Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ohne NAT sicherer im Netz?

Mitglied: sixoffive

sixoffive (Level 1) - Jetzt verbinden

16.01.2008, aktualisiert 12:17 Uhr, 7979 Aufrufe, 8 Kommentare

Hallo,

gestern beim einschlafen kam mir ein komischer Gedanke: NAT ist ein Sicherheitsrisiko.

Hier mal die Gedankengänge die mir durch den Kopf gingen:

1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegeben
3. Ohne NAT würde meine interne IP bekannt gegeben
4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
5. Private IP Adressen werden nicht geroutet
6. Einfach nicht private Adressen im internen Netz verwenden

Bitte tut euch keinen Zwang an meine geistigen Ergüsse zu zerreißen. =)



mfg
ALex
Mitglied: catachan
16.01.2008 um 10:15 Uhr
da private adressen nicht geroutet werden müsstest du eine ip adresse aus dem öffentlichen pool nehmen. da hast du aber das problem dass die pakete die retour kommen an den richtigen besitzer der ip geroutet werden und nicht an dich. du kannst dir nicht einfach eine öffentliche ip nehmen. diese werden schließlichh zentral vergeben.

also funktioniert dein gedanke leider nicht
Bitte warten ..
Mitglied: sixoffive
16.01.2008 um 10:22 Uhr
jo, das war mir auch klar das es nicht so einfach ist eine öffentliche, nicht genutze IP Adresse zu finden (falls es überhaupt welche gibt).

Aber würde das bedeuten, das unter IPv6 (da gibts ja genug Adressen) oder wenn ich doch zufällig eine IPv4 Adresse finden würde, meine Idee funktionieren würde und ich somit meine IP Adresse in Foren oder Chatrooms "fälschen" kann?
Bitte warten ..
Mitglied: Netzheimer
16.01.2008 um 10:23 Uhr
Deine Adresse extern wird vermutlich auf nochmal vom Betreiber / Anbieter geNATet. Überleg mal, wieviele Leute der Provider über seine Leitung (IP) ins Internet lässt.

Der Router bekommt ja seine IP nach extern vom Provider zugewiesen. Wie soll der Router denn eine IP bekommen. Nimmst du eine vergebene IP gibts außerdem einen Adressenkonflikt.
Bitte warten ..
Mitglied: catachan
16.01.2008 um 10:35 Uhr
Deine Adresse extern wird vermutlich auf
nochmal vom Betreiber / Anbieter geNATet.
Überleg mal, wieviele Leute der Provider
über seine Leitung (IP) ins Internet
lässt.

Der Router bekommt ja seine IP nach extern
vom Provider zugewiesen. Wie soll der Router
denn eine IP bekommen. Nimmst du eine
vergebene IP gibts außerdem einen
Adressenkonflikt.

das glaube ich eher nicht. wenn es ein halbwegs großer provider ist, dann bekommt man auch eine offizielle ip adresse aus seinem range.

das mit ipv6 würde theoretisch funktionieren, aber nat ist nebenbei eher ein security feature als eine sicherheitslücke. denn die verbindung wird vom client zum server aufgebaut und dabei die source ip des clients in einer nat tabelle am router eingetragen. gibt es so einen eintrag nicht weil der client eben keine verbindung aufgebaut hat, so ist es einem externen rechner nicht möglich direkt zum client zu connecten
Bitte warten ..
Mitglied: aqui
16.01.2008 um 10:43 Uhr
//1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
  • Richtig !

2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegebe n
  • Richtig !

3. Ohne NAT würde meine interne IP bekannt gegebe n
  • Falsch !! Das ist unmöglich, denn wie du sicher selber weisst sind 192.168.x.x RFC 1918 Adressen die im Internet nicht geroutet werden sondern gleich beim Provider in den Datenmülleimer verfrachtet werden. Wenn du nicht weisst was RFC 1918 IP Adressen sind empfiehlt sich diese Lektüre [http:de.wikipedia.org/wiki/Private_IP-Adresse HIER]

4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
  • Falsch !! Eine IP Adresse muss weltweit eindeutig sein in einem öffentlichen Netzwerk was Internet Adressen auch sind..keine Frage. Vergleiche es mit dem Postboten: Gäbe es deinen Namen, Wohnort und Straße mit Hausnummer 10 mal oder mehr auf der Welt wäre ein Zustellen von Briefen an dich unmöglich.

5. Private IP Adressen werden nicht geroutet
  • Richtig ! (Siehe Punkt 3. und 4.)

6. Einfach nicht private Adressen im internen Netz verwenden
  • Theoretisch richtig, funktioniert aber nicht, da Provider in ihrem Netz nur die ihnen von der IANA zugeteilten IP Adressblöcke nutzen, alles andere wird gnadenlos rausgefiltert. Dazu gehören auch Adressen die dir nicht zugeteilt sind. Auf diese Idee von dir sind natürich Jahre vorher schon andere gekommen und das wird wirksam unterbunden

@Netzheimer
Innerhalb eines Providernetzes wird natürlich nichts mehr geNATtet, denn sonst würden keine VPN Verbindungen, Multicasts und anderes mehr funktionieren, die (und andere Protokolle auch) sind über NAT nicht übertragbar. Ausnahme sind einige UMTS Provider wie z.B. O2 die ihre UMTS Funknetze in einem privaten IP Bereich betreiben und diese dann ins Internet NATen. Was dann auch zu den bekannten Problemen mit VPN Verbindungen im O2 UMTS Netz führt Letztlich wird sich das mit der kommenden Einführung von IPv6 aber ändern, denn dann hat jedes Handy und jeder Toaster seine IP Adresse und das weltweit.
Bitte warten ..
Mitglied: Dani
16.01.2008 um 10:54 Uhr
Hi Alex,

zu 1.) Siehst du richtig
zu 2.) Richtig
zu 3.) Jein, je nachdem. Wenn du eine aus den Privaten Pool hast (10.x.x.x, 172.16.x.x-172.32.x.x, 192.168.x.x) wird die IP am BBRAR verworfen bzw. gedropped. Und zwar ohne Ausnahme / Ausnahmen. Das ist die Pflicht von jeden ISP!
Wenn du NAT am Laufen hast und im LAN öffentliche IP-Adressen verwendest (z.b. Micrsoft Pool C - lass A Netz) gibt es trotzdem keine Probleme. Wenn du nun NAT ausschaltet, kann es gut sein dass alle Anfragen auf einemal zu dir geroutet werden und dann kommt ein großes Problem auf dich zu. Darum kann man auf vielen 0815 Routern das NAT nicht deaktivieren!!

zu 4.) Richtig
zu 5.) Richtig - siehe 3.)
zu 6.) Und warum?

@catachan
>pakete die retour kommen an den richtigen besitzer der ip geroutet werden und nicht an dich.
Es kann gut auch dazu kommen, dass die Pakete dann an ihn geschickt werden und nicht mehr an die richtige "legale" Adresse.

@Netzheimer
GELÖSCHT - siehe letzten Zeilen bei "aqui".


Grüße
Dani
Bitte warten ..
Mitglied: Arch-Stanton
16.01.2008 um 11:37 Uhr
He, He,

vorm Einschlafen nicht noch ein Schnäpschen trinken, dann kommt man auch nicht auf solche Ideen. Ich träume da eher von anderen Dingen.

Gruß,
Arch Stanton
Bitte warten ..
Mitglied: sixoffive
16.01.2008 um 12:17 Uhr
Dank für die klare Antwort, der Knoten ist geplazt

Ich bin durch diese ganze Verbindungsdatenspeicherungsdebatte auf die Idee gekommen. Mir war klar das die Verbindungsdaten gespeichert werden egal welche IP Adresse ich habe.

Ich wollts Leuten die es auf meine IP abgesehen haben das Leben ein bischen schwieriger machen.
Als Anwendungsgebiet schwebte mir vor allem Aktivitäten in den Garuzonen des Internets vor. Ich hatte die Idee beim Lesen dieses Artikels ( http://www.spiegel.de/politik/ausland/0,1518,528377,00.html ). Ich wollte dem Terrorchef auch ein paar Fragen stellen, aber die Suchanfragen und vorallem die Verbindungen zu solch einer Seite würde bestimmt ruck-zuck bei irgendwelchen Geheimdiensten oder anders geartete Organistaionen landen.

Naja, muß ich halt doch Tor als default Browser nutzen.


Nochmals danke für Antworten
Bitte warten ..
Ähnliche Inhalte
Router & Routing
PfSense: 2x NAT zwischen versch. Netzen
Frage von mrserious73Router & Routing4 Kommentare

Hallo zusammen! Habe hier eine etwas merkwürdige Situation (soll aber leider so bleiben): Zwei versch. Netze im selben Gebäude, ...

Windows Server

Windows 2012 Server mit 2 Netzen auf NAS sichern

Frage von tsunamitsunamiWindows Server6 Kommentare

Hallo, ich habe eine Frage / Idee. Also ich habe ein kleines Domänen-Netzwerk mit 5 clients und einem win ...

LAN, WAN, Wireless

Sicheres WLAN-Netz per RADIUS Server aufsetzen

Frage von NullKommaNixLAN, WAN, Wireless4 Kommentare

Hallo werte Forenmitglieder, bisher war ich nur als stiller „Mitleser“ aktiv. Da ich nun aber auch mal eine etwas ...

Voice over IP

Voip hinter NAT

Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, derzeit habe ich eine FB5050 als DSL-Modem und NAT-Router. Dahinter ist ein TP-Link WRT841 der ebenfalls NAT macht. ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 1 TagBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 4 TagenHumor (lol)9 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 4 TagenExchange Server9 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 5 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
E-Mail
Deutsche e-Mail Adresse auf iPhone in Katar. Nur Probleme
gelöst Frage von vanTastE-Mail32 Kommentare

Moin, ich habe hier in Deutschland auf einem Exchange 2013 eine e-Mail Adresse (name@domain.de) für einen Kollegen in Katar ...

Windows Server
Server verliert Dateien und Ordner
gelöst Frage von routeserverWindows Server16 Kommentare

Hallo Freunde, ich habe hier ein Problem, das mich an meine Grenzen treibt und ich würde gerne wissen, ob ...

Windows Tools
User Self Service und Client Management
Frage von OrkansonWindows Tools14 Kommentare

Hallo zusammen, ich hab ein paar verschiedene Fragen: 1. Was benutzt ihr um Software im Unternehmen zu verteilen? 2. ...

Windows Server
Domäne beitreten nicht möglich, unter VMWare windows Server 2016 Core
Frage von AmanuelWindows Server13 Kommentare

Ich habe auf meinem Mac unter VMWare Windows Server 2016 Core und Windows Server 2016 Desktopversion installiert. Beide Systeme ...