Auslastung des eigenen Segments ansehen [Mit Prüfung zu Transparenzangaben]

[robert_s]

Nur so: Die Daten werden verschlüsselt übertragen

Nur die Payloads von (den meisten) Unicast-Frames. Die Ethernet-Header sind stets unverschlüsselt, und die Payloads von Broadcast-/Multicast-Frames auch.

[DerSarde]

Quark. Es handelt sich um das Hausnetz, also Netzebene 4 hinter der Kabeldose, welches da angeblich "ausgespäht" wird. Dieses Netz ist nicht in der Hand des Providers, also kann es kein fremdes Datennetz sein.

Nein, es wird die Netzebene 3 gemonitored. Immerhin beobachtet man ja das Segment als Ganzes und das befindet sich nicht nur im Hausnetz.

Kein Mensch hat VF/KDG gezwungen eine Internettechnik basierend auf einem Shared Medium aufzubauen. Eine DSL-Leitung gehört mir alleine, der Provider separiert mich von anderen Kunden mittels VLAN-Tags.

Ähm, welche Technik sollte VFKD im Kabelnetz sonst anwenden? Technisch geht nun mal nichts anderes.
Im Übrigen haben wir da mal wieder das altbekannte Märchen, dass DSL nicht shared sei...
Klar, die TAL hast du für dich alleine, mehr aber auch nicht. Der Backbone hinter dem DSLAM ist natürlich ebenfalls shared, daher kann es auch bei DSL zu Geschwindigkeitseinbrüchen kommen, die denen von Segmentüberlastungen ähneln...

[RcRaCk2k]

1. Müsstest Du dazu alle Kanäle gleichzeitig auswerten, d.h. Dir bis zu 24 DVB-C Sticks an den PC hängen (oder vielleicht 6 PCIe-Karten mit 4fach-Tuner reinstecken)

Ach.. Da hast du Recht und man müsste den DOCSIS 3.0 Standard nachprogrammieren. Okay, das wäre eine Arbeit für einen Studenten ^^

2. Arbeitet das Kundenmodem bei IPv6 als Bridge, d.h. es wird nicht die MAC-Adresse des Modems verwendet, sondern die des jeweiligen Endgeräts. Konnte man im Thread ja sehen, dass Leute sich wunderten, dass MAC-Adressen von Apple auftauchten. Das waren eben keine Apple-Kabelmodems, sondern Apple-Geräte, die IPv6 verwenden. Da findest Du nicht heraus, zu welchem Kabelmodem/anschluss diese Ethernet-Frames gehören.

Hmmmmm. Da bin ich jetzt aber nicht so sicher. Gut, dass ein Apple-Gerät auftaucht das ist klar, denn wenn man einen AirPort Extreme oder ähnliches ansteckt, dann bekommt man eben eine IPv4 und IPv6 Adresse, wenn das Segment dafür eingestellt wurde. Aber normalerweise erhälst du eine SLAAC Adresse oder DHCPv6 Adresse aus einem /64 er Bereich. Und anschließend per Prefix-Delegation ein /57 Netz zugewiesen, welches eben über diesen Router gerouted wird. Somit sollte man nur die MAC-Adresse des Routers sehen - klar nicht die MAC des Kabelrouters, wenn dieser sich im BridgeModus befindet.

Du kannst ja keinen WLAN-AccessPoint einfach so an ein Kabelmodem anstecken. Nach 2 IPv4 Adressen ist da meist Schluss und ich denke nicht, dass man bei IPv6 sich auch mehrere Adressen "ziehen" kann.

Nur so: Die Daten werden verschlüsselt übertragen
DOCSIS sieht hierfür m.W. die Verwendung von WEP mit einem 56-Bit-Schlüssel vor...

Okay, handelt das Kabelmodem sich also in einem TwoWay-Handshake einen Schlüssel aus? Denn du kannst ja jedes Kabelmodem am Netz anschließen und kommst auf das Portal von Kabel-Deutschland, also kann es kein PreInstalled-Key sein. Dann ist halt die Frage, ob man beim Syncen des Kabelmodems eben genau diese Provisionierungsdaten abfangen kann, um den Schlüssel mitzuschneiden? Oder wird über den Upstream von Kabelmodemseite ein Key definiert, dann wäre es durchaus schwierig die Daten überhaupt zu Gesicht zu bekommen.

Leider bin ich in der DOCSIS Materie nicht so weit drin, dass ich das Provisionierungs-System verstehen würde.

Das ist ein guter Anfang, wenn man auf dem Klo sitzt und was zum Lesen braucht:
https://volpefirm.com/hacking-docsis-cable-modems/

[robert_s]

Okay, handelt das Kabelmodem sich also in einem TwoWay-Handshake einen Schlüssel aus? Denn du kannst ja jedes Kabelmodem am Netz anschließen und kommst auf das Portal von Kabel-Deutschland, also kann es kein PreInstalled-Key sein. Dann ist halt die Frage, ob man beim Syncen des Kabelmodems eben genau diese Provisionierungsdaten abfangen kann, um den Schlüssel mitzuschneiden?

Die DOCSIS-Macher verstehen schon ein bisserl was von Verschlüsselung. Da wird eine PKI verwendet, bei der eine DOCSIS Root-CA für jeden Hersteller ein Herstellerzertifikat unterzeichnet, womit dieser wiederum für jedes hergestellte Gerät ein eigenes Zertifikat unterzeichnet. Im Zertifikat drin steht ein Public-Key, (idealerweise einzig) im Gerät der zugehörige Private-Key, der das Gerät nie verlassen sollte. Das Zertifikat mit dem Public-Key wird an das CMTS übermittelt (welches ebenfalls ein Zertifikat hat), womit dieses Nachrichten erstellen kann, welche nur mit dem Private-Key entschlüsselt werden können.

Für die eigentliche Kommunikation sollte aber noch ein Session-Key erzeugt werden, wobei üblicherweise jede Seite einen "halben" Session-Key erzeugt und mit dem Public-Key der Gegenseite verschlüsselt überträgt, um "Man-in-the-Middle" Attacken zu verhindern (der "Man in the Middle" könnte nur jeweils einen halben Schlüssel austauschen und käme so nie an den kompletten Schlüssel). Ob das wirklich so ist, habe ich im Standard nicht explizit nachgelesen.

[mason]

Interessant, welche Vorschläge hier kommen,was für Daten man noch so sammeln könnte.

Und wenn bereits mal mac Adressen gesammelt wurden, h alte ich das rechtlich ebenfalls für sehr bedenklich.

[spooky]

Gleich kommen die:
Besser floo sammelt die, als BND und NSA

[DarkStar]

Interessant, welche Vorschläge hier kommen,was für Daten man noch so sammeln könnte.

Und wenn bereits mal mac Adressen gesammelt wurden, h alte ich das rechtlich ebenfalls für sehr bedenklich.

Was ist eigentlich dein Problem? Die BBM gibt's schon seit Jahren und jetzt wird hier so eine Welle geschoben.

[robert_s]

Interessant, welche Vorschläge hier kommen,was für Daten man noch so sammeln könnte.

Im anderen Thread wurde schon vor Jahren ein Script gepostet, was das tut. Wie man am Anklang sieht, hat sich dann doch kaum jemand dafür interessiert - weder für das Sammeln, noch für die "Bedenklichkeit" des Sammelns.

[mason]

Ich hab da gar kein Problem mit, da ich zur Zeit gar keinen Kabelanschluss nutze und eh in einem anderen Segment bin.

Aber wer anderen gesetzesverstösse vorwirft, sollte sich selbst dran halten.

Und was Tools zur netzwerkanalyse angeht, gibt's da einiges, was nicht erlaubt ist.

Und hier wird nun mal die netzebene 3 analysiert und nicht das eigene lan.

Bei nsa und vorratsdatenspeicherung geht seltsamerweise die Masse an die Decke, hier interessiert es keinen

[kolbem]

1. Müsstest Du dazu alle Kanäle gleichzeitig auswerten, d.h. Dir bis zu 24 DVB-C Sticks an den PC hängen (oder vielleicht 6 PCIe-Karten mit 4fach-Tuner reinstecken)

Evtl. hört sich das nach viel Aufwand an, ist es aber bei weitem nicht.
Meine Settopbox hat für DVB-C einen sogenannten FBC Tuner - Mit diesem kann ich 8 Kanäle auf einmal tunen. ( https://wiki.vuplus-support.org/index.p ... _FBC-Tuner )
Und wenn das nicht reicht, hat die Box. 3 Steckplätze für Tuner. Also die 16 Downloadfrequenzen in meinem Netz kann ich locker mit Kauf eines zweiten FBC Tuners für ein paar euro gleichzeitig monitoren,