dckg.net
Blog
Tools
Downloads
Mittwoch, 6 Juli 2016 in Internet, Sicherheit
Praktiken und Lücken im Vodafone Netz

Da wird doch glatt ein Bild von meinem Blog über 1.1.1.1 eingebunden.
Whois darauf sagt, es ist privater Adressbereich.
Transparente Proxies, wie ich sie liebe.

Ich zahle für eine Dienstleistung (Routen von Packets) Geld, und dann so was.
Er dient wohl zur Bildkompression - wenn man seine Kunden nicht auf 32 kbit/s drosseln würde, könnte man sich solche Maßnahmen sparen.
Leider ist das eher ein deutscher Standard; sowohl Drossel als auch MITM Proxy.
Netzneutralität? Nicht bei uns.

Vor ca. einem 3/4 Jahr hatte ich mich mit
Werbeblockierung auf Backbone Ebene und die Netzneutralität
schon mal kurz mit dem Thema beschäftigt, und verweise hier erneut auf den Report von ZDNet aus 2009, da traurigerweise noch aktuell:
Internet per UMTS: So fälschen deutsche Provider Webinhalte


Bei meiner Vodafone CallYa-Prepaid Karte wechselte ich vor etwa 2 Wochen in einen niedrigeren Tarif, bei dem Internet erstmal komplett deaktiviert ist. Internetoptionen sind zubuchbar.
Es sah erst einmal so aus:

Ein traditionelles Captive Portal.

URL stand oben aber eine, daraus folgt, dass ein Mindestmaß an DNS-Queries funktionieren muss.
Diesem Sachverhalt musste ich gleich nachgehen...

Boom! Der erste Soundeffekt im Blog.
Wie an den Ping Versuchen zu erkennen, sind ICMP-Requests eindeutig geblockt. Allerdings wird externes DNS vom Vodafone-eigenen DNS-Server etwaig korrekt aufgelöst.

Zugriff nach Außen, egal welcher Art, bedeutet für den Nutzer theoretisch eines: Kostenloses Internet.
DNS-Tunneling heißt das Stichwort, mit dem Google gefüttert werden kann:

CNAME wurde aufgelöst, damit würden ja schon mal einige Byte übertragen werden.

Jedenfalls hatte ich zeitig wieder eine Internet-Flat dazugebucht, abgesehen von der Legalität, habe ich andere Prioritäten.

Abschließend bleibt nur zu sagen, möchte man eine Internetsperre realisieren - sobald irgend etwas nach Draußen möglich ist, hat das Sicherheitskonzept versagt:

ICMP echo geht? Daten in die Payload.
HTTPS zugelassen? OpenVPN TCP 443
DPI?
OpenVPN über SSL
...
Wo ein Wille, da ein Weg.

Für uns in Deutschland eher irrelevant, in anderen Ländern, wie z.B. China, sind die Leute schon eher auf solche Technologien angewiesen.
Site optimised for Google Chrome / Chromium