Alles anzeigenAber es ist in der Tat interessant, wie Rückverfolgbar CGN für einen Provider ist. Dieser müsste dann ja nicht nur aufzeichen wann welcher Teilnehmer welche IP-Adresse verwendet hat, sondern er müsste zu jeder einzelnen IP-Verbindung mindestens:
- Source-IP:Port (die CGN-IP) vor dem NAT
- Source-IP:Port (die Public-IP) nach dem NAT
- Dest-IP:Port
- Uhrzeit
dem Teilnehmer zuordnen können. Das wäre eine enorme Datenmenge. Halte ich für schwer realisierbar. Und dann müssen Strafverfolgungsbehörden auch in der erstmal in der Lage sein, mehr als die IP-Adresse zu nennen. In dem Sinne hat CGNAT tatsächlich etwas gutes .
Ich habe bei einigen kleineren Providern ein bisschen Einblicke in verschiedene CGN-Setups und ja, du hast völlig recht: Man muss genau diese Informationen loggen und ja, das sind enorme Datenmengen und dennoch wird das realisiert – oder zumindest geplant.
In einem sehr frühen Projekt (2013) als es um DS-lite ging war tatsächlich die Planung einer solchen Logging-Infrastruktur für die damals erwarteten legalen Anforderungen der aufwändigere Part im Projekt als das tatsächliche Setup vom DS-lite selbst.
Inzwischen hat sich allerdings die Strategie etwas geändert. Und zwar werden in vielen Fällen tatsächlich Source-Port-Ranges Batch-Sizes von typischerweise einigen hundert Ports Kunden-spezifisch allokiert und dann bei Bedarf in einer entsprechenden Infrastruktur mitgeloggt. Du musst dann also tatsächlich neben der öffentlichen IP-Adresse noch den Source-Port der jeweiligen TCP-Session liefern um dies auf einen User zurückführen zu können.
Und ja, am Source-Port der TCP-Verbindung wird es in der Praxis womöglich in vielen Fällen scheitern. Trotzdem kann ich nicht empfehlen, dass man sich dauerhaft in Sicherheit glauben kann, nur weil man von seinem Provider hinter ein CGNAT gesetzt wird. Unabhängig von der juristischen Lage dürfte es inzwischen technisch kein großes Problem mehr darstellen, entsprechende Logging-Infrastrukturen bereitzustellen.