IP Weitergabe

Re: IP Weitergabe

Postby apoapo » Sun Nov 25, 2012 11:30 am

Willkommen!

Um es kurz zu machen: Es gibt keine Probleme mit der "Anonymität".

RS ist ein Freund-zu-Freund Netzwerk: Jeder in deiner Kontaktliste ist ein Freund und kann deine IP + traffic analysieren. Wenn du dich dort vertust und einen Anwalt oder seine Handlanger hinzufügst, dann hast du verloren. Falls nur deine Freunde diesen Fehler begehen, betrifft dich das schon nicht mehr, du bist filesharing-technisch anonym gegenüber Freundes-Freunden und dem Rest des RS Netzwerks.

Also: Aufpassen wen man addet!
apoapo
 
Posts: 189
Joined: Sun Jan 10, 2010 12:55 pm

Re: IP Weitergabe

Postby cave » Wed Nov 28, 2012 10:26 am

hi apoapo,

Wo kann man den Nachlesen wie "Relay" funktioniert?

Ich hätte da noch eine Frage bezüglich der Relay funktion wie diese genau funktioniert?

Kann ich als RElay auch Daten weiterleiten von leuten mit denen ich nicht befreundet bin?
Funktionierten Relays ähnlich wie TOR Bridges um allzu strikte Firewalls zu umgehen?
Kann ich generell immer nur Daten an Leute senden mit denen Ich auch befreundet bin?


Um das ganze etwas direkter anhand einese Beispiels zu erklären habe ich ein kleines Beispiel aufgeschrieben.


------------- und generell für mein Verständnis der Relay funktion ---------------

Beispiel
Es gibt User Anton, Bertram und Caesar A<->B<->C

User Anton ist mit Bertram befreundet
User Bertram ist mit Caesar befreundet
User Anton und Caesar sind nicht miteinander befreundet.

Wenn jetzt Daten von A nach C transferiert werden, kann dies verschlüsselt über das Relay B passieren. B weis nicht was da transferiert wird.
B ist aber mit beiden befreundet deshalb kann der Traffic über Ihn laufen. Der Traffic kann nicht direkt von A <-> C transferiert werden. erst wenn A und C miteinander befreundet sind. Traffic kann nur fließen wenn B als Mittler auch online ist.
Ist dies schon diese Relay Funktion?

erweitertes Beispiel:
Oliver und Peter haben nur sich gegenseitig und sonst niemand als Freund akzeptiert. A, B und C haben mit diesen beiden nix zu tun. Sind mit keinem der O&P befreundet.
A<->B<->C und O<->P
Kann es jetzt passieren das User B zwischen O und P als Relay Daten überträgt? User B kennt O & P ja garnicht.

------- meine Frage zu diesem Beispiel -------------

Ist es notwendig mit dem Relay befreundet zu sein um damit zu kommunizieren?
Wenn ich ein Relay laufen habe, können nur meine Freunde dieses Relay verwenden, oder auch andere.
Kommen die über mein Relay übertragenen Daten nur von meinen Freunden, zu meinen Freunden ? also auf beiden Seiten der Relay verbindung müssen Trusties/Freunde sein?!
cave
 
Posts: 109
Joined: Tue Nov 13, 2012 10:27 pm

Re: IP Weitergabe

Postby electron » Wed Nov 28, 2012 11:45 am

Zum Artikel: In der Verfügung geht es um den Turtle-Router. Der Turtle-Router hat mit der Relayfunktion nichts zu tun.

cave wrote:Wo kann man den Nachlesen wie "Relay" funktioniert?

Solche Informationen gehören ins Wiki: http://retroshare.sourceforge.net/wiki/ ... eed_one.3F

cave wrote:Kann ich als RElay auch Daten weiterleiten von leuten mit denen ich nicht befreundet bin?

Ja.

cave wrote:Funktionierten Relays ähnlich wie TOR Bridges um allzu strikte Firewalls zu umgehen?

Zur Ähnlichkeit mit Tor kann ich nichts sagen. Wenn ich es richtig verstanden habe, dienen Relays dazu, Peers hinter strikten Firewalls zu helfen.

cave wrote:Es gibt User Anton, Bertram und Caesar A<->B<->C
User Anton ist mit Bertram befreundet
User Bertram ist mit Caesar befreundet
User Anton und Caesar sind nicht miteinander befreundet.

Wenn jetzt Daten von A nach C transferiert werden, kann dies verschlüsselt über das Relay B passieren. B weis nicht was da transferiert wird.B ist aber mit beiden befreundet deshalb kann der Traffic über Ihn laufen. Der Traffic kann nicht direkt von A <-> C transferiert werden. erst wenn A und C miteinander befreundet sind. Traffic kann nur fließen wenn B als Mittler auch online ist.

Nur wenn A und C Freunde sind werden sie das Relay verwenden.

cave wrote:Oliver und Peter haben nur sich gegenseitig und sonst niemand als Freund akzeptiert. A, B und C haben mit diesen beiden nix zu tun. Sind mit keinem der O&P befreundet. A<->B<->C und O<->P

Kann es jetzt passieren das User B zwischen O und P als Relay Daten überträgt? User B kennt O & P ja garnicht.

Ja, so ist es gedacht. Das Relay sieht aber nur IP1:Port1, IP2:Port2 und den verschlüsselten Traffic.

cave wrote:Ist es notwendig mit dem Relay befreundet zu sein um damit zu kommunizieren?

Nein. Man kann aber Freunden mehr Relaybandbreite spendieren, wenn man möchte.
Man kommuniziert auch niemals mit einem Relay alleine, sondern zu einem Freund durch das Relay hindurch.
Die Freunde sind durch das Relay nicht anonym.

cave wrote:Wenn ich ein Relay laufen habe, können nur meine Freunde dieses Relay verwenden, oder auch andere.

Das kannst du selber einstellen.

cave wrote:Kommen die über mein Relay übertragenen Daten nur von meinen Freunden, zu meinen Freunden ? also auf beiden Seiten der Relay verbindung müssen Trusties/Freunde sein?!

Eine Relayverbindung besteht aus Relayende 1, Relay und Relayende 2. Die Relayenden müssen Freunde sein. Das Relay selber nicht.
electron
 
Posts: 96
Joined: Sun Aug 12, 2012 9:39 am

Re: IP Weitergabe

Postby cave » Sat Dec 01, 2012 10:52 pm

gerade probiert die verschiedenen Slots meiner Relay Funktionen einzustellen.

Leider kann man die Generell/Allgemein Relay Funktion nicht deaktivieren. entweder alles oder nichts.
Generell lässt sich nur auf 1kB/s drosseln.

Und im Golem Forum habe ich auch noch eine Anleitung gefunden wie man auf genau diese Schwäche losgehen kann. und dann IP's von Relay's abgreifen.

Golem Forum wrote:Aber hätte das nicht in diesem Fall passieren können? User A ist befreundet mit User B.
Der mit beiden nicht befreundete User C hat Relay aktiviert, mit einem Slot für "General" (der sich übrigens zumindest bei mir nicht deaktivieren lässt?!?).
User B (Promedia) sucht sich eine beliebige IP aus der bdboot.txt und trägt diese als Relay-Server ein. Diese IP gehört zufälligerweise User C.
Jetzt geht User B hin, und versucht eine Datei von seinem Freund User A zu laden. Dabei hat er alle Ports außer dem Relay-Port in der Firewall gesperrt. Der Traffic läuft also über User C, über den Slot für "die Allgemeinheit".
User B freut sich, bedankt sich per IM bei seinem Kumpel User A, und schickt eine Anfrage an den ISP von User C um ihm die Abmahnung zu schicken.
Möglich, oder habe ich da jetzt was falsch verstanden?


Golem Forum wrote:Warum ist Relay eigentlich standardmäßig aktiviert? Mit den Standard Bandbreiten-Beschränkungen ist es doch eh nicht nutzbar, und es ist ja eigentlich eher ein Profi-Feature (zumindest das Nutzen eines Relay-Servers, mit DHT-ID eintragen etc.), das sowieso selten genutzt werden dürfte. Außerdem ist es (zumindest wenn ich es nicht falsch verstanden habe) eine Lücke im Web-of-Trust. Das Feature an sich ist eine super Sache, aber ich fände es wesentlich besser wenn es nicht standardmäßig aktiviert wäre.
cave
 
Posts: 109
Joined: Tue Nov 13, 2012 10:27 pm

Re: IP Weitergabe

Postby electron » Sun Dec 02, 2012 11:32 am

cave wrote:Und im Golem Forum habe ich auch noch eine Anleitung gefunden wie man auf genau diese Schwäche losgehen kann. und dann IP's von Relay's abgreifen.

Die Relayfunktion ist keine Schwäche. Das Problem ist, dass viele Leute sie mit dem Turtelrouter verwechseln. Dann wird das noch so lange mit Tor und Exitnodes verglichen, bis alle komplett verwirrt sind. Danke, dass du den Weg hierhin gefunden hast um die Wahrheit zu erfahren.

Freund A und Freund B kommunizieren über das Relay C. Damit dass klappt müssen logischerweise A, B und C die IPs der anderen kennen.

Du kannst nicht verstecken, dass du RetroShare verwendest. Du kannst aber DHT und Relay ausschalten, dann müsste ein Angreifer schon einen Portscan machen um herauszufinden, ob du RS benutzt.

Bei RetroShare geht es darum, den Inhalt der Kommunikation zu verschlüsseln. Ein Außenstehender soll nicht wissen, welche Daten übertragen werden.
electron
 
Posts: 96
Joined: Sun Aug 12, 2012 9:39 am

Re: IP Weitergabe

Postby cave » Sun Dec 02, 2012 9:59 pm

Ich bemühe mich nach Kräften das ganz Konzept zu verstehen. und direkt an der Quelle ist es halt immer besser. so meine hoffnung.

Du kannst nicht verstecken, dass du RetroShare verwendest. Du kannst aber DHT und Relay ausschalten, dann müsste ein Angreifer schon einen Portscan machen um herauszufinden, ob du RS benutzt.

Portscan wäre aber insofern schwer, RS verwendet ja keinen fixen Port zur Kommunikation? bzw kann ich den ja bei Portweiterleitung ändern.
Wenn ichs verstecken wollte, müsste ich es ja noch über Obfuscator oder durch Tor durchschleifen und dann DHT und Relay deaktivieren.

Turtle Router und Relay und dessen Unterschiede sind mir von Anfang an nicht ganz grün vorgekommen. Ich glaube es kennen einfach fast keine Leute das Turtle Protokoll.
Das Turtle Routing bewirkt ja, das ich über $X Ecken eine Datei von jemand runterladen kann. aber dazwischen die einzelnen Verbindungen immer miteinander befreundet sein müssen.

Freund A und Freund B kommunizieren über das Relay C. Damit dass klappt müssen logischerweise A, B und C die IPs der anderen kennen.

Wenn Freund A und Freund B über mich als Relay kommunizieren, dann ist das für mich ja kein Problem solange ich mit A und B auch mit mir zwingend befreundet sind.

Aber Wenn A und B befreundet sind. Ich für diese beiden das Relay mache. Aber selber mit diesen Beiden nix am hut habe ist das für mich schon ein problem.
Die Anleitung wie man dies ausnützen kann, um Leute die Relay für Allgemein aktiviert haben, ist für mich ein ganz klarer Angriffs Vektor.
Rechtlich lässt sich das nur mit der Störerhaftung in Deutschland verwerten. aber die Rechtslage ist derzeit in Deutschland so und liesse sich dort auch nutzen.

Selbiges Problem haben ja auch die FreiFunk Communitys und freie Wlans wenn die mit der Störerhaftung ins Gehege kommen. da nur ISP von Störerhaftung ausgenommen werden.
cave
 
Posts: 109
Joined: Tue Nov 13, 2012 10:27 pm

Re: IP Weitergabe

Postby pumuckl » Sun Dec 02, 2012 10:25 pm

electron wrote:Du kannst nicht verstecken, dass du RetroShare verwendest. Du kannst aber DHT und Relay ausschalten, dann müsste ein Angreifer schon einen Portscan machen um herauszufinden, ob du RS benutzt.

Das stimmt, es ist aber ein Riesen-Unterschied, ob jemand weiß dass ich Retroshare benutze, oder ob jemand urheberrechtlich Geschützte Daten (oder noch viel schlimmeres!) über meine Leitung runterladen kann.
Deswegen plädiere ich dringend dafür, Relay standardmäßig auszuschalten, und außerdem den General Slot deaktivierbar zu machen. Sonst sind Retroshare-User die sich nicht über die Gefahren bewusst sind in der Gefahr, in der gleichen Situation zu landen wie der Abgemahnte um den es im LG Hamburg ging. Und unter dem Gesichtspunkt der Störerhaftung ist das ein großes Problem, finde ich.
pumuckl
 
Posts: 9
Joined: Tue Nov 27, 2012 3:52 pm

Re: IP Weitergabe

Postby lupus2 » Mon Dec 03, 2012 2:12 pm

um vielleicht nochmal etwas Licht ins Dunkel zu bringen.. in den meistens Postings sind einige Gedankenfehler die mehr irrtieren als da sie nützen.

beipielsweise die Überlegung aus dem Golem Forum:

Aber hätte das nicht in diesem Fall passieren können? User A ist befreundet mit User B.
Der mit beiden nicht befreundete User C hat Relay aktiviert, mit einem Slot für "General" (der sich übrigens zumindest bei mir nicht deaktivieren lässt?!?).
User B (Promedia) sucht sich eine beliebige IP aus der bdboot.txt und trägt diese als Relay-Server ein. Diese IP gehört zufälligerweise User C.
Jetzt geht User B hin, und versucht eine Datei von seinem Freund User A zu laden. Dabei hat er alle Ports außer dem Relay-Port in der Firewall gesperrt. Der Traffic läuft also über User C, über den Slot für "die Allgemeinheit".
User B freut sich, bedankt sich per IM bei seinem Kumpel User A, und schickt eine Anfrage an den ISP von User C um ihm die Abmahnung zu schicken.
Möglich, oder habe ich da jetzt was falsch verstanden?


die Relayfunktion hat eine Aufgabe, nämlich aus gesicherten Netzen eine Verbindung zu einem "befreundeten Client" herzustellen, der, wenn er freundlich ist durch das aktivieren des Relayservers dem User ermöglicht wieder mit anderen RS Usern in Kontakt treten zu können weil eben DHT für ihn selber nicht zugänglich ist!

In der Praxis könnte das so aussehen:

User A sitzt zu Hause und hat seine Kiste perfekt eingerichtet. RS läuft natürlich ^^ - so nun kommt User B. User B wohnt in einem Studentenwohnheim und hat zwar eine klasse Anbindung ans Netz, jedoch alles sehr restiktiv administriert und DHT (vornehmlich wegen Bittorrent) ist für das Heim deaktiviert worden. User C. arbeitet als in einer großen Firma, ebenfalls ist DHT auch hier nicht möglich. User A ist mit User B und User C gut befreundet, allerdings kennen sich B und C nicht! User B und C haben zusätzlich wie A auch, weitere unterschiedlich Freunde die sie aber nicht erreichen können!!

Nun möchten aber User B und C unabhängig von einander RetroShare auch dort nutzen können! Um dieses zu erreichen willigt User A ein den Relayserver zu aktivieren.

Nun können User B und User C sich über den Relayserver von User A wieder mit anderen RS Freunden verbinden! Der Relayserver fungiert also als Gateway....

Die alles entscheidene Frage ist nun: Brauche ich einen Server und wenn ja für wenn... Ist`s ein Freund.. oder eben nicht!
Wie das ganze Prinzip von RetroShare: Freund oder nicht Freund - Das ist hier die Frage :-)


Deswegen plädiere ich dringend dafür, Relay standardmäßig auszuschalten, und außerdem den General Slot deaktivierbar zu machen. Sonst sind Retroshare-User die sich nicht über die Gefahren bewusst sind in der Gefahr, in der gleichen Situation zu landen wie der Abgemahnte um den es im LG Hamburg ging. Und unter dem Gesichtspunkt der Störerhaftung ist das ein großes Problem, finde ich.


Also, auch wenn man möglicherweise wenig Freunde geadded hat, so würde ich die Relayfunktion zum Verbinden nicht deaktivieren. So gesehen macht Sie erstmal nichts und hat auch keinen Einfluss auf die Sicherheit. Der Server ist ja standardgemäß deaktiviert!

Wichtig für den Umgang mit RS ist wirklich die Frage der Vertrauten Personen, wem gebe ich meinen Schlüssel oder wem erlaube ich (sofern man ein Relay benötigt) mein Relay benutzen!! Nur wer hier aufpasst, dem wiederfährt auch nicht so ein Müll mit Promedia und Co. (und vorausgesetzt es gibt keinen ausnutzbaren Fehler in SSL oder RS!!)

Der Thread zum Keysharing ist ja schon mal weg.... das ist auch gut so!!

die Hypothese aus dem Golem Forum braucht man wohl nicht weiter zu kommentieren! Ist ein bischen sehr weit hergeholt...

und ob man einen Portscan macht oder China fällt ein Sack Reis um spielt nun wirklich keine Rolle. RS zu nutzen ist nicht strafbar.... und wie gesagt, wenn SSL funktioniert dürfte es selbst bei einer Man in the Middle Attake für den der die Daten abgreift schwer sein die zu entschlüsseln.
lupus2
 
Posts: 39
Joined: Fri May 14, 2010 11:49 pm

Re: IP Weitergabe

Postby pumuckl » Mon Dec 03, 2012 7:28 pm

lupus2 wrote:Wie das ganze Prinzip von RetroShare: Freund oder nicht Freund - Das ist hier die Frage :-)

Wenn es so wäre, wäre ja alles super. Aber wie es aussieht, hat man keine Kontrolle darüber von wem man als Relay benutzt wird. Nur wenn man den Server deaktiviert, aber das sollte bei einem Programm was großen Wert auf Security legt nicht vorausgesetzt werden, sondern sollte die Voreinstellung sein.

lupus2 wrote:Also, auch wenn man möglicherweise wenig Freunde geadded hat, so würde ich die Relayfunktion zum Verbinden nicht deaktivieren. So gesehen macht Sie erstmal nichts und hat auch keinen Einfluss auf die Sicherheit. Der Server ist ja standardgemäß deaktiviert!

Wie jetzt, die Funktion soll nicht deaktiviert werden, aber der Server ist standardgemäß deaktiviert? Das hilft bei mir gerade nicht sehr Licht ins Dunkel zu bringen. ;)

lupus2 wrote:Wichtig für den Umgang mit RS ist wirklich die Frage der Vertrauten Personen, wem gebe ich meinen Schlüssel oder wem erlaube ich (sofern man ein Relay benötigt) mein Relay benutzen!! Nur wer hier aufpasst, dem wiederfährt auch nicht so ein Müll mit Promedia und Co. (und vorausgesetzt es gibt keinen ausnutzbaren Fehler in SSL oder RS!!)

Es geht hier aber nicht darum wem man seinen Schlüssel gibt, sondern es geht darum ob jemand über meine Leitung etwas herunterladen kann ohne dass er in meinem web of trust drin ist. Wenn es möglich ist das über die Relay-Funktion zu tun, dann ist der Fakt dass diese Funktion standardmäßig aktiviert ist für mich ein ausnutzbarer Fehler in RS!
Man kann auch von unbedarften Nutzern (und auch du wirst solche unter deinen Freunden haben) nicht erwarten dass sie sich mit allen Einstellungen auskennen, und hier überall das richtige einstellen. Die Einstellungen sollten soweit "idiotensicher" sein wie möglich. Natürlich besteht die Haupt-Zielgruppe naturgemäß eher aus Leute die sich mit sowas beschäftigen, aber alleine aus Zeitgründen kann man von niemandem erwarten dass er sich erstmal ein paar Stunden einarbeitet.

lupus2 wrote:die Hypothese aus dem Golem Forum braucht man wohl nicht weiter zu kommentieren! Ist ein bischen sehr weit hergeholt...

Mag sein, aber darum geht es nicht. Alleine wenn es möglich ist, ist das schon ein Problem. Klar ist es sehr aufwändig, aber wenn User C aus deinem Beispiel, der in der großen Firma (Promedia) arbeitet schon den Idioten aus dem Studentenheim dazu gebracht hat seinen Key zu signieren, warum sollte er dann nicht noch ein paar Kollateralschäden mitnehmen wenn er kann?

lupus2 wrote:dürfte es selbst bei einer Man in the Middle Attake für den der die Daten abgreift schwer sein die zu entschlüsseln.

Das ist ja gerade die Krux, die Daten müssen nicht entschlüsselt werden. Der Angreifer ist einer der Freunde, nicht das Relay, das Relay wird angegriffen.

Ich will Retroshare nutzen, weil ich mit meinen Freunden kommunizieren können will, ohne dass das über XMPP-Server von Google, Skype oder Facebook oder sonst wen läuft. Für mich ist sichere Kommunikation das Wichtigste, wenn ich Warez laden wollte würde ich das per Bittorrent über VPN machen.
Und aus diesem Grund ist es für mich problematisch, wenn einige Sachen auftauchen die das Web of trust in Gefahr bringen. Als ich Retroshare installiert hab, ging ich davon aus, dass ich mit den Standard-Einstellungen sicher wäre. Wie sich rausstellt, ist das nicht uneingeschränkt der Fall. Im Gegenteil, jemand der Retroshare schaden will kann mich in eine Situation bringen wo er mich abmahnen kann, auch wenn ich persönlich RS garnicht für Warez nutze. Ich kann zwar hingehen und die Einstellungen anpassen, aber für mich steht das im Widerspruch zum Anspruch von Retroshare, und zu der ganzen Arbeit die investiert wurde um das System so sicher zu machen. Das sollte out-of-the-box so sicher sein wie möglich, riskante Features sollten bewusst aktiviert werden müssen, nicht umgekehrt.

Es wäre auf jeden Fall cool wenn sich mal einer der Devs dazu melden könnte, und klarstellen könnte ob das Relay eine potentielle Sicherheitslücke (unter dem Gesichtspunkt der Störerhaftung) darstellt oder nicht.
pumuckl
 
Posts: 9
Joined: Tue Nov 27, 2012 3:52 pm

Re: IP Weitergabe

Postby apoapo » Mon Dec 03, 2012 8:57 pm

Ich gebe dir recht, dass die Option standardmässig -aus- sein sollte.

Das Thema ist aber auch ganz frisch, und die Entwickler konnten früher noch von einem Rechtsstaat mit Unschuldsvermutung ausgehen. Da diese Ansicht für Deutschland nun korrigiert werden muss, muss auch über die Standard-Einstellung des Relays neu nachgedacht werden.

//edit: In den internen RS Foren hat jemand folgendes geantwortet:

Relay links do not forward any Anonymous Data is the speed is < 5KB/s.
So the default values should not be problematic.
apoapo
 
Posts: 189
Joined: Sun Jan 10, 2010 12:55 pm

Next

Return to German

Who is online

Users browsing this forum: No registered users and 1 guest

cron