Diskussion (tägliche) PPPoE Zwangstrennung anschalten oder nicht?

Die Zwangstrennung bleibt. Das merkst du spätestens in vier Wochen. Dann verliert die Fritzbox die Verbindung zum DSLAM und muss neuverbinden.

Spätestens mit IPv6 ist es dann sowieso hinfällig. So wie ich das verstanden habe, bekommt man immer das gleiche prefix zugewiesen, was ja auch Vorteile hat, weil man dann kein dyndns mehr braucht.
Ich sehe in der Angreifbarkeit keinen Unterschied, da von den bösen Jungs meistens sowieso ganze IP-Blöcke gescannt werden. D.h. eine vernünftige Firewall braucht man sowieso.
Und die Schadprogramme, falls man sich tatsächlich mal was eingefangen haben sollte, operieren von innen nach außen, da spielt es auch keine Rolle, ob die IP wechselt oder nicht.

Ich wäre froh, wenn ich keine Zwangstrennung mehr hätte.
Bei einigen dyndns-Diensten muss man ggf. aufpassen, weil die alle x Tage einen Refresh der IP erwarten.

Lars.

Wenn man zu einer festgelegten Zeit trennt, dann kann man sich die Trennung auf eine Zeit legen, zu der man eher selten online ist. Man wird also z.B. nicht mitten am Tag in einem VoIP-Gespräch getrennt.

Was die "feste IP" angeht: Will ich garnicht. Vereinfacht nur das Tracking. Auch bei IPv6 werde ich mich um die Nutzung der "Privacy Extensions" bemühen, damit ich nach außen nicht immer mit der gleichen IP unterwegs bin.

Zitat von fnu

Durch die Zwangstrennung hat man ja jeden Tag eine andere IP bekommen und durch die übliche NAT Logik ging man ganz gut unter in der Matrix. Wenn man nun aber Tage-, Wochen- oder Monate-lang die gleiche IP benutzt, wird man ja zwangsläufig angreifbarer.

"Security through obscurity" war noch nie ein guter Ansatz fuer mehr Sicherheit. Ich habe an meinem Kabelanschluss seit Jahren dieselbe IP, da es hier sowieso keine Zwangstrennung gibt. Natuerlich koennte man sich auch dort durch einen kleinen Trick oefters mal eine neue IP verschaffen. Aber ich finde das echt laecherlich. Spaetestens wenn man nicht staendig den Router-Footprint, den Browser und IP-Provider wechselt, den Browsercache und alle Cookies etc. loescht ist man sowieso mehr oder weniger leicht trackbar.

- sparkie

Cookies werden bei mir nach jeder Sitzung automatisch gelöscht. Nur wenigen Seiten erlaube ich das Halten von Cookies über längere Zeit.

Ich versuche zumindest halbwegs meine Privatsphäre zu wahren und eine immer gleiche IP ist hier wenig förderlich.

Zitat von fnu

Mit den Annex-J Anschlüssen (IP, RAM, M-SAN) gibt es keine Zwangstrennung mehr, zumindest bei der Telekom.

Das ist so nicht ganz korrekt. Es gibt eine Zwangstrennung bei Annex-J, zumindest bei der Telekom, aber alle 180 Tage.

Dieses Info ist nicht aus der Luft gegriffen. Die Periode wurde mir schon von einem Vertriebler und auch von einem Techniker genannt. Im Net kursiert die Zahl auch, aber Du findest genauso Beiträge, die über keine Trennung sprechen.

Albert

unitymedia bspw. trennt meine ich auch alle 180 Tage

Zitat von fnu

sparkie, es ging mir ja hier mal drum genau darüber zu diskutieren. Ich bin nicht paranoid, aber denoch frage ich mich was besser für die eigene Sicherheit ist.

Nun, im Umkehrschluß bedeutet das ja, alle Unternehmens URLs mit festen IPs sind unsicher. Ich weiß nicht ob ein ständiger Wechsel der IP meine Sicherheit erhöht, das versuche ich immer noch rauszufinden. Ansonsten habe ich ja die gleichen Möglichkeiten wie jedes Unternehmen mich mit Firewalls abzuschotten ...

Hi,

weder wechselnde IP Adressen noch NAT sind oder waren jemals Sicherheitsfeatures. Beide resultieren direkt aus der schon seit Jahren herrschenden IPv4 Adressknappheit. Zu Zeiten wo noch nicht jeder einen 24/7 laufenden Router hatte bekamen die Leute eben wenn sie sich eingewählt haben eine IP Adresse zugeteilt. Üblicherweise nach dem Internetbesuch wurde die Verbindung getrennt und der Provider konnte die Adresse einem anderen Kunden geben. Das das angeblich der Sicherheit dient kam dann irgendwann später als Argument hinzu, in Wirklichkeit wollte man wohl nur verhindern bzw. erschweren das private Nutzer Server betreiben, deshalb Zwangstrennung und wechsel der IP.

NAT ist genauso kein Sicherheitsfeature, sondern eine Krücke die man aufgrund der Adressknappheit eingeführt hat. so braucht ein Netzwerk nur noch eine einzige offiziell im Internet routbare IP Adresse, egal wie viele Hosts dahinter liegen. Auch hier, hat nichts mit Sicherheit zu tun, kein bischen.

Sicherheit lässt sich für ein Netzwerk nur durch eine Firewall schaffen die konsequent alle von außen initiierten Verbindungen verhindert. Wer es richtig machen will, sorgt auch noch auf jedem Host in seinem Netzwerk für eine Firewall, das verhindert dann auch unerwünschte Verbindungen zwischen hosts im eigenen Netzwerk und erschwert evtl. Angreifern die ein System überwinden die weiteren Schritte. Das ist aber dann etwas mehr Aufwand.

Und wer immer noch glaubt das wechselnde IPv4 Adressen ihn vor potentiellen Angreifern verstecken, der sollte sich diesen Vortrag ansehen. Mittels eines open source tools namens zmap und einer 1Gbit Internetanbindung (kann man für übersichtliches Geld bei einem Hoster bekommen) kann man in weniger als einer Stunde den gesamten IPv4 Adressraum scannen. D.h. verstecken funktioniert bei IPv4 einfach nicht mehr. Bei IPv6 sieht das dann in der nächsten Zeit noch anders aus.

Ach ja und was feste IP Adressen und das User tracking betrifft. Das macht heute schon keiner mehr über die IP Adresse weil menschen über öffentliche WLANs, Mobilnetze, den heimischen DSL Anschluss und was nicht immer online sind. Da benutzt man Cookies oder gleich Browser fingerprints die den Benutzer viel sicherer identifizieren als eine IP Adresse.

Ach ja, auch die Diskussion bei IPv6 wechselnde Adresspräfixe und Zwangstrennung vorzuschreiben wegen der Anonymität sind völliger Quatsch angesichts von den besagten Browser Fingerprints.

bye
Sven

Zitat von Moorviper

unitymedia bspw. trennt meine ich auch alle 180 Tage

Bei mir trennt Unitymedia deutlich häufiger, nach jedem Update der Einstellungen oder der Fritzbox gibt es in der Regel eine Trennung.

Dennoch hat man meistens nach der Trennung die gleiche IPv4 Adresse, durch mehrmaliges rebooten der Fritzbox 6360 bekommt man aber auch eine neue.

dyndns und no-ip sind in den freien Tarifen hier problematisch, ich habe mir deshalb einen Account bei selfhost.eu zugelegt (Provider sitzt in Deutschland),
dort muss man einmalig 5 EUR zahlen um die Identität zu prüfen, danach wird man aber auch nicht mehr genervt durch Aufforderungen zum Account überprüfen.
Für IPv6 und DNS Namen habe ich aber noch nix brauchbares gefunden, zum Glück benötige es noch nicht.
Bevor jemand fragt nur über IPv4 komme ich von aussen auf meine Server, da leider kaum eine Firma oder Mobilefunk Provider IPv6 nutzt.

Ich hatte am Anfang auch Befürchtungen bezüglich der Sicherheit, durch den seltenen Wechsel. Zumindest bei Unitymedia habe ich aber selten Angriffe auf meine Server.
Bei der Telekom war dies anderst da hatte ich trotz dauern wechselnder IP-Adresse ständig Port Scans und Einbruch versuche auf den Servern gelogged.
Wenn es um die Annonymität geht nützt einm der Wechsel auch nichts, zumindest Sicherheitsbehörden können problemlos den Nutzer der IP-Adresse ermiteln.
Und durch Verknüpfungen von verschiedenen Merkmalen (Browser, Betriebsystem, usw.) läßt sich auch mit wechselnder IP-Adresse die Werbung dem Nutzerverhalten anpassen.

SvenS
Ich kann Dir nur in allem zustimmen.

Zitat von fnu

Ich weiß nicht ob ein ständiger Wechsel der IP meine Sicherheit erhöht

Selbst wenn, dann nur gegen die alle Dämlichsten.

Zitat von fnu

Ansonsten habe ich ja die gleichen Möglichkeiten wie jedes Unternehmen mich mit Firewalls abzuschotten ...

Korrekt. Kerio Control mit dem optionalen ISS Orange Web Filter funktioniert exzellent, wenn es nur nicht sooo viel kosten würde. Bestimmt gibt es ähnliches als Open Source, aber der ISS Datenbank wird fehlen.

Zitat von fnu

Ok, dann melde ich mich wieder in 180 Tagen, sofern nicht ein Stromausfall oder sonstiges vorher zum Reboot der FB führt ...

Bis dahin hast Du schon bestimmt 2 FW-Updates eingespielt.

Albert

Hi,
ist jetzt schon ein paar Postings zurück: Wechselnde IPs bei Zwangtrennung oder vorbeugender Trennung a la Fritzbox.
Mein ISP (sdt.net bzw. Schorndorf Connect) gibt mit trotz Trennung immer die gleiche IP. Ist ein relative kleiner Anbieter, aber immerhin habe ich jetzt echtes VDSL statt 384K).

Wenn die IP immer gleich ist kann man doch eher angegriffen werden. Es ist leichter einen bestimmen Anschluss am nächsten Tag nochmals zu finden.
Ich rede hier von einem gezielten Angriff.

Zitat von Dieter

Wenn die IP immer gleich ist kann man doch eher angegriffen werden.

Das spielt eher keine Rolle, aber das hatten wir schon, siehe Post Nr. 12 und den Link dazu.

Zitat von SvenS

Und wer immer noch glaubt das wechselnde IPv4 Adressen ihn vor potentiellen Angreifern verstecken, der sollte sich diesen Vortrag ansehen. Mittels eines open source tools namens zmap und einer 1Gbit Internetanbindung (kann man für übersichtliches Geld bei einem Hoster bekommen) kann man in weniger als einer Stunde den gesamten IPv4 Adressraum scannen. D.h. verstecken funktioniert bei IPv4 einfach nicht mehr.

Albert

Ich kann gut ohne DynDNS auskommen. Für Dienste, die vom Internet erreichbar sein sollen (Webhosting, Mail) zahle ich lieber jemanden der das für mich betreibt und eventuelle Sicherheitslücken zeitnah fixt.