1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: IPv6 ist noch nicht…

Warum trägt NAT nicht zur Sicherheit bei?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum trägt NAT nicht zur Sicherheit bei?

    Autor: SoniX 01.12.11 - 16:01

    Hi,

    Ich lese es immer wieder, aber weiß einfach nicht warum. Deshalb frage ich euch:

    Warum trägt NAT nicht zur Sicherheit bei?

    Meiner bescheidenen Meinung nach, tut man sich schon schwerer in ein Netzwerk einzudringen, welches NAT verwendet. Ganz einfach darum, weil man die Endadressen nicht direkt ansteuern kann. Es gibt nur eine nach aussen sichtbare IP.. das 192.168 Gedöns dahinter kann man aber nicht ansteuern. Egal was ich von Aussen tue, ich lande nicht beim entsprechenden Endgerät sondern einfach nur beim Router...

    Ich sehe das schon als Sicherheitsgewinn.

  2. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: Dumpfbacke 01.12.11 - 16:23

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Hi,
    >
    > Ich lese es immer wieder, aber weiß einfach nicht warum. Deshalb frage ich
    > euch:
    >
    > Warum trägt NAT nicht zur Sicherheit bei?
    >
    > Meiner bescheidenen Meinung nach, tut man sich schon schwerer in ein
    > Netzwerk einzudringen, welches NAT verwendet. Ganz einfach darum, weil man
    > die Endadressen nicht direkt ansteuern kann. Es gibt nur eine nach aussen
    > sichtbare IP.. das 192.168 Gedöns dahinter kann man aber nicht ansteuern.
    > Egal was ich von Aussen tue, ich lande nicht beim entsprechenden Endgerät
    > sondern einfach nur beim Router...
    >
    > Ich sehe das schon als Sicherheitsgewinn.
    In einem anderen Beitrag wurde diese Seite verlinkt:
    http://blog.koehntopp.de/archives/2982-NAT-ist-kein-Sicherheitsfeature.html

    Das Problem ist demnach ganz simpel: Ein interner PC stellt eine Anfrage, der Router merkt sich die Anfrage vom PC, biegt sie auf die externe IP um und schickt die Anfrage auf einem zufälligen Port raus. Jetzt entsteht das Problem: Kommt auf diesen Port ein Paket rein, egal ob es die erwartete Antwort ist oder von einer ganz anderen IP wird es einfach weitergeleitet. Es fehlt die Überprüfung, ob die externe IP die angesprochene war.

    Meinem Verständnis nach wird dieses Problem bei den heutigen Routern durch SPI ( http://de.wikipedia.org/wiki/Stateful_Packet_Inspection ) gelöst, aber dazu hat bisher keiner geantwortet.

    mfg

  3. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: SoniX 01.12.11 - 16:37

    Danke für den link, fand ich interessant.

    Aber so ganz wurde mein Fragezeichen im Kopf nicht gestillt.

    zB wird beschrieben, dass es zu Problemen kommen kann da der Router nicht die Absendeadresse der Antwort überprüft und eigentlich jeder diese Antwort schicken könnte. Das klingt mal logisch, aber gleich im nächsten Satz wird von symetrischen NAT gesprochen, welches das Problem nicht haben soll.

    Und besteht dieses Problem nicht auch genauso bei IPv6, welches ja ohne NAT funktionieren soll?
    Wenn man da keine Firewall (SPI) hat, dann wird doch auch alles direkt ans Gerät weitergeleitet?

    Ich bin verwirrt... irgendwie denke ich nun mehr als zuvor, dass NAT was Gutes sei :-?


    Edit: Ich glaub der Knopf im Hirn hat sich endlich gelöst. Ohne SPI ist weder NAT noch IPv6 von Haus aus sicher.



    1 mal bearbeitet, zuletzt am 01.12.11 16:41 durch SoniX.

  4. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: bitshift 01.12.11 - 17:12

    Dumpfbacke schrieb:
    --------------------------------------------------------------------------------
    > > Ich sehe das schon als Sicherheitsgewinn.
    > In einem anderen Beitrag wurde diese Seite verlinkt:
    > blog.koehntopp.de
    >
    > Das Problem ist demnach ganz simpel: Ein interner PC stellt eine Anfrage,
    > der Router merkt sich die Anfrage vom PC, biegt sie auf die externe IP um
    > und schickt die Anfrage auf einem zufälligen Port raus. Jetzt entsteht das
    > Problem: Kommt auf diesen Port ein Paket rein, egal ob es die erwartete
    > Antwort ist oder von einer ganz anderen IP wird es einfach weitergeleitet.
    > Es fehlt die Überprüfung, ob die externe IP die angesprochene war.
    >
    > Meinem Verständnis nach wird dieses Problem bei den heutigen Routern durch
    > SPI ( de.wikipedia.org ) gelöst, aber dazu hat bisher keiner geantwortet.

    Das hat nichts mit "heutigen" Routern zu tun, sondern nur damit, dass darauf meist ein zustandsorientierter Paketfilter (=stateful firewall) rennt. SPI = Firewalltechnologie. NAT != Firewall.

    "SPI" ist die Aktion, die eine statefull Firewall (auf deutsch: zustandsorientierte Paketfilter) durchführt (im unterschied zu einer stateless Firewall).
    Wenn ein Router schon NAT macht, dann ist eine stateful Firewall mit SPI natürlich ohne großen Aufwand implementierbar, denn schließlich liegen die Connection Tracking Daten ja schon vor.

    Les' mal Seite 39ff, 75ff und 94ff dieses Buches:
    http://books.google.com/books?id=Wxc5z11BOBAC&printsec=frontcover&dq=Linux-Firewalls - Dort wird das ziemlich gut erklärt.

    Edit: Typos.



    2 mal bearbeitet, zuletzt am 01.12.11 17:16 durch bitshift.

  5. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: tunnelblick 01.12.11 - 17:38

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Hi,
    >
    > Ich lese es immer wieder, aber weiß einfach nicht warum. Deshalb frage ich
    > euch:
    >
    > Warum trägt NAT nicht zur Sicherheit bei?
    >
    > Meiner bescheidenen Meinung nach, tut man sich schon schwerer in ein
    > Netzwerk einzudringen, welches NAT verwendet. Ganz einfach darum, weil man
    > die Endadressen nicht direkt ansteuern kann. Es gibt nur eine nach aussen
    > sichtbare IP.. das 192.168 Gedöns dahinter kann man aber nicht ansteuern.
    > Egal was ich von Aussen tue, ich lande nicht beim entsprechenden Endgerät
    > sondern einfach nur beim Router...


    Das ist bei einer Firewall aber auch nicht anders. viele tun so als ob es nur nat gäbe auf der Welt. Dem ist aber natürlich nicht so.

    > Ich sehe das schon als Sicherheitsgewinn.

    Ist es aber nicht. Es ist maximal Masquerading.

  6. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: markFreak 02.12.11 - 00:39

    NAT, das System der privaten Adressen etc. wurden nicht als Sicherheitsfeature entwickelt, sondern deswegen, weil man gemerkt hat, dass der Adressraum von IPv4 in absehbarer Zeit nicht mehr ausreichen würde, um Endgeräte im Internet mit IP-Adressen zu versorgen. Mit NAT & Co. konnte man diesen Zeitpunkt, an dem alle IPv4-Adressen verteilt sein würden, noch etwas nach hinten schieben, um mehr Zeit zu haben, eine Alternative zu entwickeln, namentlich IPv6.
    Man ist am Anfang sehr sorglos mit der Vergabe von IP-Adressen umgegangen, weil damals niemand ahnen konnte, dass das Internet einmal so abgehen würde. Z.B. wurde der gesamte 127-Adressraum als local host-Adresse definiert, von 127.0.0.1 bis 127.255.255.254, es wurden also über 16.000 mögliche IP-Adressen verschenkt. Man hat daraus gelernt und bei IPv6 nur eine Adresse als Loopback-Adresse definiert, was ja auch völlig ausreicht, nämich ::1 .

  7. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: Casandro 02.12.11 - 08:26

    Ein ganz praktisches Beispiel wo man manche NAT-Systeme austricksen kann ist das Parsen der Protokolle. Bei bestimmten häufig verwendeten Protokollen wie FTP müssen auch eingehende Verbindungen funktionieren. Somit kann der Server dann beliebige Tunnel zu Rechnern im Internen Netz aufbauen. Da es sehr viele Protokolle gibt, die so ein NAT Router kennen muss, ist es wahrscheinlich dass man da was findet. Man sucht nur selten danach, weil das Einfallstor Internet Explorer oder Flash-Plugin einfach doch noch größer und einfacher ausnutzbar ist.

    Bei IPv6 hingegen hat jeder Rechner (mindestens) 3 IP-Adressen. Eine die Rechnerlokal ist, eine die nur im LAN gültig ist, und eine die global gültig ist. Will man einen Port im "Listen"-Modus aufmachen, so gibt man dem als Parameter an welche Adresse(n) er lauschen soll.

  8. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: SoniX 02.12.11 - 13:32

    Kann man NAT denn auch mit IPv6 verwenden? Golem schreibt irgendwie so, als ob das nicht ginge...

    Wenn ich unterwegs bin, bin ich froh mir meine IP4 Adresse zu merken. Diese ist dann gesplittet je nach Service zum bestimmten Endgerät. Webserver zB leitet auf dieses Adresse um, FTP auf ne andere. Aber ich muss mir nur eine IP merken.

    Wenn ich nun IPv6 hätte, ist alleine schon die Adresse länger und dann hat noch jedes Gerät eine eigene. Wie kann man sich das noch merken?

    Und irgendwie hat das auch nen schalen Beigeschmack.
    Bisher hatte ich nach aussen eine Adresse. Der Provider hat keine Ahnung was ich in meinem Netz mache. Er sieht nur den Router. Mehr hat ihn auch nicht zu interessieren.

    Bei IPv6 sieht er dann jedes Gerät welches ich im Netz habe oder?
    Es sieht eine PS3, er sieht meinen Server, er sieht meine PCs,... weil jedes von ihm ne IP Adresse bekommt. Liege ich da richtig?

    Und naja.. zuguterletzt:
    Selbst mein 6Monate alter Router beherrscht kein IPv6, mein Provider bietet kein IPv6, meine PCs beherrschen kein IPv6, mein Mobiltelefon ebenfalls nicht, ...

    Wie sollte ich es überhaupt einsetzen wenn ich wollte? ^^

    Wenn die nun hart auf IPv6 umstellen würden ohne IP4 weiter zu unterstützen wäre ich komplett abgeschnitten. Und wahrscheinlich nicht nur ich...

    Ich kann mich mit IPv6 einfach nicht anfreunden.. sry
    Denn ausser mehr verfügbare Adressen bringt es mir nur negatives.

  9. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: SoniX 02.12.11 - 13:37

    Casandro schrieb:
    --------------------------------------------------------------------------------
    > Ein ganz praktisches Beispiel wo man manche NAT-Systeme austricksen kann
    > ist das Parsen der Protokolle. Bei bestimmten häufig verwendeten
    > Protokollen wie FTP müssen auch eingehende Verbindungen funktionieren.
    > Somit kann der Server dann beliebige Tunnel zu Rechnern im Internen Netz
    > aufbauen. Da es sehr viele Protokolle gibt, die so ein NAT Router kennen
    > muss, ist es wahrscheinlich dass man da was findet. Man sucht nur selten
    > danach, weil das Einfallstor Internet Explorer oder Flash-Plugin einfach
    > doch noch größer und einfacher ausnutzbar ist.

    Okay NAT ist kein Sicherheitsfeature.

    > Bei IPv6 hingegen hat jeder Rechner (mindestens) 3 IP-Adressen. Eine die
    > Rechnerlokal ist, eine die nur im LAN gültig ist, und eine die global
    > gültig ist. Will man einen Port im "Listen"-Modus aufmachen, so gibt man
    > dem als Parameter an welche Adresse(n) er lauschen soll.

    IPv6 ist kompliziert.........

  10. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: markFreak 03.12.11 - 21:46

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Kann man NAT denn auch mit IPv6 verwenden? Golem schreibt irgendwie so, als
    > ob das nicht ginge...

    Ist nicht vorgesehen. NAT ist nie als Sicherheitsfeature gedacht gewesen, siehe mein Post weiter oben.

    > Wenn ich unterwegs bin, bin ich froh mir meine IP4 Adresse zu merken. Diese
    > ist dann gesplittet je nach Service zum bestimmten Endgerät. Webserver zB
    > leitet auf dieses Adresse um, FTP auf ne andere. Aber ich muss mir nur eine
    > IP merken.
    >
    > Wenn ich nun IPv6 hätte, ist alleine schon die Adresse länger und dann hat
    > noch jedes Gerät eine eigene. Wie kann man sich das noch merken?

    IP-Adressen sind nicht dafür gedacht, dass man sie sich merken muss, dafür gibt es DNS.

    > Und irgendwie hat das auch nen schalen Beigeschmack.
    > Bisher hatte ich nach aussen eine Adresse. Der Provider hat keine Ahnung
    > was ich in meinem Netz mache. Er sieht nur den Router. Mehr hat ihn auch
    > nicht zu interessieren.

    Was heißt hier "nur"? Wenn Du nichts eingestellt hast, nutzt Du die DNS-Server Deines ISPs, d.h., er kann genau sehen, auf welchen Seiten Du surfst und was Du sonst noch online tust.

    > Bei IPv6 sieht er dann jedes Gerät welches ich im Netz habe oder?
    > Es sieht eine PS3, er sieht meinen Server, er sieht meine PCs,... weil
    > jedes von ihm ne IP Adresse bekommt. Liege ich da richtig?

    Richtig.

    > Und naja.. zuguterletzt:
    > Selbst mein 6Monate alter Router beherrscht kein IPv6, mein Provider bietet
    > kein IPv6, meine PCs beherrschen kein IPv6, mein Mobiltelefon ebenfalls
    > nicht, ...
    >
    > Wie sollte ich es überhaupt einsetzen wenn ich wollte? ^^
    >
    > Wenn die nun hart auf IPv6 umstellen würden ohne IP4 weiter zu unterstützen
    > wäre ich komplett abgeschnitten. Und wahrscheinlich nicht nur ich...

    Windows Vista und Windows 7 beherrschen von Haus aus IPv6, bei Windows XP kann man das nachinstallieren, dauert keine Minute. In absehbarer Zeit muss jeder ISP auf IPv6 umstellen, daher denke ich, dass sie ihren Kunden entsprechende Router zur Verfügung stellen. Moderne Smartphones beherrschen IPv6, zudem gibt es 6to4-transition-Technologien.

    > Ich kann mich mit IPv6 einfach nicht anfreunden.. sry
    > Denn ausser mehr verfügbare Adressen bringt es mir nur negatives.

    Was heißt hier "außer"? Mehr verfügbare IP-Adressen ist der Hauptgrund für die Entwicklung von IPv6 gewesen, und wenn Du auch in Zukunft online gehen willst, mit was für einem Gerät auch immer, dann geht es nicht mehr mit einer IPv4-Adresse, weil eben keine mehr zum neu Vergeben mehr da sind, seit Januar diesen Jahres nicht mehr. Momentan müssen die ISPs mit den Adressen haushalten, die sie haben, neue IPv4-Adressen sind nicht mehr beantragbar, nur noch in Ausnahmefällen.

  11. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: SoniX 03.12.11 - 22:43

    markFreak schrieb:
    --------------------------------------------------------------------------------
    > Ist nicht vorgesehen. NAT ist nie als Sicherheitsfeature gedacht gewesen,
    > siehe mein Post weiter oben.

    Ja, aber ich meine ja nicht wg der Sicherheit, sondern zur Abgrenzung meines Netzes Zuhause. Geht also nicht :-/

    > IP-Adressen sind nicht dafür gedacht, dass man sie sich merken muss, dafür
    > gibt es DNS.

    Nicht dazu gedacht... Und trotzdem kann ich sie mir merken.
    DNS.. joa klar. Registrier ich mir für jedes meiner Endgeräte dann ne Domain?
    Kost ja nix... Das wird dann ja n riesen Fest für die Registrare.

    Ja, ich weiß, gibts auch gratis. Aber wenn der Gratisdienst dann mal offline ist, kann ich auf keins meiner Geräte zugreifen, da diese Dienste ja keinen Eintrag im DNS machen sondern selbst weiterleiten. :-/

    > Was heißt hier "nur"? Wenn Du nichts eingestellt hast, nutzt Du die
    > DNS-Server Deines ISPs, d.h., er kann genau sehen, auf welchen Seiten Du
    > surfst und was Du sonst noch online tust.

    Ich meinte er sieht nicht welche und wieviele Geräte ich habe und auch nicht wann ich welche verwende. Ausserdem verwende ich nicht den DNS meines Providers ;-)

    > > Bei IPv6 sieht er dann jedes Gerät welches ich im Netz habe oder?
    > > Es sieht eine PS3, er sieht meinen Server, er sieht meine PCs,... weil
    > > jedes von ihm ne IP Adresse bekommt. Liege ich da richtig?
    >
    > Richtig.

    Gefällt mir nicht, will ich nicht.
    Es geht meinen Provider einfach nichts an, wann ich welche Geräte wie lange anmache.

    > Windows Vista und Windows 7 beherrschen von Haus aus IPv6, bei Windows XP
    > kann man das nachinstallieren, dauert keine Minute. In absehbarer Zeit muss
    > jeder ISP auf IPv6 umstellen, daher denke ich, dass sie ihren Kunden
    > entsprechende Router zur Verfügung stellen. Moderne Smartphones beherrschen
    > IPv6, zudem gibt es 6to4-transition-Technologien.

    Mein WebOS Handy ist nun 2 Monate alt und kann kein IPv6. Mein Router ist 6 Monate alt, kann auch kein IPv6. In der Firma setzen wir Windows 2000 ein, kann auch kein IPv6....

    Gut.. XP kann man scheinbar nachrüsten. Aber das ist ein geringer Trost.

    > Was heißt hier "außer"? Mehr verfügbare IP-Adressen ist der Hauptgrund für
    > die Entwicklung von IPv6 gewesen, und wenn Du auch in Zukunft online gehen
    > willst, mit was für einem Gerät auch immer, dann geht es nicht mehr mit
    > einer IPv4-Adresse, weil eben keine mehr zum neu Vergeben mehr da sind,
    > seit Januar diesen Jahres nicht mehr. Momentan müssen die ISPs mit den
    > Adressen haushalten, die sie haben, neue IPv4-Adressen sind nicht mehr
    > beantragbar, nur noch in Ausnahmefällen.

    Es sieht nicht so aus als ob diese Haushalten müssten. An jeder Strassenecke werden einem UMTS Sticks nachgeworfen, ich kann mir bei meinem Provider auch 100 Adressen holen wenn ich lustig bin. Preise gehen auch nicht hoch.. irgendwas stimmt da nicht......

    Ja "ausser". Klar gibt es dann weit mehr Adressen. Aber mit vielen Nachteilen.

    Wie funktioniert eigentlich dann folgende Situation:
    Nun kann ich, wenn ich das so will, einfach das Kabel zum Provider hin abziehen.
    Ich habe dann weiterhin mein internes Netz und kann problemlos weiterarbeiten.

    Wenn ich nun IPv6 hätte und mir der Provider alle Adressen vergibt und dieser ausfällt: Funktioniert dann mein internes Netz weiterhin? Oder muss ich dann einen DHCP Client einrichten, der mir einstweilen andere Adressen vergibt?

    Alles in allem: Murks, Kompliziert, Schwachsinnig.

    Sorry...

    Man hätte auch auf Kompatibilität achten können.
    Echt kein Wunder, dass es sich nicht durchsetzt. Wundert mich echt nichtmehr.

    Man sollte es über den Haufen werfen und es nochmals richtig machen.

  12. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: markFreak 04.12.11 - 02:00

    Anscheinend kapierst Du nicht, wie die Sache mit den IP-Adressen funktioniert: Jeder ISP bekommt einen bestimmten Adressraum zugeteilt, aus diesem Pool an Adressen versorgt er seine Kunden, diese Adressen werden unter den Geräten ständig gewechselt und "re-cycled", aber es kommen keine neuen Adressen dazu. Daher ist es Unsinn, zu glauben, dass bei jedem verkauften UMTS-Stick automatisch eine völlig neue IP-Adresse generiert wird. In Funknetzen werden IP-Adressen genauso verteilt wie sonst auch. Allerdings sind die Funknetze meist "ge-NAT-ed", das Netz verteilt also keine öffentlichen IP-Adressen, sondern private, die per NAT durch den jeweiligen ISP ins Internet geroutet werden.

    Die "Abgrenzung" Deines Netzes zu Hause ist nur ein Nebeneffekt von NAT, der Sinn ist, dass IP-Adressen durch die Einführung von privaten Adressen und damit NAT gespart werden; IPv6 bietet so viele Adressen, dass nicht mehr gespart werden muss. Wie ich schon gesagt habe, gibt es diverse 6to4-Technologien.

    Nein, Du kannst als Privatmensch keine 100 (öffentliche) Adressen bei Deinem ISP bestellen, und als Firma oder Organisation musst Du nachweisen, dass Du definitiv so viele brauchst.

    WebOS ist so gut wie tot, HP will das nicht mehr weiter entwickeln, daher brauchen diese Geräte kein IPv6 unterstützen, weil es sowieso keine neuen Geräte mehr geben wird. Wie ich schon weiter oben gesagt habe, werden die ISPs neue Router verteilen, wenn es soweit ist.

    Wer heute noch mit Windows 2000 arbeitet, der hat den Schuss nicht gehört, die Admins in Deiner Arbeit haben offenbar keinen Plan: Microsoft bietet seit 2005 keinen Windows 2000-Support mehr via Hotlines an, seit Mitte 2010 gibt es dafür auch keine Updates mehr.

    Aber letzten Endes spielt es keine Rolle, ob Dir IPv6 gefällt oder nicht, es wird kommen, weil es kommen muss, weil der Vorrat an IPv4-Adressen nun mal ausgeschöpft ist.

  13. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: SoniX 04.12.11 - 11:32

    Doch klar weiß ich wie NAT funktioniert. Ich weiß auch, dass Provider einen Adresspool haben und aus dem dynamische IPs vergeben. Nichtsdestotrotz vergibt mein ISP auch fixe Adressen, davon haben wir auch ein paar. Ich stand schon immer auf fixe Adressen, immerhin vereinfacht es den Serverbetrieb doch sehr und man braucht auch keine zB 24 Stunden Trennung was bei Servern ein Problem sein kann. Und nein, ich kann bei meinem Provider auch ohne irgendwelche Nachweise fixe Adressen haben. Wir haben zwar keine 100, aber der Provider verdient ja Geld damit und vergibt fixe Adressen wenn Bedarf besteht. Ich weiß auch, dass die Abgrenzung meines Netzes ein Nebeneffekt von NAT ist, aber doch ein sehr angenehmer oder nicht? Und was bringt eine 6to4 Technologie, wenn die Geräte alle nichts damit anfangen können? Ausserdem ist das dann ja wieder Murks. Schuss nicht gehört? Ha Ha... Ich weiß schon, dass der Support aus ist, aber dann erkläre mir mal warum ich immer noch regelmässige Updates für W2k bekomme? Ja wird kommen... Irgendwann mal. Aber schon seltsam, dass seit vielen gejammert wird und dennoch immer mehr Adressen rausgehauen werden als je zuvor....

    Wenn denn alles so problemlos wäre, warum gibt dann nirgendwo IPv6?

    Warum man auf NAT verzichtet ist mir ein Rätsel. Wer sagt denn dass die Adressen in 10 Jahren noch reichen? Und dann steht man da und hat nichtmal NAT. Tolle Wurst...

    Und was ist mit meinen anderen Kritikpunkten? Wie soll man die sich merken? Wer sorgt für den Datenschutz? Wie kann ich mein Netz abtrennen? Etc etc.....

  14. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: markFreak 04.12.11 - 12:19

    Ich könnte Dir alle Deine Fragen beantworten, aber das hier ist kein Netzwerk-Seminar; wenn Du zu bestimmten Themen Genaueres wissen willst, gibt es genügend entsprechende Foren im Netz.

    Du hast offenbar grundlegende Dinge im Netzwerkbereich nicht verstanden, ist ja an sich kein Problem, aber meckern is' dann eben nich'.
    Natürlich verdient ein ISP Geld mit der Vergabe fixer Adressen, aber generell erlauben die das nur für Firmen und Organisationen, und ab einer bestimmten Anzahl fixer Adressen muss man eben nachweisen, dass man sie braucht, offenbar hast Du diese Anzahl noch nicht überschritten.

    6to4-Technologien ist eben genau für Geräte gedacht, die mit IPv6 nichts anfangen können, warum geht das nicht in Deinen Schädel?

    Und nein, es werden eben keine neuen Adressen "rausgehauen", weil es keine neuen mehr gibt, die bereits bestehenden werden recycled, also zwischen den Geräten gewechselt. Die ISPs dieser Welt jonglieren mit dem, was sie haben und müssen mit ihren Adressen extrem haushalten.

    Irgendwann im Frühjahr dieses Jahres gab es einen "IPv6-day", d.h., alle großen Organisationen und Firmen, die mit Routing im Netz zu tun haben, haben zu Testzwecken das gesamte Backbone des Internets auf IPv6 umgestellt. Hattest Du im Frühling einen kompletten Tag Schwierigkeiten mit Deinem Internetzugang? Nö, denn daran würdest Du Dich erinnern, also kann es ja so schlimm nicht gewesen sein. An einigen Stellen des Netzes läuft das Backbone schon seit Jahren mit IPv6.

    Und stell' nicht immer die gleichen Fragen, ich hab' Dir jetzt schon zwei Mal erklärt, warum man dann auf NAT verzichtet: Weil man es dann eben nicht mehr braucht! Was Du persönlich für einen schönen Nebeneffekt hältst oder nicht, spielt keine Rolle.

    IPv6-Adressen reichen noch in hundert und mehr Jahren, genau deswegen hat man das ja entwickelt. Eine IPv4-Adresse besteht aus 32 Bit, eine IPv6-Adresse aus 128 Bit. Der gesamte verfügbare Adress-Pool von IPv4 besteht aus 4.294.967.296 Adressen vergeben, der IPv6-Adresspool hat über 10 hoch 38 mögliche fixe Adressen, man könnte jeden Quadrat-Inch der Erde mit 3,7 Millionen fixen IPv6-Adressen belegen. Das sollte für einige Jährchen reichen ...

    Das Leben schreitet voran, so auch die Technologie, vor allem heutzutage, d.h., dass man sich eben von Altem verabschieden muss, ob man will oder nicht. Wer z.B. auf Biegen und Brechen heute noch Windows 2000 benutzen will, muss ganz genau wissen, warum, und sich im Klaren sein, was das für Konsequenzen haben könnte, wenn man sich nur etwas in der Materie auskennt und in der Lage ist, in eine absehbare Zukunft zu schauen. Und wenn Du (über-) nächstes Jahr auch noch online gehen willst, dann wirst Du für IPv6 dankbar sein, denn mit IPv4 würde das dann nicht mehr möglich sein, weil Dir Dein ISP keine Adresse mehr geben könnte, weil sie aus sind.

    Und jetzt hör' auf, bereits im Vorfeld Dein schönes privates IPv4-Netz zu betrauern. Vielleicht wird es ja auch mit einem entsprechenden Router möglich sein, intern IPv4 weiter zu benutzen, auch wenn das dann gar keinen Sinn mehr machen würde, es ginge dann rein um Deine persönlichen Befindlichkeiten.
    IPv6 muss sein, da führt kein Weg dran vorbei. Wenn Du eine bessere Lösung für das Problem der ausgegangenen IPv4-Adressen hast, dann trete mit Deiner tollen Idee an ICANN bzw. IANA heran, und selbst wenn Deine tolle Idee tatsächlich toll sein sollte, bräuchte es Jahre, um diese neue Technologie zu etablieren, und diese Zeit hat man nicht mehr.

  15. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: SoniX 05.12.11 - 15:07

    markFreak schrieb:
    --------------------------------------------------------------------------------
    > Ich könnte Dir alle Deine Fragen beantworten, aber das hier ist kein
    > Netzwerk-Seminar; wenn Du zu bestimmten Themen Genaueres wissen willst,
    > gibt es genügend entsprechende Foren im Netz.

    Hmm... habe diese Fragen schon in mehreren Foren gestellt und beantwortet hatte sie mir noch keiner ;-)

    Ich habe auch schon einige Artikel dazu gelesen, Wikipedia etc., aber schlau werde ich daraus nicht.

    > Du hast offenbar grundlegende Dinge im Netzwerkbereich nicht verstanden,
    > ist ja an sich kein Problem, aber meckern is' dann eben nich'.

    Sorry.. es klingt halt alles recht kompliziert und wenig durchdacht.

    > Natürlich verdient ein ISP Geld mit der Vergabe fixer Adressen, aber
    > generell erlauben die das nur für Firmen und Organisationen, und ab einer
    > bestimmten Anzahl fixer Adressen muss man eben nachweisen, dass man sie
    > braucht, offenbar hast Du diese Anzahl noch nicht überschritten.

    Ist dem wirklich so? Hat da ein Provider nicht freie Hand wem er wieviele Adressen gibt?
    Wenn ich da an unseren Hausprovider denke, so wird der auch in Zukunft keine Probleme mit seinen Adressen bekommen. Die Städte in denen er vertreten ist werden nicht so rasant wachsen, als das ihm die Adressen ausgehen würden.

    > 6to4-Technologien ist eben genau für Geräte gedacht, die mit IPv6 nichts
    > anfangen können, warum geht das nicht in Deinen Schädel?

    Auch dazu habe ich gegoogelt, aber auch da bin ich nun nicht schlauer wo diese Technologien ansetzen. Es können die jeweiligen Pakete getunnelt werden, aber auch die brauchen ja gewissen Endstellen, welche diese wieder umsetzen. Wikipedia sagt dazu, dass diese Möglichkeiten zwar existieren aber Sicherheitstechnisch schlecht sind.

    > Und nein, es werden eben keine neuen Adressen "rausgehauen", weil es keine
    > neuen mehr gibt, die bereits bestehenden werden recycled, also zwischen den
    > Geräten gewechselt. Die ISPs dieser Welt jonglieren mit dem, was sie haben
    > und müssen mit ihren Adressen extrem haushalten.

    Ja, naja, recyclet wurden die Adressen von Anfang an.

    > Irgendwann im Frühjahr dieses Jahres gab es einen "IPv6-day", d.h., alle
    > großen Organisationen und Firmen, die mit Routing im Netz zu tun haben,
    > haben zu Testzwecken das gesamte Backbone des Internets auf IPv6
    > umgestellt. Hattest Du im Frühling einen kompletten Tag Schwierigkeiten mit
    > Deinem Internetzugang? Nö, denn daran würdest Du Dich erinnern, also kann
    > es ja so schlimm nicht gewesen sein. An einigen Stellen des Netzes läuft
    > das Backbone schon seit Jahren mit IPv6.

    Nein hatte keine Probleme. Habe darüber nur in Heise gelesen, hatte es versucht und hatte nicht geklappt (also per IPv6). IPv4 funktionierte Problemlos.

    > Und stell' nicht immer die gleichen Fragen, ich hab' Dir jetzt schon zwei
    > Mal erklärt, warum man dann auf NAT verzichtet: Weil man es dann eben nicht
    > mehr braucht! Was Du persönlich für einen schönen Nebeneffekt hältst oder
    > nicht, spielt keine Rolle.

    Ich weiß doch, man verzichtet darauf, weil mans nichtmehr braucht.
    Ich finde dennoch, dass NAT eine Daseinsberechtigung hat.
    Lt. Wiki gibt es sowas sogar in IPv6, wenn auch nur in Ausnahmefällen.

    > IPv6-Adressen reichen noch in hundert und mehr Jahren, genau deswegen hat
    > man das ja entwickelt. Eine IPv4-Adresse besteht aus 32 Bit, eine
    > IPv6-Adresse aus 128 Bit. Der gesamte verfügbare Adress-Pool von IPv4
    > besteht aus 4.294.967.296 Adressen vergeben, der IPv6-Adresspool hat über
    > 10 hoch 38 mögliche fixe Adressen, man könnte jeden Quadrat-Inch der Erde
    > mit 3,7 Millionen fixen IPv6-Adressen belegen. Das sollte für einige
    > Jährchen reichen ...

    Diese Vorhersage traue ich mich nicht zu machen *g*
    Dazu gibt es schon zuviele Beispiele wo man dann falsch gelegen hat.

    > Das Leben schreitet voran, so auch die Technologie, vor allem heutzutage,
    > d.h., dass man sich eben von Altem verabschieden muss, ob man will oder
    > nicht. Wer z.B. auf Biegen und Brechen heute noch Windows 2000 benutzen
    > will, muss ganz genau wissen, warum, und sich im Klaren sein, was das für
    > Konsequenzen haben könnte, wenn man sich nur etwas in der Materie auskennt
    > und in der Lage ist, in eine absehbare Zukunft zu schauen.

    Es ist halt einfach so, dass wir hier Programme einsetzen, die teilweise nur bis Windows ME funktionieren, welche die bis XP laufen und welche die nur im 32 bit Modus laufen. Leider gibt es da keine Updates. (Ja wir haben sogar noch einen Windows 98 PC hier rumstehen, da ein Programm sonst nirgendwo mehr läuft *g*)

    > Und wenn Du
    > (über-) nächstes Jahr auch noch online gehen willst, dann wirst Du für IPv6
    > dankbar sein, denn mit IPv4 würde das dann nicht mehr möglich sein, weil
    > Dir Dein ISP keine Adresse mehr geben könnte, weil sie aus sind.

    Ich warte ab. Immerhin hört man schon seit einigen Jahren, dass die Adressen aus sind aber getan hat sich eigentlich noch nichts.

    > Und jetzt hör' auf, bereits im Vorfeld Dein schönes privates IPv4-Netz zu
    > betrauern. Vielleicht wird es ja auch mit einem entsprechenden Router
    > möglich sein, intern IPv4 weiter zu benutzen, auch wenn das dann gar keinen
    > Sinn mehr machen würde, es ginge dann rein um Deine persönlichen
    > Befindlichkeiten.

    Das wäre doch was :-)

    > IPv6 muss sein, da führt kein Weg dran vorbei. Wenn Du eine bessere Lösung
    > für das Problem der ausgegangenen IPv4-Adressen hast, dann trete mit Deiner
    > tollen Idee an ICANN bzw. IANA heran, und selbst wenn Deine tolle Idee
    > tatsächlich toll sein sollte, bräuchte es Jahre, um diese neue Technologie
    > zu etablieren, und diese Zeit hat man nicht mehr.

    Wenn ich das könnte würde ich es vll wirklich machen *g*

  16. Re: Warum trägt NAT nicht zur Sicherheit bei?

    Autor: ClausWARE 10.08.16 - 12:08

    Grundsätzlich hast Du mit deinen Ausführungen soweit natürlich recht. Aber:

    > Und wenn Du (über-) nächstes Jahr auch noch online gehen willst, dann
    > wirst Du für IPv6 dankbar sein, denn mit IPv4 würde das dann nicht
    > mehr möglich sein, weil Dir Dein ISP keine Adresse mehr geben könnte,
    > weil sie aus sind.

    Wird in den nächsten Jahren IPv4 ganz abgestellt? So bald sicher nicht, zu viel Hardware währ dann nur noch Schrott.
    Werden die IPv4-Adressen der Provider immer weniger bis sie gar keine mehr zum vergeben haben? Nein! Sie werden nur nicht reichen um allen Kunden eine zu geben, es werden aber wohl noch immer welche in ihrem Pool zur Verfügung stehen.
    Also wird man mit IPv4 wohl auch noch in 10 Jahren online gehen können (sofern man halt eine der vorhandenen IPv4 zugeteilt bekommen hat).
    Der einzige Effekt ist doch, das es eben nicht reicht um ALLE mit IPv4 zu versorgen, was soweit wohl auch jedem verständlich geworden ist, aber das heißt eben nicht zwingend das IPv4 bald nicht mehr funktioniert.
    Die Provider werden es irgend wann wohl nur noch Kunden anbieten die dafür dann extra bezahlen und natürlich nur maximal so vielen, wie sie IPv4-Adressen im Pool haben und natürlich werden diese dann mit NAT64 oder dergleichen angebunden werden müssen.

    Und wieso sollte NAT bei IPv6 nicht möglich sein oder genutzt werden nur weil es technisch nicht notwendig ist? Seit wann beschränken wir uns denn bitte auf das rein notwendige?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. Gebr. Taskin Logistics GmbH, Sprockhövel
  3. Stuttgarter Lebensversicherung a.G., Stuttgart
  4. IMCD Deutschland GmbH, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-77%) 13,99€
  2. 4,32€
  3. 29,99€
  4. (u. a. F1 2019 Anniversary Edition für 26,99€, Jurassic World Evolution Deluxe Edition für 15...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Threadripper 3970X/3960X im Test: AMD wird uneinholbar
Threadripper 3970X/3960X im Test
AMD wird uneinholbar

7-nm-Fertigung, Zen-2-Architektur und dank Chiplet-Design keine Scheduler-Probleme unter Windows 10: AMDs Threadripper v3 überzeugen auf voller Linie, die CPUs wie die Plattform. Intel hat im HEDT-Segment dem schlicht nichts entgegenzusetzen. Einzig Aufrüster dürften sich ärgern.
Ein Test von Marc Sauter

  1. Via Technologies Centaur zeigt x86-Chip mit AI-Block
  2. Nuvia Apples Chip-Chefarchitekt gründet CPU-Startup
  3. Tiger Lake Intel bestätigt 10-nm-Desktop-CPUs

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Männer und Frauen in der IT: Gibt es wirklich Chancengleichheit in Deutschland?
Männer und Frauen in der IT
Gibt es wirklich Chancengleichheit in Deutschland?

Der Mann arbeitet, die Frau macht den Haushalt und zieht die Kinder groß - ein Bild aus längst vergangenen westdeutschen Zeiten? Nein, zeigen uns die aktuellen Zahlen. Nach wie vor sind die Rollenbilder stark, und das hat auch Auswirkungen auf den Anteil von Frauen in der IT-Branche.
Von Valerie Lux

  1. HR-Analytics Weshalb Mitarbeiter kündigen
  2. Frauen in der IT Ist Logik von Natur aus Männersache?
  3. IT-Jobs Gibt es den Fachkräftemangel wirklich?

  1. Bundeskartellamt: Telekom und Ewe dürfen zusammen Glasfaser ausbauen
    Bundeskartellamt
    Telekom und Ewe dürfen zusammen Glasfaser ausbauen

    Mit hohen Auflagen hat das Bundeskartellamt wesentliche Teile der Glasfaser-Kooperation zwischen Telekom und Ewe genehmigt. Die Partner haben sich noch nicht dazu geäußert.

  2. Cloud Gaming: Stadia hat neue Funktionen und ein Spiel mehr
    Cloud Gaming
    Stadia hat neue Funktionen und ein Spiel mehr

    Nutzer des Spielestreamingdienstes Stadia können über das Gamepad auch den Google Assistant verwenden - allerdings mit Einschränkungen. Außerdem gibt es mit Darksiders Genesis erstmals ein neues Spiel auf der Plattform.

  3. IT-Jobs: Bayer lagert fast 1.000 IT-Experten aus
    IT-Jobs
    Bayer lagert fast 1.000 IT-Experten aus

    Bayer trennt sich von vielen IT-Experten, die zu Atos, Capgemini, Cognizant und Tata Consultancy Services wechseln müssen. Es sei kein einfacher Schritt, sich von so vielen Mitarbeitern zu trennen, sagte der Chief Information Officer bei Bayer.


  1. 16:40

  2. 16:12

  3. 15:50

  4. 15:28

  5. 15:11

  6. 14:45

  7. 14:29

  8. 14:13