Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ohne NAT sicherer im Netz?

Mitglied: sixoffive

sixoffive (Level 1) - Jetzt verbinden

16.01.2008, aktualisiert 12:17 Uhr, 7950 Aufrufe, 8 Kommentare

Hallo,

gestern beim einschlafen kam mir ein komischer Gedanke: NAT ist ein Sicherheitsrisiko.

Hier mal die Gedankengänge die mir durch den Kopf gingen:

1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegeben
3. Ohne NAT würde meine interne IP bekannt gegeben
4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
5. Private IP Adressen werden nicht geroutet
6. Einfach nicht private Adressen im internen Netz verwenden

Bitte tut euch keinen Zwang an meine geistigen Ergüsse zu zerreißen. =)



mfg
ALex
Mitglied: catachan
16.01.2008 um 10:15 Uhr
da private adressen nicht geroutet werden müsstest du eine ip adresse aus dem öffentlichen pool nehmen. da hast du aber das problem dass die pakete die retour kommen an den richtigen besitzer der ip geroutet werden und nicht an dich. du kannst dir nicht einfach eine öffentliche ip nehmen. diese werden schließlichh zentral vergeben.

also funktioniert dein gedanke leider nicht
Bitte warten ..
Mitglied: sixoffive
16.01.2008 um 10:22 Uhr
jo, das war mir auch klar das es nicht so einfach ist eine öffentliche, nicht genutze IP Adresse zu finden (falls es überhaupt welche gibt).

Aber würde das bedeuten, das unter IPv6 (da gibts ja genug Adressen) oder wenn ich doch zufällig eine IPv4 Adresse finden würde, meine Idee funktionieren würde und ich somit meine IP Adresse in Foren oder Chatrooms "fälschen" kann?
Bitte warten ..
Mitglied: Netzheimer
16.01.2008 um 10:23 Uhr
Deine Adresse extern wird vermutlich auf nochmal vom Betreiber / Anbieter geNATet. Überleg mal, wieviele Leute der Provider über seine Leitung (IP) ins Internet lässt.

Der Router bekommt ja seine IP nach extern vom Provider zugewiesen. Wie soll der Router denn eine IP bekommen. Nimmst du eine vergebene IP gibts außerdem einen Adressenkonflikt.
Bitte warten ..
Mitglied: catachan
16.01.2008 um 10:35 Uhr
Deine Adresse extern wird vermutlich auf
nochmal vom Betreiber / Anbieter geNATet.
Überleg mal, wieviele Leute der Provider
über seine Leitung (IP) ins Internet
lässt.

Der Router bekommt ja seine IP nach extern
vom Provider zugewiesen. Wie soll der Router
denn eine IP bekommen. Nimmst du eine
vergebene IP gibts außerdem einen
Adressenkonflikt.

das glaube ich eher nicht. wenn es ein halbwegs großer provider ist, dann bekommt man auch eine offizielle ip adresse aus seinem range.

das mit ipv6 würde theoretisch funktionieren, aber nat ist nebenbei eher ein security feature als eine sicherheitslücke. denn die verbindung wird vom client zum server aufgebaut und dabei die source ip des clients in einer nat tabelle am router eingetragen. gibt es so einen eintrag nicht weil der client eben keine verbindung aufgebaut hat, so ist es einem externen rechner nicht möglich direkt zum client zu connecten
Bitte warten ..
Mitglied: aqui
16.01.2008 um 10:43 Uhr
//1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
  • Richtig !

2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegebe n
  • Richtig !

3. Ohne NAT würde meine interne IP bekannt gegebe n
  • Falsch !! Das ist unmöglich, denn wie du sicher selber weisst sind 192.168.x.x RFC 1918 Adressen die im Internet nicht geroutet werden sondern gleich beim Provider in den Datenmülleimer verfrachtet werden. Wenn du nicht weisst was RFC 1918 IP Adressen sind empfiehlt sich diese Lektüre [http:de.wikipedia.org/wiki/Private_IP-Adresse HIER]

4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
  • Falsch !! Eine IP Adresse muss weltweit eindeutig sein in einem öffentlichen Netzwerk was Internet Adressen auch sind..keine Frage. Vergleiche es mit dem Postboten: Gäbe es deinen Namen, Wohnort und Straße mit Hausnummer 10 mal oder mehr auf der Welt wäre ein Zustellen von Briefen an dich unmöglich.

5. Private IP Adressen werden nicht geroutet
  • Richtig ! (Siehe Punkt 3. und 4.)

6. Einfach nicht private Adressen im internen Netz verwenden
  • Theoretisch richtig, funktioniert aber nicht, da Provider in ihrem Netz nur die ihnen von der IANA zugeteilten IP Adressblöcke nutzen, alles andere wird gnadenlos rausgefiltert. Dazu gehören auch Adressen die dir nicht zugeteilt sind. Auf diese Idee von dir sind natürich Jahre vorher schon andere gekommen und das wird wirksam unterbunden

@Netzheimer
Innerhalb eines Providernetzes wird natürlich nichts mehr geNATtet, denn sonst würden keine VPN Verbindungen, Multicasts und anderes mehr funktionieren, die (und andere Protokolle auch) sind über NAT nicht übertragbar. Ausnahme sind einige UMTS Provider wie z.B. O2 die ihre UMTS Funknetze in einem privaten IP Bereich betreiben und diese dann ins Internet NATen. Was dann auch zu den bekannten Problemen mit VPN Verbindungen im O2 UMTS Netz führt Letztlich wird sich das mit der kommenden Einführung von IPv6 aber ändern, denn dann hat jedes Handy und jeder Toaster seine IP Adresse und das weltweit.
Bitte warten ..
Mitglied: Dani
16.01.2008 um 10:54 Uhr
Hi Alex,

zu 1.) Siehst du richtig
zu 2.) Richtig
zu 3.) Jein, je nachdem. Wenn du eine aus den Privaten Pool hast (10.x.x.x, 172.16.x.x-172.32.x.x, 192.168.x.x) wird die IP am BBRAR verworfen bzw. gedropped. Und zwar ohne Ausnahme / Ausnahmen. Das ist die Pflicht von jeden ISP!
Wenn du NAT am Laufen hast und im LAN öffentliche IP-Adressen verwendest (z.b. Micrsoft Pool C - lass A Netz) gibt es trotzdem keine Probleme. Wenn du nun NAT ausschaltet, kann es gut sein dass alle Anfragen auf einemal zu dir geroutet werden und dann kommt ein großes Problem auf dich zu. Darum kann man auf vielen 0815 Routern das NAT nicht deaktivieren!!

zu 4.) Richtig
zu 5.) Richtig - siehe 3.)
zu 6.) Und warum?

@catachan
>pakete die retour kommen an den richtigen besitzer der ip geroutet werden und nicht an dich.
Es kann gut auch dazu kommen, dass die Pakete dann an ihn geschickt werden und nicht mehr an die richtige "legale" Adresse.

@Netzheimer
GELÖSCHT - siehe letzten Zeilen bei "aqui".


Grüße
Dani
Bitte warten ..
Mitglied: Arch-Stanton
16.01.2008 um 11:37 Uhr
He, He,

vorm Einschlafen nicht noch ein Schnäpschen trinken, dann kommt man auch nicht auf solche Ideen. Ich träume da eher von anderen Dingen.

Gruß,
Arch Stanton
Bitte warten ..
Mitglied: sixoffive
16.01.2008 um 12:17 Uhr
Dank für die klare Antwort, der Knoten ist geplazt

Ich bin durch diese ganze Verbindungsdatenspeicherungsdebatte auf die Idee gekommen. Mir war klar das die Verbindungsdaten gespeichert werden egal welche IP Adresse ich habe.

Ich wollts Leuten die es auf meine IP abgesehen haben das Leben ein bischen schwieriger machen.
Als Anwendungsgebiet schwebte mir vor allem Aktivitäten in den Garuzonen des Internets vor. Ich hatte die Idee beim Lesen dieses Artikels ( http://www.spiegel.de/politik/ausland/0,1518,528377,00.html ). Ich wollte dem Terrorchef auch ein paar Fragen stellen, aber die Suchanfragen und vorallem die Verbindungen zu solch einer Seite würde bestimmt ruck-zuck bei irgendwelchen Geheimdiensten oder anders geartete Organistaionen landen.

Naja, muß ich halt doch Tor als default Browser nutzen.


Nochmals danke für Antworten
Bitte warten ..
Ähnliche Inhalte
Router & Routing
PfSense: 2x NAT zwischen versch. Netzen
Frage von mrserious73Router & Routing4 Kommentare

Hallo zusammen! Habe hier eine etwas merkwürdige Situation (soll aber leider so bleiben): Zwei versch. Netze im selben Gebäude, ...

LAN, WAN, Wireless

Sicheres WLAN-Netz per RADIUS Server aufsetzen

Frage von NullKommaNixLAN, WAN, Wireless4 Kommentare

Hallo werte Forenmitglieder, bisher war ich nur als stiller „Mitleser“ aktiv. Da ich nun aber auch mal eine etwas ...

Windows Server

Windows 2012 Server mit 2 Netzen auf NAS sichern

Frage von tsunamitsunamiWindows Server6 Kommentare

Hallo, ich habe eine Frage / Idee. Also ich habe ein kleines Domänen-Netzwerk mit 5 clients und einem win ...

Voice over IP

Voip hinter NAT

Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, derzeit habe ich eine FB5050 als DSL-Modem und NAT-Router. Dahinter ist ein TP-Link WRT841 der ebenfalls NAT macht. ...

Neue Wissensbeiträge
CPU, RAM, Mainboards
Neverending story
Tipp von keine-ahnung vor 22 StundenCPU, RAM, Mainboards1 Kommentar

Da kommt man mit dem fixen gar nicht mehr hinterher und die CPU erreichen wieder Rechenleistungen im Bereich des ...

Multimedia & Zubehör
AVM Fritz USB WLAN Sticks schneller einschalten
Tipp von NetzwerkDude vor 2 TagenMultimedia & Zubehör4 Kommentare

Die AVM Fritz WLAN Sticks haben in der Firmware 2 Modis: Einmal als Massenspeicher und einmal als WLAN Netzwerkkarte ...

Windows Server

Windows Server Backup schlägt fehl - Lösung 2008-2016

Tipp von BiGnoob vor 2 TagenWindows Server

Hi zusammen , ich möchte gerne einen Lösungstipp abgeben für folgenden Fehler: Lösung ist folgende:

Humor (lol)
Telekom vs. O2 - 3:2
Erfahrungsbericht von the-buccaneer vor 3 TagenHumor (lol)4 Kommentare

Unglaublich aber wahr: Nachdem mein privater Anschluss am 19.04.18 auf VOIP und VDSL umgestellt wurde, hatte ich seitdem 1,5 ...

Heiß diskutierte Inhalte
PHP
Nach Umzug zu 1und1 bekomme ich beim Eintrag in die DB Tabelle folgenden Fehler
gelöst Frage von jensgebkenPHP35 Kommentare

INSERT command denied to user 'dbo45342345342231244'@'112.127.102.073' for table 'orders'

Windows Userverwaltung
Problem mit Benutzerprofil
Frage von lieferscheinWindows Userverwaltung22 Kommentare

Guten Tag liebe Community, folgendes Problem habe ich: User meldet sich auf Client A an - sein Homelaufwerk verbindet. ...

Rechtliche Fragen
DSGVO - Impressum und Datenschutz auf Anmeldeseiten notwendig?
Frage von StefanKittelRechtliche Fragen20 Kommentare

Hallo, was mit gerade eingefallen ist. Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben? Auch hier wird ...

LAN, WAN, Wireless
Powerline über zwei Stockwerke optimieren
Frage von DultusLAN, WAN, Wireless12 Kommentare

Guten Morgen liebes Forum, ich hätte einmal eine Frage bezüglich Powerline Adapter: Mein Problem ist seit gestern präsent, da ...