Alte Geräte nach umstieg auf DG .....


  • Ich habe bei einigen kleineren Providern ein bisschen Einblicke in verschiedene CGN-Setups und ja, du hast völlig recht: Man muss genau diese Informationen loggen und ja, das sind enorme Datenmengen und dennoch wird das realisiert – oder zumindest geplant.

    In einem sehr frühen Projekt (2013) als es um DS-lite ging war tatsächlich die Planung einer solchen Logging-Infrastruktur für die damals erwarteten legalen Anforderungen der aufwändigere Part im Projekt als das tatsächliche Setup vom DS-lite selbst.


    Inzwischen hat sich allerdings die Strategie etwas geändert. Und zwar werden in vielen Fällen tatsächlich Source-Port-Ranges Batch-Sizes von typischerweise einigen hundert Ports Kunden-spezifisch allokiert und dann bei Bedarf in einer entsprechenden Infrastruktur mitgeloggt. Du musst dann also tatsächlich neben der öffentlichen IP-Adresse noch den Source-Port der jeweiligen TCP-Session liefern um dies auf einen User zurückführen zu können.


    Und ja, am Source-Port der TCP-Verbindung wird es in der Praxis womöglich in vielen Fällen scheitern. Trotzdem kann ich nicht empfehlen, dass man sich dauerhaft in Sicherheit glauben kann, nur weil man von seinem Provider hinter ein CGNAT gesetzt wird. Unabhängig von der juristischen Lage dürfte es inzwischen technisch kein großes Problem mehr darstellen, entsprechende Logging-Infrastrukturen bereitzustellen.

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden