Spionage von Provider verhindern
Hallo, Ich hab mir jetzt mal nen DSL-Router konfiguriert. Aber jetzt meine Frage: Kann der Provider nachschauen, ob ich einen Router verwende? Wenn ja, wie kann ich das verhindern? Im Vorraus schon mal vielen Dank für eure Antworten Thomas Worm
Hi! Am Sonntag, 22. Juni 2003 01:21 schrieb Thomas Worm:
Ich hab mir jetzt mal nen DSL-Router konfiguriert. Aber jetzt meine Frage: Kann der Provider nachschauen, ob ich einen Router verwende? Wenn ja, wie kann ich das verhindern?
Der Provider kann bei einem Fingerprint sehen, das du GNU/Linux 2.4.0+ verwendest und was du für Services offen hast, solange da kein Proxy drinnen ist, weis er also normal nur das du Linux verwendest. Ich habe einen Server bei meinem Cousin rennen bei Chello (Kabelnetzanbieter in Österreich, der gegen Netz- und Serverbetreiber sehr scharf vorgeht und regelmässig Portscans vornimmt), und da gabs noch nie klagen :-) Schau halt tunlichst das du http, ftp, etc. nach aussen nur in hohen ports > 32768 liegen hast, da suchen die portscanner der provider nicht. Praktisch wissen sie es also nicht ob du nat spielst oder nicht, obwohl man es durch einfache paketanalyse rausbekommt, weil du in deinem netz ja nicht durchgehend das selbe betriebssystem verwenden wirst ;-) Martin
Hallo Thomas, kann der Provider nicht, da Router die IP-Adresse des Clienten in dem IP-Paket durch die eigene, durch den Provider zugewiesene Adresse ersetzt. Gruß, Martin Am Son, 2003-06-22 um 01.21 schrieb Thomas Worm:
Hallo, Ich hab mir jetzt mal nen DSL-Router konfiguriert. Aber jetzt meine Frage: Kann der Provider nachschauen, ob ich einen Router verwende? Wenn ja, wie kann ich das verhindern?
Im Vorraus schon mal vielen Dank für eure Antworten Thomas Worm
[Martin Jedamzik]:
Hallo Thomas,
kann der Provider nicht, da Router die IP-Adresse des Clienten in dem IP-Paket durch die eigene, durch den Provider zugewiesene Adresse ersetzt.
Stimmt, direkt wird das der Provider nicht herausbekommen. Jedenfalls nicht durch Portscans. Wenn er sich allerdings den Traffic ansehen sollte, kann er es: 1. Die Häufigkeit von verschiedensten Seitenaufrufen, wenn mehrere gleichzeitig surfen, lässt erste Vermutungen zu. 2. Du wirst ja nicht auf jedem Host mit dem gleichen OS in der gleichen Version arbeiten. Viele Anwendungen geben aber solche Informationen in ihren Daten mit auf die Reise (z.B. Mails, schau mal in den Header, was du da alles findest). Bliebe noch die Ausrede: Ich boote halt öfter mal ein anderes System und arbeite dann damit. Aber welcher Rechner bootet in 10 Sekunden neu? Fazit: Es ist mit Aufwand verbunden, aber prinzipiell nicht unmöglich, eine Mehrfachnutzung festzustellen. Bei einem kleinen Netz mit 2 oder 3 Gelegenheitssurfern wird da sicher der Aufwand zu hoch sein. Wenn allerdings in einer 4ma ca. 100 User gleichzeitig über eine DSL-Leitung surfen, fällt das mit Sicherheit auf (allein schon das Volumen). Ich empfehle dir, such evtl. einen Provider, der die Mehrfachnutzung erlaubt oder wenigstens nicht ausdrücklich verbietet. Zumindest, wenn der Traffic deutlich über dem eines einzelnen normalen Surfers liegt (> 2-3 GB/Monat ohne Maxi-Downloads ist eindeutig zu viel für einen einzelnen) [TOFU freundlicher Weise entsorgt] -- Gruß MaxX
On Sunday 22 June 2003 10:44, Matthias Houdek wrote:
Stimmt, direkt wird das der Provider nicht herausbekommen. Jedenfalls nicht durch Portscans.
Siehe
[Al Bogner]:
On Sunday 22 June 2003 10:44, Matthias Houdek wrote:
Stimmt, direkt wird das der Provider nicht herausbekommen. Jedenfalls nicht durch Portscans.
Siehe
und http://derstandard.at/?id=1220674 Auch squid übermittelt in der Standarkonfiguration den lokalen Rechner. (forwarded_for off)
Wie man das Schnüffeln beim "Time To Live" verhindern kann, ist mir aber nicht klar.
Und, was hat das mit Portscans zu tun? Das es Möglichkeiten gibt, habe ich ja dargestellt. -- Gruß MaxX
On Sunday 22 June 2003 12:50, Matthias Houdek wrote:
On Sunday 22 June 2003 10:44, Matthias Houdek wrote:
Stimmt, direkt wird das der Provider nicht herausbekommen. Jedenfalls nicht durch Portscans.
Siehe
und http://derstandard.at/?id=1220674 Auch squid übermittelt in der Standarkonfiguration den lokalen Rechner. (forwarded_for off)
Wie man das Schnüffeln beim "Time To Live" verhindern kann, ist mir aber nicht klar.
Und, was hat das mit Portscans zu tun?
Ich hatte das Originalposting nicht mehr. Es sollte kein Gegenargument zu deinem Posting sein. Mich würde aber trotzdem interessieren, was man dagegen machen kann - http://derstandard.at/?id=1220674 Time To Live Auch das "Time To Live"-Feld - gewissermassen ein Zähler für das Hops-Alter der Packets sagt was aus. Diese Zähler wurden eingeführt um Zirkulärroutings in den Griff zu bekommen. Daher "altert" ein IP-Packet bei jedem Hop um -1. (...und würde bei 0 "sterben") Der Anfangswert ist immer gleich. Daher weiss der sniffende Provider wieviel Router zwischen seinem Accesspoint und dem User sind. Al
[Al Bogner]:
On Sunday 22 June 2003 12:50, Matthias Houdek wrote:
On Sunday 22 June 2003 10:44, Matthias Houdek wrote:
Stimmt, direkt wird das der Provider nicht herausbekommen. Jedenfalls nicht durch Portscans.
Siehe
und http://derstandard.at/?id=1220674 Auch squid übermittelt in der Standarkonfiguration den lokalen Rechner. (forwarded_for off)
Wie man das Schnüffeln beim "Time To Live" verhindern kann, ist mir aber nicht klar.
Und, was hat das mit Portscans zu tun?
Ich hatte das Originalposting nicht mehr. Es sollte kein Gegenargument zu deinem Posting sein.
Mich würde aber trotzdem interessieren, was man dagegen machen kann - http://derstandard.at/?id=1220674 Time To Live Auch das "Time To Live"-Feld - gewissermassen ein Zähler für das Hops-Alter der Packets sagt was aus. Diese Zähler wurden eingeführt um Zirkulärroutings in den Griff zu bekommen. Daher "altert" ein IP-Packet bei jedem Hop um -1. (...und würde bei 0 "sterben") Der Anfangswert ist immer gleich. Daher weiss der sniffende Provider wieviel Router zwischen seinem Accesspoint und dem User sind.
Ja, gut, dann muss man den Zähler halt wieder hochsetzen. Aber meinem Provider dürfte das auch so keine stichhaltigen Argumente liefern. Ich hab halt eine zweistufige Firewall (also 2 separate Hosts, die natürlich auch routen) vor meinem einzigen Arbeitsrechner *g*. -- Gruß MaxX
Am Sonntag, 22. Juni 2003 17:34 schrieb Matthias Houdek:
[Al Bogner]:
On Sunday 22 June 2003 12:50, Matthias Houdek wrote:
[....]
Ich hatte das Originalposting nicht mehr. Es sollte kein Gegenargument zu deinem Posting sein.
Mich würde aber trotzdem interessieren, was man dagegen machen kann - http://derstandard.at/?id=1220674 Time To Live Auch das "Time To Live"-Feld - gewissermassen ein Zähler für das Hops-Alter der Packets sagt was aus. Diese Zähler wurden eingeführt um Zirkulärroutings in den Griff zu bekommen. Daher "altert" ein IP-Packet bei jedem Hop um -1. (...und würde bei 0 "sterben") Der Anfangswert ist immer gleich. Daher weiss der sniffende Provider
Nicht ganz richtig, als Startwert kann man defacto alles angeben, was man will. Bei Linux z.B. den Defaultwert in /proc/sys/net/ipv4/ip_default_ttl traceroute nutzt den "Efekt des Paketesterbens" gezielt um Informationen zu Route des Pakete zu bekommen. Er schicktz nacheinander Pakete los, bei denen die TTL schrittweise um 1 erhöht wird und wartet auf ICMP-Msg. der Router, die die Dinger ins Jenseits befördern.
wieviel Router zwischen seinem Accesspoint und dem User sind.
kann nur ein Anhaltspunkt sein, kein Beweis s.o.
Ja, gut, dann muss man den Zähler halt wieder hochsetzen. Aber meinem Provider dürfte das auch so keine stichhaltigen Argumente liefern. Ich hab halt eine zweistufige Firewall (also 2 separate Hosts, die natürlich auch routen) vor meinem einzigen Arbeitsrechner *g*.
Na und!? Kein Provider kann mir den einsatz eines Routers/Firewall verbieten. Er kann mir zwar Vertraglich verbieten den Account mit mehr als einem Rechner zu nutzen ... Der schlüssige Beweis dessen, wird ihm aber ordentlich schwerfallen. Zumahl er, wenn er meine übertragenen Daten durchforstet, leicht in den Bereich strafrechtlich relevanten Verhaltens kommt. -> fragt mal die Juristen hier MfG Mirko Richter -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Mirko Richter | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Hallo MArko,
Am Montag, 23. Juni 2003 08:16 schrieb
Mirko Richter
Na und!? Kein Provider kann mir den einsatz eines Routers/Firewall verbieten.
Richtig ...
Der schlüssige Beweis dessen, wird ihm aber ordentlich schwerfallen. Zumahl er, wenn er meine übertragenen Daten durchforstet, leicht in den Bereich strafrechtlich relevanten Verhaltens kommt. -> fragt mal die Juristen hier
... weswegen auch noch nie ein Fall (also mir) bekannt wurde, daß ein ISP Kunden wegen diesen Verhaltens gekündigt hat. Außerdem kann es einem ISP nun wirklich wurscht sein, ob ich alleine auf einer DSL-Flat 1 TByte an Daten verschiebe, oder ob dahinter ein Router steckt und 10 User 1 TByte verschieben. Ich kenne mich nicht so gut aus mit Routern, aber ich habe mal von einer Einstellung "always_defragment" gehört. Das haut zwar die Performance in den Keller, gilt aber imho als "sicher". kind regards Martin Mewes -- http://www.mamemu.de/ | Heimatseite :-) http://vmware.itst.org/ | Ein deutschsprachiges VMware-Forum http://vmware.mamemu.de/faq/ | VMWare-Dokumentations-Projekt :-) Key exported to: | pgp.mit.edu:11371 via WWW-Interface
[Martin Mewes]:
Hallo MArko,
Am Montag, 23. Juni 2003 08:16 schrieb
Mirko Richter
: Na und!? Kein Provider kann mir den einsatz eines Routers/Firewall verbieten.
Ja, sagte ich doch ;-)
Richtig ...
Der schlüssige Beweis dessen, wird ihm aber ordentlich schwerfallen. Zumahl er, wenn er meine übertragenen Daten durchforstet, leicht in den Bereich strafrechtlich relevanten Verhaltens kommt. -> fragt mal die Juristen hier
Naja, er darf IMHO schon die übertragenen Daten hinsichtlich der Übertragungsmerkmale durchforsten - natürlich nicht bezüglich der Inhalte.
... weswegen auch noch nie ein Fall (also mir) bekannt wurde, daß ein ISP Kunden wegen diesen Verhaltens gekündigt hat.
Doch hat es schon gegeben. Die Provider zahlen häufig nach Volumen und kalkulieren bei Zeittarifen nach Durchschnittssätzen. Weicht jetzt ein User deutlich davon ab, so wird sich der Provider den Anschluss sicher ein wenig genauer unter die Lupe nehmen und in der Regel zunächst auf das auffällige Verhalten hinweisen und ggf. einen anderen Tarif anbieten (natürlich mit dem Hinweis auf die Rechtsfolge der Kündigung und ggf. Schadenersatz, sollte man seinen Anschluss widerrechtlich mehrfach genutzt haben). Spätestens ab jetzt sollte man sehr vorsichtig sein *g*.
Außerdem kann es einem ISP nun wirklich wurscht sein, ob ich alleine auf einer DSL-Flat 1 TByte an Daten verschiebe, oder ob dahinter ein Router steckt und 10 User 1 TByte verschieben.
1 TByte Daten sind für einen Einzeluser aber ziehmlich unwahrscheinlich. Und es ist ihm nicht wurscht (Siehe oben).
Ich kenne mich nicht so gut aus mit Routern, aber ich habe mal von einer Einstellung "always_defragment" gehört. Das haut zwar die Performance in den Keller, gilt aber imho als "sicher".
Bei Verdacht einer Straftat kann sogar eine Hausdurchsuchung angeordnet werden. Und die wird üblicher Weise vorher nicht angekündigt. Und ob ein Richter ein mehrfach überdurchschnittliches Datenaufkommen als hinreichend für einen entsprechende Tatverdacht des Missbrauchs anerkennt, wissen wir beide (und auch alle andern hier) wohl erst hinterher. -- Gruß MaxX
Moin, moin, ...
Matthias Houdek
1 TByte Daten sind für einen Einzeluser aber ziehmlich unwahrscheinlich. Und es ist ihm nicht wurscht (Siehe oben).
War jetzt auch nur ein Beispiel ;-) Selbstredend basieren bestimmte Tarife immer auf einer kaufmännischen Kalkulation. Die einen nutzen einen Flat-Anschluß mehr, die anderen weniger und daraus kommt (hoffentlich) eine gesunde Mischkalkulation zustande. Ein ISP darf sich jedoch nicht wundern, daß wenn er einen Flat-Anschluß anbietet, dieser dann halt auch die Dauersauger geradezu magisch anzieht. Diese liegen dann nach Ermessen des ISP jenseits von Gut und Böse und dürfen gekündigt werden. Aber die rechtliche Frage diesbezüglich ... [shaking your text]
Und ob ein Richter ein mehrfach überdurchschnittliches Datenaufkommen als hinreichend für einen entsprechende Tatverdacht des Missbrauchs anerkennt, wissen wir beide (und auch alle andern hier) wohl erst hinterher.
... nämlich ob es rechtens ist gegen einen Dauersauger vorzugehen, müssen wir wohl bis zu dem von Dir angedeuteten Zeitpunkt dahingestellt sein lassen.
Bei Verdacht einer Straftat kann sogar eine Hausdurchsuchung angeordnet werden. Und die wird üblicher Weise vorher nicht angekündigt.
Ein alter Bekannter von mir, der bei einem ISP arbeitete und der einen News-Server betrieb, hat mir mal erzählt, daß wenn sowas mal vorkommen würde, so würde es ein Terminal geben, welches immer auf die Antwort auf die Frage "rm -rf /" wartet. Ist lange her. Unten kommt die Durchsuchung und oben dann der Tastendruck. Aber das ist wirklich eine Geschichte aus der Steinzeit. kind regards Martin Mewes -- Novacote Flexpack - Division of COIM Deutschland GmbH c/o IT/IS-Department - Hamburg - Germany
[Martin Mewes]:
Moin, moin, ...
Matthias Houdek
wrote: 1 TByte Daten sind für einen Einzeluser aber ziehmlich unwahrscheinlich. Und es ist ihm nicht wurscht (Siehe oben).
War jetzt auch nur ein Beispiel ;-) Selbstredend basieren bestimmte Tarife immer auf einer kaufmännischen Kalkulation. Die einen nutzen einen Flat-Anschluß mehr, die anderen weniger und daraus kommt (hoffentlich) eine gesunde Mischkalkulation zustande.
Ein ISP darf sich jedoch nicht wundern, daß wenn er einen Flat-Anschluß anbietet, dieser dann halt auch die Dauersauger geradezu magisch anzieht. Diese liegen dann nach Ermessen des ISP jenseits von Gut und Böse und dürfen gekündigt werden. Aber die rechtliche Frage diesbezüglich ...
Ja, wenn ein Einzelsurfer nonstop saugt, kann der Provider höchstens den Vertrag kündigen (im Rahmen der Bestimmungen). Anders sieht es aber aus, wenn der Vertrag ausdrücklich eine Benutzung durch mehrere User gleichzeitig verbietet und dies wissentlich umgangen wird.
[...]
Ein alter Bekannter von mir, der bei einem ISP arbeitete und der einen News-Server betrieb, hat mir mal erzählt, daß wenn sowas mal vorkommen würde, so würde es ein Terminal geben, welches immer auf die Antwort auf die Frage "rm -rf /" wartet.
Hm, dass ist aber auch riskant. Da braucht man schon einen guten Anwalt, um das als Datenverlust durch einen Bedienerfehler durchzuboxen. Ansonsten: § 263a StGB, ggf. §§ 268-270 StGB Außerdem ist auch eine mit 'rm' gelöschte Platte wieder rekonstruierbar. Kostet halt ein wenig, aber was soll's. Der Verlierer zahlt es ja *fg*. -- Gruß MaxX
Am Dienstag, 24. Juni 2003 08:10 schrieb Martin Mewes:
Ein alter Bekannter von mir, der bei einem ISP arbeitete und der einen News-Server betrieb, hat mir mal erzählt, daß wenn sowas mal vorkommen würde, so würde es ein Terminal geben, welches immer auf die Antwort auf die Frage "rm -rf /" wartet. Ist lange her. Unten kommt die Durchsuchung und oben dann der Tastendruck.
Was willst Du damit verbergen? Das mag ja vielleicht bei Raubkopierern noch ne Möglichkeit, aber wenn da ein Router und fünf angeschlossene Rechner rumstehen, dann dürfte die installierte Software ziemlich egal sein. PS: Wie oft musste der Bekannte neu installieren, weil er versehentlich die Löschung ausgelöst hat. PPS: Ich versteh hier die Diskussion eh nicht, wenn ich nen Router betreiben will, über den mehrere User ins Netz gehen, dann such ich mir nen Provider, der das gestattet und schau nicht, wie ich es vor einem Provider, der es verbietet, verstecke. -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de
[Manfred Tremmel]:
Am Dienstag, 24. Juni 2003 08:10 schrieb Martin Mewes:
Ein alter Bekannter von mir, der bei einem ISP arbeitete und der einen News-Server betrieb, hat mir mal erzählt, daß wenn sowas mal vorkommen würde, so würde es ein Terminal geben, welches immer auf die Antwort auf die Frage "rm -rf /" wartet. Ist lange her. Unten kommt die Durchsuchung und oben dann der Tastendruck.
Was willst Du damit verbergen? Das mag ja vielleicht bei Raubkopierern noch ne Möglichkeit, aber wenn da ein Router und fünf angeschlossene Rechner rumstehen, dann dürfte die installierte Software ziemlich egal sein.
PS: Wie oft musste der Bekannte neu installieren, weil er versehentlich die Löschung ausgelöst hat. PPS: Ich versteh hier die Diskussion eh nicht, wenn ich nen Router betreiben will, über den mehrere User ins Netz gehen, dann such ich mir nen Provider, der das gestattet und schau nicht, wie ich es vor einem Provider, der es verbietet, verstecke.
So sehe ich das auch. Aber manch einer will halt die paar Euro noch einsparen, und ich wollte mit aufzeigen, welches Risiko er damit eingeht. Es _kann_ sehr teuer werden (muss aber nicht unbedingt). -- Gruß MaxX
On Tuesday 24 June 2003 19:13, Manfred Tremmel wrote:
aber wenn da ein Router und fünf angeschlossene Rechner rumstehen
Auch das dürfte wieder von den genauen Geschäftsbedingungen und allgemeinen Normen abhängen, die jemand, der nicht Jurist *und* Informatiker ist, schwer interpretieren kann. Als ich beruflich für einen kleinen Verein einen ISP auswählen mußte, habe ich von ISP-Vertretern gehört, dass sie keine Server erlauben. Huch, was mache ich nun, mit meinem X-Server? Die Frage ist, was Einzelplatznutzung ist. Ist es zB illegal einen eigenen Firewall-Rechner zu haben oder wäre eine ähnliche Vereinbarung in den Geschäftsbedingungen sittenwidrig, weil ohne Firewall in heutigen Zeiten kein sicherer Schutz der eigenen Daten möglich ist? Ist es keine oder eine Einzelplatznutzung, wenn *ein* Single und Netzwerk-Admin in seinem Privat-Haushalt 10 Rechner hat und *abwechselnd* den einen oder anderen Rechner benützt um sich via Firewall ins Internet zu verbinden? Ist es noch Einzelplatznutzung, wenn es auf 1 Linux-Rechner mehrere User gibt. Ich als 1 Person bin regelmäßig als mehrere User eingeloggt, zeitweise auch noch auf entfernten Testaccounts, zB bei http://www.testdrive.hp.com/ , sitze aber vor *1* Rechner. Zumindest den user root wird jeder Linux-User zusätzlich regelmäßig verwenden. Ist somit das Verwenden von Linux schon keine Einzelplatznutzung mehr, weil mehrere User angelegt sind? Welcher Rechner verbindet sich denn bei einem Proxy ins Internet? Der Rechner auf dem der Proxy läuft oder der Rechner, der die Anfrage an den Proxy gestellt hat? Wenn die Antwort Proxy lautet, dann verbindet sich ja nur 1 Rechner ins Internet und speichert die Anfage lokal, die dann weiteren Rechnern zur Verfügung steht. Beruflich habe ich mal mit einem ISP darüber diskutiert und die Antwort war, dass sie Einzelplatznutzung nur deshalb in ihren Bedingungen haben, weil sie keinen Support für Netzwerke bieten wollen, ihnen aber ein Netzwerk egal ist und selbstverständlich könne man einen eigenen Firewall-Rechner verwenden, sofern man dazu in der Lage ist. Mit Support kann man dann nicht rechnen und Linux supporten sie sowieso nicht. Ich denke ganz entscheidend wird die Bandbreite sein, die man verbraucht und dafür haben viele ISPs eine fair-use-Regel. Al
[Al Bogner]:
On Tuesday 24 June 2003 19:13, Manfred Tremmel wrote:
aber wenn da ein Router und fünf angeschlossene Rechner rumstehen
Auch das dürfte wieder von den genauen Geschäftsbedingungen und allgemeinen Normen abhängen, die jemand, der nicht Jurist *und* Informatiker ist, schwer interpretieren kann.
Als ich beruflich für einen kleinen Verein einen ISP auswählen mußte, habe ich von ISP-Vertretern gehört, dass sie keine Server erlauben. Huch, was mache ich nun, mit meinem X-Server?
Die Frage ist, was Einzelplatznutzung ist. Ist es zB illegal einen eigenen Firewall-Rechner zu haben oder wäre eine ähnliche Vereinbarung in den Geschäftsbedingungen sittenwidrig, weil ohne Firewall in heutigen Zeiten kein sicherer Schutz der eigenen Daten möglich ist?
Ist es keine oder eine Einzelplatznutzung, wenn *ein* Single und Netzwerk-Admin in seinem Privat-Haushalt 10 Rechner hat und *abwechselnd* den einen oder anderen Rechner benützt um sich via Firewall ins Internet zu verbinden?
Ist es noch Einzelplatznutzung, wenn es auf 1 Linux-Rechner mehrere User gibt. Ich als 1 Person bin regelmäßig als mehrere User eingeloggt, zeitweise auch noch auf entfernten Testaccounts, zB bei http://www.testdrive.hp.com/ , sitze aber vor *1* Rechner. Zumindest den user root wird jeder Linux-User zusätzlich regelmäßig verwenden. Ist somit das Verwenden von Linux schon keine Einzelplatznutzung mehr, weil mehrere User angelegt sind?
Welcher Rechner verbindet sich denn bei einem Proxy ins Internet? Der Rechner auf dem der Proxy läuft oder der Rechner, der die Anfrage an den Proxy gestellt hat? Wenn die Antwort Proxy lautet, dann verbindet sich ja nur 1 Rechner ins Internet und speichert die Anfage lokal, die dann weiteren Rechnern zur Verfügung steht.
Ja, stimmt schon, manche Festlegungen sind da etwas schwammig. Aber ich denke, das Prinzip, das damit verfolgt wird, sollte klar sein. Ob nun mehrere Personen abwechselnd oder eine Person als mehrfacher User den Anschluss nutzt dürfte egal sein. Ebenso hat der Provider auch nicht zu bestimmen, ob mein Rechner einzeln steht oder ich dort ein kleines Netzwerk zu laufen habe. Verboten im Sinne der Mehrfachnutzung ist es, wenn deutlich mehr als eine Person zeitgleich das Internet nutzen (Firmen, Vereine, mehrere Haushalte, ...). Und der Provider interessiert sich dafür auch höchstens, wenn eine äußerst extensive Nutzung auffällig ist.
Beruflich habe ich mal mit einem ISP darüber diskutiert und die Antwort war, dass sie Einzelplatznutzung nur deshalb in ihren Bedingungen haben, weil sie keinen Support für Netzwerke bieten wollen, ihnen aber ein Netzwerk egal ist und selbstverständlich könne man einen eigenen Firewall-Rechner verwenden, sofern man dazu in der Lage ist. Mit Support kann man dann nicht rechnen und Linux supporten sie sowieso nicht.
Auch das kann ein Grund sein, vor allem wenn Support mit im Vertrag steht.
Ich denke ganz entscheidend wird die Bandbreite sein, die man verbraucht und dafür haben viele ISPs eine fair-use-Regel.
Ja, auch das gibt es. Und das halte ich für eine sehr vernünftige Regel (z.B. Flatrate mit 3 GB Freivolumen, wer mehr braucht, zahlt dann halt entsprechend drauf). -- Gruß MaxX
Moin, moin, ...
Manfred Tremmel
PS: Wie oft musste der Bekannte neu installieren, weil er versehentlich die Löschung ausgelöst hat.
Kein Ahnung ...
PPS: Ich versteh hier die Diskussion eh nicht, wenn ich nen Router betreiben will, über den mehrere User ins Netz gehen, dann such ich mir nen Provider, der das gestattet und schau nicht, wie ich es vor einem Provider, der es verbietet, verstecke.
[x] korrekt. Die Tatsache, daß ich was geschrieben habe impliziert nicht automatisch, daß ich nicht einen Vertrag habe, der mich und meine Frau via Router ins Internet läßt. Soviel Geld muß sein und ist nicht erheblich teurer als ein Standard-Anschluß. kind regards Martin Mewes -- Novacote Flexpack - Division of COIM Deutschland GmbH c/o IT/IS-Department - Hamburg - Germany
Hallo, Am Montag, 23. Juni 2003 19:22 schrieb Matthias Houdek:
[Martin Mewes]:
Hallo MArko,
Am Montag, 23. Juni 2003 08:16 schrieb
Mirko Richter
: Na und!? Kein Provider kann mir den einsatz eines Routers/Firewall verbieten.
Ja, sagte ich doch ;-)
Richtig ...
Der schlüssige Beweis dessen, wird ihm aber ordentlich schwerfallen. Zumahl er, wenn er meine übertragenen Daten durchforstet, leicht in den Bereich strafrechtlich relevanten Verhaltens kommt. -> fragt mal die Juristen hier
Naja, er darf IMHO schon die übertragenen Daten hinsichtlich der Übertragungsmerkmale durchforsten - natürlich nicht bezüglich der Inhalte.
Er darf alles prüfen, überwachen, auswerten und speichern, was für die normale Geschäftstätigkeit (Netzbetrieb, Abrechnung, ...) notwendig ist. Der Inhalt meiner Datenpakete (ob nun TTL's, Fingerprints, genutzte Protokolle oder gar die Daten) sind für den ISP TABU. Wenn er das auswertet, bekommt er auf jeden Fall ehr Besuch von der Staatsanwaltschaft als sein 2-PC-Kunde.
... weswegen auch noch nie ein Fall (also mir) bekannt wurde, daß ein ISP Kunden wegen diesen Verhaltens gekündigt hat.
Doch hat es schon gegeben. Die Provider zahlen häufig nach Volumen und kalkulieren bei Zeittarifen nach Durchschnittssätzen. Weicht jetzt ein User deutlich davon ab, so wird sich der Provider den Anschluss sicher ein wenig genauer unter die Lupe nehmen und in der Regel zunächst auf das auffällige Verhalten hinweisen und ggf. einen anderen Tarif anbieten (natürlich mit dem Hinweis auf die Rechtsfolge der Kündigung und ggf. Schadenersatz, sollte man seinen Anschluss widerrechtlich mehrfach genutzt haben). Spätestens ab jetzt sollte man sehr vorsichtig sein *g*.
Außerdem kann es einem ISP nun wirklich wurscht sein, ob ich alleine auf einer DSL-Flat 1 TByte an Daten verschiebe, oder ob dahinter ein Router steckt und 10 User 1 TByte verschieben.
1 TByte Daten sind für einen Einzeluser aber ziehmlich unwahrscheinlich. Und es ist ihm nicht wurscht (Siehe oben).
Ich kenne mich nicht so gut aus mit Routern, aber ich habe mal von einer Einstellung "always_defragment" gehört. Das haut zwar die Performance in den Keller, gilt aber imho als "sicher".
Bei Verdacht einer Straftat kann sogar eine Hausdurchsuchung
Straftat!? Das müßtest Du jetzt aber genauer erklären. Das Einzige was ich da (vom Kunden her) erkennen kann, ist eine simple Vertragsverletzung. Aufgrund dieser kann der ISP mahnen bzw. kündigen. Es gibt kein Gesetz, was die Mehrfachnutzung eines Kommunikationsanschlußes verbietet. Es ist eine einfache Vertragsverletzung. Er kann schlimmstenfalls kündigen. Der Nachweis eines konkreten Schadens wird nicht einfach sein, ohne sich mit s.o. anzulegen.
angeordnet werden. Und die wird üblicher Weise vorher nicht angekündigt.
Und ob ein Richter ein mehrfach überdurchschnittliches Datenaufkommen als hinreichend für einen entsprechende Tatverdacht des Missbrauchs anerkennt, wissen wir beide (und auch alle andern hier) wohl erst hinterher.
MfG Mirko Richter -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Mirko Richter | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
--
On Tue, 24 Jun 2003 08:46:07 +0200
Mirko Richter
Bei Verdacht einer Straftat kann sogar eine Hausdurchsuchung
Straftat!? Das müßtest Du jetzt aber genauer erklären. Das Einzige was ich da (vom Kunden her) erkennen kann, ist eine simple Vertragsverletzung. Aufgrund dieser kann der ISP mahnen bzw. kündigen.
Betrug, § 263 StGB (in Deutschland). Du hast zugesichert, dass du den Anschluss alleine nutzt. Damit hast du den ISP getäuscht, der daraufhin über sein Vermögen verfügt hat (indem er dir Netzkapazität zur Verfügung stellt) und dann einen finanziellen Schaden hat. Die Kausalität zwischen Vermögensverfügung und Schaden ist schwierig - aber nicht so unmöglich, dass ich dagegen wetten würde.
Es gibt kein Gesetz, was die Mehrfachnutzung eines Kommunikationsanschlußes verbietet. Es ist eine einfache Vertragsverletzung. Er kann schlimmstenfalls kündigen. Der Nachweis eines konkreten Schadens wird nicht einfach sein, ohne sich mit s.o. anzulegen.
Ne Vertragsverletzung kann durchaus ein sog. Eingehungsbetrug sein, s.o.
[Mirko Richter]:
Hallo,
Am Montag, 23. Juni 2003 19:22 schrieb Matthias Houdek:
[Martin Mewes]:
Hallo MArko,
Am Montag, 23. Juni 2003 08:16 schrieb
Mirko Richter
: Na und!? Kein Provider kann mir den einsatz eines Routers/Firewall verbieten.
Ja, sagte ich doch ;-)
Richtig ...
Der schlüssige Beweis dessen, wird ihm aber ordentlich schwerfallen. Zumahl er, wenn er meine übertragenen Daten durchforstet, leicht in den Bereich strafrechtlich relevanten Verhaltens kommt. -> fragt mal die Juristen hier
Naja, er darf IMHO schon die übertragenen Daten hinsichtlich der Übertragungsmerkmale durchforsten - natürlich nicht bezüglich der Inhalte.
Er darf alles prüfen, überwachen, auswerten und speichern, was für die normale Geschäftstätigkeit (Netzbetrieb, Abrechnung, ...) notwendig ist.
Bleibt die Frage offen, was zur normalen Geschäftstätigkeit gehört. IMHO die Kontrolle der Einhaltung der vertraglichen Bestimmungen durch die Gegenseite auch. Insofern ist auch bei einer Flatrate die Messung des Datenvolumens sicher zulässig. Und bei Auffälligkeiten, die einen Verdacht auf Vertragsbruch begründen, sicher auch Teile der Header-Daten der Pakete.
Der Inhalt meiner Datenpakete (ob nun TTL's, Fingerprints, genutzte Protokolle oder gar die Daten) sind für den ISP TABU. Wenn er das auswertet, bekommt er auf jeden Fall ehr Besuch von der Staatsanwaltschaft als sein 2-PC-Kunde.
Da wäre ich mir nicht so sicher. Hast du dafür konkrete Fakten (bitte keine Meinungen anderer, sondern rechtliche Normen)?
... weswegen auch noch nie ein Fall (also mir) bekannt wurde, daß ein ISP Kunden wegen diesen Verhaltens gekündigt hat.
Doch hat es schon gegeben. Die Provider zahlen häufig nach Volumen und kalkulieren bei Zeittarifen nach Durchschnittssätzen. Weicht jetzt ein User deutlich davon ab, so wird sich der Provider den Anschluss sicher ein wenig genauer unter die Lupe nehmen und in der Regel zunächst auf das auffällige Verhalten hinweisen und ggf. einen anderen Tarif anbieten (natürlich mit dem Hinweis auf die Rechtsfolge der Kündigung und ggf. Schadenersatz, sollte man seinen Anschluss widerrechtlich mehrfach genutzt haben). Spätestens ab jetzt sollte man sehr vorsichtig sein *g*.
Außerdem kann es einem ISP nun wirklich wurscht sein, ob ich alleine auf einer DSL-Flat 1 TByte an Daten verschiebe, oder ob dahinter ein Router steckt und 10 User 1 TByte verschieben.
1 TByte Daten sind für einen Einzeluser aber ziehmlich unwahrscheinlich. Und es ist ihm nicht wurscht (Siehe oben).
Ich kenne mich nicht so gut aus mit Routern, aber ich habe mal von einer Einstellung "always_defragment" gehört. Das haut zwar die Performance in den Keller, gilt aber imho als "sicher".
Bei Verdacht einer Straftat kann sogar eine Hausdurchsuchung
Straftat!? Das müßtest Du jetzt aber genauer erklären.
Eine Frage der Auslegung. Wenn ich nach Mahnung durch den Provider und Hinweis auf einen Multi-User-Tarif immer noch im Einzel-User-Tarif mit mehreren PCs surfe, dann ist es IMHO nicht mehr ein einfacher Vertragsbruch, sondern Betrug. Insbesondere, wenn ich auf eine Nachfrage der Providers angebe, allein den Anschluss zu nutzen.
Das Einzige was ich da (vom Kunden her) erkennen kann, ist eine simple Vertragsverletzung. Aufgrund dieser kann der ISP mahnen bzw. kündigen.
Es gibt kein Gesetz, was die Mehrfachnutzung eines Kommunikationsanschlußes verbietet.
Direkt nicht. Mann kann auch nicht alles per Gesetz vorschreiben oder verbieten. Für spezielle Fälle gibt es dann ja die Verträge, und wer gegen einen abgeschlossenen Vertrag in betrügerischer Absicht verstößt, macht sich strafbar (§ 263 StGB, ggf. auch § 263a bei Manipulation zur Verschleierung des betrügerischen Vertragsbruchs und § 265a - Erschleichen von Leistungen). Hinweis: Allein der Versich ist strafbar.
Es ist eine einfache Vertragsverletzung. Er kann schlimmstenfalls kündigen. Der Nachweis eines konkreten Schadens wird nicht einfach sein, ohne sich mit s.o. anzulegen.
Schadenersatzansprüche sind etwas anders als Strafe. Für eine Bestrafung nach StGB reichte der Nachweis einer Schädigung eines Dritten zum eigenen Vorteil aus. Die konkrete Höhe ist dabei zweitrangig. -- Gruß MaxX
* On Mon, 23 Jun 2003 at 19:22 +0200, Matthias Houdek wrote: [...]
Bei Verdacht einer Straftat kann sogar eine Hausdurchsuchung angeordnet werden. Und die wird üblicher Weise vorher nicht angekündigt.
Und ob ein Richter ein mehrfach überdurchschnittliches Datenaufkommen als hinreichend für einen entsprechende Tatverdacht des Missbrauchs anerkennt, wissen wir beide (und auch alle andern hier) wohl erst hinterher.
Eine Verletzung eines gewöhnlichen Feld-, Wald- oder Wiesenvertrages ist keine Straftat, daher keine Hausdurchsuchung. Der Provider kann auf Schadenersatz und weiß der Geier was noch alles klagen, aber um gröberen Besuch zu bekommen, musst Du schon eine z.B. vom Gericht auferlegte Schadenersatzzahlung nicht machen. Dann kommt aber auch blos der Kuckuck. /apm -- GPG welcome, request public key: mailto:adalbert+key@lopez.at
* Martin Mewes textete am 23.06.03:
Außerdem kann es einem ISP nun wirklich wurscht sein, ob ich alleine auf einer DSL-Flat 1 TByte an Daten verschiebe, oder ob dahinter ein Router steckt und 10 User 1 TByte verschieben.
*g* Und wie willst du das mit max. 768kbit/s oder 1500kbit/s an einem Tag schaffen? Laut meinem Taschenrechner sind 768kbit/s 96kByte/s. Macht 5760kb/min sind 345600kb/h macht 8294400kb/d. Oder 7,91GByte. Bei 1500kbit/s sind das 15,45GByte. Und da sind die protokollbedingt nötigen Daten noch nicht rausgerechnet. Ja, ich weiß, spätestens jetzt wäre ein guter Zeitpunkt nach suse-ot zu wechseln, aber das mußte jetzt doch raus. Flames bitte per PM. cu flo -- Persoenlich neige ich da weiterhin zur unnatuerlichen Vermutung. [Norbert Marzahn]
[Florian Gross]:
* Martin Mewes textete am 23.06.03:
Außerdem kann es einem ISP nun wirklich wurscht sein, ob ich alleine auf einer DSL-Flat 1 TByte an Daten verschiebe, oder ob dahinter ein Router steckt und 10 User 1 TByte verschieben.
*g* Und wie willst du das mit max. 768kbit/s oder 1500kbit/s an einem Tag schaffen?
Laut meinem Taschenrechner sind 768kbit/s 96kByte/s. Macht 5760kb/min sind 345600kb/h macht 8294400kb/d. Oder 7,91GByte. Bei 1500kbit/s sind das 15,45GByte. Und da sind die protokollbedingt nötigen Daten noch nicht rausgerechnet.
... und knapp 8 GByte / 15 GByte am Tag sind im Monat rund 250 GByte / 450 GByte. Während der Laufzeit eines 3-Monats-Vertrages kann man also schon in die Nähe der TByte vorstoßen - theoretisch *g*. Und um deinen Provider zu testen (so du DSL hast): Mach doch einfach mal einen Monat lang einen Endlos-Download und warte ab, was passiert ;-) -- Gruß MaxX
On Tue, Jun 24, 2003 at 07:09:44AM +0200, Matthias Houdek wrote:
Und um deinen Provider zu testen (so du DSL hast): Mach doch einfach mal einen Monat lang einen Endlos-Download und warte ab, was passiert ;-)
http://www.random-downloads.com/ Viel Spaß, Kristian
Al Bogner wrote:
Wie man das Schnüffeln beim "Time To Live" verhindern kann, ist mir aber nicht klar.
,----| | iptables -t mangle -A OUTPUT -j TTL --ttl-set $neueTTL `----| http://www.iptables.org/documentation/HOWTO/de/netfilter-extensions-HOWTO.tx... micha
Matthias Houdek wrote:
[Martin Jedamzik]:
kann der Provider nicht, da Router die IP-Adresse des Clienten in dem IP-Paket durch die eigene, durch den Provider zugewiesene Adresse ersetzt.
Stimmt, direkt wird das der Provider nicht herausbekommen. Jedenfalls nicht durch Portscans.
Wenn er sich allerdings den Traffic ansehen sollte, kann er es:
1. Die Häufigkeit von verschiedensten Seitenaufrufen, wenn mehrere gleichzeitig surfen, lässt erste Vermutungen zu.
dazu in den datenteil von http paketen reinschauen, und sich die client-header anschauen, ob dort sowas wie Forward-For: x.x.x.x oder so vorkommt. micha
Am Son, 2003-06-22 um 09.31 schrieb Martin Jedamzik: [TOFU entsorgt] Bitte mal http://learn.to/quote lesen und vor Allem auch beachten (!). Danke.
Am Son, 2003-06-22 um 01.21 schrieb Thomas Worm:
Ich hab mir jetzt mal nen DSL-Router konfiguriert. Aber jetzt meine Frage: Kann der Provider nachschauen, ob ich einen Router verwende? Wenn ja, wie kann ich das verhindern?
kann der Provider nicht, da Router die IP-Adresse des Clienten in dem IP-Paket durch die eigene, durch den Provider zugewiesene Adresse ersetzt.
So direkt nicht, indirekt ist das aber durchaus herauszufinden, z.B. aufgrund der Tatsache, daß IP-Masquerading zwangsläufig zu einer übermäßigen Nutzung hoher Portnummern führt. Er könnte auch Traffic mitsniffen und dort Anhaltspunkte finden, z.B. verschiedene User-Agent Strings in HTTP-Requests. Wenn sagen wir mal innerhalb von Sekunden Requests an 3 verschiedene Adressen mit 3 verschiedenen Versionen des Internet-Explorer rausgehen, ist das schon ein recht deutliches Indiz. -- Erhard Schwenk Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de K-ITX Webhosting - http://webhosting.k-itx.net
Am Son, 2003-06-22 um 11.50 schrieb Erhard Schwenk:
Am Son, 2003-06-22 um 09.31 schrieb Martin Jedamzik:
So direkt nicht, indirekt ist das aber durchaus herauszufinden, z.B. aufgrund der Tatsache, daß IP-Masquerading zwangsläufig zu einer übermäßigen Nutzung hoher Portnummern führt.
Wobei ich das ja auch hätte, wenn ich sagenwirmal als Ottonormalverbraucher in einen Laden gehe und mir einen Router kaufe, der eine Firewall drin hat, weil ich Angst habe, daß mein schönes Windows aus'm Internet kaputtgemacht wird - gerade jetzt, wo Minesweeper endlich mal stabil läuft. Als juristisch unverdorbener Mensch wäre das m.E. keine Mehrfachnutzung, da müssen sie schon mehr auffahren als bloß Masquerading. Ich würde allerdings davon ausgehen, daß, wenn sie einmal aufmerksam geworden sind, auch sorgfältig nachgucken. M.E. wäre aber das Scannen des Traffics z.B. auf Browserkennungen nicht legal. Und man kann sich auf Wine rausreden. :-) <solides unwissen> Ich habe mal gelesen, daß es in solchen Fällen sinnvoll ist, das DSL-Modem nicht über Hub an die gleiche Karte zu hängen wie den Rest des Netzwerks, sondern dem Modem eine explizite Karte zu spendieren, da der Traffic des internen Netzwerkes sonst für den Provider sichtbar wäre. Ich gebe das hier mal so wieder, ohne es komplett zu verstehen. Jedenfalls habe ich es so gemacht. Und ich weise darauf hin, daß sich das in nicht-privaten Umgebungen (also nicht WG, Freundin hat auch'n Rechner, 3-Personen-Zivi-Bude,...) , ohnehin von selbst versteht. Gruß, Ratti
Wenn sagen wir mal innerhalb von Sekunden Requests an 3 verschiedene Adressen mit 3 verschiedenen Versionen des Internet-Explorer rausgehen, ist das schon ein recht deutliches Indiz.
Hmm... man könnte einen Win-Wurm schreiben, der unter allen möglichen Browserkennungen HTTP-Requests rausschickt und dann abwarten, wie viele Leute vom Provider auf die Mütze kriegen. :-))) Okok, war nur Spaß. Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Hi, 0n 03/06/22@11:50 Erhard Schwenk told me:
Am Son, 2003-06-22 um 09.31 schrieb Martin Jedamzik:
Am Son, 2003-06-22 um 01.21 schrieb Thomas Worm:
Ich hab mir jetzt mal nen DSL-Router konfiguriert. Aber jetzt meine Frage: Kann der Provider nachschauen, ob ich einen Router verwende? Wenn ja, wie kann ich das verhindern?
kann der Provider nicht, da Router die IP-Adresse des Clienten in dem IP-Paket durch die eigene, durch den Provider zugewiesene Adresse ersetzt.
So direkt nicht, indirekt ist das aber durchaus herauszufinden, z.B. aufgrund der Tatsache, daß IP-Masquerading zwangsläufig zu einer übermäßigen Nutzung hoher Portnummern führt.
Bedingt jedoch das ueberhaupt maskiert wird, was IMHO nicht sinnvoll ist. Squid sowie ein localer MTA und Newsserver, sollten wohl die Grundbeduerfnisse der meisten User befriedigen und fuer den ISP wird der Nachweis dann sehr schwierig zu fuehren sein. -- bye maik
On Sunday 22 June 2003 01:21, Thomas Worm wrote: [...]
Ich hab mir jetzt mal nen DSL-Router konfiguriert. Aber jetzt meine Frage: [1] Kann der Provider nachschauen, ob ich einen Router verwende? [2] Wenn ja, wie kann ich das verhindern? [...] [1] Ja, jedes Paket das über einen Router geht dessen TTL Wert wird um eins erhöht. Da die meisten Betriebssysteme standard TTL's verwenden kann ein Provider erkennen ob da evtl. ein Router im Spiel ist. [2] Ja in den iptables Rules folgenden Eintrag hinzufügen, oder auf der Konsole eingeben: iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64
Hab ich seitdem mich Barny at LugWHV gestern wieder daran erinnert hat in meinem Hirnkasten Reaktiviert. *grins+ Tschüss, Thomas
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Sunday 22 June 2003 12:38, Thomas Templin wrote:
[1] Ja, jedes Paket das über einen Router geht dessen TTL Wert wird um eins erhöht. Veringert?? oder doch erhöht?... Sch... ich werd senil -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux)
iD8DBQE+9ZDJwUbCBG+D/AIRAt+6AJ4sCpp9/72rRf1AbudSE/K5wJFHIQCfbNmV KJex9pjw9+B89l51dhTBOo8= =g0U6 -----END PGP SIGNATURE-----
Hallo Thomas, * Thomas schrieb am 22.06.2003:
Hallo, Ich hab mir jetzt mal nen DSL-Router konfiguriert. Aber jetzt meine Frage: Kann der Provider nachschauen, ob ich einen Router verwende? Wenn ja, wie kann ich das verhindern?
Jeder TCP-/IP-Stack verwendet eigene Sequenznummern. Ich hatte mal ein Dokument gefunden, das beschrieb, wie man dadurch die Anzahl Rechner statistisch ermitteln konnte. Ich schätze, dass man dagegen nichts machen kann. Grüße, Tom
On Sunday 22 June 2003 16:26, Thomas Preissler wrote:
Jeder TCP-/IP-Stack verwendet eigene Sequenznummern. Ich hatte mal ein Dokument gefunden, das beschrieb, wie man dadurch die Anzahl Rechner statistisch ermitteln konnte.
Ich schätze, dass man dagegen nichts machen kann.
Aber sicher: http://www.grsecurity.org/ CONFIG_GRKERNSEC_RANDID: If you say Y here, all the id field on all outgoing packets will be randomized. This hinders os fingerprinters and keeps your machine from being used as a bounce for an untraceable portscan. Ids are used for fragmented packets, fragments belonging to the same packet have the same id. By default linux only increments the id value on each packet sent to an individual host. We use a port of the OpenBSD random ip id code to achieve the randomness, while keeping the possibility of id duplicates to near none. If the sysctl option is enabled, a sysctl option with name "rand_ip_ids" is created. Al
Am Sonntag, 22. Juni 2003 20:02 schrieb Al Bogner:
On Sunday 22 June 2003 16:26, Thomas Preissler wrote:
Jeder TCP-/IP-Stack verwendet eigene Sequenznummern. Ich hatte mal ein Dokument gefunden, das beschrieb, wie man dadurch die Anzahl Rechner statistisch ermitteln konnte.
Ich schätze, dass man dagegen nichts machen kann.
Aber sicher: http://www.grsecurity.org/
Leider ist die Seite im Moment überlastet ... werde es später noch mal versuchen.
CONFIG_GRKERNSEC_RANDID: If you say Y here, all the id field on all outgoing packets will be randomized. This hinders os fingerprinters and keeps your machine from being used as a bounce for an untraceable portscan. Ids are used for fragmented packets, fragments belonging to the same packet have the same id. By default linux only increments the id value on each packet sent to an individual host. We use a port of the OpenBSD random ip id code to achieve the randomness, while keeping the possibility of id duplicates to near none. If the sysctl option is enabled, a sysctl option with name "rand_ip_ids" is created.
Al
Das scheint wirlich ein vielversprechendes Projekt zu sein. Welche Kernel-Versionen können damit gepatcht werden? grüße, sam
On Monday 23 June 2003 19:27, Samuel Edlmeier wrote:
Leider ist die Seite im Moment überlastet ... werde es später noch mal versuchen.
Bei mir dauert sie auch sehr lange, aber irgendwann ist sie da. Lies mal http://www.grsecurity.org/gracldoc.pdf
CONFIG_GRKERNSEC_RANDID:
Das scheint wirlich ein vielversprechendes Projekt zu sein. Welche Kernel-Versionen können damit gepatcht werden?
Gute Frage. Jedenfalls funktioniert http://www.grsecurity.org/grsecurity-1.9.10-2.4.21.patch mit http://www.grsecurity.org/gradm-1.9.10.tar.gz und http://www.kernel.org/pub/linux/kernel/v2.4/linux-2.4.21.tar.bz2 Mirror mußt du dir selber suchen. Für CONFIG_GRKERNSEC_RANDID reicht es generell "low security" einzustellen. Für Multikernel empfehle ich: http://www.dhaller.de/linux/multikernel.html David half mir auch privat sehr bei der Kernelkonfiguration. Es sind immer ein paar Kleinigkeiten, die einen groß aufhalten. Danke nochmal an David. Das einzige kleine Problem hier ist bei meinem Vanilla-grsec-Kernel, dass die Soundkarte (noch) nicht wieder funktioniert. Ich weiß schon ungefähr woran es liegt (Alsa auch selber kompilieren), aber im Augenblick habe ich keine Zeit mich damit auseinanderzusetzen. Ich versuche gerade möglichst alle Internetverbindungen auf Proxy umzustellen. Der lokale POP3-Server mit spamassassin läuft seit ein paar Minuten - freu :) Wenn man ein paar Kleinigkeiten weiß, ist es trivial, doch bis dahin kann es Stunden dauern bis einem eine Suchmaschine das Problem löst. Al
Am Montag, 23. Juni 2003 19:44 schrieb Al Bogner:
On Monday 23 June 2003 19:27, Samuel Edlmeier wrote:
http://www.grsecurity.org/ [...] Bei mir dauert sie auch sehr lange, aber irgendwann ist sie da. Lies mal http://www.grsecurity.org/gracldoc.pdf
Die Seite funktioniert jetzt. Ich werde mir die umfangreiche Dokumentation so bald als möglich zu Gemüte führen.
CONFIG_GRKERNSEC_RANDID:
Das scheint wirlich ein vielversprechendes Projekt zu sein. Welche Kernel-Versionen können damit gepatcht werden?
Gute Frage. Jedenfalls funktioniert http://www.grsecurity.org/grsecurity-1.9.10-2.4.21.patch mit http://www.grsecurity.org/gradm-1.9.10.tar.gz und http://www.kernel.org/pub/linux/kernel/v2.4/linux-2.4.21.tar.bz2
Da ich ohnehin plane, demnächst den neuen Kernel einzusetzen, werde ich bei dieser Gelegenheit gleich mal den Patch einspielen. Ich hoffe, ich finde am Wochenende endlich die Zeit dafür ;-)
Für CONFIG_GRKERNSEC_RANDID reicht es generell "low security" einzustellen.
Für Multikernel empfehle ich: http://www.dhaller.de/linux/multikernel.html
[...]
Das einzige kleine Problem hier ist bei meinem Vanilla-grsec-Kernel, dass die Soundkarte (noch) nicht wieder funktioniert. Ich weiß schon ungefähr woran es liegt (Alsa auch selber kompilieren), aber im Augenblick habe ich keine Zeit mich damit auseinanderzusetzen.
Ich hoffe, du verwendest keine SB 128 PCI, die steckt nämlich in meinem Rechner. [...] nochmals vielen Dank für die ausführlichen Hinweise. viele Grüße, sam
On Monday 23 June 2003 20:08, Samuel Edlmeier wrote:
meinem Vanilla-grsec-Kernel, dass die Soundkarte (noch) nicht wieder funktioniert. Ich weiß schon ungefähr woran es liegt (Alsa auch selber kompilieren), aber im Augenblick habe ich keine Zeit mich damit auseinanderzusetzen.
Ich hoffe, du verwendest keine SB 128 PCI, die steckt nämlich in meinem Rechner.
Nein, aber das dürfte egal sein.
---------- Forwarded Message:
Subject: Re: Kernelmodul f. Soundunterstützung konnte nicht geladen
werden
Date: Sunday 15 June 2003 23:53
From: Manfred Tremmel
Egal, ob ich die Soundkarte fix in den Kernel einbinde oder als Modul konfiguriere, gibt es Probleme.
Ja, Du hast keine ALSA-Module, sondern nur die OSS-Treiber. Hohl Dir die Treiber von http://www.alsa-project.org/, compilier die. Für den Rest (libs, utils, tools und oss-compat) gibts zwei RPMs bei Packman (das Paket alsa enthält libs, utils und oss-compat).
Am Sonntag, 22. Juni 2003 16:26 schrieb Thomas Preissler:
Hallo Thomas,
* Thomas schrieb am 22.06.2003:
Hallo, Ich hab mir jetzt mal nen DSL-Router konfiguriert. Aber jetzt meine Frage: Kann der Provider nachschauen, ob ich einen Router verwende? Wenn ja, wie kann ich das verhindern?
Jeder TCP-/IP-Stack verwendet eigene Sequenznummern. Ich hatte mal ein Dokument gefunden, das beschrieb, wie man dadurch die Anzahl Rechner statistisch ermitteln konnte.
Ich schätze, dass man dagegen nichts machen kann.
Soweit ich weiß, verwendet OpenBSD im Gegensatz zu Linux zufällige Sequenznummern anstelle fortlaufender. Dadurch können neugierige Provider nicht mehr ermitteln, ob auch noch andere Rechner den Zugang benutzen.
Grüße, Tom
grüße, sam
participants (20)
-
Adalbert Michelic
-
Al Bogner
-
Erhard Schwenk
-
Florian Gross
-
Joerg Rossdeutscher
-
Karsten Voigt
-
Kristian Koehntopp
-
Maik Holtkamp
-
Manfred Tremmel
-
Martin Eitzenberger
-
Martin Mewes
-
Martin Mewes
-
MartinJedamzik@t-online.de
-
Matthias Houdek
-
Michael Meyer
-
Mirko Richter
-
Samuel Edlmeier
-
Thomas Preissler
-
Thomas Templin
-
Thomas Worm