Post by Hanno FoestPost by Ralf KieferDas kann ich aus meinem Blickwinkel beantworten: ich möchte draußen
nicht preisgeben, welche Art von Rechner mitspielt und in meinem lokalen
Netz rumsteht,
Dabei hilft dir NAT nur sehr wenig.
Im IPv4 nutzt NAT sehr wohl. Alle haben genau eine öffentliche
IP-Adresse. Die verschiedenen Anwendungen oder Betriebssysteme müssen
aufwendig getrackt werden, also nicht trivial. Und dazu gehört
(kriminelle) Energie.
Post by Hanno FoestFür alle Geräte, die nicht mit der
großen weiten Welt reden wollen, besteht kein Unterschied (Firewalling).
Die werden hier im Router (in einem internen) "hinter" der Fritzbox
sowieso gesperrt, z.B. Drucker, die heim telefonieren wollen. Kein
Problem mit denen.
Post by Hanno FoestGeräte, die Verbindungen nach draußen aufmachen, können mit OS
Fingerprinting und/oder Techniken wie
Ein Teil davon war mir bekannt, beim Rest lese ich gerade :-)
Zunächst halte ich es für weniger schlimm, wenn draußen im Provider-Netz
abgeschätzt werden kann, wieviele unterschiedliche Netzteilnehmer aus
meinem lokalen Netz draußen mitspielen. Zumal der Provider meist mit
TR-069 den/seinen ersten Router befragen kann und dieser seine
Kenntnisse über alle direkt angeschlossenen Netzgeräte freizügig nach
draußen reicht. Wenn diese Fritzbox zudem DNS- und DHCP-Server spielen
sollte ...
Ich halte es für wichtiger zu verschleiern, welcher interne Rechner was
draußen macht und welche Art von Rechner das ist. Mit TR-069 holt der
"Bösewicht beim Provider"[tm] die (aktiven) MAC-Adressen ab. Et voila,
schon lassen sich Macs, Raspis und andere spezielle Rechnerfamilien
direkt einordnen.
Ich weiß, daß es ein paar Merkmale gibt, die im Netzverkehr draußen
nicht zu verschleiern sind. Manche dagegen habe ich recht zuverlässig im
Griff.
Z.B. läßt sich wohl beim Mitlesen von (S)NTP-Anfragen nicht nur die Zahl
der Rechner hinter dem NAT-Gerät erkennen, sondern ziemlich genau auch
das Merkmal Betriebssystem teils inkl. Version. Abhilfe: lokaler
NTP-Server. Das war einfach :-) Gar keine NTP-Anfragen nach draußen
bekommt man mit seinem lokalen NTP-Server mit DCF77- oder GPS-basierter
Uhr. Da kann einem nicht mal ein Bösewicht im Provider-Netz die ein oder
andere Verschlüsselungsmethode abschalten, indem NTP manipuliert wird.
Post by Hanno FoestWenn man sich verstecken möchte, nimmt man ein VPN.
Das hilft auf jeden Fall. Es ist aber auch keine 100%ige Lösung. Der
Bösewicht im Provider-Netz sieht immer, wohin der Netzverkehr geht,
kennt also den VPN-Provider und somit dessen IP-Adresse(n). Also als
erstem Ziel als neuer Absendeadresse. Und dann gibt's Tor, nur als
Beispiel ... :-) Aber auch das ist nicht 100%ig und hängt stark vom
Anfang und Ende der Kette ab, insbesondere wenn die Betreiber dieser
Server nicht unabhängig voneinander sind. Früher gab's mal Jondym mit
ähnlichem Aufbau und Funktion. Die betonten die Unabhängigkeit der
unterschiedlichen Instanzen. Man mußte ihnen das glauben, obwohl dieser
Dienst teils von deutschen Behörden betrieben wurde.
Die Aufpasser z.B. in China sind dabei extrem gut, die Aufpasser im Iran
hinken meist ein wenig hinterher. Nach allem, was ich so hörte ...
Das Alles ist mit IPv4 überschaubar, aber nicht mehr so sehr mit IPv6.
IPv6 wurde zu einer Zeit entwickelt, als es all diese Fragen in der
Praxis noch nicht gab.
Post by Hanno FoestKann man mitigieren (Adblocker, uMatrix, Cookies löschen...). Wenn man
bereits damit ein Problem hat, ist IP-Adreßverfolgung eh das geringste
Problem.
Canvas Fingerprinting ist schon sehr lange ein weiteres Problem. Dafür
hat man NoScript, kann dafür im Gegenzug nicht mehr jede Web-Seite
problemlos anschauen. Z.B. die FAZ liefert schon seit ein paar Jahren
ihre Texte mit Hilfe von Javascript aus. Folge: ich lese keine FAZ mehr.
Vermutlich war das sogar das Ziel bei der FAZ ;-)
Gruß, Ralf