router + sicherheit: netgear wgt624

Dieses Thema im Forum "Hardware" wurde erstellt von hi2hello, 8. Dezember 2004.

  1. hi2hello

    hi2hello New Member

    hallo zusammen!

    hoffe, mir kann vielleicht jemand helfen - habe da nämlich ein kleines sicherheitsproblem und weiss keine lösung:
    meine rechner befinden sich hinter einem netgear 624wgt router und teilen sich eine dsl-leitung. die eingesetzten firewalls (sowohl vom router als auch auf den rechnern) funktionieren soweit ganz gut, nur dass die internen ip´s der rechner leider nicht geblockt werden und somit für jeden sichtbar sind. bedeutet man kann also neben meiner ISP-IP auch meine internen ips auslesen, was ich natürlich ziemlich bescheiden finde. gibt es eine möglichkeit, die internen ips zu verstecken bzw zu blocken? wireless bin ich bisher noch nicht unterwegs - ist alles noch verkabelt.

    danke und grüsse,
    hi2hello
     
  2. Walter Mehl

    Walter Mehl New Member

    Was bitte heißt "man kann interne IP-Adressen auslesen"?

    Die Standardlösung für dieses Problem heißt: NAT (network address translation), eine Aufgabe für den Router.

    Der Trick ist, dass der Router seine beiden Schnittstellen (die nach außen und die eine (oder mehrere) nach innen) unterschiedlich mit IP-Adressen belegt und dann zwischen außen und innen vermittelt.

    Etwa so:
    - Mac intern (kurz: Mi) will eine HTML-Seite von forum.macwelt.de (was manchmal z.B. gestern mühsam sein kann, wenn forum.macwelt.de angegriffen wird, aber irgendwann reparieren die Jungs und Mädels das dann schon *brummel*).

    - Mi hat schon nach dem Einschalten seinen Router nach einer IP-Adresse gefragt und dank aktivem DHCP und NAT die 192.168.1.3 bekommen.

    - Mi (als 192.168.1.3) will also mit forum.macwelt.de (= 217.110.95.61) und dort mit Port 80 sprechen.

    - Der Router notiert: 192.168.1.3 -> 217.110.95.61:80
    - Der Router telefoniert nach außen und erhält selbst z.B. von T-Offline die IP 200.100.50.25.
    - Jetzt kommt NAT ins Spiel: Der Router schreibt nach außen
    200.100.50.25:12345 (irgendeine x-beliebige Port-Nummer) -> 217.110.95.61:80


    - forum.macwelt.de antwortet (hoffentlich)
    - 217.110.95.61:80 -> 200.100.50.25:12345
    - Der Router guckt in seiner Buchhaltung nach: Aha, Port-Nummer 12345 war für Mi.
    - Der Router leitet 217.110.95.61:80 -> 200.100.50.25:12345 -> 192.168.1.3 weiter.

    - Der interne Mac hat die Antwort erhalten :party:

    Sprich: Nach außen sowohl zu T-Offline als auch zu uns ist nur die IP-Adresse des Routers plus die Port-Nummer sichtbar, aber nicht die interne IP.

    Alles klar? ;)

    Wie man das aber einstellt, muss im Router-Handbuch stehen...

    Cheers,
    Walter Mehl, Macwelt
     
  3. macfiete

    macfiete New Member

    Hallo zusammen.

    Also wenn ich den folgenden link nutze, wird auf der Seite ausser der vom Provider zugeteilten IP auch die interne IP von dem Rechner angezeigt mit dem ich die Seite aufrufe.

    http://www.auditmypc.com/freescan/scanoptions.asp

    Könnte das eventuell mit geöffneten Ports in den Firewalls zusammenhängen?

    Gruss

    Fiete
     
  4. Walter Mehl

    Walter Mehl New Member

    Nö. EHRLICH. :D

    Der Trick ist: Dieses Javascript zeigt Dir die interne IP-Adresse Deines Rechners auf Deinem Monitor. Da Dein Rechner seine IP-Adresse kennt, kann er sie auch anzeigen. Das Javascript ist quasi ein Programm, das auf Deinem Mac läuft und von Deinem Mac Informationen anzeigt. Die Information hat Deinen Rechner nie verlassen.

    Sprich: Du siehst in Deinem Browser etwas, aber diese Informationen kommt von Deinem eigenen Rechner, nicht vom Server von der Gegenseite.

    Damit der Server-Betreiber Deine interne IP-Adresse bekommt, musst Du sie ihm erst schicken, z.B. in einem Formular.

    ABER: Selbst wenn er die interne IP kennt, was soll er damit machen? Es ist eine INTERNE IP, die a) im Internet nicht gültig ist und b) selbst wenn es eine gültige IP wäre, würde jeder moderne Router die direkte Verbindung zu einer internen IP nicht erlauben.

    Man kann den Router schon anders einstellen, doch in der Regel gibt es keinen direkten Weg nach innen.

    Cheers,
    Walter Mehl, Macwelt
     
  5. hi2hello

    hi2hello New Member

    fantastisch!
    das mit NAT habe ich schon gewusst. ich dachte nur, es würde evtl. nicht funktionieren. ich habe die gleiche seite wie mein vorredner angesurft und leichte panik-attacken bekommen, nachdem da die interne IP zu lesen war. das dies nun alles nichts mit dem router bzw. NAT, sondern lediglich mit einem javascript zu tun hat beruhigt mich dann doch.
    aber diese angeblich security-seite ist ja dann schon verarsche, oder? gibt´s denn einen verlässlichen firewall-test?

    in jedem fall danke für die antwort und das ausräumen eines offensichtlichen irrtums meinerseits.

    was meinst du damit? port-forwarding / port-triggering?
     
  6. Walter Mehl

    Walter Mehl New Member

    Dieses. Manchmal nennt sich das auch "Einrichtung einer DMZ" und bedeutet in jedem Fall, dass der Router eine Kommunikation von außen (eben vom Internet) nach innen zulässt.

    Meistens muss man deshalb in einer Tabelle eintragen:
    - Wenn jemand den Router nach Port 80 fragt -> leide diese Anfrage an die interne 192.168.1.25 weiter (und dort natürlich ebenfalls an Port 80).

    Nach außen erscheint das aber weiter so, als würde der Router auf die Anfrage nach Port 80 antworten...

    Cheers,
    Walter Mehl, Macwelt
     

Diese Seite empfehlen