Vorsicht mit mobilem Internetzugang von "3"

Hier sind eure (nicht-technischen) Erfahrungen mit Providern (deren Produkten und Dienstleistungen) gefragt.
Forumsregeln
Hier sind Eure (nicht-technischen) Erfahrungen mit Providern (deren Produkten und Dienstleistungen) gefragt.

Technisch orientierte Fragen bitte in den passenden Rubriken stellen!

Beitragvon radditz » Di 07 Apr, 2009 09:03

Wobei man das jetzt nicht aus der Sicht des Wurmes, sondern aus der Sicht eines unschuldigen Kunden sehen sollte, dessen Rechner dann von einer anderen Drei-IP angegriffen wird.
Angriffe von außerhalb des Drei-Netzes werden von Drei nämlich direkt blockiert, für die internen geht das scheinbar nur so.
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Beitragvon wagsoul » Di 07 Apr, 2009 09:13

Angriffe aus dem Internet werden direkt blockiert?

Was sollte denn das sein?
wagsoul
Profi-User
Profi-User
 
Beiträge: 1638
Registriert: Fr 04 Mai, 2007 20:53

Beitragvon jutta » Di 07 Apr, 2009 09:21

> Was sollte denn das sein?

firewall?
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon wagsoul » Di 07 Apr, 2009 10:01

Ich versteh das halt nicht so recht, bzw. seh ich da keine Blockade, die im einen Fall direkter gegen Angriffe gerichtet ist als im anderen.
wagsoul
Profi-User
Profi-User
 
Beiträge: 1638
Registriert: Fr 04 Mai, 2007 20:53

Beitragvon jutta » Di 07 Apr, 2009 10:40

eine firewall schirmt das eigene netz gegenueber fremden netzen ab. wenn ich die einzelnen hosts innerhalb meines netzes voreinander schuetzen will, hilft mir die firewall am gateway wenig - verstaendlich?

oder habe ich deine frage/aussage falsch verstanden?
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon wagsoul » Mi 08 Apr, 2009 13:18

Mir hat ja vor langer Zeit mal jemand erklärt, dass eine Firewall nie eine Komponente eines Netzwerkes, sondern immer nur ein Konzept an sich ist.

So ein Konzept oder ein Teil davon kann natürlich sein, dass auf einem Router zwischen zwei Netzen eine ACL läuft, die Verbindungen ablehnt.

Genauso passt aber auch ein Proxy im LAN in das Konzept einer Firewall. Workstations können zu keiner Webseite direkt verbinden sondern fragen alles beim Proxy an. Der dann holt die Webseite aus dem Internet (prüft und filtert die Inhalte) und liefert seine Kopie die er sich gezogen hat dann an den Browser im LAN aus. Das ist auch eine Firewall.

Seit dem Aufkommen der Personal-Firewalls glauben aber scheinbar alle, eine Firewall ist ein einzelnes Ding (das mit setup.exe installiert wird, oder eben als Advanced-Variante ein Router als Kasterl irgendwo)


Ich halt finde die Ăśberlegung "Drei blockt angriffe" halt zum Teil unglĂĽcklich formuliert. Denn es werden nicht Angriffe blockiert, sondern IP-Pakete werden in bestimmte Richtungen an bestimmten Punkten zurĂĽckgehalten.

Ist so ein Paket das in diese Regeln fällt und gestoppt wird ein UDP-Packerl vom MS SQL Slammer, dann mag das ja gut sein, und auch ist es ein eventueller Angriff, der einem eventuellen übers Internet erreichbaren und seit 2002 ungepatchten MS SQL Server des Kunden gegolten hätte, der so dann abgewehrt wurde.

Ist es aber ein Kunde, der mit seiner Xbox online ständig Fehler und Disconnects in den Spielrunden hat, dann sind seine Spiel- und Chat-Daten sicher kein Angriff, den der ISP an einer Firewall geblockt hat.

Was ich weiter oben auch nicht verstanden habe, das ist die Erklärung, dass die Angriffe aus dem Nicht-Drei-Internet direkt geblockt werden, Angriffe zwischen den Kunden aber indirekter mit einer Traffic-Sperre zwischen ihnen.

Das Zurückhalten der Datenpakete kann in beiden Fällen ja gut an anderer Stelle geschehen und vielleicht auch durch anderer Techniken umegsetzt sein, dass eine der Arten direkter ablaufen würde als die andere kann ich aber nicht erkennen.

Es sind eben 2 unterschiedliche Mechanismen einer Paket-Filterung (die nicht wirklich etwas mit Angriffen zu tun hat, da auch Nicht-Angriffs-Pakete in die Beschränkung fallen). Und alles in allem passt das ja durchaus in ein Sicherheitskonzept, das man Firewall nennt.
wagsoul
Profi-User
Profi-User
 
Beiträge: 1638
Registriert: Fr 04 Mai, 2007 20:53

Beitragvon dadaniel » Mi 08 Apr, 2009 15:52

Super erklärt, dem stimme ich auch zu... und der Techniker von 3 auch

Aber kann mir jemand erklären wieso das bei normalen ADSL -Zugängen etc nicht auch gemacht wird?? :-? :-?


Das ist doch Augenauswischerei, zu behaupten der Zusatztraffic der dabei entsteht wĂĽrde das Handynetz ĂĽberlasten.....


btw... Der Techniker hat gemeint falls das in Zukunft freigeschalten wird, dann NUR wenn man eine statische IP dazukauft... :cry: :cry: :cry:
dadaniel
Board-User Level 1
Board-User Level 1
 
Beiträge: 632
Registriert: So 16 Jan, 2005 14:10
Wohnort: Graz-Umgebung

Beitragvon ANOther » Mi 08 Apr, 2009 16:23

Aber kann mir jemand erklären wieso das bei normalen ADSL -Zugängen etc nicht auch gemacht wird??

vlt weil da das "hintergrundrauschen" das netz nicht so richtig belastet...
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon jutta » Do 09 Apr, 2009 09:39

> Mir hat ja vor langer Zeit mal jemand erklärt, dass eine Firewall nie eine Komponente eines Netzwerkes, sondern immer nur ein Konzept an sich ist.

das stimmt grundsaetzlich auch, aber das konzept firewall hat eben den sinn, das eigene netz von/nach aussen abzuschirmen. fuer gefahren innerhalb des eigenen netzes sind andere massnahmen noetig.

> Was ich weiter oben auch nicht verstanden habe, das ist die Erklärung, dass die Angriffe aus dem Nicht-Drei-Internet direkt geblockt werden, Angriffe zwischen den Kunden aber indirekter mit einer Traffic-Sperre zwischen ihnen.

das eine - internet <> netz von 3 - kann mit einem schlichten ip-filter oder mit nat realisiert werden, das andere - schutz innerhalb des netzes - nicht. dafuer wird in diesem fall eben ppp-isolation verwendet (vlans waeren eine andere moeglichkeit).
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon wagsoul » Do 09 Apr, 2009 10:10

Das wäre aber sehr vereinfacht dargestellt würde man sagen, auf der einen Seite gibts es das Internet, dann einen Router, und auf der anderen Seite dann ein einzelnes Netz von 3 mit allen Kunden drin.

Mach ein Traceroute von einem mobilen 3-Zugang zu einem anderen ;-)
wagsoul
Profi-User
Profi-User
 
Beiträge: 1638
Registriert: Fr 04 Mai, 2007 20:53

Beitragvon jutta » Do 09 Apr, 2009 10:21

> Das wäre aber sehr vereinfacht dargestellt würde man sagen, auf der einen Seite gibts es das Internet, dann einen Router, und auf der anderen Seite dann ein einzelnes Netz von 3 mit allen Kunden drin

genau so laeufts im prinzip bei allen providern und bei vielen anderen grossen netzen (universitaeten, grosse firmen usw). die border-router regeln die verbindungen mit anderen netzen und innerhalb des eigenen netzes gibts meistens auch noch ein paar router, die fuer bestimmte segmente zustaendig sind.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon dadaniel » Sa 11 Apr, 2009 22:51

Wow! Anscheinend hat sich jemand bei 3 meines Problems angenommen.

Allerdings im negativen Sinn. :x :x :x

Ich kann nun trotz aktiviertem OpenInternet gar nicht mehr auf Geräte hinter dem Router zugreifen. Von keiner Adresse im Netz aus.

Echt toll, weiter so. Gottseidank hab ich keine Vertragsbindung. :whistle:


EDIT:

Hab nun herausgefunden das es auf die dynamisch zugewiesene IP ankommt.

Ich hatte zuerst 77.118.5.2xx:

Ping wird ausgefĂĽhrt fĂĽr 77.118.5.2xx mit 32 Bytes Daten:

ZeitĂĽberschreitung der Anforderung.
ZeitĂĽberschreitung der Anforderung.


und jetzt 77.119.3.2xx:

Ping wird ausgefĂĽhrt fĂĽr 77.119.3.2xx mit 32 Bytes Daten:

Antwort von 77.119.3.2xx: Bytes=32 Zeit=1351ms TTL=56
Antwort von 77.119.3.2xx: Bytes=32 Zeit=405ms TTL=56
Antwort von 77.119.3.2xx: Bytes=32 Zeit=418ms TTL=56
Antwort von 77.119.3.2xx: Bytes=32 Zeit=442ms TTL=56



Und da soll mir noch jemand erklären das die keinen Fehler in ihrem Netz haben..... -.-
dadaniel
Board-User Level 1
Board-User Level 1
 
Beiträge: 632
Registriert: So 16 Jan, 2005 14:10
Wohnort: Graz-Umgebung

Beitragvon Colazivi » So 12 Apr, 2009 01:41

Versteh ich das richtig, dass du deine frĂĽhere IP anpingst?
Colazivi
Board-User Level 1
Board-User Level 1
 
Beiträge: 744
Registriert: Fr 30 Jan, 2009 16:41

Beitragvon jutta » So 12 Apr, 2009 04:54

> Und da soll mir noch jemand erklären das die keinen Fehler in ihrem Netz haben..... -.-

das ist kein bug, sondern ein feature und ist bei allen dynamischen ip adressen so. wenn du eine ip anpingen oder sonst erreichen willst, muss die statisch sein oder du musst dir was ausdenken, wie du von der veraenderung erfaehrst. das heisst dann dyndns.

ich moecht einen schilling fuer jedes mal, wo der provider schuld ist, weil der kunde keine ahnung von einfachsten grundlagen der netzwerktechnik hat. (es muss kein euro sein, ich bin ja nicht unbescheiden :angel: )
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon dadaniel » So 12 Apr, 2009 09:55

Colazivi hat geschrieben:Versteh ich das richtig, dass du deine frĂĽhere IP anpingst?


Ă„hm :? :? :?

NatĂĽrlich nicht.


Schau:

Ich wähle mich ins Netz ein, und bekomme die erstgenannte IP. Ich kann dann eben diese IP von außen nicht erreichen.

Dann trenne ich die Verbindung und wähle mich nochmal ein. Dabei bekomme ich die zweitgenannte IP. Diese kann ich erreichen (pingen)



jutta hat geschrieben:ich moecht einen schilling fuer jedes mal, wo der provider schuld ist, weil der kunde keine ahnung von einfachsten grundlagen der netzwerktechnik hat. (es muss kein euro sein, ich bin ja nicht unbescheiden :angel: )


Geh bitte jutta. Bevor man sowas ausspricht sollte man vielleicht seinen Blick nach links schweifen lassen und notfalls ein paar alte Posts des Users durchlesen. :cry:
Und nicht irgendwelchen Schwachsinn eines Junior Board-Mitglieds nachbrabbeln.
dadaniel
Board-User Level 1
Board-User Level 1
 
Beiträge: 632
Registriert: So 16 Jan, 2005 14:10
Wohnort: Graz-Umgebung

VorherigeNächste

ZurĂĽck zu PROVIDER

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 77 Gäste

cron