Philipp Hasenfratz: NAT, DSL, Routing

Halihallo alle

In meinen Incoming-Log-Files (Access-Control-Log) des Routers ist
mir etwas aufgefallen, was ich mir ggf. erklären kann, mir jedoch
nicht sicher bin...

Ich komme privat über einen Router mit ADSL bei Bluewin ins Internet.
Grundsätzlich arbeiten IMO beide mit NAT. Mit anderen Worten: Auch
wenn jemand meine aktuelle IP kennt, kommt er nur bis, aber nicht
durch den Router (es sei denn, die Verbindung wurde von mir
geöffnet).

Thema Nr. 1: IP-Adresse: Bei ADSL gibt es zum einen das Angebot einer
staatischen IP-Adresse, welches ich nicht habe und zum anderen das
Angebot der dynamischen Adresse, welches "standard" ist. Ist nun bei
dem ADSL-Angebot mit dynamischer Adresse die aktuelle IP-Adresse
ausschliesslich nur für "mich", oder teile ich die IP-Adresse (NAT)
mit anderen? - Falls ich sie über NAT mit anderen Teile, sollte
jemand der meine IP-Adresse anpingt nur bis zu Bluewin kommen und
nicht einmal bis zu meinem Router. Nun, da ich in meinen Incoming-
Log-File einige Zugriffe habe, würde ich mal behaupten, dass meine
aktuelle IP-Adresse wirklich nur mir zugeweisen ist, ansonsten dürfte
es theoretisch gar keine Zugriffe bis zu meinem Router geben.

Thema Nr. 2: Falls ich also wirklich eine eigene, zwar dynamische,
aber immer noch eigene IP-Adresse habe, so steht in der Theorie
dass niemand zu einem meiner Rechner durchbrechen kann, da ich beim
Router keinen Portforwarding aktiviert habe (mit anderen Worten,
jedes Packet, welches nicht eine Antwort auf meine
Verbindungstransmission nach Aussen ist, wird abgeblockt).
Nun gut, falls ich eine Verbindung nach Aussen öffne, geht der
Request zum Router, der wählt einen Port im hohen Adressraum (z.B.
31497) und hält diesen offen, denn ein Packet das an diesen Port
gelangen wird, ist die Antwort auf meinen Request und der Router
weiss dann von welchem Computer aus im lokalen Netzwerk der Request
ausging und leitet das Packet dorthin weiter (der TCP-Stack des
Systems leitet das Ding dann an die Anwendungssoftware, wie Browser
weiter). OK, falls ich nun mit meinem Browser auf ein serverseitiges
Programm irgendeines Rechners zugreife, kann von dort aus nicht nur
meine IP-Adresse, sondern auch der Port ausgelesen werden. Es müsste
möglich sein ein Datenpacket an mich zu senden, welches
u.U. ein Bug im System TCP-Stack ausnutzt um z.B. ein "Segfault" zu
erreichen und somit mein TCP-Stack automatisch zu killen
(meinetwegen sogar Systembefehle abzusetzen), was dazu führen würde,
dass ich nicht mehr ins Internet/Netzwerk kann ohne den Computer neu
zu starten. Und das trotz Firewall und (ggf. zweifachem) NAT. Wäre
das theoretisch (praktisch wird's etwas mühsam, denn die System TCP-
Stacks sollten eigentlich ziemlich Absturzsicher sein) möglich?

Kurz zusammengefasst interessiert mich folgende Frage:
Kann jemand - mit Kenntnis meiner (bzw. die des Routers) aktuellen
IP-Adresse und Port-Nummer (NAT) - durch den Router bis zu meinem
Computer "durchbrechen"?

Theoretisch könnte ja jemand meine IP-Adresse im Logfile sehen und
dann einfach jeden der 65536 Ports anpingen und das vermeindlich
böse Datenpacket versuchen bei mir einzuschleusen, vielleicht hat
er Erfolg (ich muss einfach dicke am Surfen sein und eine sau
schnelle Internetverbindung haben...).

Ich fand in meinem "Access-Control-Log" (so heisst das Ding) einfach
jeden Tag mal ein, zwei Zugriffe von irgendwelchen IP-Adressen aus
dubiosen Ländern, die irgendwie auf mal hohe, mal niedere TCP-Ports
zugriffen (keine Standard-Service-Ports, sondern z.B. Port:30734).
Mich würde schon interessieren, ob die bis zu meinem Computer
durchdringen können, oder nicht... Ach ja, normale Antworten von den
Ziel-rechnern zu denen ich gesurft bin können es nicht sein, da ich
-wie gesagt- nur ca. ein bis zwei derartige Zugriffe pro Tag
verzeichne, jedoch ungleich mehr surfe :-)

Würde mich freuen, wenn jemand ein, zwei schlaue Antworten auf die
eine oder andere Frage/Aussage hätte, die mich in meinen Thesen
entweder bestätigen oder wiederlegen, sprich: schlauer machen :-)

Viele Grüsse

Philipp

  1. Ist nun bei
    dem ADSL-Angebot mit dynamischer Adresse die aktuelle IP-Adresse
    ausschliesslich nur für "mich", oder teile ich die IP-Adresse (NAT)
    mit anderen?

    Sofern die Deinem DSL-Modem zugewiesene Adresse nicht in den Bereichen 192.168.x.x, 172.y.x.x (11-Bit-Maske) oder 10.x.x.x liegt, ist diese Adresse ausschließlich für Dich.

    Kann jemand - mit Kenntnis meiner (bzw. die des Routers) aktuellen
    IP-Adresse und Port-Nummer (NAT) - durch den Router bis zu meinem
    Computer "durchbrechen"?

    Ja, allerdings müsste er dafür noch die Adresse des Servers kennen, zu dem die Verbindung des angegriffenen Ports gehört (oder der Server greift Dich direkt an). Wenn eine Verbindung zwischen 1 und 2 besteht, sollte die Netzwerksoftware keine ein Pakete von 3 akzeptieren (es sei denn, der Absender wurde gefälscht).

    Darüber hinaus führen vernünftige Firewalls eine Stateful Packet Inspection durch, um sicherzustellen, dass das Paket auch in den aktuellen Kontext passt.

    Und zu guter Letzt wäre noch anzumerken, dass mit manipulierten Paketen als erstes der Router zum Absturz gebracht wird. Am angeschlossenen Computer können höchstens noch die transportierten Daten unheil anrichten.

    1. Halihallo

      Ist nun bei
      dem ADSL-Angebot mit dynamischer Adresse die aktuelle IP-Adresse
      ausschliesslich nur für "mich", oder teile ich die IP-Adresse (NAT)
      mit anderen?

      Sofern die Deinem DSL-Modem zugewiesene Adresse nicht in den Bereichen 192.168.x.x, 172.y.x.x (11-Bit-Maske) oder 10.x.x.x liegt, ist diese Adresse ausschließlich für Dich.

      Das verstehe ich jetzt nicht. Die von dir genannten Adressräume sind
      lediglich für lokale Netzwerke. Sobald ein Netzwerktaugliches Gerät
      ins Internet verbindet, muss es zwingend eine andere Adresse haben.
      Mein Router hat nur von innerhalb des Netzwerkes eine 192.168-er
      Adresse, von Aussen her "hat er" eine Bluewin-IP, wobei diese nicht
      staatisch eingetragen werden musste (sie ist ja dynamisch). Oder
      kann man aus dieser Erkärung bereits folgern, dass die IP nicht
      ausschliesslich mir zugewiesen ist.

      Kann jemand - mit Kenntnis meiner (bzw. die des Routers) aktuellen
      IP-Adresse und Port-Nummer (NAT) - durch den Router bis zu meinem
      Computer "durchbrechen"?

      Ja, allerdings müsste er dafür noch die Adresse des Servers kennen, zu dem die Verbindung des angegriffenen Ports gehört (oder der Server greift Dich direkt an). Wenn eine Verbindung zwischen 1 und 2 besteht, sollte die Netzwerksoftware keine ein Pakete von 3 akzeptieren (es sei denn, der Absender wurde gefälscht).

      Aha, NAT speichert in der Routing-Tabelle also nicht nicht nur den
      Computer innerhalb des Netzwerkes, sondern auch die Ziel-IP:Port und
      prüft diese gegen. Gut, wäre eigentlich auch schlimm andernfalls.

      Und zu guter Letzt wäre noch anzumerken, dass mit manipulierten Paketen als erstes der Router zum Absturz gebracht wird. Am angeschlossenen Computer können höchstens noch die transportierten Daten unheil anrichten.

      OK.

      Als kurze Zusammenfassung kann ich also mit halbwegs gutem Gewissen
      sagen, dass keiner bis zu meinem Rechner durchgedrungen ist, sondern
      vom Router gleich abgewiesen wurde, wie sich das gehört und wie ich
      angenommen habe.

      Viele Grüsse und Danke

      Philipp

      1. Sofern die Deinem DSL-Modem zugewiesene Adresse nicht in den Bereichen 192.168.x.x, 172.y.x.x (11-Bit-Maske) oder 10.x.x.x liegt, ist diese Adresse ausschließlich für Dich.

        Das verstehe ich jetzt nicht. Die von dir genannten Adressräume sind lediglich für lokale Netzwerke.

        Ja, aber wer sagt denn, dass "lokal" gleichbedeutend mit "zu Hause" sein muss? Genauso wie Du zu Hause ein privates Netzwerk aufbauen kannst, könnte auch Dein Provider ein privates Netzwerk seiner DSL-Kunden aufbauen. Nicht, dass das bei öffentlichen Internet-Providern der Fall wäre (eher schon bei Firmennetzwerken mit Heimarbeitern und Außendienstlern), aber das ist alles nur eine Sache der Sichtweise.