Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ohne NAT sicherer im Netz?

Frage Netzwerke Netzwerkprotokolle

Mitglied: sixoffive

sixoffive (Level 1) - Jetzt verbinden

16.01.2008, aktualisiert 12:17 Uhr, 7676 Aufrufe, 8 Kommentare

Hallo,

gestern beim einschlafen kam mir ein komischer Gedanke: NAT ist ein Sicherheitsrisiko.

Hier mal die Gedankengänge die mir durch den Kopf gingen:

1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegeben
3. Ohne NAT würde meine interne IP bekannt gegeben
4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
5. Private IP Adressen werden nicht geroutet
6. Einfach nicht private Adressen im internen Netz verwenden

Bitte tut euch keinen Zwang an meine geistigen Ergüsse zu zerreißen. =)



Mit freundlichen Grüßen
ALex
Mitglied: catachan
16.01.2008 um 10:15 Uhr
da private adressen nicht geroutet werden müsstest du eine ip adresse aus dem öffentlichen pool nehmen. da hast du aber das problem dass die pakete die retour kommen an den richtigen besitzer der ip geroutet werden und nicht an dich. du kannst dir nicht einfach eine öffentliche ip nehmen. diese werden schließlichh zentral vergeben.

also funktioniert dein gedanke leider nicht
Bitte warten ..
Mitglied: sixoffive
16.01.2008 um 10:22 Uhr
jo, das war mir auch klar das es nicht so einfach ist eine öffentliche, nicht genutze IP Adresse zu finden (falls es überhaupt welche gibt).

Aber würde das bedeuten, das unter IPv6 (da gibts ja genug Adressen) oder wenn ich doch zufällig eine IPv4 Adresse finden würde, meine Idee funktionieren würde und ich somit meine IP Adresse in Foren oder Chatrooms "fälschen" kann?
Bitte warten ..
Mitglied: Netzheimer
16.01.2008 um 10:23 Uhr
Deine Adresse extern wird vermutlich auf nochmal vom Betreiber / Anbieter geNATet. Überleg mal, wieviele Leute der Provider über seine Leitung (IP) ins Internet lässt.

Der Router bekommt ja seine IP nach extern vom Provider zugewiesen. Wie soll der Router denn eine IP bekommen. Nimmst du eine vergebene IP gibts außerdem einen Adressenkonflikt.
Bitte warten ..
Mitglied: catachan
16.01.2008 um 10:35 Uhr
Deine Adresse extern wird vermutlich auf
nochmal vom Betreiber / Anbieter geNATet.
Überleg mal, wieviele Leute der Provider
über seine Leitung (IP) ins Internet
lässt.

Der Router bekommt ja seine IP nach extern
vom Provider zugewiesen. Wie soll der Router
denn eine IP bekommen. Nimmst du eine
vergebene IP gibts außerdem einen
Adressenkonflikt.

das glaube ich eher nicht. wenn es ein halbwegs großer provider ist, dann bekommt man auch eine offizielle ip adresse aus seinem range.

das mit ipv6 würde theoretisch funktionieren, aber nat ist nebenbei eher ein security feature als eine sicherheitslücke. denn die verbindung wird vom client zum server aufgebaut und dabei die source ip des clients in einer nat tabelle am router eingetragen. gibt es so einen eintrag nicht weil der client eben keine verbindung aufgebaut hat, so ist es einem externen rechner nicht möglich direkt zum client zu connecten
Bitte warten ..
Mitglied: aqui
16.01.2008 um 10:43 Uhr
//1. NAT übersetzt meine interne Netz Adresse (z.B. 192.168.1.2) in die Adresse die mein Router vom ISP bekommen hat (z.B. 80.123.45.3)
  • Richtig !

2. Die Adresse vom Router wird im Internet auf allen Websites die ich besuche bekannt gegebe n
  • Richtig !

3. Ohne NAT würde meine interne IP bekannt gegebe n
  • Falsch !! Das ist unmöglich, denn wie du sicher selber weisst sind 192.168.x.x RFC 1918 Adressen die im Internet nicht geroutet werden sondern gleich beim Provider in den Datenmülleimer verfrachtet werden. Wenn du nicht weisst was RFC 1918 IP Adressen sind empfiehlt sich diese Lektüre [http:de.wikipedia.org/wiki/Private_IP-Adresse HIER]

4. Die interne IP könnte jeder haben ergo ich bin nicht mehr eindeutig im Internet identifizierbar, angreifbar
  • Falsch !! Eine IP Adresse muss weltweit eindeutig sein in einem öffentlichen Netzwerk was Internet Adressen auch sind..keine Frage. Vergleiche es mit dem Postboten: Gäbe es deinen Namen, Wohnort und Straße mit Hausnummer 10 mal oder mehr auf der Welt wäre ein Zustellen von Briefen an dich unmöglich.

5. Private IP Adressen werden nicht geroutet
  • Richtig ! (Siehe Punkt 3. und 4.)

6. Einfach nicht private Adressen im internen Netz verwenden
  • Theoretisch richtig, funktioniert aber nicht, da Provider in ihrem Netz nur die ihnen von der IANA zugeteilten IP Adressblöcke nutzen, alles andere wird gnadenlos rausgefiltert. Dazu gehören auch Adressen die dir nicht zugeteilt sind. Auf diese Idee von dir sind natürich Jahre vorher schon andere gekommen und das wird wirksam unterbunden

@Netzheimer
Innerhalb eines Providernetzes wird natürlich nichts mehr geNATtet, denn sonst würden keine VPN Verbindungen, Multicasts und anderes mehr funktionieren, die (und andere Protokolle auch) sind über NAT nicht übertragbar. Ausnahme sind einige UMTS Provider wie z.B. O2 die ihre UMTS Funknetze in einem privaten IP Bereich betreiben und diese dann ins Internet NATen. Was dann auch zu den bekannten Problemen mit VPN Verbindungen im O2 UMTS Netz führt Letztlich wird sich das mit der kommenden Einführung von IPv6 aber ändern, denn dann hat jedes Handy und jeder Toaster seine IP Adresse und das weltweit.
Bitte warten ..
Mitglied: Dani
16.01.2008 um 10:54 Uhr
Hi Alex,

zu 1.) Siehst du richtig
zu 2.) Richtig
zu 3.) Jein, je nachdem. Wenn du eine aus den Privaten Pool hast (10.x.x.x, 172.16.x.x-172.32.x.x, 192.168.x.x) wird die IP am BBRAR verworfen bzw. gedropped. Und zwar ohne Ausnahme / Ausnahmen. Das ist die Pflicht von jeden ISP!
Wenn du NAT am Laufen hast und im LAN öffentliche IP-Adressen verwendest (z.b. Micrsoft Pool C - lass A Netz) gibt es trotzdem keine Probleme. Wenn du nun NAT ausschaltet, kann es gut sein dass alle Anfragen auf einemal zu dir geroutet werden und dann kommt ein großes Problem auf dich zu. Darum kann man auf vielen 0815 Routern das NAT nicht deaktivieren!!

zu 4.) Richtig
zu 5.) Richtig - siehe 3.)
zu 6.) Und warum?

@catachan
>pakete die retour kommen an den richtigen besitzer der ip geroutet werden und nicht an dich.
Es kann gut auch dazu kommen, dass die Pakete dann an ihn geschickt werden und nicht mehr an die richtige "legale" Adresse.

@Netzheimer
GELÖSCHT - siehe letzten Zeilen bei "aqui".


Grüße
Dani
Bitte warten ..
Mitglied: Arch-Stanton
16.01.2008 um 11:37 Uhr
He, He,

vorm Einschlafen nicht noch ein Schnäpschen trinken, dann kommt man auch nicht auf solche Ideen. Ich träume da eher von anderen Dingen.

Gruß,
Arch Stanton
Bitte warten ..
Mitglied: sixoffive
16.01.2008 um 12:17 Uhr
Dank für die klare Antwort, der Knoten ist geplazt

Ich bin durch diese ganze Verbindungsdatenspeicherungsdebatte auf die Idee gekommen. Mir war klar das die Verbindungsdaten gespeichert werden egal welche IP Adresse ich habe.

Ich wollts Leuten die es auf meine IP abgesehen haben das Leben ein bischen schwieriger machen.
Als Anwendungsgebiet schwebte mir vor allem Aktivitäten in den Garuzonen des Internets vor. Ich hatte die Idee beim Lesen dieses Artikels ( http://www.spiegel.de/politik/ausland/0,1518,528377,00.html ). Ich wollte dem Terrorchef auch ein paar Fragen stellen, aber die Suchanfragen und vorallem die Verbindungen zu solch einer Seite würde bestimmt ruck-zuck bei irgendwelchen Geheimdiensten oder anders geartete Organistaionen landen.

Naja, muß ich halt doch Tor als default Browser nutzen.


Nochmals danke für Antworten
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Informationsdienste
NSA-Ausschuss: Wikileaks stellt 90 Gigabyte an Akten ins Netz (2)

Link von Frank zum Thema Informationsdienste ...

DSL, VDSL
DSL-Störung im Telekom-Netz (6)

Link von sabines zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...