8
Ohne NAT sicherer im Netz?
Hallo,
gestern beim einschlafen kam mir ein komischer Gedanke: NAT ist ein Sicherheitsrisiko.
Hier mal die Gedankengänge die mir durch den Kopf gingen:
1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegeben
3. Ohne NAT würde meine interne IP bekannt gegeben
4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
5. Private IP Adressen werden nicht geroutet
6. Einfach nicht private Adressen im internen Netz verwenden
Bitte tut euch keinen Zwang an meine geistigen Ergüsse zu zerreißen. =)
mfg
ALex
gestern beim einschlafen kam mir ein komischer Gedanke: NAT ist ein Sicherheitsrisiko.
Hier mal die Gedankengänge die mir durch den Kopf gingen:
1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegeben
3. Ohne NAT würde meine interne IP bekannt gegeben
4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
5. Private IP Adressen werden nicht geroutet
6. Einfach nicht private Adressen im internen Netz verwenden
Bitte tut euch keinen Zwang an meine geistigen Ergüsse zu zerreißen. =)
mfg
ALex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 78274
Url: https://administrator.de/contentid/78274
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
8 Kommentare
Neuester Kommentar
da private adressen nicht geroutet werden müsstest du eine ip adresse aus dem öffentlichen pool nehmen. da hast du aber das problem dass die pakete die retour kommen an den richtigen besitzer der ip geroutet werden und nicht an dich. du kannst dir nicht einfach eine öffentliche ip nehmen. diese werden schließlichh zentral vergeben.
also funktioniert dein gedanke leider nicht
also funktioniert dein gedanke leider nicht
jo, das war mir auch klar das es nicht so einfach ist eine öffentliche, nicht genutze IP Adresse zu finden (falls es überhaupt welche gibt).
Aber würde das bedeuten, das unter IPv6 (da gibts ja genug Adressen) oder wenn ich doch zufällig eine IPv4 Adresse finden würde, meine Idee funktionieren würde und ich somit meine IP Adresse in Foren oder Chatrooms "fälschen" kann?
Aber würde das bedeuten, das unter IPv6 (da gibts ja genug Adressen) oder wenn ich doch zufällig eine IPv4 Adresse finden würde, meine Idee funktionieren würde und ich somit meine IP Adresse in Foren oder Chatrooms "fälschen" kann?
Deine Adresse extern wird vermutlich auf nochmal vom Betreiber / Anbieter geNATet. Überleg mal, wieviele Leute der Provider über seine Leitung (IP) ins Internet lässt.
Der Router bekommt ja seine IP nach extern vom Provider zugewiesen. Wie soll der Router denn eine IP bekommen. Nimmst du eine vergebene IP gibts außerdem einen Adressenkonflikt.
Der Router bekommt ja seine IP nach extern vom Provider zugewiesen. Wie soll der Router denn eine IP bekommen. Nimmst du eine vergebene IP gibts außerdem einen Adressenkonflikt.
Deine Adresse extern wird vermutlich auf
nochmal vom Betreiber / Anbieter geNATet.
Überleg mal, wieviele Leute der Provider
über seine Leitung (IP) ins Internet
lässt.
Der Router bekommt ja seine IP nach extern
vom Provider zugewiesen. Wie soll der Router
denn eine IP bekommen. Nimmst du eine
vergebene IP gibts außerdem einen
Adressenkonflikt.
nochmal vom Betreiber / Anbieter geNATet.
Überleg mal, wieviele Leute der Provider
über seine Leitung (IP) ins Internet
lässt.
Der Router bekommt ja seine IP nach extern
vom Provider zugewiesen. Wie soll der Router
denn eine IP bekommen. Nimmst du eine
vergebene IP gibts außerdem einen
Adressenkonflikt.
das glaube ich eher nicht. wenn es ein halbwegs großer provider ist, dann bekommt man auch eine offizielle ip adresse aus seinem range.
das mit ipv6 würde theoretisch funktionieren, aber nat ist nebenbei eher ein security feature als eine sicherheitslücke. denn die verbindung wird vom client zum server aufgebaut und dabei die source ip des clients in einer nat tabelle am router eingetragen. gibt es so einen eintrag nicht weil der client eben keine verbindung aufgebaut hat, so ist es einem externen rechner nicht möglich direkt zum client zu connecten
1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegeben
3. Ohne NAT würde meine interne IP bekannt gegeben
4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
5. Private IP Adressen werden nicht geroutet
6. Einfach nicht private Adressen im internen Netz verwenden
@Netzheimer
Innerhalb eines Providernetzes wird natürlich nichts mehr geNATtet, denn sonst würden keine VPN Verbindungen, Multicasts und anderes mehr funktionieren, die (und andere Protokolle auch) sind über NAT nicht übertragbar. Ausnahme sind einige UMTS Provider wie z.B. O2 die ihre UMTS Funknetze in einem privaten IP Bereich betreiben und diese dann ins Internet NATen. Was dann auch zu den bekannten Problemen mit VPN Verbindungen im O2 UMTS Netz führt
Letztlich wird sich das mit der kommenden Einführung von IPv6 aber ändern, denn dann hat jedes Handy und jeder Toaster seine IP Adresse und das weltweit.
- Richtig !
2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegeben
- Richtig !
3. Ohne NAT würde meine interne IP bekannt gegeben
- Falsch !! Das ist unmöglich, denn wie du sicher selber weisst sind 192.168.x.x RFC 1918 Adressen die im Internet nicht geroutet werden sondern gleich beim Provider in den Datenmülleimer verfrachtet werden. Wenn du nicht weisst was RFC 1918 IP Adressen sind empfiehlt sich diese Lektüre HIER
4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
- Falsch !! Eine IP Adresse muss weltweit eindeutig sein in einem öffentlichen Netzwerk was Internet Adressen auch sind..keine Frage. Vergleiche es mit dem Postboten: Gäbe es deinen Namen, Wohnort und Straße mit Hausnummer 10 mal oder mehr auf der Welt wäre ein Zustellen von Briefen an dich unmöglich.
5. Private IP Adressen werden nicht geroutet
- Richtig ! (Siehe Punkt 3. und 4.)
6. Einfach nicht private Adressen im internen Netz verwenden
- Theoretisch richtig, funktioniert aber nicht, da Provider in ihrem Netz nur die ihnen von der IANA zugeteilten IP Adressblöcke nutzen, alles andere wird gnadenlos rausgefiltert. Dazu gehören auch Adressen die dir nicht zugeteilt sind. Auf diese Idee von dir sind natürich Jahre vorher schon andere gekommen und das wird wirksam unterbunden
@Netzheimer
Innerhalb eines Providernetzes wird natürlich nichts mehr geNATtet, denn sonst würden keine VPN Verbindungen, Multicasts und anderes mehr funktionieren, die (und andere Protokolle auch) sind über NAT nicht übertragbar. Ausnahme sind einige UMTS Provider wie z.B. O2 die ihre UMTS Funknetze in einem privaten IP Bereich betreiben und diese dann ins Internet NATen. Was dann auch zu den bekannten Problemen mit VPN Verbindungen im O2 UMTS Netz führt
Letztlich wird sich das mit der kommenden Einführung von IPv6 aber ändern, denn dann hat jedes Handy und jeder Toaster seine IP Adresse und das weltweit.
Hi Alex,
zu 1.) Siehst du richtig
zu 2.) Richtig
zu 3.) Jein, je nachdem. Wenn du eine aus den Privaten Pool hast (10.x.x.x, 172.16.x.x-172.32.x.x, 192.168.x.x) wird die IP am BBRAR verworfen bzw. gedropped. Und zwar ohne Ausnahme / Ausnahmen. Das ist die Pflicht von jeden ISP!
Wenn du NAT am Laufen hast und im LAN öffentliche IP-Adressen verwendest (z.b. Micrsoft Pool C - lass A Netz) gibt es trotzdem keine Probleme. Wenn du nun NAT ausschaltet, kann es gut sein dass alle Anfragen auf einemal zu dir geroutet werden und dann kommt ein großes Problem auf dich zu. Darum kann man auf vielen 0815 Routern das NAT nicht deaktivieren!!
zu 4.) Richtig
zu 5.) Richtig - siehe 3.)
zu 6.) Und warum?
@catachan
@Netzheimer
GELÖSCHT - siehe letzten Zeilen bei "aqui".
Grüße
Dani
zu 1.) Siehst du richtig
zu 2.) Richtig
zu 3.) Jein, je nachdem. Wenn du eine aus den Privaten Pool hast (10.x.x.x, 172.16.x.x-172.32.x.x, 192.168.x.x) wird die IP am BBRAR verworfen bzw. gedropped. Und zwar ohne Ausnahme / Ausnahmen. Das ist die Pflicht von jeden ISP!
Wenn du NAT am Laufen hast und im LAN öffentliche IP-Adressen verwendest (z.b. Micrsoft Pool C - lass A Netz) gibt es trotzdem keine Probleme. Wenn du nun NAT ausschaltet, kann es gut sein dass alle Anfragen auf einemal zu dir geroutet werden und dann kommt ein großes Problem auf dich zu. Darum kann man auf vielen 0815 Routern das NAT nicht deaktivieren!!
zu 4.) Richtig
zu 5.) Richtig - siehe 3.)
zu 6.) Und warum?
@catachan
pakete die retour kommen an den richtigen besitzer der ip geroutet werden und nicht an dich.
Es kann gut auch dazu kommen, dass die Pakete dann an ihn geschickt werden und nicht mehr an die richtige "legale" Adresse.@Netzheimer
GELÖSCHT - siehe letzten Zeilen bei "aqui".
Grüße
Dani
He, He,
vorm Einschlafen nicht noch ein Schnäpschen trinken, dann kommt man auch nicht auf solche Ideen. Ich träume da eher von anderen Dingen.
Gruß,
Arch Stanton
vorm Einschlafen nicht noch ein Schnäpschen trinken, dann kommt man auch nicht auf solche Ideen. Ich träume da eher von anderen Dingen.
Gruß,
Arch Stanton
Dank für die klare Antwort, der Knoten ist geplazt
Ich bin durch diese ganze Verbindungsdatenspeicherungsdebatte auf die Idee gekommen. Mir war klar das die Verbindungsdaten gespeichert werden egal welche IP Adresse ich habe.
Ich wollts Leuten die es auf meine IP abgesehen haben das Leben ein bischen schwieriger machen.
Als Anwendungsgebiet schwebte mir vor allem Aktivitäten in den Garuzonen des Internets vor. Ich hatte die Idee beim Lesen dieses Artikels ( http://www.spiegel.de/politik/ausland/0,1518,528377,00.html ). Ich wollte dem Terrorchef auch ein paar Fragen stellen, aber die Suchanfragen und vorallem die Verbindungen zu solch einer Seite würde bestimmt ruck-zuck bei irgendwelchen Geheimdiensten oder anders geartete Organistaionen landen.
Naja, muß ich halt doch Tor als default Browser nutzen.
Nochmals danke für Antworten
Ich bin durch diese ganze Verbindungsdatenspeicherungsdebatte auf die Idee gekommen. Mir war klar das die Verbindungsdaten gespeichert werden egal welche IP Adresse ich habe.
Ich wollts Leuten die es auf meine IP abgesehen haben das Leben ein bischen schwieriger machen.
Als Anwendungsgebiet schwebte mir vor allem Aktivitäten in den Garuzonen des Internets vor. Ich hatte die Idee beim Lesen dieses Artikels ( http://www.spiegel.de/politik/ausland/0,1518,528377,00.html ). Ich wollte dem Terrorchef auch ein paar Fragen stellen, aber die Suchanfragen und vorallem die Verbindungen zu solch einer Seite würde bestimmt ruck-zuck bei irgendwelchen Geheimdiensten oder anders geartete Organistaionen landen.
Naja, muß ich halt doch Tor als default Browser nutzen.
Nochmals danke für Antworten
