Hallo alle zusammen,
nein, ich habe keine Abmahnung erhalten, es geht hier um ein rein theoretisches Problem aus dem Bereich der IP-Adress-Erfassung und der Zuweisung der korrekten Anschlussinhaber:
Und zwar würde ich gerne mit euch über die Schwachstelle DHCP-Server bzw. das daraus resultierende Protokoll diskutieren.
Bisher werden ja in Verdachtsfällen von der Staatsanwaltschaft die Provider um Auskunft gebeten, ihren DHCP-Log mit den vergebenen Leases zu einer bestimmten Uhrzeit (die der DHCP aus seiner Sicht erfasst hat) zu vergleichen und dann den Login mit der Kundendatei abzugleichen und das Ergebnis rauszurücken.
Meiner bisherigen Erkenntnis nach (und hier bitte ich um euer Fachwissen) ist einem DHCP-Server jedoch die Uhrzeit völlig egal - das bedeutet, egal ob die Systemzeit 1999 stehengeblieben ist, oder sich der DHCP in einer anderen Zeitzone befindet, er gibt auf jeden Request eine IP aus seinem Pool aus und dazu eine relative Lease-Zeit. Egal wie früh oder spät es ist. Ausserdem enthält das DHC-Protokoll keinerlei TimeStamp oder einen Abgleich von Server- & Client-Zeit...
Bei der Zeiteinstellung gibt es massenhaft Fehlerquellen, wie etwa:
- Generell falsche Uhrzeiteinstellung
- Falsche Zeitzone
- Defekter Quarz / System-Uhr läuft zu schnell oder langsam und synct sich einmal am Tag mit Zeitserver wieder richtig (hatte ich schon)
Daher würde ich alle Einzel-Ermittlungen derzeit als fragwürdig bezeichnen, da nicht nur die Zuweisung der IP-Adresse an den Anschluss relevant wäre, sondern auch, dass zum Zeitpunkt der Vergabe der DHCP mit der Zeit des Ermittlersystems synchron war.
Bisher wird aus meiner Sicht die korrekte DCHP-Konfiguration ungefragt als gottgegeben und richtig akzeptiert, ohne die Zuverlässigkeit der auskunftserteilenden Stelle (Internet-Provider) in Frage zu stellen, obwohl dies vielleicht angebracht wäre.
Wie seht ihr die Sache? Was meint ihr dazu?
nein, ich habe keine Abmahnung erhalten, es geht hier um ein rein theoretisches Problem aus dem Bereich der IP-Adress-Erfassung und der Zuweisung der korrekten Anschlussinhaber:
Und zwar würde ich gerne mit euch über die Schwachstelle DHCP-Server bzw. das daraus resultierende Protokoll diskutieren.
Bisher werden ja in Verdachtsfällen von der Staatsanwaltschaft die Provider um Auskunft gebeten, ihren DHCP-Log mit den vergebenen Leases zu einer bestimmten Uhrzeit (die der DHCP aus seiner Sicht erfasst hat) zu vergleichen und dann den Login mit der Kundendatei abzugleichen und das Ergebnis rauszurücken.
Meiner bisherigen Erkenntnis nach (und hier bitte ich um euer Fachwissen) ist einem DHCP-Server jedoch die Uhrzeit völlig egal - das bedeutet, egal ob die Systemzeit 1999 stehengeblieben ist, oder sich der DHCP in einer anderen Zeitzone befindet, er gibt auf jeden Request eine IP aus seinem Pool aus und dazu eine relative Lease-Zeit. Egal wie früh oder spät es ist. Ausserdem enthält das DHC-Protokoll keinerlei TimeStamp oder einen Abgleich von Server- & Client-Zeit...
Bei der Zeiteinstellung gibt es massenhaft Fehlerquellen, wie etwa:
- Generell falsche Uhrzeiteinstellung
- Falsche Zeitzone
- Defekter Quarz / System-Uhr läuft zu schnell oder langsam und synct sich einmal am Tag mit Zeitserver wieder richtig (hatte ich schon)
Daher würde ich alle Einzel-Ermittlungen derzeit als fragwürdig bezeichnen, da nicht nur die Zuweisung der IP-Adresse an den Anschluss relevant wäre, sondern auch, dass zum Zeitpunkt der Vergabe der DHCP mit der Zeit des Ermittlersystems synchron war.
Bisher wird aus meiner Sicht die korrekte DCHP-Konfiguration ungefragt als gottgegeben und richtig akzeptiert, ohne die Zuverlässigkeit der auskunftserteilenden Stelle (Internet-Provider) in Frage zu stellen, obwohl dies vielleicht angebracht wäre.
Wie seht ihr die Sache? Was meint ihr dazu?