einfach bei dir besser passt. Ich bin z.B. bei Telekom und habe ein eigenes Modem im Einsatz da ich dahinter das UniFi Sec. GW betreibe und da kein doppeltes NAT wollte. Geht ganz problemlos. Damit hat die Telekom natürlich auch keinen Zugang zu meinem Netzwerk (ABER: Wenn ich natürlich support brauche kann der Telekom-Mitarbeiter auch nur die Leitung prüfen aber alles dahinter nicht -> da braucht man den dann nich anmeckern, der hat eben einfach (gewollt) keinen Zugriff auf meinen Kram und selbst wenn ich dem die Passwörter geben würde nicht zwingend das Wissen, die Zeit und die Lust sich damit zu beschäftigen...)

Teil2: Deine Daten:
Telefonie: Hier hat der Anbieter natürlich einen Zugriff darauf wen du wann und wie lange angerufen hast - und grad bei IP-Telefonie auch theoretisch die Möglichkeit jedes Gespräch mitzuhören. Dafür müsstest du dann schon ein eigenes Telefon-Gateway betreiben was direkt mit den anderen via (verschlüsseltem) IP gekoppelt ist, ein Provider der dir die Infrastruktur stellt kann idR. auch auf die Daten zugreifen wenn der denn will (solang der aber keinen Beschluss hat wird der das idR. nich tun weil keine Interessen daran bestehen...)

Daten: Auch hier kann dein Provider natürlich auch wenn du dein internes Netzwerk abschirmst einfach alles mitschneiden da du ja trotzdem über dessen Router gehst. Und mit entsprechendem Aufwand auch problemlos in SSL-Verbindungen rein (indem er einfach das Zertifikat ändert und dir bei DNS auch was umbiegt,...). Dabei ist jetzt nur die Frage wem du mehr vertraust - du kannst ja natürlich alles per VPN rausjagen dann sieht dein Provider erst mal nix - aber dafür die VPN-Gegenstelle (oder dessen Provider). Auch da stellt sich aber die Frage nach dem "Sinn" dahinter - da der Provider eher nicht einfach mal so in die Netze von privaten Anschlüssen gucken wird (wofür auch). WENN man das heute machen möchte würde man - z.B. aufgrund von Staatlicher Anweisung - einen Trojaner in nen Download injitzieren und darüber dann ins Netz kommen (oder andere, teils ähnliche Möglichkeiten). Das sind aber eher keine Maßnahmen weil du dir illegal 2 Spielfilme und 3 Pornos geladen hast. Bei DIESEN Dingen würde idR. der Anwalt lediglich die IP nehmen, die Daten via Gericht anfordern und dir ne simple Rechnung nach Hause schicken. Die IP hat dein Provider aber natürlich (und auch wenn du via VPN gehst würde sich die Frage stellen warum ein VPN-Dienstleister alle Logs abschalten würde und das Risiko für dich tragen würde...).

Von daher würde ich einfach mal sagen: Es macht schon Sinn wenn man damit das doppelte NAT vermeiden möchte usw.. - aber die Sicherheit erhöht es nicht wirklich. Denn selbst wenn der Provider deinen Router kontrolliert dann hat der intern ja immer noch keinerlei Passwörter um sich anzumelden. Klar kann der sich dann die Mühe machen und da versuchen das zu knacken - mit der Chance das es auffällt und öffentlich wird. Oder er nimmt halt einen der 100 anderen Wege die deutlich weniger auffallen würden und dafür dieselben Informationen bieten (oder sogar noch mehr).
Bitte warten ..
Mitglied: aqui
02.01.2021, aktualisiert um 10:59 Uhr
bekommt man bei Errichtung des Internetanschlusses meist ein passendes Modem-/Router mit.
Nein !
Nur wenn man das explizit will. Kundige Netzwerker lassen von solchem billigen Routerschrott dann auch aus gutem Grund immer die Finger und betreiben eigene HW ! Von den Kosten Monat für Monat mal gar nicht zu reden. Denn billigen Elektroschrott finanziert man über die Laufzeit meist 10mal und mehr. Jeder der rechnen kann weiss das. Ein weiterer Grund für den Provider außer der Vertragsbindung (nur darauf kommts an) einfach Kasse zu machen...
Diese Geräte müssen dem ISP bekannt und entsprechend kompatibel sein
Auch das ist sachlich falsch und zumindestens für alle xDSL Netze Quatsch. Entweder ist der die Authorisierung Anschluss bezogen (Telekom BNG z.B.) oder sie nutzen Username Passwort dafür bei PPPoE.
Glasfaser und TV Kabel sind meist über die Hardware (Mac) Adresse authentisiert, die man in jedem externen Router flexibel im Setup anpassen kann.
Woher kommen also diese Falschinformationen die du hier auch noch in einem Administrator Forum verbreitest ??
der ISP hat jederzeit vollumfänglichen und somit unbeschränkten Zugriff auf diese entsprechender Router-/Modemkombination
Das ist jedem hinreichend bekannt. Mit dem Standard TR-069 wird das gemacht.
https://www.heise.de/ct/artikel/DSL-fernkonfiguriert-221789.html?seite=a ...
Ein weiterer Grund warum Kundige immer eigene Router betreiben und TR-069 logischerweise IMMER deaktivieren !!
https://www.heise.de/security/meldung/Nach-Grossstoerung-bei-der-Telekom ...
Wenn dann also bitte sachlich richtige Fakten in einem Forum schildern !
welche Möglichkeiten hat man, um dies zu unterbinden? Beispiel
Das ist kinderleicht.
Einen eigenen Router beschaffen und dort natürlich TR-069 deaktivieren oder gar nicht erst aktivieren. Ob das eine eigenen FritzBox, Cisco, Lancom usw. ist spielt keine Rolle. Es kann auch jeder x-beliebige Breitband Router sein der kein integriertes Modem hat wenn man sich selber ein reines NUR Modem besorgt und davorklemmt.
Diese Szenarien sind hier zuhauf im Forum beschrieben, man muss nur einmal die Suchfunktion bemühen:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/tutorial/preiswerte-vpn-fähige-firewall-ei ...
usw.
Zum Rest hat der Kollege @maretz oben ja schon ausführlich Stellung genommen.
Bitte warten ..
Mitglied: yoppi1
02.01.2021 um 11:21 Uhr
Die Behauptung, dass die "gängigen Internetprovider" alle den gemieteten DSL-Router ausspähen, möchte ich so nicht stehen lassen.
Es gibt z.B. seit geraumer Zeit Techniken, wo quasi der Anschluss selbst schon freigeschaltet ist und es schlichtweg Wurst ist, was man in seinem DSL-Router für Accountdaten eingibt (das sind z.B. die "BNG"-Anschlüsse der Telekom).
Dann gibt es noch die Anschlüsse, wo man immer noch Username und Passwort eingeben muss. (die werden immer weniger).
Bei Kabelnetzprovidern ist der "Login" meist im Router mehr oder wenig fest verdrahtet. Man könnte so das Kabelmodem an einem anderen Kabelanschluss betreiben (sofern der Kabelanschluss dann auch überhaupt fürs Internet freigeschaltet ist).

Bei Telefon-DSL kann man meist völlig problemlos eigene Hardware benutzen. Ob man dann eine "All-inclusive-Lösung" wie eine Fritzbox oder lieber sowas wie DSL-Modem + Router (z.B. Unifi Router) benutzt, ist egal. Bei allen diesen selbst installierten Geräten ist die Schnittstelle zur Fremdverwaltung (TR69) ausgeschaltet, es sei denn, man schaltet sie selber ein. Außerdem kann man meist zusätzlich noch die Einstellungsseiten, die über Webbrowser zu erreichen sind, so einstellen, dass man nicht "von Außen" drauf zugreifen kann.

Bei Kabelmodems ist das etwas anders, weil man dort ab und an z.B. neue Konfigurationen oder Firmwares von Außen aufgespielt bekommen muss.

Dort kann man aber ganz einfach einen Router oder eine Fritzbox nachschalten (Fritzboxen haben dafür extra Konfigurationsparameter).

Dein Netzwerk fängt dann halt nicht beim Kabelmodem an, sondern bei der Fritzbox. Der einzige Nachteil dabei: Du kannst ohne weitere Konfiguration dann nicht direkt auf die Einstellungsseite des Kabelmodems zugreifen. Mitunter gibt es auch Probleme mit dem "doppelten NAT", wenn Du von Außen per Portfreigabe auf Rechner innerhalb Deines Netzwerks zugreifen willst.

Ansonsten gilt aber: einfach einen Router wie z.B. eine Fritzbox anschliessen - schon hast Du Dein "LAN versteckt". Zumindest wäre ein Zugriff von Außen auf einzelne Rechner in Deinem LAN schwieriger.
Bitte warten ..
Mitglied: 142583
142583 (Level 2)
02.01.2021 um 11:30 Uhr
Zitat von Stefan007:

Zitat von 142583:

Schlechten Stoff bekommen?

Glaubst du wirklich, dass der Provider sich für dich interessiert und mit TR69 dich stänkert?

Ansonsten ist die Knippex-Firewall das was Du suchst.


Moin,

Prof, meinst du DIE Knippex-Firewall ? Also die Zange? :D

Gruß,
Stefan

Ja, die mit dem cut through.
Bitte warten ..
Mitglied: panguu
02.01.2021, aktualisiert um 14:33 Uhr
hui, da ist doch schon ziemlich viel feedback gekommen. Vielen Dank für den regen input!

@Stefan007 und @tech-flare: danke für den Tip. Das TC4400 Modem sollte laut Datenblatt wohl auch problemlos mit dem höchsten Tarif der Vodafone (ehemals UnityMedia) 1.000 MBit/s downstream und 50MBit/s upstream funktionieren?

@IceBeer:

- Routerzwang gibt es doch nicht mehr
- die "MAC-Bindung" war noch nie bei allen Providern gängig, kenne/kannte das nur von Kabel-Anschlüssen
- der Aussage nach müsste ich jedes Mal wenn ich einen Router wechsel das meinem Provider "sagen"
hab ich die letzten mindestens 6 Mal an diversen Anschlüssen, diverser Provider nicht gemacht - Teils auch noch vor dem Ende des Routerzwang

Sorry ich vergaß zu erwähnen, dass meine Aussage auf Kabelanschlüsse bezogen war. Ich habe bisher etliche Kabelanschlüsse gehabt und mitinstalliert und betreut. Ohne Ausnahme musste die MAC-Adresse dem provider bekanntgegeben werden, insofern man ein eigenes Gerät betreiben wollte. Bei DSL Anschlüssen mag das vielleicht anders aussehen.

ich hab noch von keiner "Backdoor" für Provider gehört. Ich kann mir das maximal bei Gebrandeten-Anbieter-Routern vorstellen, dass sich da der Provider die Möglichkeit vorbehält. Auf welcher Grundlage entsteht denn diese Aussage ihrerseits??
ob man das in "Backdoor" einstuft ist eine andere Sache, ich habe diesen Begriff explizit weggelassen. Ich habe schon selbst (also aus eigener Erfahrung) Modem-/Routerkombis in den Händen gehabt, dessen firmware so schlecht gesichert war, dass man so ziemlich alles auslesen konnte. Dort hinterlegt sind statische Benutzerlogins, die volle Adminrechte auf das Gerät erlauben, natürlich ohne Wissen und Nutzen des Otto-Normalverbrauchers. Stell dir das in etwa so vor, wie fest hinterlegte RSA-Schlüssel in Geräten. Gibt's auch Tausende im Umlauf, aber das ist off-topic.

Davon abgesehen: Wenn diese Ängst plagen, lässt sich das "private" Netz durch eine Routerkaskade, eine zusätzliche Firewall oder den Einsatz des ProviderRouter als Modem+ eigenen Router natürlich zusätzlich verschleiern. Ob sich der ProviderRouter als reines Modem betreiben lässt, kommt auf selbigen an. Warum dann aber nicht einfach: Kein Modem/Router vom Provider und ab zum Elektronikhändler des Vertrauens!?

Es geht nicht um Ängste oder Aluhutprinzip, denn wenn das so wäre dann würde ich sicherlich ein anderes Medium der Kommunikation und Informationsaustausch nutzen. Ich will da nicht näher darauf eingehen, weil das nicht essentiell für das eigentliche Thema ist. Die Frage basierte rein aus technischer Hinsicht.

@Franz-Josef-II:
Was willst Du erreichen?

dem ISP erschweren, in Klartext auf sensitive Daten zu gelangen. Es geht nicht darum, dass ich das verhindere sondern nur eine Hürde aufgestellt habe. Sehe es so wie mit deinem Benutzerpasswort. Du erreichst damit keine Sicherheit sondern legst einfach dem "Anderen" einige Steine in den Weg. Wenn jemand an die Infos gelangen möchte, dann wird er das. Es ist nur eine Frage der Zeit und des Aufwandes (nicht des Geldes).

Wenn Du einen VPN-Dingsdums (egal oft Fortigate, .... oder Software) dazwischenschaltest kann er nichteinmal mitlesen. Nur der Tunnel muß nicht nur in den Berg (Internet) hinein, Du willst ja irgendwo wieder raus ...... und genau dort hast Du dasselbe "Problem", Du verlagerst es nur und ob z.B. kgb.ru oder nsa.us jetzt um soviel vertrauenswürdiger ist als Dein ISP ..... ich weiß nicht so richtig ;-) face-wink face-wink
Richtig. Auch VPN verhindert nichts, es beruhigt nur ungemein das Gewissen, siehe oben :) face-smile

Edith: Es würde aber ein Switch nach dem Provider-Dings genügen und das DHCP und DNS mußt ihm auch wegnehmen
das sowieso, wer nutzt schon die verteilten DNS-Server des ISP? :P

@IT-Prof:
Schlechten Stoff bekommen? Glaubst du wirklich, dass der Provider sich für dich interessiert und mit TR69 dich stänkert? Ansonsten ist die Knippex-Firewall das was Du suchst.
Hallo Professor, ich weiß ja nicht wie ihr euren Tag aushält und euch mit Stoff volldröhnt, in meinen Kreisen brauchen wir keine Muntermacher. Der Glaube gehört in die Kirche. Hier handelt es sich weder um irgendwelche Glaubenssätze, Verschwörungen, Mysterien oder sonstwelchen Kindergeschichten. Die Thematik ist technischer Natur und steht in ausführlicher Form beschrieben. Wenn du sachlich nicht beitragen kannst, so bleibt es dir offen dich rauszuklinken. Du tust allen einen Gefallen. Danke für dein Verständnis.

@maretz: Teil1, d'accord, sehe ich auch so. Teil2 ebenso, Telefonie aber außen vor gelassen da nicht von Bedeutung. Trotzdem gut aufgepasst und danke, dass du das erwähnst.

Daten: Auch hier kann dein Provider natürlich auch wenn du dein internes Netzwerk abschirmst einfach alles mitschneiden da du ja trotzdem über dessen Router gehst. Und mit entsprechendem Aufwand auch problemlos in SSL-Verbindungen rein (indem er einfach das Zertifikat ändert und dir bei DNS auch was umbiegt,...). Dabei ist jetzt nur die Frage wem du mehr vertraust - du kannst ja natürlich alles per VPN rausjagen dann sieht dein Provider erst mal nix - aber dafür die VPN-Gegenstelle (oder dessen Provider). Auch da stellt sich aber die Frage nach dem "Sinn" dahinter - da der Provider eher nicht einfach mal so in die Netze von privaten Anschlüssen gucken wird (wofür auch). WENN man das heute machen möchte würde man - z.B. aufgrund von Staatlicher Anweisung - einen Trojaner in nen Download injitzieren und darüber dann ins Netz kommen (oder andere, teils ähnliche Möglichkeiten). Das sind aber eher keine Maßnahmen weil du dir illegal 2 Spielfilme und 3 Pornos geladen hast. Bei DIESEN Dingen würde idR. der Anwalt lediglich die IP nehmen, die Daten via Gericht anfordern und dir ne simple Rechnung nach Hause schicken. Die IP hat dein Provider aber natürlich (und auch wenn du via VPN gehst würde sich die Frage stellen warum ein VPN-Dienstleister alle Logs abschalten würde und das Risiko für dich tragen würde...).

Ebenso vollkommen richtig und d'accord. Ich nutze diesen Abschnitt als Gelegenheit nochmals zu verdeutlichen, dass es mir nicht darum geht, um mich vor illegalen Aktivitäten zu schützen. Man wäre schön blöd solch etwas über den eigenen Internetanschluss zu bewerkstelligen :D :D. Es geht wie zuvor beschrieben in erster Linie darum, eine ganz simple und günstige unkomplizierte Maßnahme zu schaffen, um dem ISP nicht einfach das Scheunentor weit offen zu lassen und vollen Einblick zu bieten. Es ist selbstverständlich dass bei solchen Szenarien ganz einfach schwere Kaliber genutzt werden können und weitaus mehr, um an die notwendigen Infos zu gelangen. Darum gehts aber wie gesagt nicht. Es soll nur eine für den Anwender technische Maßnahme am Installationspunkt durchgeführt werden, der dieses Problem "erschwert".

Von daher würde ich einfach mal sagen: Es macht schon Sinn wenn man damit das doppelte NAT vermeiden möchte usw.. - aber die Sicherheit erhöht es nicht wirklich.
Jup. Obfuscation is not security.

Denn selbst wenn der Provider deinen Router kontrolliert dann hat der intern ja immer noch keinerlei Passwörter um sich anzumelden.
Doch! siehe oben. Damit haben wir uns mit einigen Freunden vor Jahren schon mal intensiv beschäftigt und was dabei raus kam war erschütternd! live in unsrem 6-Monats-Projekt mitgemacht.

@aqui:
Diese Geräte müssen dem ISP bekannt und entsprechend kompatibel sein
Auch das ist sachlich falsch und zumindestens für alle xDSL Netze Quatsch. Entweder ist der die Authorisierung Anschluss bezogen (Telekom BNG z.B.) oder sie nutzen Username Passwort dafür bei PPPoE. Glasfaser und TV Kabel sind meist über die Hardware (Mac) Adresse authentisiert, die man in jedem externen Router flexibel im Setup anpassen kann. Woher kommen also diese Falschinformationen die du hier auch noch in einem Administrator Forum verbreitest ??
Zunächst einmal ist es nicht meine Absicht Falschinformation zu verbreiten. Meine Aussage beruht sich aus eigener Erfahrung. Hierzu habe ich bereits oben mit Antwort an IceBeer bereits klargestellt:
Sorry ich vergaß zu erwähnen, dass meine Aussage auf Kabelanschlüsse bezogen war. Ich habe bisher etliche Kabelanschlüsse gehabt und mitinstalliert und betreut. Ohne Ausnahme musste die MAC-Adresse dem provider bekanntgegeben werden, insofern man ein eigenes Gerät betreiben wollte. Bei DSL Anschlüssen mag das vielleicht anders aussehen.

Einen eigenen Router beschaffen und dort natürlich TR-069 deaktivieren oder gar nicht erst aktivieren. Ob das eine eigenen FritzBox, Cisco, Lancom usw. ist spielt keine Rolle. Es kann auch jeder x-beliebige Breitband Router sein der kein integriertes Modem hat wenn man sich selber ein reines NUR Modem besorgt und davorklemmt. Diese Szenarien sind hier zuhauf im Forum beschrieben, man muss nur einmal die Suchfunktion bemühen:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/tutorial/preiswerte-vpn-fähige-firewall-ei ...

Danke für die Links, die ich vergeblich gesucht hatte! ich kenne und schätze deine Tutorials in Thema Netzwerk und Routing und ich wusste, dass ich in Vergangenheit schonmal diese überflogen hatte. Allerdings jetzt adhoc mit diesem Thema konnte ich sie nicht finden. Ich habe andere Suchbegriffe verwendet. Danke deinem Hinweis habe ich sie nun wieder und kann mich reinlesen und mich mit Infos füttern. Vielen Dank.

@yoppi1:
Die Behauptung, dass die "gängigen Internetprovider" alle den gemieteten DSL-Router ausspähen, möchte ich so nicht stehen lassen.
Das hat auch keiner behauptet, weder ich noch der Rest. Ich habe von Möglichkeiten gesprochen, nicht von protokollierten Tatsachen. Dass es technisch möglich ist, das weiß ich.

Danke für die Info. Wie schon zuvor gesagt, ich vergaß zu erwähnen, dass ich mich auf Kabelanschlüsse bezogen hatte. So wie du es geschildert hast, ist es mir auch bekannt.

Dein Netzwerk fängt dann halt nicht beim Kabelmodem an, sondern bei der Fritzbox. Der einzige Nachteil dabei: Du kannst ohne weitere Konfiguration dann nicht direkt auf die Einstellungsseite des Kabelmodems zugreifen. Mitunter gibt es auch Probleme mit dem "doppelten NAT", wenn Du von Außen per Portfreigabe auf Rechner innerhalb Deines Netzwerks zugreifen willst. Ansonsten gilt aber: einfach einen Router wie z.B. eine Fritzbox anschliessen - schon hast Du Dein "LAN versteckt". Zumindest wäre ein Zugriff von Außen auf einzelne Rechner in Deinem LAN schwieriger.

Darum ging's mir. Wenn ich eine Router-/Modemkombi verwende wäre das keine Lösung da der ISP auf diese Kombi draufgelangt und Zugriff hat. Ich denke der Split mit einem eigenen Moden und getrenntem Router macht mehr Sinn. Dahinter kann man sich ja immer noch weiter austoben. Aber jetzt ich erst mal die Links von aqui, um mehr zu erfahren.

An Alle:
VIELEN Dank für den regen input und Happy New Year !!!
Bitte warten ..
Mitglied: panguu
02.01.2021 um 15:10 Uhr
kennt jemand eine günstige Einkaufsquelle für das Kabel Modem TC4400-EU ?
https://www.heise.de/tests/Schnelles-Kabelmodem-fuer-DOCSIS-3-1-4241602. ...

ich kann nichts finden.
Bitte warten ..
Mitglied: maretz
02.01.2021 um 16:07 Uhr
Zitat von panguu:
Denn selbst wenn der Provider deinen Router kontrolliert dann hat der intern ja immer noch keinerlei Passwörter um sich anzumelden.
Doch! siehe oben. Damit haben wir uns mit einigen Freunden vor Jahren schon mal intensiv beschäftigt und was dabei raus kam war erschütternd! live in unsrem 6-Monats-Projekt mitgemacht.


Nun - die erste Frage ist ja wie ein Provider an die Daten kommen soll... Ich weiss natürlich nicht was du mit "vor Jahren" meinst. Aber normalerweise hast du ja nen Netzwerk mit nem Switch -> und wenn ich hier z.B. mit meinem NAS kommuniziere sieht der Router dieses Paket halt nicht weil der Switch die Pakete gar nich auf den Port packt. Und klar könnte der jetzt schauen ob der z.B. auf nen Switch kommt (oder den Traffic am internen Switch mitlesen falls der genutzt wird) -> auch da stellt sich aber die Frage nach dem Sinn dahinter.

Für mich - rein persönlich - stellt sich da eben immer die Frage nach dem Sinn. Wenn ich als Provider dir durch nen paar simple falsche Einträge nen Trojoaner reinbügeln kann (lassen wir das rechtliche mal aussen vor und nehmen an beim Provider sitzt nen Spielkind) mit dem ich dann eben z.B. via Keylogger die Daten frei haus bekomme -> warum über den Router gehen bei dem ich das Risiko trage entdeckt zu werden. Aber auch hier gilt natürlich: Es SCHADET nichts was eigenes zu nehmen - es ist einfach nur die Frage ob der Sicherheitsgewinn wirklich so gross ist.

Und wenn du mit deinen Freunden in einem 6-Monats-Projekt rausgefunden habt das Provider im internen Netzwerk rumschnüffeln stellt sich die Frage warum da nix veröffentlicht wurde? Denn das hätte durchaus ein gutes Potential für eine Bekanntheit und auch dafür das einige Provider was kräftig auf die Nase bekommen.
Bitte warten ..
Mitglied: panguu
02.01.2021 um 16:33 Uhr
Haben die schon, ich kann soviel dazu sagen dass es nicht publik wurde weil der Hersteller widerspenstig irgendwann einlenkte. Davon betroffen waren mehrere Modelle eines Herstellers im europäischen Ausland. Soweit mir bekannt, wurden diese Modelle hier in Deutschland von keinem mir bekannten ISP vertrieben oder angeboten.

Es geht schon um die Metadaten: Beispiel: Kunde nutzt eine Fritzbox als Modem/Routerkombi so wie es viele auch selbst betreiben. Der ISP kann bereits durch Portforwardings oder selbsterklärende Namensbezeichnungen oder sonstigen Informationen Rückschlüsse ziehen. Ich rede nicht vom eigentlichen traffic. Es ist mir bewußt, dass dieser jederzeit mitgeschnitten werden kann und weiterverarbeiter werden kann. Mir ist auch bewußt, dass man einem gängigen Netzwerkkabel mit einer passenden Zange und Equipment Daten exfiltrieren kann, ohne Beschädigung des Mantels oder des Kabels. Darum gehts gar nicht, es geht nicht um das Verhindern von mutwilligem Datenauslesen "vom Provider". Der Provider hat sicherlich interessantere und spannendere Aufgaben und Tätigkeiten zu meistern, als irgendwelche lausige Kundenanschlüssel auszuspähen.

Wenn ich ein öffentliches Gebäude betrete und dessen Infrastruktur nutze, dann mache ich das unter Rücksichtnahme und Anerkennen dessen Verhaltensregeln und Normen. Wenn der Hausmeister die Forderung stellen würde: "Sie dürfen sich hier nur aufhalten wenn ich oder jemand vom Personal sie ständig begleitet und ihnen über die Schulter schaut" dann habe ich die Wahl entsprechend zu reagieren. Es ist nicht selbstverständlich, dass man dies hinnimmt. Wenn ich beim Autohaus eine Probefahrt mit einem Fahrzeug machen möchte und den Führerschein und sämtliche Formularangelegenheiten vorlege und mir der Händler sagt "aber nur wenn ich mitfahre als Beifahrer" dann muss ich das nicht dulden. Natürlich muss er mir das Auto nicht geben wenn er nicht will und genauso kann ich auch ablehnen. Wenn mir der ISP bestimmte DNS-Server vorschreibt, dann heißt es nicht, dass ich diese nutzen muss. Aber ich denke du verstehst das Prinzip.

Ich habe das zwischenzeitlich mit dem Modem / Router split durchgelesen und verstanden. Routerkaskade ist auch klar, kann nebst einigen Hindernissen aber auch Vorteile bringen, je nach angestrebten Einsatzzweck.

Ich habe versucht, näheres zu diesem Technicolor TC-4400 Modem herauszukriegen und festgestellt, dass es nirgends mehr neu zu beziehen ist. Auch habe ich diesen Beitrag gefunden, der wohl aufzeigt, dass Vodafone diesen gar nicht freischaltet bzw. unterstützt:
https://forum.vodafone.de/t5/Archiv-Internet-Telefon-TV-%C3%BCber/Wird-d ...
Da es sich in diesem Thread um einen Vodafone Kabelanschluss handelt, kann ich also davon ausgehen dass es mit dem TC-4400 nichts wird. Gibt es jemanden unter euch, der vielleicht zufälligerweise noch ein TC-4400 als Eigen nennt und dieses in Verbindung mit einem UnityMedia/VF Kabelanschluss >100MBit/s erfolgreich nutzt und Erfahrungen mitteilen kann?

In allen anderen Fällen --> würde dieses alternative DOCSIS 3.1 Kabelmodem von Arris Sinn machen und funktionieren?
https://shop.wernerelectronic.de/antennen-und-kabelfernsehtechnik/kabelm ...

ich habe noch in Erinnerung, dass es eine Klage bei Arris gab wegen dem Puma6 bug. EDIT: Link gefunden, hier
https://www.golem.de/news/arris-klage-wegen-bug-in-intels-puma-6-chip-ei ...

Gibt's evtl. jemanden unter euch, der dieses Kabelmodem erfolgreich im Vodafone Breitbandkabelnetz nutzt? wer weiß mehr?
Bitte warten ..
Mitglied: maretz
02.01.2021 um 16:44 Uhr
Zitat von panguu:

Haben die schon, ich kann soviel dazu sagen dass es nicht publik wurde weil der Hersteller widerspenstig irgendwann einlenkte. Davon betroffen waren mehrere Modelle eines Herstellers im europäischen Ausland. Soweit mir bekannt, wurden diese Modelle hier in Deutschland von keinem mir bekannten ISP vertrieben oder angeboten.

Nun - selbst dann wäre es schon schlecht wenn sowas nicht veröffentlicht wird. Zumindest bei dem was ich so kenne (insbesondere mit dem Potential) wird das schon veröffentlicht, ggf. mit dem Hinweis darauf das DER Anbieter X eben nachgebessert hat (siehe z.B. Xerox-Copy-Bug). Denn soweit ich weiss liegt weder China, Nord-Korea o.ä. Länder in denen eine solche Ausspitzelung normal wäre in der EU...


Es geht schon um die Metadaten: Beispiel: Kunde nutzt eine Fritzbox als Modem/Routerkombi so wie es viele auch selbst betreiben. Der ISP kann bereits durch Portforwardings oder selbsterklärende Namensbezeichnungen oder sonstigen Informationen Rückschlüsse ziehen. Ich rede nicht vom eigentlichen traffic. Es ist mir bewußt, dass dieser jederzeit mitgeschnitten werden kann und weiterverarbeiter werden kann. Mir ist auch bewußt, dass man einem gängigen Netzwerkkabel mit einer passenden Zange und Equipment Daten exfiltrieren kann, ohne Beschädigung des Mantels oder des Kabels. Darum gehts gar nicht, es geht nicht um das Verhindern von mutwilligem Datenauslesen "vom Provider". Der Provider hat sicherlich interessantere und spannendere Aufgaben und Tätigkeiten zu meistern, als irgendwelche lausige Kundenanschlüssel auszuspähen.

Auch dafür braucht es keinen Router-Zugriff. Dafür reicht es ja schon aus einfach den normalen Traffic anzusehen. Nix anderes machen ja z.B. Werbe-Tracker ;). Und die haben schon ein recht gutes Bild davon wer was wie im Web macht (daher ja die recht zielgerichteten Anzeigen), ganz ohne Router-Zugriff.


Wenn ich ein öffentliches Gebäude betrete und dessen Infrastruktur nutze, dann mache ich das unter Rücksichtnahme und Anerkennen dessen Verhaltensregeln und Normen. Wenn der Hausmeister die Forderung stellen würde: "Sie dürfen sich hier nur aufhalten wenn ich oder jemand vom Personal sie ständig begleitet und ihnen über die Schulter schaut" dann habe ich die Wahl entsprechend zu reagieren. Es ist nicht selbstverständlich, dass man dies hinnimmt. Wenn ich beim Autohaus eine Probefahrt mit einem Fahrzeug machen möchte und den Führerschein und sämtliche Formularangelegenheiten vorlege und mir der Händler sagt "aber nur wenn ich mitfahre als Beifahrer" dann muss ich das nicht dulden. Natürlich muss er mir das Auto nicht geben wenn er nicht will und genauso kann ich auch ablehnen. Wenn mir der ISP bestimmte DNS-Server vorschreibt, dann heißt es nicht, dass ich diese nutzen muss. Aber ich denke du verstehst das Prinzip.


Das ist soweit korrekt - dafür wurde die Router-Bindung ja auch aufgehoben und es steht dir idR frei einen eigenen zu nutzen. Um bei deinem Beispiel zu bleiben: Klar kannst du z.B. sagen das du nicht permanent von einer Person begleitet werden will. Aber: Wenn der Eigentümer an jeder Ecke 5 Kamaras hat und die Ausleuchtung 100% beträgt -> dann wäre es auch unsinnig dir jemanden mitzuschicken wenn er deine Wegverfolgung doch viel Bequemer haben kann. Wenn der dann noch sagt "hier, bitte packe den NFC-Beacon in die Tasche" (und du das machst) - warum jemanden mitschicken?

Aber gut - ich denke mal die Diskussion führt ins nichts. Es schadet halt nicht wenn man was eigenes nutzt - ob das jetzt die Sicherheit merklich erhöht muss jeder für sich entscheiden. Solang man eben dann nich beim Support anruft und sich dann aufregt das die nich mehr als nen Leitungs-Check machen können ist das ja auch kein Problem...
Bitte warten ..
Mitglied: panguu
02.01.2021 um 17:11 Uhr
wie ich herausfinden konnte:

TC-4400 Modem wird nur bei VFKD unterstützt, wenn mindestens die Firmware "SR70.12.33-180327" auf dem Gerät installiert ist.

Arris TM3402B wird analog der Fritzbox voll unterstützt.

Wenn jemand unter euch VF-Kabelkunde ist und dieses Arris Modem besitzt, bitte kurz feedback geben ob und inwieweit das mit dem Vodafone-Anschluss klappt. Schreibt dazu, welchen Tarif ihr habt und ob volle speed ankommt und ob Probleme auftauchten und inwieweit sich diese geäußert hatten. Danke euch!
Bitte warten ..
Mitglied: Stefan007
02.01.2021 um 20:29 Uhr
Hi ich nutze DOCSIS 3.1 und habe das TC4400 im Einsatz. Es wurde von Vodafone anstandslos freigeschaltet.


Gruß,
Stefan
Bitte warten ..
Mitglied: Stefan007
02.01.2021 um 20:31 Uhr
Thema Bestellung:

https://shop.wernerelectronic.de/antennen-und-kabelfernsehtechnik/tc4400 ...


Lt. Info verfügbar, habe ich damals auch dort bestellt.

Gruß,
Stefan
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Heimnetzwerk für mobiles Arbeiten
Matthias182Vor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, Die Corona Pandemie treibt viele Veränderungen, so auch bei uns. Seit Wochen arbeiten meine Frau und ich wieder von zu Hause. Und ...

Microsoft
Massenumbenennung von Dateien und Ordnern
breakballVor 1 TagFrageMicrosoft12 Kommentare

Hallo zusammen, falls der Beitrag in dieser Kategorie falsch ist, bitte in die richtige verschieben. Stehe vor folgender Aufgabe, in einem Datenverzeichnis befinden sich ...

Firewall
Pfsense plus für Geschäftskunden
Looser27Vor 20 StundenInformationFirewall13 Kommentare

Netgate wird in Zukunft die Open Source Firewall pfSense hauptsächlich als kommerzielle Version unter dem Namen pfSense Plus vermarkten. Die "Community Version" wird weiter ...

TK-Netze & Geräte
Hybrid-Telefon für Betrieb an ISDN- sowie VoIP-Anschluss
Datax87Vor 1 TagFrageTK-Netze & Geräte30 Kommentare

Hallo, ich habe eine Frage zu einer geplanten TK-Anlagen-Umstellung. An der betreffenden ISDN-TK-Anlage sind zurzeit 6 ISDN-Telefone angeschlossen. Der dazugehörige Telefon-/Internetanschluss ist zurzeit ein ...

Router & Routing
Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?
OldermanVor 1 TagFrageRouter & Routing24 Kommentare

Hallo und guten Tag allerseits! Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit ...

Windows Systemdateien
Windows 10 Kernisolierung: Inkompatible Treiber entfernen
FrankVor 1 TagAnleitungWindows Systemdateien1 Kommentar

Hallo, Eigentlich wollte ich nur den Empfehlungen der Windows Sicherheit nachgehen und unter Einstellungen -> Windows Sicherheit -> Kernisolierung, die Speicher-Integrität einschalten. Die Kernisolierung ...

Vmware
ESXI 6.5 Fehlgeschlagen - Zugriff auf eine Datei nicht möglich, weil sie gesperrt ist
gelöst zeroblue2005Vor 1 TagFrageVmware5 Kommentare

Hallo Zusammen, da meint man es gut und dann geht es in die Hose Aber erst mal zum IST-Zustand: - ESXI 6.5 U1 (Standalone) ...

Batch & Shell
Benutzeranmeldung mit Einschränkung
gelöst FreeBSDVor 1 TagFrageBatch & Shell8 Kommentare

Hallo zusammen, ich habe da ein kleines Problemchen und zwar versuche ich mich im PowerShell einzulernen, habe da eine kleine Aufgabe bekommen, dennoch krieg ...