ComputerBase Menü
Aktuelles

IPv6 Sicherheitsrisiko

I

IT-T0bi

Cadet 4th Year
Registriert
Dez. 2019
Beiträge
124
Hallo zusammen,

mal eine kurze Frage... Mein Provider verteilt via DS Lite eine IPv6-Adresse. Ich habe meinen Rechner neuaufgesetzt und anschließend direkt Updates installiert. In diesem kurzen Zeitraum war der Rechner ja quasi ungepatcht mit einer IPv6 Adresse im Netz?

Wie hoch besteht die Gefahr, dass Angreifer in diesem kurzen Zeitraum Exploits bzw. allgemeine Sicherheitslücken ausnutzen könnten? Sollte ich mir darum Gedanken machen?
 
Bist du ein von der Interpol gesuchter Drogenhändler oder Waffenhändler, dann vermutlich ja.

Sonst nein.
Aluhut absetzen.
 
  • Gefällt mir
Reaktionen: Spiczek, brianmolko und areiland
Du könntest auch einfach vermeiden die Straßenseite zu wechseln. Die Wahrscheinlichkeit von einem Auto erfasst zu werden ist nicht nur größer als wegen einer IPv6 Adresse "gehackt" zu werden, sondern es geht dabei sogar um dein leibliches Wohl.
 
Wenn Du nicht gerade ein uraltes Windows installiert hattest, das Du dann auf die aktuelle Version heben musstest, warst Du sicher nicht vollkommen ungepatcht im Netz unterwegs.
 
Die Gefahr (wenn man überhaupt von einer solchen sprechen will) ist exakt dieselbe wie die ganzen Jahre vorher mit IPv4.

Um es mal etwas drastisch auszudrücken:
Wenn du dir bei so einem kurzen Zeitraum Sorgen machen mußt, daß der Computer trotz aktuellem Installationsmedium "übernommen" wurde, dann solltest du dich wahrscheinlich besser in ein Land zurückziehen das nicht an Staaten der westlichen Welt ausliefert. Denn dann hast du mit ziemlicher Sicherheit Probleme entweder mit den deutschen Strafverfolgungsbehörden oder einem deutschen (oder verbündeten) Geheimdienst.
 
Bei IPv6 existiert wie bei IPv4 eine Stateful Firewall. NAT wird zwar immer als Sicherheitsfeature angepriesen, ist aber keins. Wenn du mit einem neu aufgesetzten OS gleich Updates machst und nicht zuvor im Internet surfst, kann nichts passieren.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Web-Schecki
Du bist ja nicht "direkt" mit dem PC im Internet. Da ist ja meist der Router mit einer Firewall dazwischen, die fängt mormalerweise schon praktisch alles ab, selbst wenn der PC unsicher ist.

Edit:
Der PC hat ja normalerweise eine dynamische IPv6 Adresse mit Prefix "2axx", und die kann man mit der Firewall filtern.
 
Serana schrieb:
Die Gefahr (wenn man überhaupt von einer solchen sprechen will) ist exakt dieselbe wie die ganzen Jahre vorher mit IPv4.
Zum Vergrößern anklicken....

Nein. IPv4 im Consumerbereich verwendet NAT. NAT wiederum bedeutet das ein Verbindungsversuch aus dem Internet nicht ohne weiteres beim Rechner ankommt - denn der Router weiß ja nicht, an welche IP aus dem genatteten Bereich er das Paket schicken soll.

Das ist genau der Unterschied zu IPv6 ohne NAT. (und ein Grund weshalb ich mir ganz naiv ein genatetes Teilnetz wünschen würde).

Natürlich kann man nun einwenden dass ja alle relevanten und aktuellen Betriebssysteme eine Firewall besitzen die von außen kommende Verbindungen auch erstmal ablehnt. Die ist aber bei Windows ebenso wie jeder Port den sie von Haus aus durch stellt ein überaus lohnendes Angriffsziel und entsprechend ist davon auszugehen dass Angreifer jeder Art erheblichen bis beliebig großen Aufwand treiben werden um dort Fehler zu finden und auszunutzen.

tl;dr: Ein PC per NAT im Internet ist damit nicht sicher, NAT stellt aber einen zusätzlichen Schutz dar.
 
Die meisten (Consumer) Router haben auch eine Firewall verbaut, die dich auch ohne NAT schützen. Wäre ja um so schöner wenn Millionen von Privat-Rechner einfach so direkt im Internet hingen. Auszug von AVM:
Die Firewall der FRITZ!Box schützt alle Geräte im FRITZ!Box-Heimnetz standardmäßig vor eingehenden Verbindungen und unangeforderten Daten aus dem Internet.

Durch das Einrichten von IPv6-Freigaben können Sie Benutzern im Internet den Zugriff auf IPv6-kompatible Geräte (z.B. NAS-Systeme), Web- oder Fernwartungs-Server und andere Serverdienste in Ihrem Heimnetz ermöglichen.
Zum Vergrößern anklicken....
Quelle
 
  • Gefällt mir
Reaktionen: up.whatever
Den einzigen Fehler dan man machen kann ist UPnP zu aktivieren, denn das bohrt Dir u.U ein Loch in die Firewall, wenn eine Anwendung das braucht.
 
0x7c9aa894 schrieb:
Den einzigen Fehler dan man machen kann ist UPnP zu aktivieren, denn das bohrt Dir u.U ein Loch in die Firewall, wenn eine Anwendung das braucht.

Ist deaktiviert
Zum Vergrößern anklicken....
 
Hayda Ministral schrieb:
IPv4 im Consumerbereich verwendet NAT
Zum Vergrößern anklicken....
Kommt auf den Provider an! Bei der Telekom bekommt man eine öffentliche IPv4 über Dual-Stack. Keine DS-Lite Rotze.
 
@Toms
@Hayda Ministral hat schon recht. IPv4 nutz immer NAT. Du meist wohl CG-NAT (Carrier Grade NAT), was teil der "DS-Light" Lösung ist.
 
Toms schrieb:
Kommt auf den Provider an! Bei der Telekom bekommt man eine öffentliche IPv4 über Dual-Stack. Keine DS-Lite Rotze.
Zum Vergrößern anklicken....
Die DS Lite Rotze ist halt notwendig. Tests wurden davon von der Telekom auch schon gemacht. Solang wird das nicht mehr dauern. Nachteile gibt es ja auch eigentlich keine.
Das Problem sind nicht die Provider, es sind die Softwareentwickler.
 
  • Gefällt mir
Reaktionen: Conqi
NAT bietet keinerlei zusätzlichen Schutz. Wenn du deinem Router nicht sagst, dass er die Pakete durchlassen soll, lässt er auch nichts durch. Sonst wäre die computerwelt ja gar nicht mehr zu retten.

Eine Ausnahme ist upnp, aber dafür musst du auch erst mal Software installieren, die ports öffnen will
 
Hayda Ministral schrieb:
(und ein Grund weshalb ich mir ganz naiv ein genatetes Teilnetz wünschen würde)
Zum Vergrößern anklicken....
Mit Betonung auf dem naiv ;) Eine Firewall reicht völlig aus, die jegliche unangefragten Pakete aus dem WAN verwirft. Es gibt wirklich keinen Grund, bei IPv6 wieder mit den NAT Rotz anzufangen...
 
Zuletzt bearbeitet: (Typo...)
  • Gefällt mir
Reaktionen: foo_1337, Web-Schecki, snaxilian und 3 andere
Alles richtig, bloß blöderweise kenne ich keinen Heimrouter, der einem Zugriff auf die Firewallkomponente gewährt...

.... Und Firewalling ist keine inhärente Eigenschaft eines Routers.

Anders ausgedrückt, wenn ich IPv6 Connectivity habe, dann muß entweder dem Routerhersteller vertrauen (und warum sollte ich das, wenn es um meine Sicherheit geht und nicht um die des Routerherstellers) ODER ich muß mich selbst ums Firewalling kümmern.

Ja, bzw nein, NATing ist kein zuverlässiger Schutz, auch da kann man sich von außen durchbuddeln. Aber es ist erstmal ein Tor, wo man davorsteht.
Eben so, wie man nicht sofort sieht, für welchen Client ein Proxy "dieses" Datenpaket angefordert (oder erhalten) hat.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

E
Sicherheitsrisiko durch alte Geräte im Netzwerk
Antworten
15
Aufrufe
1.486
cbtaste420
cbtaste420
F
microsoft office hat ein potenzielles sicherheitsrisiko erkannt
Antworten
14
Aufrufe
1.385
TorenAltair
T
L
Java - Sicherheitsrisiko unter Linux?
Antworten
11
Aufrufe
1.181
Oldathen
O
L
Wine HQ Installation Sicherheitsrisiko?
Antworten
17
Aufrufe
1.181
andy_m4
andy_m4
G
Mobile Hotspot (Viren & Sicherheitsrisiken)?
Antworten
2
Aufrufe
2.474
DJMadMax
DJMadMax
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz