|
geschrieben am: 19.03.2019 um 08:24 Uhr
|
|
Lieber Volker,
Was Du Dir da zusammenkopiert hast, ist aus technischer Sicht zwar durchaus richtig, aber im Zusammenhang mit dem hier diskutierten Thema aber leider... hm, wie sag' ich das jetzt charmant... fachlich unsinnig und irreführend.
Aus fachlicher Sicht geht es bei IP-Sperren letztlich darum, bestimmten IP-Adressen den Zugriff auf bestimmte Ressourcen zu verweigern, in diesem Falle: den Chat. Das bedeutet, daß der Betreiber des Chat eine Negativliste mit IP-Adressen führt und bei Zugriffen auf die Ressource prüft, ob die IP-Adresse auf dieser Liste vorhanden ist. Wenn dies der Fall ist, so wird der betroffene Client auf IP-, Middleware- oder Applikationsebene abgewiesen.
Richtig ist, daß Deine AVM Fritz!Box (so wie andere sogenannte "Router") eine Network Address Translation (NAT) benutzt, um die "privaten" IP-Adressen Deines internen lolaken Netzwerks auf die öffentliche IP-Adresse Deiner Fritz!Box zu übersetzen. Dennoch hat Deine Fritz!Box auf ihrer externen, also dem Internet zugewandten Netzwerkschnittstelle eine öffentliche IP-Adresse, die sich die lokalen Clients in Deinem internen Netzwerk durch die NAT (genauer: Source Network Address Translation, SNAT) quasi "teilen". Nichtsdestotrotz ist diese öffentliche IP-Adresse für Dein Netzwerk eindeutig; wenn ein Anbieter diese Deine öffentliche IP-Adresse sperrt, so haben alle Clients hinter dem SNAT Deiner Fritz!Box keinen Zugriff mehr auf diese Ressource.
Letzten Endes findet eine sehr ähnliche Konvertierung von IP-Adresse aber nicht nur durch ein SNAT auf der Vermittlungsschicht (Internet Layer) der TCP/IP-Protokollfamilie statt, sondern auch auf höheren Schichten -- zum Beispiel, wenn ein Proxyserver, ein Anonymisierungsnetzwerk wie TOR oder ein VPN verwendet werden. Aus Sicht des Servers ist es dabei allerdings vollkommen unerheblich, wie und auf welcher Ebene die Adressumsetzung stattfindet: wenn eine öffentliche IP-Adresse gesperrt worden ist, dann haben die Clients hinter dieser IP-Adresse keinen Zugang mehr zur gesperrten Ressource -- dies ganz unabhängig davon, ob eine klassische SNAT, ein Proxyserver oder was auch immer verwendet wird. Wenn der Betreiber dieses Chats also auf die Idee kommen sollte, die öffentlichen IP-Adressen der Proxyserver unseres Firmennetzs zu sperren, dann können weder meine Kollegen noch ich in unserer Mittagspause chatten.
Nach dieser Vorrede siehst Du nun wohl das tatsächliche Problem: nämlich, daß eine Sperre auf IP-Ebene nicht in der Lage ist, individuelle Clients zu unterscheiden, sondern nur öffentliche IP-Adressen. Wenn sich nun mehrere Clients eine öffentliche IP-Adresse teilen und diese IP-Adresse gesperrt wird, so haben alle Clients hinter dieser öffentlichen IP-Adresse keinen Zugang mehr zu der gesperrten Ressource.
Ja, zweifellos ist das ein bisschen blöd und es wäre schöner, wenn man die Clients tatsächlich individuell identifizieren könnte. Das wird es vermutlich zukünftig einmal irgendwann geben, wenn die derzeit leider noch überwiegende Version 4 des IP-Protokolls (IPv4) endlich durch die neue Version 6 (IPv6) abgelöst wird, was allerdings leider nur sehr schleppend geschieht. Natürlich gibt es noch andere Technologien zur Identifikation individueller Clients, beispielsweise ein Browser- oder Device-Fingerprinting. Diese sind aber leider datenschutzrechtlich problematisch und im Gültigkeitsbereich der DSGVO im Grunde genommen unzulässig, und können außerdem von böswilligen Anwendern sehr leicht manipuliert und umgangen werden.
Nun ist es leider so, daß der Adreßraum von IPv4 für die heutigen Bedürfnisse leider viel zu klein ist, was überhaupt erst der Grund dafür ist, daß (unter anderem) Deine Fritz!Box ein SNAT macht. Viel eleganter wäre es natürlich, wenn jeder der Clients in Deinem Netzwerk eine individuelle öffentliche IP-Adresse bekommen und damit im Internet kommunizieren könnte, denn dadurch würde man die Clients in Deinem Netzwerk individuell anhand ihrer öffentlichen IP-Adresse identifizieren und auch sperren können.
Aufgrund der Knappheit von IP-Adressen in IPv4 betreibt aber nun nicht nur Deine Fritz!Box eine SNAT, sondern häufig tun dies auch Provider, um den ihnen von der IANA zugewiesenen Adreßraum besser aus- und vornehmlich für ihre Server zu nutzen. Einige Provider sind heute sogar bereits dazu übergeganen, zwischen ihren SNAT-Gateways und den "Routern" ihrer Kunden das IPv6-Protokoll zu verwenden -- auch dabei teilen sich mehrere Clients dieselbe öffentliche IPv4-Adresse. Das Ergebnis ist in beiden Fällen leider dasselbe und wiederum dasselbe wie in Umgebungen, die hinter einem Proxyfirewall betrieben werden: wie auch immer, findet dabei de facto eine Adreßumsetzung statt, so daß die individuellen Clients nicht mehr identifiziert werden können.
Der Betreiber dieses Chats steht daher vor derselben unschönen Wahl wie jede andere öffentliche Plattform, die mit Störern und anderen Angreifern zu kämpfen hat: wenn eine Sperre auf Basis der IP-Adresse implementiert wird, so trifft die Sache mit sehr hoher Wahrscheinlichkeit auch harmlose, unschuldige Anwender. Die Abwägung ist dann für die meisten Anbieter recht einfach: entweder, man muß mit den Angreifern leben, was häufig überaus unangenehm sein und viele willkommene Anwender erheblich verprellen kann, oder man implementiert eine IP-Sperre und muß dadurch einige wenige Anwender abweisen, die ansonsten durchaus willkommen wären. Das ist schade, aber aus technischer Sicht leider kaum zu vermeiden.
Trotzdem könnte man für fälschlich betroffene Anwender einen Workaround schaffen, nämlich einen VPN-Server, an dem sich die Clients mit individuellen Zertifikaten authentifizieren. Der Vorteil: jeder Client bekommt sein eigenes, individuelles Zertifikat, das ihn eindeutig identifiziert und das im Falle eines Mißbrauchs auch wieder temporär oder dauerhaft zurückgezogen werden kann. Dies habe ich für einige meiner von der IP-Sperre betroffenen Chatfreunde bereits implementiert und getestet, muß aber leider um Verständnis dafür bitten, daß ich diesen Service nicht für die Allgemeinheit anbieten kann. Dennoch: ein kleiner Root-Server kostet nicht die Welt -- und sollte sich jemand (ggf. in Zusammenarbeit mit dem Betreiber dieser Plattform) dazu bereit erklären, einen solchen Dienst öffentlich anzubieten, stehe ich dabei auf Wunsch sehr gerne mit Rat und Tat zur Verfügung.
Liebe Grüße,
LukeM
PS: Nebenbei, lieber Volker, es ist natürlich wieder nur so eine Stilfrage, aber IMHO solltest Du Deine Quellen bitte vollständig angeben, also erledige ich das diesmal für Dich: https://www.ip-insider.de/was-ist-nat-network-address-translation-a-663954/ |
|
|
|