Artikel in der Computerwoche üb IP-Payment
- Ersteller stieglitz
- Erstellt am
A
Anonymous
Was bedeutet denn Wer auf Nummer sicher gehen möchte, sollte vorerst auf die Teilnahme an IP-Payment verzichten.? Heißt dass, wenn ich z.B. t-online-Kunde bin, dass ich mich zuerst für ip-payment registrieren muss?
Captain Picard
Commander
Soweit die jetzige Theorie, ob das so bleibt, wird man sehen
Überall dort wo viele User über einen Pool von IPs in I-Net gehen.
cp
Nicht nur Familien oder Wohngemeinschaften, was ist mit Firmen, Unis?
Überall dort wo viele User über einen Pool von IPs in I-Net gehen.
cp
A
Anonymous
und die österreicher?!?
Da für Deutschland sich alles noch im theoretischen Bereich zu bewegen scheint (also ohne das ip-payment wirklich zum einsatz kommt), wie schaut es den in der Praxis bei unseren österreichischen Nachbarn aus? Bei denen scheint es doch irgendwie zu laufen? Und Beschwerden im Bezug auf Missbrauch sind von dort hier im Forum bisher keine aufgetaucht oder?
Da für Deutschland sich alles noch im theoretischen Bereich zu bewegen scheint (also ohne das ip-payment wirklich zum einsatz kommt), wie schaut es den in der Praxis bei unseren österreichischen Nachbarn aus? Bei denen scheint es doch irgendwie zu laufen? Und Beschwerden im Bezug auf Missbrauch sind von dort hier im Forum bisher keine aufgetaucht oder?
A
Anonymous
die frage mit der uni bzw. firmennetzwerken sollte hinfällig sein. was ich bisher gelesen habe, muss man sich für ip-payment bei seinem provider anmelden. und wenn der provider keine anmeldung von der entsprechenden it-abteilung einer hochschule oder firma bekommt, stellt sich auch gar nicht die frage, ob die mitarbeiter/user mal schön auf firmen-/unikosten irgendwelche websites besuchen können. so würden sich wohl auch i-net-cafes vor missbrauch schützen.
Der Genervte
Frisch registriert
Die Unsicherheit kommt mit der Zeit
NOCH kann man es als halbwegs sicher bezeichnen - abgesehen von den Einwänden der Vorposter.
Nur, die Zeiten wo eine IP eindeutig und nur 1x vergeben ist, die sind schon lange vorbei.
Für einen versierten Hacker (gibt zum Glück nicht wirklich viele) ist es kein Problem auch eine IP zu fälschen !
Dann sind für einen gewissen Zeitraum 2 Rechner mit der selben IP im Internet. Erkennbar für einen Betroffenen - wenn überhapt - nur daran, das die eigene Verbindung schlechter wird und Daten (Seiten, Frames, Dateien,...) nicht mehr aufrufbar sind bzw. nur noch sehr langsam ankommen (bedingt durch die "Fehlleitung" einiger Pakete).
Nur: wer achtet auf so etwas bzw. denkt an IP-Klau? Verbindungsschwierigkeiten und Performenseinbußen hat man ja öfters mal.
Bislang ist die einizige Sicherheit der mangelnde Verbreitungsgrad. Ein Angreifer müßte genau die IP von einem Nutzer erwischen, der sich auch bei seinem Provider für dieses Zahlverfahren hat registrieren lassen.
Ergo: je mehr sich dieses Zahlsystem durchsetzen sollte, desto unsicherer wird es werden.
Hinweis am Rande: als Netzwerktechniker weiß ich von was ich schreibe. Die Möglichkeit der IP-Fälschung ist ein wichtiger Bestandteil der Sicherheitskonzepte.
NOCH kann man es als halbwegs sicher bezeichnen - abgesehen von den Einwänden der Vorposter.
Nur, die Zeiten wo eine IP eindeutig und nur 1x vergeben ist, die sind schon lange vorbei.
Für einen versierten Hacker (gibt zum Glück nicht wirklich viele) ist es kein Problem auch eine IP zu fälschen !
Dann sind für einen gewissen Zeitraum 2 Rechner mit der selben IP im Internet. Erkennbar für einen Betroffenen - wenn überhapt - nur daran, das die eigene Verbindung schlechter wird und Daten (Seiten, Frames, Dateien,...) nicht mehr aufrufbar sind bzw. nur noch sehr langsam ankommen (bedingt durch die "Fehlleitung" einiger Pakete).
Nur: wer achtet auf so etwas bzw. denkt an IP-Klau? Verbindungsschwierigkeiten und Performenseinbußen hat man ja öfters mal.
Bislang ist die einizige Sicherheit der mangelnde Verbreitungsgrad. Ein Angreifer müßte genau die IP von einem Nutzer erwischen, der sich auch bei seinem Provider für dieses Zahlverfahren hat registrieren lassen.
Ergo: je mehr sich dieses Zahlsystem durchsetzen sollte, desto unsicherer wird es werden.
Hinweis am Rande: als Netzwerktechniker weiß ich von was ich schreibe. Die Möglichkeit der IP-Fälschung ist ein wichtiger Bestandteil der Sicherheitskonzepte.
A
Anonymous
ip-klau
@ der genervte
okay ... :-? sehe ich es dann richtig, dass es auch gut sein könnte, dass mir jemand meine ip klaut und sich damit fürs bezahlen via ip-adresse anmeldet ohne das ich die geringste ahnung davon habe?!? dann würde ich dir natürlich recht geben und der Unsicherheitsfaktor wird wieder ziemlich hoch. Denn wie soll ich denn nachweisen, dass ich nicht zu einer bestimmten uhrzeit auf einer bestimmten site war...
leider muss ich damit feststellen, dass ich eure vorbehalte gegenüber der sicherheit und transparenz des systems teile. wenn sich also t-online, arcor und konsorten für diese form der abzocke entscheiden, sind die zeiten des dsl-sorglos-surfens leider vorbei :evil:
ck
@ der genervte
okay ... :-? sehe ich es dann richtig, dass es auch gut sein könnte, dass mir jemand meine ip klaut und sich damit fürs bezahlen via ip-adresse anmeldet ohne das ich die geringste ahnung davon habe?!? dann würde ich dir natürlich recht geben und der Unsicherheitsfaktor wird wieder ziemlich hoch. Denn wie soll ich denn nachweisen, dass ich nicht zu einer bestimmten uhrzeit auf einer bestimmten site war...
leider muss ich damit feststellen, dass ich eure vorbehalte gegenüber der sicherheit und transparenz des systems teile. wenn sich also t-online, arcor und konsorten für diese form der abzocke entscheiden, sind die zeiten des dsl-sorglos-surfens leider vorbei :evil: ck
advisor
Frisch registriert
Re: ip-klau
Allerdings ist es damit nicht getan. Für den Hacker tut sich nämlich eine andere Hürde auf: Zur Kommunikation benötigt er Antworten von dem Server, dem er das Paket mit dem gefälschten Absender zugeschickt hat. Die Antworten gehen aber an den ahnungslosen Rechner mit der gefälschten Adresse. Da es sich wohl um verbindungsorientierten Datenverkehr über TCP handelt, birgt das für unseren Hacker ein Problem: Er muß dem Server antworten, kennt aber die Sequenz- und Bestätigungsnummern nicht, die der Server in seine Antworten packt. Und die werden vom Server-Betriebssystem unter Verwendung eines Zufallsgenerators erzeugt. Ein Schuh wird allerdings für unseren Hacker draus, wenn er die Sequenz- und Bestätigungsnummern abhören kann. Möglich ist das zB, wenn der Hacker seinen Rechner im Subnetz des angegriffenen Servers platziert.
Das Problem mit dem IP Spoofing ist übrigens schon seit den 80er Jahren bekannt:
http://www.cert.org/advisories/CA-1995-01.html
Rein IP basierte Authentifizierungsmethoden sind grundsätzlich anfällig für IP Spoofing. Da hängt damit zusammen, daß das Fälschen einer IP Adresse mit Raw Sockets kein Problem ist. Raw Sockets zeichnen sich gerade dadurch aus, daß man in den IP Header reinschreiben kann, was man will.ck80 schrieb:
Allerdings ist es damit nicht getan. Für den Hacker tut sich nämlich eine andere Hürde auf: Zur Kommunikation benötigt er Antworten von dem Server, dem er das Paket mit dem gefälschten Absender zugeschickt hat. Die Antworten gehen aber an den ahnungslosen Rechner mit der gefälschten Adresse. Da es sich wohl um verbindungsorientierten Datenverkehr über TCP handelt, birgt das für unseren Hacker ein Problem: Er muß dem Server antworten, kennt aber die Sequenz- und Bestätigungsnummern nicht, die der Server in seine Antworten packt. Und die werden vom Server-Betriebssystem unter Verwendung eines Zufallsgenerators erzeugt. Ein Schuh wird allerdings für unseren Hacker draus, wenn er die Sequenz- und Bestätigungsnummern abhören kann. Möglich ist das zB, wenn der Hacker seinen Rechner im Subnetz des angegriffenen Servers platziert.
Das Problem mit dem IP Spoofing ist übrigens schon seit den 80er Jahren bekannt:
http://www.cert.org/advisories/CA-1995-01.html
Der Genervte
Frisch registriert
@Qck80:
Das Szenario würde so aussehen:
- Du meldest Dich bei Deinem Provider für diese Zahlungsmethode an
- wie auch immer bekommt jemand Wind davon UND ergattert Deine augenblickliche IP
Das er sich für Dich bei Deinem Provider ausgibt und für dieses Zahlsystem freischalten läßt, halte ich für eher nicht machbar.
@Advisor:
Auch beim verbindungsorientierten Datenverkehr ist es möglich 2 IP's gleichzeitig im Internet zu haben. Der eigentliche Besitzer der IP "bemerkt" es an dem nachlassenden Datenempfang - wie Du es andeutetest. Der Faker nutzt Route-Funktionen und bleibt davon verschont - überwiegend. Man kann auch Server dazu veranlassen bestimmte Route-Vorgaben für Antwortpakete zu benutzen.
Das Szenario würde so aussehen:
- Du meldest Dich bei Deinem Provider für diese Zahlungsmethode an
- wie auch immer bekommt jemand Wind davon UND ergattert Deine augenblickliche IP
Das er sich für Dich bei Deinem Provider ausgibt und für dieses Zahlsystem freischalten läßt, halte ich für eher nicht machbar.
@Advisor:
Auch beim verbindungsorientierten Datenverkehr ist es möglich 2 IP's gleichzeitig im Internet zu haben. Der eigentliche Besitzer der IP "bemerkt" es an dem nachlassenden Datenempfang - wie Du es andeutetest. Der Faker nutzt Route-Funktionen und bleibt davon verschont - überwiegend. Man kann auch Server dazu veranlassen bestimmte Route-Vorgaben für Antwortpakete zu benutzen.
advisor
Frisch registriert
Das ist immer möglich. Egal ob Internet oder LAN.Der Genervte schrieb:
Man kann Pakete, die Source-Routing Informationen beinhalten, anhand eines Flags einfach erkennen und abweisen. Damit ist die Gefahr eines Source-Routing Angriffs eliminiert. Bei einem Windows Rechner stellt man dazu in der Registrierungsdatenbank unterDer Genervte schrieb:
Code:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Code:
DisableIPSourceRouting=2Der Faker mit der doppelten IP hat aber auch ein Problem mit dem ARP Cache des angegriffenen Servers (bzw seines Standardgateways). Je nach dem welche IP gerade mit welcher MAC in dieser ARP Tabelle gelistet ist, werden die Antworten mal zum Angreifer und mal zu dem anderen Rechner geschickt. Dh der Faker muß zusätzlich zum IP Spoofing auch ARP-Spoofing betreiben und diesen ARP Cache manipulieren, damit er die Pakete zu seinem PC geroutet bekommt. Das ist zwar mittels zB fragroute möglich. Aber: Intelligente IPS Systeme sowie Router und Switches erkennen solche Angriffe und können sie neutralisieren. Wenn ein solches System Signaturen eines Fragroute Angriffes aufzeichnet, kann es den Angreifer durch automatische Umkonfiguration der Firewall ausgesperren.
A
Anonymous
eines ist mir aber noch nicht klar. ich habe dsl-flat, stelle aber jedesmal eine neue verbindung her, wenn ich ins i-net möchte. man bekommt doch jedesmal eine neue ip-adresse aus einem pool zugewiesen, oder? auf diese ip-adresse kann man sich aber doch nur einhacken, wenn ich gerade online bin, oder?
Captain Picard
Commander
wo steht was von einem Router?Reducal schrieb:
Wer ohne Router seine I-Net Verbindung herstellt, bekommt bei jedem Anmeldevorgangck80 schrieb:
eine andere IP zugewiesen.
Das dürfte nach wie vor die Mehrzahl aller privaten Nutzer sein.
Wenn ich meinen PC runterfahre und danach alles auch den Router ausschalte,
(Das ganze Standbydgedöns läppert sich auch )
holt der sich beim Wiedereinschalten auch eine neue IP.
cp
A
Anonymous
auch wenn es keine ultimative sicherheit darstellt, das aus und wiedereinloggen verschafft mir ein bisschen mehr?
christian in wien
Frisch registriert
@ ck80
teoretisch erhälst du bei jeder einwahl eine neue IP-Adresse, aber eben nur teoretisch. wenn du einen router hast und der auf "immer online" gestellt ist dann erhälst du nur nach der zwangstrennung alle 24 stunden ne neue IP-adresse. wenn du direkt über ein modem eingelogt bist, dann erhälst du in der regel nach jedem auslogen und wiedereinlogen eine neue ip-adresse. verlass dich aber nicht darauf, hier in wien z.B. bekommt man ohne es zu wissen eine feste ip zugewiesen, bei anderen providern mag das auch in deutschland gelten. zudem hilft dir das eventuell wenig, da der provider speichert wer wann mit welcher ip unterwegs war.
teoretisch erhälst du bei jeder einwahl eine neue IP-Adresse, aber eben nur teoretisch. wenn du einen router hast und der auf "immer online" gestellt ist dann erhälst du nur nach der zwangstrennung alle 24 stunden ne neue IP-adresse. wenn du direkt über ein modem eingelogt bist, dann erhälst du in der regel nach jedem auslogen und wiedereinlogen eine neue ip-adresse. verlass dich aber nicht darauf, hier in wien z.B. bekommt man ohne es zu wissen eine feste ip zugewiesen, bei anderen providern mag das auch in deutschland gelten. zudem hilft dir das eventuell wenig, da der provider speichert wer wann mit welcher ip unterwegs war.
Captain Picard
Commander
ich habe noch nie nach dem Wiedereinloggen dieselbe IP bekommen, es sei denn jemand gehtchristian in wien schrieb:
über Proxies ins I-Net bevorzugt z. B bei AOL und CbC-Providern. Das dürfte der Grund für
die o.g. Situation sein. Was will aber ein "man-in-the middle" mit einer Proxie-IP?
cp
christian in wien
Frisch registriert
Bin ohne proxy im internet, trotzdem hab ich seit 2 wochen die selbe ip-adresse. ich nehme an das das modem hier immer eine verbindung zur gegenstelle bereithält, sich also nicht trennt bzw getrennt wird und dadurch bleibt die ip-adresse die selbe
Captain Picard
Commander
der Proxie wird ohne dein Zutun, Wissen und Willen dir vom Provider aufs Auge gedrückt.
Wenn ich bei Gast-PCs über CbC oder AOL ins I-Net gehe, bekomme ich bei bestimmten
Providern auch oft dieselbe IP nämlich die Proxie-IP.
cp
Wenn ich bei Gast-PCs über CbC oder AOL ins I-Net gehe, bekomme ich bei bestimmten
Providern auch oft dieselbe IP nämlich die Proxie-IP.
cp