Hallo zusammen!

Ich bin seit 14.02.2024 bei der Telekom (vorher Vodafone). Ich habe einen Glasfaseranschluss mit 250/50 MBit/s, an dem mittels "Telekom Glasfaser-Modem 2" ein Debian GNU/Linux als Router hängt, der die PPPoE-Einwahl durchführt und Routing (IPv6) bzw. Routing + Source-NAT (IPv4) durchführt.

Ich arbeite seit 24 Jahren im Bereich IT-Sicherheit, habe also durchaus etwas Ahnung von diesem Bereich. Dadurch entwickelt man eine gewisse Paranoia und versucht auch Dinge zu verhindern, die eigentlich gar nicht passieren können.

Daher habe ich in der nftables-Firewall RFC1918-, RFC3927- und RFC6598-Adressen am WAN-Interface des Debian-Routers geDROPt, auch wenn diese ja - bedingt durch ihre Unroutbarkeit im Internet - gar nicht am WAN-Interface auftauchen können. Sollte dies trotzdem passieren, gibt es - zusätzlich zum DROP - einen Logeintrag.

Gestern habe ich festgestellt, dass es alleine seit dem 25.08.2024 - also in den letzten 3 Wochen - 389 Datenpakete gab, die von RFC1918- und RFC3927-Adressen an meinen Router gerichtet waren. Allesamt TCP-Verbindungsversuche, 186 davon an HTTP (80), 178 an HTTPS (443), 14 an SMB (445), sowie geringe Mengen an SSH/Telnet/MSSQL.

Liebe Telekom, das ist Adressspoofing! Dass ihr das bei öffentlichen IP-Adressen nur schwer verhindern könnt, leuchtet mir ein - aber wir reden hier von Adressräumen, die - siehe obige RFCs - NIEMALS im Internet unterwegs sein können, weil sie dort schlicht und ergreifend nicht routingfähig sind. Pakete mit solchen Absenderadressen müssten doch spätestens am ersten Router in Eurem Core-Netz geDROPt werden. Wie kann es sein, dass sowas an meinem Endkundenanschluss aufschlägt?

Danke für eine kurze Erläuterung!

Sven D.