Der IP-Adresse den Anschluss-/Personenbezug nehmen

Aufgrund Mikes Artikel

https://www.kuketz-forum.de/t/google-als-mitleser-warum-so-viele-webseiten-deinen-besuch-verraten/15618

mache ich mich gerade Gedanken darüber, wie ich Google und anderen Trackingfirmen die Wahrscheinlichkeit eines Anschluss-/Personenbezug basierend auf der IP-Adresse möglichst minimieren kann (verschiedene Kommunikationen einer IP-Adresse gehören wahrscheinlich zu einem Anschluss, einer Person oder mehreren Personen mit Bezug zueinander).

Voraussetzung wäre aus meiner Sicht hierbei, dass sich möglichst viele verschiedene Anschlüsse/Personen dieselbe IP-Adresse teilen, von der Kommunikationen dann in das Internet geleitet werden.

Technologisch fallen mir hier die folgenden Ansätze ein:

Nutzung eines (DSL-)Lite-Anschlusses mit Carrier Grade NAT

Das Carrier-Grade-NAT eines (DSL-)Lite-Anschluss bei dem sich der Netzwerkverkehr vieler Kunden eine öffentliche IPv4 Adresse teilen, verschleiert den Anschluss-/Personenbezug der IP-Adresse. Es ist nicht anhand der IP-Adresse unterscheidbar, ob Kommunikation A der IP-Adresse in Bezug zu Kommunikation B derselben IP-Adresse steht oder vielleicht zu einem ganz anderen Anschluss gehört.

NAT = Network Adress Translation - die Übersetzung einer IP-Adresse in eine andere
Carrier Grade NAT = vom Provider vorgenommenes NAT, typischerweise weil der Provider nicht genügten IPv4 Adressen für alle seine Kunden hat

Leider gibt es jedoch meines Wissens nach keine NAT-Funktionalitäten in IPv6, sodass für die Nutzung des Carrier Grade NAT als Schutzfunktion der Verzicht auf IPv6 notwendig wäre.

VPN-Dienste, wenn diese ebenfalls Carrier Grade NAT umsetzen

Der Einsatz eines VPN-Dienst zur Verschleierung des Anschluss-/Personenbezugs einer IP-Adresse würde aus meiner Sicht nur helfen, wenn der VPN-Anbeiter ebenfalls einen Carrier Grade NAT umsetzt, durch die die Internet-Kommunikation vieler verschiedene Kunden zusammengefasst wird.

Dieses wird vermutlich bei den meisten VPN-Providern für IPv4 der Fall sein, da ansonsten VPN-Provider eine große Anzahl der begrenzten IPv4-Adressen besitzen müssten.

Bei IPv6 tritt wieder dasselbe Problem wie beim (DSL-)Lite-Anschluss auf, dass aufgrund der fehlenden NAT-Unterstützung in IPv6 die Kommunikation recht eindeutig einem Anschluss/Personen zugeordnet werden kann.

Nutzung eines Proxy-Dienstes mit vielen anderen Personen

Bei der Verwendung von Proxy-Dienstes, der die Anfragen vieler anderer Personen über seine IP-Adresse weiterleitet, kann ebenso eine Verschleierung des Personenbezug der IP-Adresse erfolgen. Dieses würde dann auch problemlos bei IPv4 und IPv6 funktionieren.

Firmen setzen z. B. Proxy-Infrastrukturen beim Internet-Übergang zwischen internem Firmennetz und externem Internet ein. Aufgrund der Menge an Benutzern kann hier eine Verschleierung der Identität bis hinunter auf den Anschlussbezug der Firma erreicht werden.

Ob es jedoch vertrauenswürdige Privacy-Proxy-Dienste im Internet gibt weiß ich jedoch nicht. Ergänzend besteht meiner Meinung nach bei einem Proxy-Dienst noch der Nachteil, dass man selbst nicht mehr so einfach einen DNS-basierenden Tracking-Blocker wie PiHole einsetzen kann, da die Namensauflösung an den jeweiligen Proxy übergeben und durch diesen durchgeführt wird.

Weitere Alternativen denkbar?

Was würden Euch noch für Alternativen einfallen, wie man den Anschluss-/Personenbezug von Kommunikationen basierend auf der IP-Adresse/IP-Netzen gegenüber Tracking-Firmen noch verschleiern könnte?

Ich wäre dankbar für Ideen.

Prinzipiell erscheint mir das Carrier Grade NAT eines (DSL-)Lite-Anschlusses oder VPN-Anbieter der simpelste Ansatz zu sein, um die eigenen Internetverbindungen mit Verbindungen vieler weiterer Benutzer zu vermischen und so den Anschluss-/Personenbezug zu verwässern. Nur würde ich dann gerne noch eine Lösung für das fehlende CGNAT bei IPv6-Verbindungen haben, mir fällt jedoch keine Lösung ein.

Gäbe es z. B. irgendeine Möglichkeit die Namensauflösung zu jeglichen Diensten von Google und anderen Tracking-Firmen ausschließlich auf IPv4-Adressen vorzunehmen, aber für andere Dienste weiterhin sowohl IPv4 und IPv6 Adressen aufzulösen?

OK, Danke!

Und bitte beachten: seit einiger Zeit gibt es Utiq!
https://netzpolitik.org/2024/neue-tracking-firma-utiq-wie-telekom-o2-und-vodafone-im-datengeschaeft-mitmischen/
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/Positionen/FAQ-TrustPID.html

Utiq

Danke für die Erinnerung an Utiq. Ich persönlich scheine aktuell mit meinen Providern Glück zu haben. Weder meine Mobilfunk- (Telekom Business Tarif, LIDL Connect) noch Festnetzanbieter (Deutsch Glasfaser) scheinen Utiq zu nutzen.

Wenn ich der Utiq-Webseite https://consenthub.utiq.com/ meinen Opt-Out für ein Jahr hinterlegen möchte, dann bekomme ich bei allen Verbindungen den Hinweis

„Es scheint, dass Utiq derzeit für Ihre Verbindung nicht verfügbar ist.“

Ich hoffe, dass dieses wirklich bedeutet, dass Utiq auf meinen Providern nicht aktiv ist.

Weitere Gedanken zur Carrier Grade NAT in (DSL-)Lite-Anschlüssen

Ich habe mir weiter Gedanken zu dem Thema gemacht. Ausgehend von dem Ansatz, dass mein (DSL-)Lite-Anschluss IPv4-Seitig einen Anschluss-/Personenbezug hinreichend durch das Carrier Grade NAT des Providers verschleiert, hänge ich ja bei der Frage:

„Wie erreiche ich, dass die Dienste von Tracking-Firmen ausschließlich über IPv4 und nicht über IPv6 angesprochen werden?“

Nun habe ich die folgende Ideen:

(DSL-)Lite-Anschluss mit Unterbindung von IPv6 im lokalen Netzwerk

(Abschaltung von IPv6 für technisch nicht-versierte Benutzer am Beispiel Fritz!Box)

Für technisch nicht-versierte Personen wäre vermutlich nur die Deaktivierung von IPv6 zur Vermeidung des Umgehens das Carrier Grade NAT eines (DSL-)Lite-Anschlusses sinnvoller. Eben mit der Folge, dass dieses dazu führt, dass IPv6-Only-Dienste nicht mehr erreichbar sind.

Hier könnte man z. B. in einer Fritz!Box unter

„Heimnetz“ > „Netzwerk“ > „Netzwerkeinstellungen“ > „Weitere Einstellungen“ > „IPv6-Einstellungen“

die Optionen

• „Router Advertisment im LAN aktiv“ deaktivieren
• „DHCPv6-Server in der Fritz!Box deaktiviern“ auf „Es sind keine anderen DHCPv6-Server im Heimmnetz vorhanden.“ setzen.

Danach sollten Clients hinter der Fritz!Box keine öffentlichen IPv6-Adressen mehr haben, mit denen Sie IPv6-Dienste im Internet ansprechen können und damit das Carrier Grade NAT eines (DSL-)Lite-Anschlusses umgehen.

Die Fritz!Box selbst wird jedoch weiterhin per IPv6 aus dem Internet ansprechbar sein, um z. B. eine VPN-Einwahl ins lokale Netzwerk zu ermöglichen.

(ich habe diese Betriebsweise gerade einmal bei mir testweise aktiviert um zu schauen, welche Einschränkungen ich damit effektiv habe)

(DSL-)Lite-Anschluss mit IPv4-only Proxy-Server und einer PAC-File-Konfiguration

(nur für technisch versierte Personen, die eigene Server in Ihrem Netzwerk betrieben wollen)

Wenn ich mir in meinem Netzwerk einen einfachen Proxy-Server aufstelle, der ausschließlich eine IPv4-Adresse besitzt, dann kann Netzwerkverkehr der über diesen geleitet wird, im Ergebnis ebenfalls nur über IPv4 hinaus gehen.

In unserer Firma nutzen die Kollegen Proxy-Auto-Konfiguration über PAC-Files, die dem Browser / dem Betriebssystem Informationen darüber geben, welche URLs über einen Proxy-Server aufzurufen sind.

Wenn ich nun

• einen (DSL-)Lite-Anschluss
• mit einem lokal betriebenen Proxy-Dienst auf einem Server der ausschließlich eine IPv4-Adresse besitzt
• mit einem PAC-File, welches bekannte Domänen einer Tracking-Firma wie Google, Facebook, … zweingend über diesen Proxy-Server leitet (siehe https://de.wikipedia.org/wiki/Proxy_Auto-Config)

kombiniere, dann sollte sich hierüber das Ansprechen der Domains von Tracking-Firmen über IPv6 und damit die Umgehung des Carrier Grade NAT des Anschlusses verhindern lassen. Trotzdem währen die Clients weiterhin fähig Dienste anderer Firmen über IPv6 zu erreichen.

Alternativ könnte man auch über das PAC-File jeden Netzwerkverkehr standardmäßig über den Proxy und damit das IPv4 Carrier Grade NAT leiten und nur ausgewählte URLs vom IPv6-Only-Diensten die sich ansonsten nicht ansprechen lassen im PAC-File mit einer den Proxy-Server umgehenden „DIRECT“ Konfigurationszeile versehen und am Proxy vorbei dann mit IPv6 aufrufen lassen.

Für mich klingt dieses aktuell nach einer möglichen Betriebsweise, die sich auch mit recht wenig Aufwand des Betriebs eines Proxy-Servers realisieren ließe. Sicherlich jedoch außerhalb der Möglichkeiten einer technisch nicht-versierten Person.

Filter der IPv6-DNS-Auflösung von URLs von Tracking-Firmen

Ein theoretischer Ansatz, von dem ich aktuell nicht wüsste ob und wie man dieses realisieren kann, wäre eine Filterung von IPv6-Namensauflösungen der Domänen von Tracking-Firmen, sodass ausschließlich die IPv4-Adressen zu entsprechenden Diensten an die Clients übermittelt werden.

Im Ergebnis würden die Dienste der Tracking-Firmen ausschließlich über IPv4 und damit das Carrier Grade NAT eines (DSL-)Lite-Anschlusses übermittelt werden.

Wenn so etwas z. B. durch eine PiHole-Konfiguration realisiert werden könnte, dann könnte dieses das Abschalten von IPv6 oder einen zusätzlichen IPv4-Only-Proxy und PAC-File-Betrieb ersparen.

Wo funktioniert dieses Gedankenspiel der Nutung von Carrier Grade NAT als Schutzfunktion nicht so einfach?

Für alle Internet-Anschlüsse (Zuhause oder Mobil) mit öffentlicher, nicht im Rahmen von Carrier Grade NAT von vielen Nutzern verwendeter IPv4 Adresse würden alle diese Überlegungen natürlich keine Lösung darstellen.

Ebenso sehe ich keine einfache Möglichkeit bei Mobilfunk-Providern die eine IPv6-Adresse zur Verfügung stellen, die Nutzung dieser IPv6-Adresse zu unterbinden.

Hier müsste dann vermutlich zwingend der Internet-Verkehr über einen VPN-Dienst mit Carrier Grade NAT und ohne IPv6 (könnte auch das eigene entsprechend konfigurierte und über VPN-erreichbare Netzwerk sein) oder einen Privacy-Proxy geleitet werden müssen, damit der Anschluss-/Personenbezug durch die gemeinsame Nutzung der IP-Adresse mit vielen Benutern verschleiert würde.

Wenn du bei dem angezeigten Fenster die Maus auf “supported internet connection” (bzw. auf deutsch wahrscheinlich “unterstützte Internetverbindung”) gehst, dann siehst du eine längere Auflistung. Da kannst du zur Sicherheit ja nachschauen, ob deine Anbieter wirklich nicht dabei sind.

Schwierig zu sagen. Laut Liste ist die Telekom bei Utiq dabei - trotzdem bekomme ich beim meinem Telekom Business Mobilfunkkarte den Hinweis

„Es scheint, dass Utiq derzeit für Ihre Verbindung nicht verfügbar ist.“

was auf ein abgeschaltetes Utiq hindeutet.

LIDL-Connect ist nicht aufgeführt, das zugrundeliegende Netz Vodafone hingegen sehr wohl. Deutsch Glasfaser wiederum nicht.

Wenn bei jemanden von Euch der Utiq Opt-Out funktioniert, dann würde ich davon ausgehen, dass meine Verträge tatsächlich derzeit Utiq-frei sind.

Ja krass, das ist ja saublöd!

Noch zwei kleine Einwürfe:

1.) Es ist möglich IPv4-Style NAT mit IPv6 umzusetzen, jedoch fast immer unsinnig. Dennoch: Möglich ist es.

2.) Privatssphäre-freundliche VPN-Anbieter, welche IPv6 richtig unterstützen (z.B. Mullvad), verwenden eine IPv6-Adresse des Servers für unterschiedliche Nutzer gleichzeitig. Es wird also nicht ein persönlicher „lokaler“ Teil für deine Verbindung an das Präfix des VPN-Anbieters angehängt.
Du bist somit nicht von anderen Nutzern unterscheidbar.

@Astolfo Danke für die Korrektur meines Wissens über IPv6 NAT, dass dieses doch verfügbar isr.

Ich habe hierzu z. B. den folgenden Artikel gefunden, der IPv6 NAT als NAT66 beschreibt.

https://www.infoblox.com/blog/ipv6-coe/you-thought-there-was-no-nat-for-ipv6-but-nat-still-exists/

Auch die Bestätigung, dass bei Mullvat VPN die ausgehende IP-Adresse von vielen Kunden gemeinsam genutzt wird ist klasse.

Dann sollte der Einsatz von Mullvad VPN eine recht einfach zu implementierende Lösung zur. Verschleierung des Anschluss-/Personenbezugs sein.

Vor allen Dingen ist dann auch mit Utiq schluss, weil der ISP nicht mehr viel zu tracken hat, außer eine Verbindung zu Mullvad. Schlimm genug, dass das überhaupt notwendig ist, wenn man nicht jedes Jahr das Utiq Verfahren wiederholen will…

Das könnte auch daran liegen, dass du einen Adblocker im Browser aktiv hast oder VPN oä. Bei mir funktioniert es nur, wenn ich das alles ausschalte.

Du hast Recht gehabt. Es war der systemweite dnsforge Filter der den Utiq Consenthub nicht nutzen lies.

Nach Deaktivierung konnte ich den Prozess durchlaufen und mir wurde auf meinen Telekom Business Mobilfunktarif

0 Erteilte Einwilligungen auf Webseiten
Kein aktives Opt-Out ausgewiesen

Ich habe für das mögliche eine Jahr widersprochen und werde mir jetzt eine wiederkehrende Aufgabe einrichten.

Nachher werde ich das noch mit den LIDL Connect Mobilfunkvertrag und Deutsche Glasfaser testen

Utiq-Ergebnis mit Browser ohne jegliche Werbeblocker meiner Internet-Provider:

T-Mobile Business Tarif = Utiq aktiv, Opt-Out gesetzt
LIDL Connect (Vodafone) = kein Utiq
Deutsche Glasfaser = kein Utiq

Hallo, interessant das Lidl-Connect (Vodafone !) = kein Utiq anzeigt, da ja V. eigentlich dabei ist ?

Ich vermute es ist ein Unterschied zwischen Netzprovider und den Routing-Instanzen des Internet-Zugriffs der dann vermutlich über LIDL und vorbei an Vodafones Utiq-Server geht.

Ah, gut und es wäre schön, wenn es so bleibt.