[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: NAT ?

Tim Boneko schrieb, Am 12.11.2013 17:21:
> Am Dienstag, den 12.11.2013, 17:00 +0100 schrieb tbgn:
> 
>> Hä ??? NAT Schützt ?
> 
> Ein wenig. Starte von einem Rechner hinter einem NAT- Gerät Zugriffe auf
> einen Host im Internet und der entsprechende Zielrechner wird annehmen,
> dass die Zugriffe vom NAT- Gerät kommen.
> 
...
Seit wann können Rechner Annahmen treffen?
So weit sind wir in der Kybernetik meines Wissens noch nicht.

Ein Server beantwortet ganz einfach Anfragen an die anfordernde IP zu
dem gewünschten Port. Ob das geNATet ist oder ein Rechner fix die
Antwort so erhalten will, kann der Server schlicht nicht unterscheiden
und ist auch irrelevant.

Der Ablauf an sich ist doch recht trivial:

Ich sende via Port 80 einen Site-Aufruf z.B. Google an meinen Gateway
(Router) da die Adresse nicht zu meinem Netz gehört. Der Router ruft via
DNS nun IP 8.8.8.8 und verlangt die Rückantwort auf seine externe IP und
einer dynamisch erzeugte Port-Nummer, die den Aufrufende im inneren Netz
für diese eine Anfrage identifiziert(nur einmal gültig).
Erfolgt die Antwort an dieses Port, ersetzt er nun die IP mit der
Zieladresse des Clients im inneren Netz.

Wer seinen Browser restriktive konfiguriert hat wird manchmal die
Meldung erhalten, dass die Antwort nicht von der selben IP stammt,
welche aufgerufen wurde.
Das zeigt, dass der Router die Antwort auch dann weiterleitet, wenn
antwortende IP inkorrekt ist aber Port stimmt. Der Grund dieses
Verhaltens liegt dabei Begründet in der Tatsache, dass sehr oft in RZ
mehrere Server die Aufgaben unter sich aufgeteilt erledigen und/oder
mehrere LAN auf einem Server arbeiten.

- Man beachte:
Das bedeutet nun aber auch, dass wer die Anfrage ins Netz abfängt,
anstelle des gerufenen Servers antworten kann.

(Dieses Verhalten kann in guten Routern unterbunden werden, aber das
Browsen wird dadurch eingeschränkt - Sicherheit kontra Bequemlichkeit.)

Und hier begegnen wir noch der Krux, dass auch eine Dynamisch IP mit
Zugriffssicherheit auch nur eingeschränkt Sicherheit bietet.

Will ich hinter einer dynamisch zugewiesenen IP meinen Host extern
erreichen (was ja an sich eine Fixe IP erfordert) muss ich dynamisches
DNS nutzen. Das bedeutet, immer wenn mein Router eine neue IP vom
Provider zugewiesen erhält, sendet er diese zu meinem DNS-Dienst.
Dort wird meinem Host-Namen diese IP zugeordnet, die nun so auch zu dem
mich suchenden User (z.B. ich selber an einem externen Client)
übermittelt wird.

Daher ist so die dynamische IP als Schutzmechanismus keinen Schuss
Pulver mehr wert.

...
>
> Oder war die Frage rhetorisch? Bin auf dem Ohr gelegentlich taub.
> Grüße,
> 
> 	Tim
> 
Gruss Marino
Reply to: