Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ohne NAT sicherer im Netz?

Mitglied: sixoffive

sixoffive (Level 1) - Jetzt verbinden

16.01.2008, aktualisiert 12:17 Uhr, 7990 Aufrufe, 8 Kommentare

Hallo,

gestern beim einschlafen kam mir ein komischer Gedanke: NAT ist ein Sicherheitsrisiko.

Hier mal die Gedankengänge die mir durch den Kopf gingen:

1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegeben
3. Ohne NAT würde meine interne IP bekannt gegeben
4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
5. Private IP Adressen werden nicht geroutet
6. Einfach nicht private Adressen im internen Netz verwenden

Bitte tut euch keinen Zwang an meine geistigen Ergüsse zu zerreißen. =)



mfg
ALex
Mitglied: catachan
16.01.2008 um 10:15 Uhr
da private adressen nicht geroutet werden müsstest du eine ip adresse aus dem öffentlichen pool nehmen. da hast du aber das problem dass die pakete die retour kommen an den richtigen besitzer der ip geroutet werden und nicht an dich. du kannst dir nicht einfach eine öffentliche ip nehmen. diese werden schließlichh zentral vergeben.

also funktioniert dein gedanke leider nicht
Bitte warten ..
Mitglied: sixoffive
16.01.2008 um 10:22 Uhr
jo, das war mir auch klar das es nicht so einfach ist eine öffentliche, nicht genutze IP Adresse zu finden (falls es überhaupt welche gibt).

Aber würde das bedeuten, das unter IPv6 (da gibts ja genug Adressen) oder wenn ich doch zufällig eine IPv4 Adresse finden würde, meine Idee funktionieren würde und ich somit meine IP Adresse in Foren oder Chatrooms "fälschen" kann?
Bitte warten ..
Mitglied: Netzheimer
16.01.2008 um 10:23 Uhr
Deine Adresse extern wird vermutlich auf nochmal vom Betreiber / Anbieter geNATet. Überleg mal, wieviele Leute der Provider über seine Leitung (IP) ins Internet lässt.

Der Router bekommt ja seine IP nach extern vom Provider zugewiesen. Wie soll der Router denn eine IP bekommen. Nimmst du eine vergebene IP gibts außerdem einen Adressenkonflikt.
Bitte warten ..
Mitglied: catachan
16.01.2008 um 10:35 Uhr
Deine Adresse extern wird vermutlich auf
nochmal vom Betreiber / Anbieter geNATet.
Überleg mal, wieviele Leute der Provider
über seine Leitung (IP) ins Internet
lässt.

Der Router bekommt ja seine IP nach extern
vom Provider zugewiesen. Wie soll der Router
denn eine IP bekommen. Nimmst du eine
vergebene IP gibts außerdem einen
Adressenkonflikt.

das glaube ich eher nicht. wenn es ein halbwegs großer provider ist, dann bekommt man auch eine offizielle ip adresse aus seinem range.

das mit ipv6 würde theoretisch funktionieren, aber nat ist nebenbei eher ein security feature als eine sicherheitslücke. denn die verbindung wird vom client zum server aufgebaut und dabei die source ip des clients in einer nat tabelle am router eingetragen. gibt es so einen eintrag nicht weil der client eben keine verbindung aufgebaut hat, so ist es einem externen rechner nicht möglich direkt zum client zu connecten
Bitte warten ..
Mitglied: aqui
16.01.2008 um 10:43 Uhr
//1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
  • Richtig !

2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegebe n
  • Richtig !

3. Ohne NAT würde meine interne IP bekannt gegebe n
  • Falsch !! Das ist unmöglich, denn wie du sicher selber weisst sind 192.168.x.x RFC 1918 Adressen die im Internet nicht geroutet werden sondern gleich beim Provider in den Datenmülleimer verfrachtet werden. Wenn du nicht weisst was RFC 1918 IP Adressen sind empfiehlt sich diese Lektüre [http:de.wikipedia.org/wiki/Private_IP-Adresse HIER]

4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
  • Falsch !! Eine IP Adresse muss weltweit eindeutig sein in einem öffentlichen Netzwerk was Internet Adressen auch sind..keine Frage. Vergleiche es mit dem Postboten: Gäbe es deinen Namen, Wohnort und Straße mit Hausnummer 10 mal oder mehr auf der Welt wäre ein Zustellen von Briefen an dich unmöglich.

5. Private IP Adressen werden nicht geroutet
  • Richtig ! (Siehe Punkt 3. und 4.)

6. Einfach nicht private Adressen im internen Netz verwenden
  • Theoretisch richtig, funktioniert aber nicht, da Provider in ihrem Netz nur die ihnen von der IANA zugeteilten IP Adressblöcke nutzen, alles andere wird gnadenlos rausgefiltert. Dazu gehören auch Adressen die dir nicht zugeteilt sind. Auf diese Idee von dir sind natürich Jahre vorher schon andere gekommen und das wird wirksam unterbunden

@Netzheimer
Innerhalb eines Providernetzes wird natürlich nichts mehr geNATtet, denn sonst würden keine VPN Verbindungen, Multicasts und anderes mehr funktionieren, die (und andere Protokolle auch) sind über NAT nicht übertragbar. Ausnahme sind einige UMTS Provider wie z.B. O2 die ihre UMTS Funknetze in einem privaten IP Bereich betreiben und diese dann ins Internet NATen. Was dann auch zu den bekannten Problemen mit VPN Verbindungen im O2 UMTS Netz führt Letztlich wird sich das mit der kommenden Einführung von IPv6 aber ändern, denn dann hat jedes Handy und jeder Toaster seine IP Adresse und das weltweit.
Bitte warten ..
Mitglied: Dani
16.01.2008 um 10:54 Uhr
Hi Alex,

zu 1.) Siehst du richtig
zu 2.) Richtig
zu 3.) Jein, je nachdem. Wenn du eine aus den Privaten Pool hast (10.x.x.x, 172.16.x.x-172.32.x.x, 192.168.x.x) wird die IP am BBRAR verworfen bzw. gedropped. Und zwar ohne Ausnahme / Ausnahmen. Das ist die Pflicht von jeden ISP!
Wenn du NAT am Laufen hast und im LAN öffentliche IP-Adressen verwendest (z.b. Micrsoft Pool C - lass A Netz) gibt es trotzdem keine Probleme. Wenn du nun NAT ausschaltet, kann es gut sein dass alle Anfragen auf einemal zu dir geroutet werden und dann kommt ein großes Problem auf dich zu. Darum kann man auf vielen 0815 Routern das NAT nicht deaktivieren!!

zu 4.) Richtig
zu 5.) Richtig - siehe 3.)
zu 6.) Und warum?

@catachan
>pakete die retour kommen an den richtigen besitzer der ip geroutet werden und nicht an dich.
Es kann gut auch dazu kommen, dass die Pakete dann an ihn geschickt werden und nicht mehr an die richtige "legale" Adresse.

@Netzheimer
GELÖSCHT - siehe letzten Zeilen bei "aqui".


Grüße
Dani
Bitte warten ..
Mitglied: Arch-Stanton
16.01.2008 um 11:37 Uhr
He, He,

vorm Einschlafen nicht noch ein Schnäpschen trinken, dann kommt man auch nicht auf solche Ideen. Ich träume da eher von anderen Dingen.

Gruß,
Arch Stanton
Bitte warten ..
Mitglied: sixoffive
16.01.2008 um 12:17 Uhr
Dank für die klare Antwort, der Knoten ist geplazt

Ich bin durch diese ganze Verbindungsdatenspeicherungsdebatte auf die Idee gekommen. Mir war klar das die Verbindungsdaten gespeichert werden egal welche IP Adresse ich habe.

Ich wollts Leuten die es auf meine IP abgesehen haben das Leben ein bischen schwieriger machen.
Als Anwendungsgebiet schwebte mir vor allem Aktivitäten in den Garuzonen des Internets vor. Ich hatte die Idee beim Lesen dieses Artikels ( http://www.spiegel.de/politik/ausland/0,1518,528377,00.html ). Ich wollte dem Terrorchef auch ein paar Fragen stellen, aber die Suchanfragen und vorallem die Verbindungen zu solch einer Seite würde bestimmt ruck-zuck bei irgendwelchen Geheimdiensten oder anders geartete Organistaionen landen.

Naja, muß ich halt doch Tor als default Browser nutzen.


Nochmals danke für Antworten
Bitte warten ..
Ähnliche Inhalte
Router & Routing
PfSense: 2x NAT zwischen versch. Netzen
Frage von mrserious73Router & Routing4 Kommentare

Hallo zusammen! Habe hier eine etwas merkwürdige Situation (soll aber leider so bleiben): Zwei versch. Netze im selben Gebäude, ...

Windows Server

Windows 2012 Server mit 2 Netzen auf NAS sichern

Frage von tsunamitsunamiWindows Server6 Kommentare

Hallo, ich habe eine Frage / Idee. Also ich habe ein kleines Domänen-Netzwerk mit 5 clients und einem win ...

Hyper-V

NAT für IPv6

Frage von TiabeanieHyper-V7 Kommentare

Hallo, ich habe hier mehrere virtuelle Maschinen welche mit Hyper-V virtualisiert werden. Als Gast wird Linux und BSD eingesetzt, ...

Voice over IP

Voip hinter NAT

Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, derzeit habe ich eine FB5050 als DSL-Modem und NAT-Router. Dahinter ist ein TP-Link WRT841 der ebenfalls NAT macht. ...

Neue Wissensbeiträge
Router & Routing

Endlich: Reines Kabel-TV Modem in D erhältlich !

Information von aqui vor 2 TagenRouter & Routing9 Kommentare

Mit dem Technicolor TC4400-EU Modem sind nun auch Breitband Router ohne integriertes Modem oder Firewalls wie z.B. die pfSense ...

Netzwerkgrundlagen
The Illustrated TLS Connection
Information von Lochkartenstanzer vor 3 TagenNetzwerkgrundlagen

Moin, Unter findet man eine gelungene Erläuterung von TLS. Fördert sehr das verständnis darüber, was da passiert. lks

Windows 10

Zuverlässiger Remove-AppxProvisionedPackage Ausführen in W10-1803

Tipp von NetzwerkDude vor 4 TagenWindows 104 Kommentare

Moin, Remove-AppxProvisionedPackage hat in 1709 recht zuverlässig funktioniert, in 1803 ist es leider so das es gerne mail failed ...

LAN, WAN, Wireless
Erfahrung mit dem tplink eap115-wall
Erfahrungsbericht von fisi-pjm vor 4 TagenLAN, WAN, Wireless

Die Hintergründe Als ausgebildeter Fisi und ambitionierter "Hobby ITler" bin ich Netzwerktechnisch immer auf der Suche nach "schönen" Lösungen ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
OpenVPN auf dem Client Verständnisfrage
gelöst Frage von bk900042Netzwerkprotokolle23 Kommentare

Hallo Community, möchte OpenVPN benutzen, um mich über VPN per RDP zu einem Server zu verbinden und auch GIT ...

Windows Server
AD User wird immer wieder gesperrt
Frage von YellowcakeWindows Server14 Kommentare

Hey ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich ...

Netzwerkmanagement
Netzwerklaufwerk verbinden nicht möglich
gelöst Frage von SteiniMNetzwerkmanagement13 Kommentare

Hallo Leute, ich bin neu hier und brauche eure Hilfe. Danke schon mal im Voraus. Ich habe folgendes Problem: ...

Switche und Hubs
OpenSource oder Freeware zur Verwaltung von Switchen
Frage von JonskezSwitche und Hubs12 Kommentare

Hallo, gibt eine kostenlose Verwaltungssoftware für Switche (überwiegend HP/Aruba)? Es sollte möglich sein, aus der Ferne z.B. die Firmware ...