[Berlin-wireless] VPN + Zapp + Netzneutralität

[Sven-Ola Tuecke]

Hallo,

ja, so etwa. Wenn die Anfrage sehr zeitnah kommt, kann einer der Admins 
anhand der aktuellen Routing-Tabelle z.B. sagen, dass es mit hoher 
Wahrscheinlichkeit ein DHCP-Benutzer in der Kneipe "Sonnenschein" sein 
muss. Voraussetzung ist natürlich, dass der VPN-Server noch läuft. Wenn 
man sich beim "Cafe Sonnenschein" weiterfragt und den dortigen 
Router-Admin auftreiben kann, dann ist möglicherweise auch die 
MAC-Adresse noch zu ermitteln - insbesondere wenn die gesuchte Person da 
noch sitzt. Auch hier: solange der Stecker nicht gezogen wurde. Die 
Zeiten hängen davon ab, wie lange der OpenVPN seine per "iroute" 
gesetzten Routing-Einträge hält (möglicherweise Stunden, weiss ich jetzt 
aber nicht genau) und wie lange der dnsmasq auf dem Router die 
DHCP-Zuordnung behält (Lease Time, meist 30 Minuten).

Etwas anders sieht die Sache aus, wenn der OpenVPN-Key direkt (ohne 
Router) verwendet wird oder wenn auf dem Router ein NAT für dem Tunnel 
aktiviert wurde. Es sind ja die 172.31.x-Zuordnungen zu den Tunneln 
bekannt, sieht etwa so aus:

root at vpn03:/home/sven-ola# head -n 4 /var/run/openvpn-udp-pool.txt
ianua-sven-ola_provinz,172.31.240.2,2002:4d57:300a:fffe::1000
ianua-sven-ola_wrt31,172.31.240.3,2002:4d57:300a:fffe::1001
freifunk_reihen-sinsheim,172.31.240.4,2002:4d57:300a:fffe::1002
freifunk_juergenn-test,172.31.240.5,2002:4d57:300a:fffe::1003

Sagen wir mal, gesucht wird die Person bzw. das Gerät hinter der extern 
sichtbaren IP 77.87.49.51. Der aktuelle Würfelwert ist:

root at vpn03:/home/sven-ola# cat /var/run/roulette-xor.txt
54
root at vpn03:/home/sven-ola# echo $(( 51 ^ 54 ))
5

Damit kann ausgesagt werden, dass eine interne IP-Adresse 
x.x.x.(5|69|133|197) verwendet wurde. Das passt dann z.B. auf JuergeN's 
OpenVPN-Zuordnung - aber natürlich auf auf jede andere, von irgend einem 
Router herausgegeben 104er-DHCP-IP, die diese 4 Endziffern hat. Solange 
nur wenige Tunnel / Router an dieser Geschichte teilnehmen und je mehr 
Leute ein NAT auf den Tunnel-Interfaces irrtümlich aktivieren, desto 
höher die Wahrscheinlichkeit, dass auf die interne Verwendung 
rückgeschlossen werden kann. Das hängt natürlich auch davon ab, wie oft 
der OpenVPN auf dem Server neu gestartet werden muss und wie häufig der 
aktuelle Würfelwert wechselt. Die entsprechenden Cron-Jobs sind derzeit 
nicht aktiv (Status: Probebetrieb). Paar Tage oder so -> To be determined.

Außerdem ist noch denkbar, dass sich $Jemand einen OpenVPN-Schlüssel 
besorgt und anschließend den jeweils aktuellen Würfelwert mit Hilfe 
eines externen Servers ermittelt und längerfristig speichert. Ich würde 
also nicht zu viel Vertrauen in die Adresswürfelei setzen, aber Schaden 
kann es auch nicht.

Nebenbemerkung @Verkehrsminister: zum Fernzünden von $Nervsätzen gibt es 
diese wunderbar günstigen Prepaid-Mobilfunkkarten oder ausländische 
Mobilfunkkarten mich aktivierter Roaming-Funktion. Wahlweise ein 
Bluetooth-Dongle mit besserer Antenne oder ein Amateurfunkgerätedings. 
Für $Nervsätze reicht ja mitunter ein speziell präpariertes Ping oder 
ähnliches. Dagegen hilft mit Sicherheit keine globale Verkehrskontrolle.

HTH // Sven-Ola

Am 27.05.2013 23:05, schrieb Umleitung:
> Hallo Sven,
>
>
> Mein Bedenken war eher für den Fall gedacht, wenn die Anfrage
> Zeitnah kommt. Ich nehme an, dass die Anwälte ihre Fristen kennen und
> sich maximal beeilen bei der Bearbeitung ihrer Templates.
> Angenommen es kommt Zeitnah eine Anfrage, "wer war das"?
> Dann lautet deine Antwort. Äh weiß ich nicht genau, es könnte Terrorist
> 345 gewesen sein, aber seinen Ausweis habe ich nie gesehen. Ich kenne
> nur die Email-Adresse und die kann gefaket worden sein. Die IP kann
> aber auch von jedem x-Beliebigen anderen Terroristen zweckentfremdet
> gewesen worden sein. §$%&/(=)(/
>
> Oder so. (:
>
> LG
>
> Verkehrsminister