xDSL.at

[radditz]

Wobei man das jetzt nicht aus der Sicht des Wurmes, sondern aus der Sicht eines unschuldigen Kunden sehen sollte, dessen Rechner dann von einer anderen Drei-IP angegriffen wird.
Angriffe von außerhalb des Drei-Netzes werden von Drei nämlich direkt blockiert, für die internen geht das scheinbar nur so.

[wagsoul]

Angriffe aus dem Internet werden direkt blockiert?

Was sollte denn das sein?

[jutta]

> Was sollte denn das sein?

firewall?

[wagsoul]

Ich versteh das halt nicht so recht, bzw. seh ich da keine Blockade, die im einen Fall direkter gegen Angriffe gerichtet ist als im anderen.

[jutta]

eine firewall schirmt das eigene netz gegenueber fremden netzen ab. wenn ich die einzelnen hosts innerhalb meines netzes voreinander schuetzen will, hilft mir die firewall am gateway wenig - verstaendlich?

oder habe ich deine frage/aussage falsch verstanden?

[wagsoul]

Mir hat ja vor langer Zeit mal jemand erklärt, dass eine Firewall nie eine Komponente eines Netzwerkes, sondern immer nur ein Konzept an sich ist.

So ein Konzept oder ein Teil davon kann natürlich sein, dass auf einem Router zwischen zwei Netzen eine ACL läuft, die Verbindungen ablehnt.

Genauso passt aber auch ein Proxy im LAN in das Konzept einer Firewall. Workstations können zu keiner Webseite direkt verbinden sondern fragen alles beim Proxy an. Der dann holt die Webseite aus dem Internet (prüft und filtert die Inhalte) und liefert seine Kopie die er sich gezogen hat dann an den Browser im LAN aus. Das ist auch eine Firewall.

Seit dem Aufkommen der Personal-Firewalls glauben aber scheinbar alle, eine Firewall ist ein einzelnes Ding (das mit setup.exe installiert wird, oder eben als Advanced-Variante ein Router als Kasterl irgendwo)


Ich halt finde die Überlegung "Drei blockt angriffe" halt zum Teil unglücklich formuliert. Denn es werden nicht Angriffe blockiert, sondern IP-Pakete werden in bestimmte Richtungen an bestimmten Punkten zurückgehalten.

Ist so ein Paket das in diese Regeln fällt und gestoppt wird ein UDP-Packerl vom MS SQL Slammer, dann mag das ja gut sein, und auch ist es ein eventueller Angriff, der einem eventuellen übers Internet erreichbaren und seit 2002 ungepatchten MS SQL Server des Kunden gegolten hätte, der so dann abgewehrt wurde.

Ist es aber ein Kunde, der mit seiner Xbox online ständig Fehler und Disconnects in den Spielrunden hat, dann sind seine Spiel- und Chat-Daten sicher kein Angriff, den der ISP an einer Firewall geblockt hat.

Was ich weiter oben auch nicht verstanden habe, das ist die Erklärung, dass die Angriffe aus dem Nicht-Drei-Internet direkt geblockt werden, Angriffe zwischen den Kunden aber indirekter mit einer Traffic-Sperre zwischen ihnen.

Das Zurückhalten der Datenpakete kann in beiden Fällen ja gut an anderer Stelle geschehen und vielleicht auch durch anderer Techniken umegsetzt sein, dass eine der Arten direkter ablaufen würde als die andere kann ich aber nicht erkennen.

Es sind eben 2 unterschiedliche Mechanismen einer Paket-Filterung (die nicht wirklich etwas mit Angriffen zu tun hat, da auch Nicht-Angriffs-Pakete in die Beschränkung fallen). Und alles in allem passt das ja durchaus in ein Sicherheitskonzept, das man Firewall nennt.

[dadaniel]

Super erklärt, dem stimme ich auch zu... und der Techniker von 3 auch

Aber kann mir jemand erklären wieso das bei normalen ADSL -Zugängen etc nicht auch gemacht wird??


Das ist doch Augenauswischerei, zu behaupten der Zusatztraffic der dabei entsteht würde das Handynetz überlasten.....


btw... Der Techniker hat gemeint falls das in Zukunft freigeschalten wird, dann NUR wenn man eine statische IP dazukauft...

[ANOther]

Aber kann mir jemand erklären wieso das bei normalen ADSL -Zugängen etc nicht auch gemacht wird??

vlt weil da das "hintergrundrauschen" das netz nicht so richtig belastet...

[jutta]

> Mir hat ja vor langer Zeit mal jemand erklärt, dass eine Firewall nie eine Komponente eines Netzwerkes, sondern immer nur ein Konzept an sich ist.

das stimmt grundsaetzlich auch, aber das konzept firewall hat eben den sinn, das eigene netz von/nach aussen abzuschirmen. fuer gefahren innerhalb des eigenen netzes sind andere massnahmen noetig.

> Was ich weiter oben auch nicht verstanden habe, das ist die Erklärung, dass die Angriffe aus dem Nicht-Drei-Internet direkt geblockt werden, Angriffe zwischen den Kunden aber indirekter mit einer Traffic-Sperre zwischen ihnen.

das eine - internet <> netz von 3 - kann mit einem schlichten ip-filter oder mit nat realisiert werden, das andere - schutz innerhalb des netzes - nicht. dafuer wird in diesem fall eben ppp-isolation verwendet (vlans waeren eine andere moeglichkeit).

[wagsoul]

Das wäre aber sehr vereinfacht dargestellt würde man sagen, auf der einen Seite gibts es das Internet, dann einen Router, und auf der anderen Seite dann ein einzelnes Netz von 3 mit allen Kunden drin.

Mach ein Traceroute von einem mobilen 3-Zugang zu einem anderen

[jutta]

> Das wäre aber sehr vereinfacht dargestellt würde man sagen, auf der einen Seite gibts es das Internet, dann einen Router, und auf der anderen Seite dann ein einzelnes Netz von 3 mit allen Kunden drin

genau so laeufts im prinzip bei allen providern und bei vielen anderen grossen netzen (universitaeten, grosse firmen usw). die border-router regeln die verbindungen mit anderen netzen und innerhalb des eigenen netzes gibts meistens auch noch ein paar router, die fuer bestimmte segmente zustaendig sind.

[dadaniel]

Wow! Anscheinend hat sich jemand bei 3 meines Problems angenommen.

Allerdings im negativen Sinn.

Ich kann nun trotz aktiviertem OpenInternet gar nicht mehr auf Geräte hinter dem Router zugreifen. Von keiner Adresse im Netz aus.

Echt toll, weiter so. Gottseidank hab ich keine Vertragsbindung.


EDIT:

Hab nun herausgefunden das es auf die dynamisch zugewiesene IP ankommt.

Ich hatte zuerst 77.118.5.2xx:

Ping wird ausgeführt für 77.118.5.2xx mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.


und jetzt 77.119.3.2xx:

Ping wird ausgeführt für 77.119.3.2xx mit 32 Bytes Daten:

Antwort von 77.119.3.2xx: Bytes=32 Zeit=1351ms TTL=56
Antwort von 77.119.3.2xx: Bytes=32 Zeit=405ms TTL=56
Antwort von 77.119.3.2xx: Bytes=32 Zeit=418ms TTL=56
Antwort von 77.119.3.2xx: Bytes=32 Zeit=442ms TTL=56



Und da soll mir noch jemand erklären das die keinen Fehler in ihrem Netz haben..... -.-

[Colazivi]

Versteh ich das richtig, dass du deine frühere IP anpingst?

[jutta]

> Und da soll mir noch jemand erklären das die keinen Fehler in ihrem Netz haben..... -.-

das ist kein bug, sondern ein feature und ist bei allen dynamischen ip adressen so. wenn du eine ip anpingen oder sonst erreichen willst, muss die statisch sein oder du musst dir was ausdenken, wie du von der veraenderung erfaehrst. das heisst dann dyndns.

ich moecht einen schilling fuer jedes mal, wo der provider schuld ist, weil der kunde keine ahnung von einfachsten grundlagen der netzwerktechnik hat. (es muss kein euro sein, ich bin ja nicht unbescheiden )

[dadaniel]

Versteh ich das richtig, dass du deine frühere IP anpingst?

Ähm

Natürlich nicht.


Schau:

Ich wähle mich ins Netz ein, und bekomme die erstgenannte IP. Ich kann dann eben diese IP von außen nicht erreichen.

Dann trenne ich die Verbindung und wähle mich nochmal ein. Dabei bekomme ich die zweitgenannte IP. Diese kann ich erreichen (pingen)

ich moecht einen schilling fuer jedes mal, wo der provider schuld ist, weil der kunde keine ahnung von einfachsten grundlagen der netzwerktechnik hat. (es muss kein euro sein, ich bin ja nicht unbescheiden )

Geh bitte jutta. Bevor man sowas ausspricht sollte man vielleicht seinen Blick nach links schweifen lassen und notfalls ein paar alte Posts des Users durchlesen.
Und nicht irgendwelchen Schwachsinn eines Junior Board-Mitglieds nachbrabbeln.