Hadmut Danisch

Ansichten eines Informatikers

Der IPv4-Adressmangel, das Fernmeldegeheimnis und die Vorratsdatenspeicherung

Hadmut
21.9.2013 2:05

Nur mal so eine Nebenerkenntnis aus dem vorangegangenen Blog-Artikel über den Ärger mit Telecolumbus:

Normalerweise speichern Provider die zugewiesene dynamische IP-Adresse. Einmal für eigene Zwecke (Fehlersuche, Abrechnung, Nachweis), und – wenn’s gerade rechtlich in Kraft ist – für die Vorratsdatenspeicherung. Kommt jemand daher und behauptet, dass ein böser Mensch mit der IP-Adresse X zum Zeitpunkt Y etwas Böses getan hätte, könnte man das da nachschauen. Das ist auch insoweit in Ordnung, als der Provider die IP-Adresse sowieso vergeben und verarbeiten muss, um routen zu können. Insofern ist es auch bezüglich des Telekommunikationsgeheimnisses legitim, dass der Provider auf die Schicht-3-Daten, eben die IP-Adressen oder generell den IP-Header zugreift.

Nun gibt es aber Provider wie Telecolumbus, die es schlicht verpennt haben, sich rechtzeitig genug IPv4-Adressen zu besorgen, oder eben neu gegründet werden. Dafür gibt es jetzt einen technischen Vorschlag namens „Dual Stack Light”, also ein Doppel aus richtigem IPv6-Zugang und einem IPv4-NAT-Zugang, um auf alte Webseiten und sonstige Dienste zugreifen zu können. Und manche Provider haben IPv6 noch nicht, aber IPv4 nicht genug, und bieten dann nur sowas, also keinen richtigen Internet-Zugang mehr an.

Die (beabsichtigte) Folge ist, dass man keine eigene offizielle IP-Adresse mehr hat, auch nicht kurzzeitig (dynamisch), eben weil nicht mehr genug da sind. Durch das NAT werden nach außen hin weniger IPv4-Adressen verwendet, als Nutzer dahinter sind. Und damit folglich, dass mehrere Nutzer unter derselben IP-Adresse gleichzeitig auftauchen können. Sogar mehrere tausend bis zu einige wenige zehntausend.

Das heißt aber auch, dass man Internet-Verkehr nicht mehr allein über IP-Adressen dem Nutzer zuordnen kann, sondern auch die NAT-Zuordnungen speichern muss um zu sehen, welcher Nutzer der NAT-IP-Adresse X zum Zeitpunkt Y verbindungen zum angegriffenen Rechner Z hatte.

Das aber führt dazu, dass eben nicht mehr nur die für 24 Stunden oder länger zugewiesene IP-Adresse speichert, sondern jede NAT-Zuweisung für jede TCP- und UDP-Verbindung. Das heißt, dass die Grunddaten zu jedem einzelnen Webseitenzugriff aus den Schicht-4-Daten bzw. dem TCP- oder UDP-Header entnommen werden müssen, der aber schon dem Telekommunikationsgeheimnis unterliegt und den Provider eigentlich nichts mehr angeht. Es gibt Leute, die der Meinung sind, dass der Provider zum Traffic Shaping auf die Protokolle und damit die Port-Nummer zugreifen können müsse. Darin liegt aber noch keine Speicherung jedes einzelnen Webzugriffs, jeder einzelnen E-Mail.

Der IPv4-Adressmangel führt also zu einer Beeinträchtigung des Telekommunikationsgeheimnisses. Plötzlich müssen nicht nur nutzungsunabhängig die zugewiesene IP-Adresse, sondern alle Einzelzugriffe gespeichert werden.


12 Kommentare (RSS-Feed)

Martins
21.9.2013 11:36
Kommentarlink

@Hadmut:
“Das heißt, dass die Grunddaten zu jedem einzelnen Webseitenzugriff aus den Schicht-4-Daten bzw. dem TCP- oder UDP-Header entnommen werden müssen, ”

Da stellt sich mir auch die Frage, wie sicher das ganze ist.
Zum einen ist das System komplexer und somit besteht eine höherer Gefahr bei der Programmierung einen Fehler zu machen.

Zum anderen muss man sicherstellen, dass die Daten auch stimmen.
Wenn bis zur vierten Schicht Daten geändert/erfasst werden, wie will man da sicherstellen, dass die Daten authentisch sind?

Spontan fällt mir keine Situation ein, in der falsche Daten erzeugt werden, aber wenn doch?
(außer dass keiner einen Überblick hat und dadurch Daten erzeugt werden, die keiner erwartet hat,Angriffe auf oder Fehler im System)


prx
21.9.2013 12:02
Kommentarlink

Wobei sich daras zwar ein eingeschränktes Zeitprofil ableiten lässt, aber kein Verbindungsprofil. Denn für die Identifikation reichen SourceIP/Port der jeweiligen Verbindung aus. Wirklich kritisch wirds erst, wenn die Information über die andere Seite der Verbindung auch gespeichert wird, aber für die Identifikation ist das nicht erforderlich.


Hadmut
21.9.2013 12:06
Kommentarlink

@prx:

> Denn für die Identifikation reichen SourceIP/Port der jeweiligen Verbindung aus.

Theoretisch ja, praktisch nein. Zeig mir mal einen Mail-, Web-, Chat- oder sonstwas-Server, der von Verbindungen nicht nur die Client-IP, sondern auch den Client-Port aufzeichnet. Da fällt mir von den Standard-Produkten jetzt auf Anhieb keines ein.


prx
21.9.2013 12:55
Kommentarlink

Wär die Frage, ob die mit Standardprodukten arbeiten. Bzw. wie lange die volle Information vorliegt. Ich kann mir kaum vorstellen, dass die sich z.B. durch Berge riesiger Squid-Logs wühlen, wenn jemand die Identifikation abfragt. Da bestünde wohl ein gewisses Eigeninteresse an Datensparsamkeit, d.h. Eindampfen der Daten in eine Datenbank.


Hadmut
21.9.2013 12:57
Kommentarlink

> dass die sich z.B. durch Berge riesiger Squid-Logs wühlen,

Squid ist ein Proxy. Wir reden hier von NAT, nicht von Proxies.

Man sollte aber bedenken, dass die Vorratsdatenspeicherung ja nicht generell verboten wurde, und wieder kommen kann. NAT + Vorratsdatenspeicherung bedeutet, dass jede einzelne Verbindung registriert werden muss.


prx
21.9.2013 12:57
Kommentarlink

PS: Es geht hier ausschliesslich um die NAT-Komponente. Mail/Webserver etc. mit ihren Protokollen sind anderswo beheimatet, nicht beim Leitungsbetreiber.


prx
21.9.2013 12:59
Kommentarlink

Squid war nur ein Beispiel – Zwangsproxies soll es in der Branche ja ebenfalls geben und NAT erledigt sich damit gleich mit.


prx
21.9.2013 13:02
Kommentarlink

> NAT + Vorratsdatenspeicherung bedeutet, dass jede
> einzelne Verbindung registriert werden muss

Für die offiziell gegebene Begründung der Vorratsdatenspeicherung muss eben nicht die Verbindung gespeichert werden, sondern nur SourceIP/Port. Wenn man dieses Thema ernst nähme, dann könnte das sehr wohl den Unterschied zwischen legaler und illegaler Datenspeicherung ausmachen.

Mit der Realität ist das eine andere Sache…


Karl Marx
21.9.2013 23:51
Kommentarlink

@prx: http://de.wikipedia.org/wiki/Vorratsdatenspeicherung

4. Anbieter von Internetzugangsdiensten speichern

1. die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse
[…]

5. Wer Telekommunikationsdienste erbringt und hierbei die nach Maßgabe dieser Vorschrift zu speichernden Angaben verändert, ist zur Speicherung der ursprünglichen und der neuen Angabe sowie des Zeitpunktes der Umschreibung dieser Angaben nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone verpflichtet.

Der src-Port gehört anscheinend nicht zu den zu speichernden Angaben.


Hadmut
21.9.2013 23:56
Kommentarlink

> Der src-Port gehört anscheinend nicht zu den zu speichernden Angaben.

Er wird nicht erwähnt. Wenn aber IP-Adressen von mehreren Leuten gleichzeitig gespeichert werden, dann könnten sie die Anforderung “dem Teilnehmer zugewiesen” nicht mehr erfüllen ohne den src-Port.

Dazu kommt, dass auch ein Nutzer mehrere IP-Adressen haben können muss, denn wenn mehrere Benutzer auf einer IP-Adresse liegen, reichen die Port-Nummern nicht.

Der Punkt ist aber gar nicht, ob das Gesetz das hergibt. Würde man die Vorratsdatenspeicherung wieder in Gang setzen, würde man dann relativ schnell merken, dass sie ohne die Ports und damit die Verbindungen nicht funktioniert. Und dann würde man das Gesetz einfach anpassen. Denn es geht ja nicht darum, einfach irgendwas zu speichern, sondern Internet-Zugriffe Personen zuordnen zu können. Also würde man das dann so aufbohren, dass es diesen Zweck erfüllt.


Joe
22.9.2013 3:16
Kommentarlink

Hadmut, Du brauchst Dir jetzt mal ausnahmsweise keinen Kopf zu machen.

Kein ISP speichert NAPT-Zuordnungen und ist dazu auch nicht durch die Vorratsdatenspeicherung verpflichtet. Der ISP speichert die zugeordnete RFC-1918-Adresse und wer irgendwie an diese rankommt, kann darüber Auskunft verlangen.

Die Abmahnindustrie läuft bei diesen ISPs zur Zeit schlicht gegen die Wand. Also viel Spaß mit P2P-Software. 😉


Hadmut
22.9.2013 10:24
Kommentarlink

@Joe:

> Hadmut, Du brauchst Dir jetzt mal ausnahmsweise keinen Kopf zu machen. Kein ISP speichert NAPT-Zuordnungen

Woher willst Du das wissen?

Du vergisst, dass ich schon bei mehreren ISPs und auch schon selbst in der Vorratsdatenspeicherung tätig war. Mir wäre jetzt nicht klar, woher da jemand so viel mehr Wissen als ich haben könnte, dass er mir blanko sagen könnte, ich bräuchte mir „keinen Kopf zu machen”.