ComputerBase Menü
Aktuelles

Firewall wegen IPv6?

H

Herby86

Newbie
Registriert
Nov. 2013
Beiträge
2
Hallo,

ich habe mal eine Frage weil mir ein Arbeitskollege folgendes gesagt hat:

Wir haben zuhause einen neuen Internetanschluss wo wir nur IPv6 haben und nicht mehr wie früher eine IPv4 Adresse. Bei der Fritzbox früher musste man ja irgendwelche Firewall Sachen einstellen wenn man an einen PC zuhause etwas schicken wollte direkt sonst war das ja geblockt.

Bei IPv6 sagte mir der Kollege gibt es so viele Adressen dass man zuhause dann auch quasi richtige Adressen hat. Also welche, die man aus dem Internet erreichen kann. Das heißt doch aber, dass dann mein Rechner im Internet direkt hängt und auch angegriffen werden kann.

Braucht man nun wieder eine Firewall auf dem PC oder kann man das nicht an der Fritzbox einstellen dass da wieder nur was erlaubt ist was ich explizit erlaubt habe? Das kann ich mir gar nicht vorstellen dass man da keine Firewall hat aber vielleicht irre ich mich ja.
 
Standardmäßig wir keine der IPv6 nach draußen "sichtbar", so wars auch bei IPv4 und den Ports. Sofern man also nix frei gibt, kommt man von außen nicht rein. Die IP vom Router ist so oder so immer sichbar.
 
Das stimmt nicht ganz. Auch bei IPv6 gibt es private und öffentliche IP-Adressen, genau wie bei IPv4. Du wirst deine IP-Adresse am Router auch nur länger behalten, intern wird die sicher immernoch IPv4 Adressen vergeben. Und da heißt das NAT läuft und es somit so ist wie damals.

Und ja, dein Freund hat Recht, theoretisch kannst du vom Provider genug Adressen bekommen um jedes Gerät direkt ins Internet zu setzen, aber das wird der im Normallfall nicht einfach machen. Er muss ja auch gewährleisten das du nicht getrackt wirst (Datenschutz) und daher wird sich auch deine externe IPv6 Adresse regelmäßig ändern.

Hab selber an einem IPv6 Buch mitgeschrieben, also ich behaupte mal mich da ziemlich gut auszukennen ^^.

Edit: Bevor ich es vergesse, eine Firewall ist immer sinnvoll ;)
 
Zuletzt bearbeitet:
Nilson schrieb:
Standardmäßig wir keine der IPv6 nach draußen "sichtbar", so wars auch bei IPv4 und den Ports. Sofern man also nix frei gibt, kommt man von außen nicht rein. Die IP vom Router ist so oder so immer sichbar.
Zum Vergrößern anklicken....

Das ist ja so nicht korrekt ausgedrückt, auch wenn ich vermute was du meinst.
Für IPv4 wurden intern immer Adressen aus den privat deklarierten Netzen verwendet. Diese werden im Internet nicht geroutet. Somit kannst du mit der IP von außen nichts anfangen, zumal es weltweit wohl Millionen User mit der IP 192.168.0.1 gibt für ihren Router.
Die WAN-IP für das Internet ist jedoch außen erreichbar, irgendwie muss man ja damit kommunizieren. Wenn man also von außen was auf dem eigenen Rechner wollte, musste man PAT nutzen (port adress translation). Ich denke, dass du das gemeint hast. Aber so 100% geschrieben hast du es nicht oder verwirrend für jemand der sich nicht auskennt.


@ic3hands:
Würde mich jetzt auch mal interessieren. Ist es nicht so, dass die Provider einen Bereich vergeben? Korrigiere mich einfach wenns falsch ist. Habe mich kaum mit IPv6 beschäftigt. Aber ich hatte das auch so mal in Erinnerung, dass es einen Block gibt der dann intern weiter verwendet und geroutet wird (werden kann?).
Wie ist das denn wenn die Fritzbox intern auch IPv6 vergibt? Sind das auch private, nicht geroutete Adressen? Wenn du dich da auskennst würde ich gerne was dazu lernen ;-)

@Herby:
Wenn die Fritzbox aber nur eine Adresse vom Provider erhält und intern IPv4 vergibt und den Rest über NAT macht dann brauchst du dir keine Sorgen machen Herby86. Dann ist das für dich vom Verhalten her mit dem Schutz wie früher.
 
@ Keepers, jo so hab ich das gemeint, hätte vielleicht mehr als zwei Sätze verwenden sollen. Danke für die Ergänzung
 
War auch nicht böse gemeint, ich wollte das nur bisschen erweitern für diejenigen die sich da nicht so auskennen :)
 
Keepers schrieb:
@ic3hands:
Würde mich jetzt auch mal interessieren. Ist es nicht so, dass die Provider einen Bereich vergeben? Korrigiere mich einfach wenns falsch ist. Habe mich kaum mit IPv6 beschäftigt. Aber ich hatte das auch so mal in Erinnerung, dass es einen Block gibt der dann intern weiter verwendet und geroutet wird (werden kann?).
Wie ist das denn wenn die Fritzbox intern auch IPv6 vergibt? Sind das auch private, nicht geroutete Adressen? Wenn du dich da auskennst würde ich gerne was dazu lernen ;-)
Zum Vergrößern anklicken....

Intern wird eine Fritzbox nur interne IPv6 Adressen vergeben. Die genauen Netze hab ich jetzt aber auch nicht im Kopf. Dafür brauch ich es noch zu wenig. Am Anfang von IPv6 waren private Netze garnicht vorgesehen, daher kommst du wahrscheinlich darauf. Dies wurde jedoch inzwischen angepasst und es gibt auch bei IPv6 wieder private Adressen die nicht geroutet werden. Man kann vom Provider aber auch ganze Adressblöcke bekommen die man wie man lustig ist intern vergeben kann und auch öffentlich geroutet werden. Normalerweise kann man bei IPv6 auch als Privatperson ohne weiteres einen Block aus 65534 IP-Adressen für sich privat bekommen die auch alle geroutet werden. Nur wer braucht das privat?
 
Mir würden 2 für ne lustige DMZ Bastelei reichen - aber das beantwortet meine Fragen. Danke übrigens für die PN!
 
Keine Ursache :) Freut mich wenn ich helfen konnte :)
 
IC3HANDS schrieb:
Intern wird eine Fritzbox nur interne IPv6 Adressen vergeben.
Zum Vergrößern anklicken....
Nein tut sie nicht. Du bekommst ein Netz zugeteilt, aus dem Adressen zugiewesen werden, diese Adressen sind auch grundsätzlich direkt erreichbar. Die Firewall in den Fritzboxen blockt alle eingehenden Verbindungen per default, daher ist das kein Sicherheitsproblem. Es ist wichtig zu wissen, dass die IP-Adressvergabe bei IPv6 grundsätzlich anders verläuft als bei IPv4. Die klassiche Gleichung ein Interface, eine IP-Adresse gilbt so bei IPv6 nicht, da hat ein Interface immer mehr als eine IPv6-Adresse, wenn vom Router die passenden Netze bekannt gegeben werden.

Bei mir zum Beispiel sieht das so aus:
Code: 
ifIndex IPAddress                                       PrefixLength PrefixOrigin SuffixOrigin
------- ---------                                       ------------ ------------ ------------
3       fe80::1d42:87:9928:38a8%3                                 64 WellKnown    Link
3       2001:db8:8117:0:f5dc:2c95:a92e:d8ab                      128 RouterAdv... Random
3       2001:db8:8117:0:1d42:87:9928:38a8                         64 RouterAdv... Link
Die erste Adresse ist immer vorhaden, wird vom OS dynmisch erzeugt und ist nur im lokalen Netz erreichbar. Über diese Adresse wird auch der im lokalen Netz vorhandene Router angesprochen, um von dort das vergeben Netz in Erfahrung zu bringen. Die zweite Adresse wird aus dem vom Router vorgegebenen Netz (hier 2001:db8:8117:0/64) vom OS dynamisch erzeugt und ist nur begrenzt gültig. Diese Adresse wird für ausgehende Verbindungen verwendet. Die dritte Adresse wird auch aus dem vom Router vorgegebenen Netz vom OS dynamisch erzeugt, ist aber permanent gültig. Diese Adresse wird für eingehende Verbindungen genutzt.
 
Zuletzt bearbeitet: (Beispiel ergänzt.)
Ich hab jetzt nur so viel verstanden, als dass die Fritzbox sich wieder darum kümmert dass es sicher ist. So lange ich da nicht rumspiele wirds also passen bzw. ich les nochmal in der Bedienungsanleitung dann ob ich noch irgendwas machen muss.

Danke.
 
Evil E-Lex schrieb:
...
Die erste Adresse ist immer vorhaden, wird vom OS dynmisch erzeugt und ist nur im lokalen Netz erreichbar. Über diese Adresse wird auch der im lokalen Netz vorhandene Router angesprochen, um von dort das vergeben Netz in Erfahrung zu bringen. Die zweite Adresse wird aus dem vom Router vorgegebenen Netz (hier 2001:db8:8117:0/64) vom OS dynamisch erzeugt und ist nur begrenzt gültig. Diese Adresse wird für ausgehende Verbindungen verwendet. Die dritte Adresse wird auch aus dem vom Router vorgegebenen Netz vom OS dynamisch erzeugt, ist aber permanent gültig. Diese Adresse wird für eingehende Verbindungen genutzt.
Zum Vergrößern anklicken....

Danke für diese Erklärung!

3 Fragen u.a. dazu:

1. Wird dieses Konzept von jedem Router angewandt? Vor allem das mit der 2ten ausgehenden Random-IP. (Um einen relativen Datenschutz zu haben)

2. Du sagtest das eingehender Verkehr per Default geblockt wird. Wie kann ich dann nun auf die 3te (die feste) IPv6 eines bestimmten Gerätes innerhalb des LAN's von außen zugreifen?

3. Generell: Es gibt wohl nicht mehr die Portweiterleitung im eigentlichen Sinne wie bei IPv4, wie kann ich nun für mein von außen erreichbares Gerät (siehe Frage 2) festlegen welche Ports ansprechbarsein dürfen und welche nicht? ....muss ich dann auf dem Gerät selber eine "Port-Firewall" o.ä. installieren?

Viele Grüße, Wolf
 
Zuletzt bearbeitet:
Wolfrahm schrieb:
1. Wird dieses Konzept von jedem Router angewandt? Vor allem das mit der 2ten ausgehenden Random-IP. (Um einen relativen Datenschutz zu haben)
Zum Vergrößern anklicken....
Bei IPv6 wird zur Vergabe der IP-Adresse ein Verfahren names Stateless Address Autoconfiguration (SLAAC) verwendet. Die zur Verfügung stehenden Netzte werden durch den Router bekannt gegeben (Stichwort ist Neighbor Discovery Protocol). Das OS generiert sich dann selbständig eine Adresse aus diesem Adressraum. Dazu benutzt es das bekannt gegebene Netz (im IPv6-Jargon Präfix genannt). Damit das Ganze funktioniert, muss dieses Präfix 64 Bit lang sein. Der restliche Teil der IPv6-Adresse wird vom Betriebssystem entweder aus der MAC-Adresse generiert (modifiziertes EUI-64-Format), oder eben zufällig (falls das OS die Privacy Extensions nutzt). SLAAC stellt allerdings keine Informationen zu DNS-Servern bereit, daher verwenden die Router zusätzlich DHCPv6, um den Clients diese Informationen mitzugeben. Man spricht dann von stateless DHCPv6. Es gibt natürlich auch die Möglichkeit die IP-Adressen komplett per DHCPv6 zu vergeben, oder feste Adressen zu verwenden. Für beides muss aber das Präfix bekannt sein und das dürfte die meist nicht so technikaffinen Endanwender daher eher Verwirren.

2. Du sagtest das eingehender Verkehr per Default geblockt wird. Wie kann ich dann nun auf die 3te (die feste) IPv6 eines bestimmten Gerätes innerhalb des LAN's von außen zugreifen?
Zum Vergrößern anklicken....
Das dürfte bei allen Heimandwender Routern aus Sicherheitsgründen der Fall sein. Es gab allerdings auch schon Billig-Router, die zwar brav IPv4-Pakete gefiltert haben, aber per IPv6 komplett offen waren. Generell ist bei professioneller Hardware erstmal alles offen und die IPv6-Hosts sind direkt erreichbar.

3. Generell: Es gibt wohl nicht mehr die Portweiterleitung im eigentlichen Sinne wie bei IPv4, wie kann ich nun für mein von außen erreichbares Gerät (siehe Frage 2) festlegen welche Ports ansprechbarsein dürfen und welche nicht? ....muss ich dann auf dem Gerät selber eine "Port-Firewall" o.ä. installieren?
Zum Vergrößern anklicken....
Port-Weiterleitungen werden bei IPv6 nicht mehr benötigt, es genügt eine Firewallregel die sagt, das die Quell-IP X (Rechner im Internet) auf die Ziel-IP Y (Rechner im LAN) auf Port 123 zugreifen darf.

An die Netzwerk-Experten hier: Ich habe versucht die Zusammenhänge stark vereinfacht zu beschreiben, ich weiß das noch duetlich mehr Konfigurationen möglich und denkbar sind, also bitte nicht schlagen. :)
 
Evil E-Lex schrieb:
Bei IPv6 wird zur Vergabe ...
Zum Vergrößern anklicken....

Ok, also ist im Endeffekt das Betriebssystem zur Generierung der IPv6 zuständig mithilfe des Präfixes und weiteren systemabhängigen Informationen. Man selber sollte nur darauf achten das es eine "Privacy Extension" verwendet. Danke!

Evil E-Lex schrieb:
Das dürfte bei allen Heimandwender Routern...
Zum Vergrößern anklicken....

Nagut, da muss ich schauen was wie mein Kabelmodem (EPC 3208G) das regelt. Zur not muss man/ich dann auf flexiblere Hardware (z.B: FritzBox Cable) umsteigen

Evil E-Lex schrieb:
Port-Weiterleitungen werden bei IPv6 nicht mehr benötigt, es genügt eine Firewallregel die sagt, das die Quell-IP X (Rechner im Internet) auf die Ziel-IP Y (Rechner im LAN) auf Port 123 zugreifen darf.
Zum Vergrößern anklicken....

Sie werden nicht benötigt, aber unter Umständen gebraucht.

Wie wäre da eine ideale Umsetzung (und da wären wir wieder ein bisschen beim Topic)?

- Eine Firewall im Router aktivieren (wenn er das unterstützt) oder
- auf jedem angeschlossenen System eine Firewall (ungern) oder
- eine eine Hardwarefirewall die zwischem dem Modem/Router und dem LAN steht.

Oder gibt es da noch sinnvollere Konfigurationen?
Es geht mir darum das generell meine verschiedenen Rechner im LAN nicht direkt auf allen Ports erreichbar sein sollen wenn z.B. jemand die feste IPv6 herrausfindet oder per Domain-AAAA-Eintrag darauf zugreifen.
Aber z.B. der Homeserver und dessen VM's sollen auf den benötigten Ports angesprochen werden, aber die restlichen Ports (z.B. SSH) nur im LAN verfügbar sein.
 
Danke Evil-E-Lex - das war eine gute Erklärung.
Habe heute mal angefangen ein wenig mi RFC zu schmökern, dabei haben mir deine vereinfachten Ansätze den Gedankenwechseln von v4 zu v6 erleichtert. Schade, dass man sich auf Beiträge hier nicht bedanken kann.
 
Ich hab mich bemüht, es einigermaßen verständlich zu schreiben, ist aber nicht ganz so einfach. (IPv6 ist leider deutlich komplexer als IPv4.) Ein sehr guter Einstieg ist dieser Podcast: CRE197: IPv6 Aber Achtung! Der ist fast vier Stunden lang. :) Die Artikel in der deutschen und englischen Wikipedia geben auch einen guten Einstieg. Ebenso diese Seite von Heise.
Ergänzung ()

Wolfrahm schrieb:
Nagut, da muss ich schauen was wie mein Kabelmodem (EPC 3208G) das regelt. Zur not muss man/ich dann auf flexiblere Hardware (z.B: FritzBox Cable) umsteigen
Zum Vergrößern anklicken....
Ich nehme an, du bist UM-Kunde? Das EPC3208G ist eigentlich kein Modem, sondern ein Router. Da dieses Gerät von UM nur an Kunden mit DS-Lite Anschluss rausgegeben wird, ist da auch eine passende Firewall (oder genauer: ein Paketfilter) drin, die auch entsprechend sinnvoll vorkonfiguriert ist. Wie man da konkret Ports öffnet, kann ich allerdings nicht sagen, kenne das Gerät nicht.

Wie wäre da eine ideale Umsetzung (und da wären wir wieder ein bisschen beim Topic)?

- Eine Firewall im Router aktivieren (wenn er das unterstützt) oder
Zum Vergrößern anklicken....
Im Heimbereich ganz klar das. Um es nochmal klar zu sagen: Bekommst du von deinem Provider einen Anschluss mit IPv6, verkauft er dir auch direkt den passenden Router. Probleme könnte es nur geben, falls du einen selbst angeschafften Router verwendest, der ohne korrekt funktionierenden IPv6-Paketfilter daherkommt. Da vorhandene Anschlüsse nicht einfach so umgestellt werden, ist das Problem nicht dramatisch.

Oder gibt es da noch sinnvollere Konfigurationen?
Es geht mir darum das generell meine verschiedenen Rechner im LAN nicht direkt auf allen Ports erreichbar sein sollen wenn z.B. jemand die feste IPv6 herrausfindet oder per Domain-AAAA-Eintrag darauf zugreifen.
Aber z.B. der Homeserver und dessen VM's sollen auf den benötigten Ports angesprochen werden, aber die restlichen Ports (z.B. SSH) nur im LAN verfügbar sein.
Zum Vergrößern anklicken....
Genau für diese Steuerung ist die Firewall da. Das Anlegen von Firewallregeln ist identisch zu IPv4, nur das du auf Portforwarding verzichten kannst und die Adressen länger sind.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Rockhound
Praxis Software Hersteller verlangt UTM-Firewall
Antworten
11
Aufrufe
1.438
Piktogramm
Piktogramm
zidius
Windows Firewall - Programm lokal erlauben, global blockieren?
Antworten
8
Aufrufe
1.266
cartridge_case
cartridge_case
tnjens
Fritzbox (DSL) - PfSense (Firewall) - Fritzbox (WLAN) mit IPv6
Antworten
3
Aufrufe
1.008
eigsi124
eigsi124
DFFVB
ipv6 - VPN - Firewallregeln
Antworten
3
Aufrufe
645
qiller
Q
9
Malwarebytes Windows Firewall Control Frage wegen Einstellung
Antworten
3
Aufrufe
1.634
whats4
whats4
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz