[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Fwd: Re: [Generation @] Sperrungen im Internet
- To: debate@fitug.de
- Subject: Fwd: Re: [Generation @] Sperrungen im Internet
- From: Lutz Donnerhacke <lutz@iks-jena.de>
- Date: Thu, 15 May 1997 15:41:02 +0200
- Comment: This message comes from the debate mailing list.
- Sender: owner-debate@fitug.de
Path: news.iks-jena.de!lutz
From: lutz@taranis.iks-jena.de (Lutz Donnerhacke)
Newsgroups: de.soc.zensur
Subject: Re: [Generation @] Sperrungen im Internet
Date: 15 May 1997 13:40:07 GMT
Organization: IKS GmbH Jena
Lines: 63
Distribution: world
Message-ID: <slrn5nm4hk.9j.lutz@taranis.iks-jena.de>
References: <5leg54$ihn@white.koehntopp.de>
NNTP-Posting-Host: taranis.iks-jena.de
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Newsreader: slrn (0.9.3.2 UNIX)
Xref: news.iks-jena.de de.soc.zensur:6845
* Kristian Köhntopp wrote:
>Sperrung von IP-Adressen und der Einsatz von Firewalls ist
>unter bestimmten Voraussetzungen kombinierbar, dadurch ist eine
>Entlastung der Firewallmaschine moeglich: Anstatt die Route zu
>einer zu sperrenden Maschine zu erden, laesst man alle Routen
>zur zu sperrenden Maschine auf einen Firewall zeigen, der dann
>die Dienste der zu sperrenden Maschine ueberwacht. Diese
>Loesung ist je nach Art der zu sperrenden und zu simulierenden
>Dienste sehr aufwendig zu konfigurieren und zu warten. Zum
>einen setzt sie einen zentralen Uebergangspunkt zwischen dem zu
>kontrollierenden deutschen Netz und dem Rest der Welt voraus.
>Zum anderen handelt es sich bei diesem Verfahren um einen
>klassischen Man in the middle-Angriff. Dadurch versagt das
>Verfahren bei aller stark verschluesselten Kommunikation, die
>unempfindlich gegen solche Angriffe ist.
Darüberhinaus ist dieser Eingriff eine absichtliche Fälschung von Routen
fremder Autonomer Systeme. In wieweit sich das jemand gefallen läßt ist
fraglich. Sehr fraglich...
Wie sähe ein solches Szenario in der Praxis aus?
Zentrale Stelle gesucht... nehmen wir den DE-CIX, der steht eh' unter der
Fuchtel von ECO aka ICTF aka 'un'tapferes Schneiderlein.
Dort einen Proxy installiert und alle EGP Routen gefälscht, die auf zu
sperrende IP Adresse zeigen. Die Router wissen nun: www.xs4all.nl steht in
Frankfurt am Main.
Der Proxy, der sich für einen anderen Rechner ausgibt ist voll transparent
für alles, was nicht zu sperren ist. Nur für die zu sperrenden Inhalte steht
dem Zersor alles zur Verfügung. Er kann trivial sperren, oder aber die
Inhalte verfälschen oder gar ganz andere Inhalte senden... Ein Bitfälscher.
Bleibt nur noch das Problem, wie dieser Proxy wieder rauskommt zum
eigentlichen Zielsystem. Alle Router um ihn herum wissen ja, daß er sich
selbst zu erreichen versucht... Also muß er auf eine der von Kristian
beschriebenen Art raustunneln.
Klingt das abstrus? Mag sein, jedenfalls steht das exakt so unter dem Namen
Webblock in einem Papier, daß sich RA Schneider erstellen lassen hat.
(Papier gesehen und gelesen auf der CeBit '97) Name des Autors bekannt.
Obwohl die Autoren dieser Studie es besser wissen müßten, weichen sie der
Realisierung nicht aus.
Neben den Möglichkeiten, die Kristian beschrieb hat dieses System gravierende
Nachteile:
- Es wird sofort entdeckt (traceroute, weil zu langsam).
- Sämtlicher Traffic bestimmter Rechner zentral zu behandeln überlastet
das System.
- Die gefälschten EGP Routen verstoßen neben den guten Sitten gegen alle
möglichen internationalen Abkommen, was schwere politische und
wirtschaftliche Erdbeben nach sich zieht.
- Wer Kontrolle über dieses System hat, ist 'allmächtig'. So auch jeder
Hacker dieses Systems.
Fazit: Internetinhaltskontrolle und Kryptoverbot haben eins gemeinsam:
Sie sind nicht durchsetzbar sondern bewirken nur einen
Rüstungswettlauf, der alle Unschuldigen aber niemals die Richtigen
trifft.
Welcome to this brave new world.