Artikelaktionen

Sie sind hier: Startseite Newsroom Pressemitteilungen … AOL "erlaubt" Gratissurfen

AOL "erlaubt" Gratissurfen

Uni-Rechenzentrum Freiburg entdeckt Systemfehler mit weitreichenden Folgen

Freiburg, 22.01.2003

Netzwerk-Untersuchungen des Rechenzentrums der Universität Freiburg haben zu einem erstaunlichen Ergebnis geführt: Internet-Surfer, die den AOL-Service über das DSL-Netz nutzen, können zum Nulltarif surfen. AOL wurde vom Rechenzentrum auf dieses Problem zur Vermeidung weiteren wirtschaftlichen Schadens hingewiesen.

Eine solch offene Kommunikation vorbei an jeder "Mautstelle" ist erstaunlich, vor allem, da dadurch ein großer wirtschaftlicher Verlust entstehen kann. Gerade für die Anbindung von Außenstellen an ein Firmennetz oder die Verbindung von Wohngemeinschaften untereinander oder mit dem Campusnetz sind solche "Gratisangebote" natürlich hochinteressant.

Wo liegt nun der Systemfehler? Um das "Gratisangebot" zu nutzen, muss man etwas technische Detailkenntnisse haben - für Informatikstudenten aus Freiburg allerdings kein Problem.


Für die Internet-Gemeinde hier die technischen Hintergründe:
Bei der AOL-Einwahl über T-DSL ist der Port 53 offen, ohne dass eine nähere Benutzerauthentifizierung notwendig ist. Es genügt einfach die von allen AOL-Benutzern deutschlandweit verwendete einheitliche Kennung anzugeben, wie sie auch im Internet zu finden ist.

Der oben angesprochene Port 53 arbeitet mit dem User Datagramm Protocol und wird traditionell für die Namensauflösung verwendet, d.h. die Zuordnung einer IP-Adresse zu einem Rechnernamen (www.uni-freiburg.de wird so in die IP-Adresse 132.230.6.75 aufgelöst, denn nur mit einer IP-Adresse kann eine Maschine im Internet erreicht werden). Allerdings lernt man bereits im ersten Semester des Informatikstudiums in Freiburg, dass Ports vereinbarungsgemäß als Erkennung bestimmter Dienste zwischen Rechnern, die sich nicht kennen, dienen. AOL gibt den Namensservice augenscheinlich so großzügig frei, damit eine Auflösung von "americaonline.aol.com" funktioniert, dem Host, zu dem bei der "richtigen" AOL-Verbindung ein VPN-Tunnel aufgebaut wird.

Diese allgemeinen Vereinbarungen sind jedoch kein Zwang: Jedem steht es frei, auf seiner Maschine auf diesem Port auch andere Dienste anzubieten, z.B. einen IP-Tunnel. Mit einem solchen wäre es dann selbstverständlich möglich, bereits vor der eigentlichen AOL-Authentifizierung die gesamte Kommunikation über den Port-53-Tunnel zu schleusen.

Dazu benötigt man nur einen beliebigen Rechner im Internet, welcher die Daten wieder ausgepackt und ins Netz weiterleitet. Dafür sind noch nicht einmal besondere Kenntnisse notwendig, da verschiedene Tunnelprotokolle UDP-basiert arbeiten. Sie können meistens leicht auf den Port 53 umkonfiguriert werden.

Bei Experimenten zeigte sich weiterhin, dass der Rückweg sogar völlig ungehindert genutzt werden kann. Damit ist die Datenübertragung aus dem Internet zu über AOL eingewählten Rechner völlig offen. Für verschiedene Sicherheitsaspekte dürfte dies interessant sein, besonders da der offiziell angemeldete AOL-Nutzer eine weitere IP-Adresse für seine Kommunikation zugeteilt bekommt.


Abhilfe:
Dabei wäre es nicht zwingend für AOL, alle Nameserver dieser Welt freizugeben, da bei der DSL-Einwahlprozedur IP-Adressen für aus AOL-Sicht zuverlässige Nameserver dem Nutzer übermittelt werden können. Solche Nameserver würden aus AOL-Sicht ihre Aufgabe bereits vollständig erfüllen, wenn sie ausschließlich die notwendigen AOL-Adressen auflösen und jeden weiteren Zugang unterbinden würden.

Das hier beschriebene Problem ist eigentlich ein typisches Szenario für Anbieter kostenpflichtiger Netzzugänge, das jedoch schon seit Jahren bekannt sein müsste.



Ansprechpartner:

Dirk v. Suchodoletz
Rechenzentrum der Universität Freiburg
Tel: 0761/203-4672
email: dsuchod@rz.uni-freiburg.de

abgelegt unter: