Moin Stefan,
vielen Dank für Deine Antwort.
Wieso verlangt der Router eine solche Maske? Das verlangt doch
wohl die Infrastruktur der Netzwerke.
Nö, der Router in den Konfigurationseinstellungen. Zwar kann ich den IP-Bereich ändern, die Subnet Mask jedoch nicht.
Das würde ich auch gar nicht unbedingt wollen.
[…] Immerhin muss der Router
ja wissen, über welches Interface er welches Paket in welches
Teilnetz liefern soll.
Ganz recht. Ist ja auch ok.
IP-Adressen sind nicht unsicher. IP-Adressen sind IP-Adressen.
Es ging mir um das Verständnis der NAT. Wenn die sich der Übersetzung der externen IP in eine (dem Außenstehenden unbekannte) interne IP bedient und darin der immer gelobte Sinn eines Routers im Gegensatz zu einer PF besteht, empfinde ich es als fragwürdig, wenn der Außenstehende so leicht auf die gültigen internen IPs schließen kann.
Wenn dein Rechner überfallen werden kann, dann hilft es auch
nicht, eine Subnet Mask von 255.0.0.0 zu nehmen und den
Angreifer durch Millionen von IP-Adressen zu verwirren.
Schon, allerdings würde es schon einen größeren Aufwand erfordern, der elektronisch vielleicht nicht ins Gewicht fällt. Ich wollte damit nur sagen: 253 Möglichkeiten, das ist weniger als ein Fahrrad-Schloß und das „knacke“ ich noch mit der Hand.
Im Übrigen muß der Angreifer zunächst über den Router, um auf den Rechner zu gelangen. Die Theorie eines Angreifers, den ich mir per CD oder Diskette ins System hole und der dann quasi von innen den Router untersucht, spielt hier bei der Fragestellung keine Rolle.
Was soll diese ständige Versteckerei mittels
Zone-Alarm-Stealth-Mode und ähnlichen
„huhu-ich-bin-da-aber-ihr-könnt-mich-nicht-sehen“-Methoden?
Hast Du schlecht geschlafen? Was greifst Du mich hier an, wenn ich ausnahsweise auch einmal eine Frage stelle? Ob ich was verwende, ist ja wohl meine Sache. Wenn Dir mein Posting nicht paßt, mußt Du ja nicht darauf antworten, es noch nicht einmal lesen.
Router werden ja hier wohl gerade deswegen als sinnvollere Hardware-Alternative zu Software-Firewalls die zudem auf dem Zielsystem laufen, einigermaßen einhellig empfohlen.
Ich finde dich trotzdem.
Das war doch gar nicht die Frage und so wichtig bist Du auch nicht.
[Schadware]
Du meinst ein Trojanisches Pferd, dass sich auf deinem PC
einnistet, sich dann per telnet ip.des.routers auf deinem
DLink-Router einloggt und dort die Traffic-Counter ausliest?
Oder in meinem Fall auf einen Zyxel-Router? Oder vielleicht
per ssh auf einen Fli4L-Router?
J-j-jein … Es ist für die Fragestellung undefiniert, wie sie das macht und ich habe von telnet keine Ahnung. In meinem Fall handelt es sich um einen „SMC7004ABR“, den ich nun anstatt einer „FRITZ!Card DSL SL“ einsetzen will. Beide arbeiten mit NAT. Fürs LAN habe ich einen D-Link-Switch der völlig frei konfigurierbar ist und einen Uplink besitzt, an den ich ja nun mit dem SMC dran gehen kann.
Ich habe den Router günstig bekommen und möchte ihn nun zum Einsatz bringen.
Die Diskussion um PFs ist mir geläufig und ich habe nicht die Absicht sie neu aufzurollen. Ich habe die Diskussion mit den prominenteren IT-Sec-Experten bereits vor Längerem durchgekaut und fühle mich in meiner Konfiguration und mit meinem Sicherheitsverständnis relativ wohl.
Nichtsdestotrotz, kann es ja nicht schaden, das Verständnis und die Technik weiter auszubauen. Deshalb frag ich hier. Nicht um Dich zu langweilen!
Was bedeutet „Router ausschnüffeln“?
Das heißt, wenn es einem Angreifer gelingt, auszulesen, welche interne IP der Router selbst besitzt.
Der Sinn von NAT ist die Network Adress Translation und sonst
nichts.
Ach. Und warum?
Nicht jeder, an dessen Namen Du Dich gerade mal nicht erinnern kannst, ist ein DAU.
Gruß,
Kristian
