IPv6 Sicherheitsrisiko

[Sykehouse]

dann muß entweder dem Routerhersteller vertrauen (und warum sollte ich das, wenn es um meine Sicherheit geht und nicht um die des Routerherstellers)

Und was ist daran anders, wenn es um IPv4 geht?

 

[Serana]

Und Firewalling ist keine inhärente Eigenschaft eines Routers.

Muß es auch gar nicht. Das einzige was ich in der Hinsicht von einem Router erwarte ist, daß er jede Verbindungsanfrage von außen ablehnt die nicht explizit (z.B. durch eine Portweiterleitung) erwünscht ist. Mehr "Firewall" muß der Router gar nicht können. Da ist es auch völlig egal ob es um IPv4 oder IPv6 geht. Verbindungsanfragen die nicht explizit erlaubt sind, sind in jedem Fall abzulehnen.

Es gibt wirklich keinen Grund, bei IPv6 wieder mit den NAT Rotz anzufangen...

Da wird aber noch viel Aufklärung nötig sein, um den Aberglauben auszurotten das NAT ein Sicherheitsmerkmal ist.

 

[Sykehouse]

Manchmal denke ich, das ist so ein klassischer Fall von "kenn ich = ist gut" und "ist neu für mich = muss scheisse sein"

 

[Bob.Dig]

Ich nutze NAT auch mit IPv6. 🤗

 

[--//--]

Wenn du mit einem neu aufgesetzten OS gleich Updates machst und nicht zuvor im Internet surfst

Das wäre dann ein Ding der Unmöglichkeit. Oder kommen die Updates aus der Luft?

 

[Bob.Dig]

Seit dem Windows eine aktivierte Firewall hat, gibt es doch praktisch kaum mehr Probleme. Und Surfen ist was anderes als auf Updates zu klicken.

 

[RalphS]

Muß es auch gar nicht. Das einzige was ich in der Hinsicht von einem Router erwarte ist, daß er jede Verbindungsanfrage von außen ablehnt die nicht explizit (z.B. durch eine Portweiterleitung) erwünscht ist.

Aber das tut ein Router nicht! Das ist genau der Punkt!

Router haben mit L4, also tcp/udp und höher, nichts zu tun.

Es gibt dort keine Ports.
Es gibt keine Weiterleitung.
Alles was es gibt sind ip Adressen und subnetzmasken, bzw prefixes in v6, die aber technisch dasselbe sind.
Und es gibt routingtabellen. Netzwerk A, auf dieses Interface. Netzwerk B, jenes. Fertig. Filter gibt es nicht.

portweiterleitung ist NAT.
Nix von außen reinlassen… ist NAT.

Weder A noch B gibt es bei v6. Service freigeben in ipv6 heißt die Ip des Rechners freigeben, nicht den port durchleiten.

 

[Helge01]

Das wäre dann ein Ding der Unmöglichkeit. Oder kommen die Updates aus der Luft?

Sind Updates von Microsoft Servern laden das gleiche wie mit einem noch nicht gepatchten Webbrowser im Internet zu surfen?

Ich nutze NAT auch mit IPv6. 🤗

Wie schrecklich!

 

[Bob.Dig]

Wie schrecklich!

E-Mail und ein paar weitere Sachen mache ich per NAT, TS und Mumble aber nur geroutet; liebe diese Freiheit mit dieser einen Firewall Appliance, die Du mir mal empfohlen hast.

 

[Snowi]

Ich nutze NAT auch mit IPv6. 🤗

Sowas sollte als Verbrechen gegen die Menschlichkeit angesehen werden

Das wäre dann ein Ding der Unmöglichkeit. Oder kommen die Updates aus der Luft?

Kommt auf das Betriebssystem und die Software an. Betriebssystemupdates kannst du ohne Surfen laden, egal ob Mac, Linux oder Windows. Unter Linux wird auch direkt die Signatur geprüft, bei Win/Mac weiß ich es nicht.
Unter Linux krieg ich auch direkt die Updates für den Browser, unter Windows zumindest für Edge (oder? Ich würde vermuten, die kommen auch via Windows Update. Sonst einfach Starten -> Hilfe -> Update oder so, musst auch keine Seite für aufrufen). Und mit einem aktuellen Edge, der durch Chromium als Basis auch ziemlich sicher ist, kann man jeden anderen Browser ziehen.
Also alles in allem muss man für die "kritischen" Updates der Software, die ins Netz guckt, nicht surfen.

Es gibt dort keine Ports.

Doch.

Es gibt keine Weiterleitung.

Doch. Genau das ist übrigens der Sinn und Zweck eines Routers. Weiterleiten von IP Paketen. Wenn er das nicht kann, ist er kein Router.

portweiterleitung ist NAT.

Wenn du NAT benutzt, dann ja. Wenn du aber von außen direkt eine interne IP ansprichst, also kein NAT benutzt, ist eine Portweiterleitung nicht NAT. Denn das NAT gibt es dann nicht.

Nix von außen reinlassen… ist NAT.

Das ist ein Nebeneffekt von NAT, weil der Router bei einer neuen Anfrage von außen nicht weiß, was er mit dem Paket machen soll. Das wird zwar leider oft als Firewall angesehen, ist im eigentlich Sinn aber keine. Kommt der Funktion für Endnutzer aber relativ nahe.

 

[RalphS]

Lesen und verstehen. Wow. Okay, dann geh ich mal wieder in mein Tal der Ahnungslosen.
Adiós.

 

[Snowi]

[...] dann geh ich mal wieder in mein Tal der Ahnungslosen.

Das sagt keiner (Bzw. zumindest ich nicht).
Allerdings ist es so wie du geschrieben hast nicht richtig. Eventuell meintest du es praktisch bzw. vom Endresultat her anders, aber in dem Wortlaut ist es eben leider nicht richtig.

 

[Hayda Ministral]

Ich nutze NAT auch mit IPv6. 🤗

Wie schrecklich!

-v bitte. Was genau ist daran für Dich "schrecklich"?

 

[Snowi]

-v bitte. Was genau ist daran für Dich "schrecklich"?

NAT ist technisch nicht schön, und NAT war nur eine Konsequenz des IPv4 Mangels. Weil man jedem Kunden nicht mehr 5 IPv4 Adressen geben wollte (oder konnte), wurde ihm eine Adresse gegeben, und es wurde geNATet.
Nebeneffekt war "Privacy", weil nach außen auch immer nur diese IP sichtbar war, mit egal wievielen Geräten. Dafür gibt es unter IPv6 aber die Privacy-Extensions, die zugegebenermaßen erst nachträglich aufgenommen wurden, als man gemerkt hat, dass es da gewisse Probleme gibt.
Aber warum ist es schrecklich? Es ist unnötig. Es verkompliziert den Netzwerkstack unnötig, und belastet die Hardware des Routers unnötig. Warum sollte man die Adressen umbiegen, wenn man als Endkunde normalerweise 256 Subnetze mit je 18.446.744.000.000.000.000 IPv6 Adressen bekommt?

 

[Bob.Dig]

Warum sollte man die Adressen umbiegen, wenn man als Endkunde normalerweise 256 Subnetze mit je 18.446.744.000.000.000.000 IPv6 Adressen bekommt?

Ich mache es, um DDNS im Router machen zu können und nicht auf den einzelnen Hosts. Außerdem um auf Router-Ebene im selben Subnet nur bestimmten Rechnern IPv6 nach außen zu erlauben. Die Last, die mit IPv4 schon kein Problem war, sollte es mit IPv6 auch nicht sein. Aber gut, das ist nicht in Stein gemeißelt und vielleicht gibt es irgendwann bessere Steuerungsmöglichkeiten in Routern...