Mögliche Sicherheitsprobleme bei IPv6

**HerrMaulwurf** · 01. 12. 2011, 20:32

Der weltweite Vorrat an herkömmlichen IPv4-Adressen ist nahezu aufgebraucht, lediglich den fünf lokalen RIRs stehen noch kleine IP-Pools zur Weitervergabe an die ISPs zur Verfügung. Zum Glück steht nach fast 16 Jahren der Nachfolger IPv6 endlich in den Startlöchern - und hat immer noch nicht alle Kinderkrankheiten auskuriert.

zur News

**fabih1** · 01. 12. 2011, 21:03

Mich stört viel mehr, dass ein PC immer identifizierbar ist, selbst mit den Privacy-Extensions

**Warlord85** · 01. 12. 2011, 22:23

Zitat von fabih1

Mich stört viel mehr, dass ein PC immer identifizierbar ist, selbst mit den Privacy-Extensions

Zumindest wenn es nicht auch weiterhin Zwangstrennungen mit darauf folgender neuer IP gibt. Könnte mir vorstellen, dass die Provider die Zwangstrennung als kostenlose (?) Option anbieten. Oder die feste IP als kostenpflichtige... halte ich für wahrscheinlicher, da sich ansonsten ja jeder ohne Probleme (oder sagen wir einfacher als jetzt) dank fester IP nen eigenen Server daheim hinstellen kann.

Was mich auch stört ist eben das Wegfallen von NAT. Ist ansich ne super Absicherung des heimischen Netzwerks. Gerade weil niemand weiss was alles hinter der IP steckt. Bei mir zu Hause hängt z.B. ein WLAN Drucker am Router... wenn der jetzt für jeden aus em Internet erreichbar wird ist das ja wohl en Witz. Genauso wie NAS System die man so zu Hause stehen hat... kann dann mit einer eindeutigen IP von überall her erreicht werden... und die Versuche die Dinger zu hacken werden mit Sicherheit nicht ewig scheitern.

Auch wie es ohne NAT weitergehen soll ist mir nicht ganz klar. Dann müsste der "Router" (ist ja dann eigentlich keiner mehr, da er nicht mehr das tut was ein Router eigentlich tut (mehrere verschiedene Netze verbinden)) zu Hause ja selbstständig für jedes Gerät das man an ihn anschließt ne eigene IP anfordern.

Ich denke also das NAT weiterhin bestehen bleibt (zumindest für den normalen Privat-Kunden), zum einen wegen der Sicherheit und zum anderen wegen der wohl komplizierten Umsetzung ohne NAT.

Sollte NAT tatsächlich abgeschafft werden, dann wird aus nem "alten PC" eben nen Router mit NAT gebastelt (so schwer is das ja net bzw. gibt es das Priziep ja schon und zu dessen umsetzung bestimmt genug Literatur) oder statt nem zusätzlichen PC bekommt der aktuelle HomeServer ne zusätzlich Aufgabe

Und mal ehrlich... NAT einzustellen für P2P ist kein Hexenwerk...

**damnemokid** · 01. 12. 2011, 22:40

Ich versteh eure Probleme nicht... Was mich viel eher stört ist, mein 4chan ban wird irgendwann dann doch permanent werden...

**Shodan_v2-3** · 01. 12. 2011, 22:58

Zitat von warlord85

nat. Ist ansich ne super absicherung des heimischen netzwerks.

not!

**fabih1** · 02. 12. 2011, 00:18

@Warlord85: Die IP lässt sich immer zu einem PC zurück verfolgen, da ein Teil der Adresse immer gleich bleibt.

Bekomme das nicht mehr ganz zusammen. Jedenfalls ist auch die 24h trennung nur die halbe Miete

**widarr** · 02. 12. 2011, 01:25

Laut dem letzten Chaos Communication Congress is ipv6 eh schon vom Design her löchriger als ein schweizer käse,kann also noch dauern bis das weitläufig verwendet wird^^

**Warlord85** · 02. 12. 2011, 03:00

Zitat von fabih1

@Warlord85: Die IP lässt sich immer zu einem PC zurück verfolgen, da ein Teil der Adresse immer gleich bleibt.

Bekomme das nicht mehr ganz zusammen. Jedenfalls ist auch die 24h trennung nur die halbe Miete

Nein eben nicht... Man kann aktulle nur Rückschlüsse auf einem Internetanschluss / einem Router, aber nicht zu einem bestimmten PC der hinter diesem Router, ziehen. Das ist zwar Strafrechtlich quasi egal, da man ja den Anschluss-Inhaber hat, aber eben nicht für die Sicherheit einzelner PCs (versucht man die aus dem Internet sichtbare IP zu hacken landet man erstmal am Router).

Und was zum Hencker soll "da ein Teil der Adresse immer gleich bleibt"" bedeuten? Aus dem Internet heraus gesehen haben alle PCs hinter einem Router die gleiche IP... ob es jetzt einer oder hundert dahinter sind macht da keinen Unterschied.

@Shodan_v2-3:

Warum nicht? Jeder der versucht auf die vom Internet aus sichtbare IP zuzugreifen landet erstmal beim Router... und wenn er den hacked.. was solls? An die PCs dahinter kommt er trotzdem nicht.

**PTL** · 02. 12. 2011, 08:59

was solls
wir sitzen es einfach aus . warten wir eben noch mal 16 jahre . lol
wie soll dann eigentlich ne firewall funktionieren ? indem man ip4 bei sich zuhause
abschaltet ? und zum thema feste ip .
was tut man wenn man zuhause geddost wird ? hatte mal von zuhause ne webseite
laufen lassen . mit lighttpd und noip . hatte einmal die woche scriptattacken .
was bei ner 16mbit leitung noch geht . aber bei ner dict attack oder portscan ,
konnte man nich mal mehr surfen . diese hacker scannen sowieso den ganzen tag
den deutschen ip pool ab . da könnse se sich bei ner festen ip voll auf einen
einarbeiten . egal
würden unter ip6 noch proxys ,anon und normal , vernünftig funktionieren ?

**HouseKatZe** · 02. 12. 2011, 09:38

Zitat von Warlord85

kann dann mit einer eindeutigen IP von überall her erreicht werden...

Dafür gibt es die Privacy Extensions. Damit kann der Client eine automatisch generierte IPv6 Adresse aus seinem Subnet (oft /48 oder /64; eine Menge) nutzen.

Zitat von Warlord85

Auch wie es ohne NAT weitergehen soll ist mir nicht ganz klar. Dann müsste der "Router" (ist ja dann eigentlich keiner mehr, da er nicht mehr das tut was ein Router eigentlich tut (mehrere verschiedene Netze verbinden)) zu Hause ja selbstständig für jedes Gerät das man an ihn anschließt ne eigene IP anfordern.

Ein IPv6 Router tut im Prinzip genau das gleiche wie ein IPv4 Router, nur, dass er kein NAT einsetzen muss und gleich die IP Pakete aus dem LAN ins Netz schicken kann da die Computer im LAN eine "globale" IP Adresse haben. Die IPv6 IPs werden vom Router zugewiesen, entweder mit DHCPv6 (unüblich) oder mit Router Discovery. Bei beidem wird am Router die IPv6 IP-Range die der Provider einem zugewiesen hat eingetragen und verteilt dann an die Computer im Netzwerk die IPs. Wenn die Privacy Extensions an einem der PCs angeschaltet sind bekommt dieser bei jedem "Reconnect" der lokalen Netzwerkverbindung (zum Router) eine neue IP zugewiesen.

Zitat von Warlord85

Ich denke also das NAT weiterhin bestehen bleibt (zumindest für den normalen Privat-Kunden), zum einen wegen der Sicherheit und zum anderen wegen der wohl komplizierten Umsetzung ohne NAT.

Nee. NAT ist viel komplizierter, sowohl für Menschen (mehr muss bedacht werden) wie auch für Maschinen (mehr Resourcen werden verbaucht, NAT braucht RAM). Von den Portweiterleitungsgeschichten ganz zu schweigen.

Die Sicherheit ist auch ohne NAT gegeben. Der Router verwirft die einkommenden Pakete die keiner von innen aufgebauten Verbindung angehören genau so wie auch bei IPv4.

Zitat von Warlord85

Sollte NAT tatsächlich abgeschafft werden, dann wird aus nem "alten PC" eben nen Router mit NAT gebastelt (so schwer is das ja net bzw. gibt es das Priziep ja schon und zu dessen umsetzung bestimmt genug Literatur) oder statt nem zusätzlichen PC bekommt der aktuelle HomeServer ne zusätzlich Aufgabe

Installiere dir lieber einen IPv6 Tunnel. www.he.net

PS: Worüber man leider immer identifizierbar bleiben wird, solange das nicht auch dynamisch vergeben werden sollte, ist das Subnet/die IP-Range. Wenn du als einziger die Range nutzt ist es ja egal welche IP du aus dieser hast.

Zitat von PTL

diese hacker scannen sowieso den ganzen tag
den deutschen ip pool ab.

Das wird bei IPv6 aufhören, es gibt einfach zu viele Adressen. Viele IPv6 Tunnel Provider vergeben z.B. /48er Subnetze, das wären 2^48 = 281474976710656 IPv6 Adressen. Für dich alleine! Die Telekom wird /56er vergeben.

Zitat von PTL

würden unter ip6 noch proxys ,anon und normal , vernünftig funktionieren ?

Klar. Da ist überhaupt gar kein Unterschied zwischen IPv4 und IPv6.

@On topic:
Der Artikel ist absolut nichtssagend.

Null harte Fakten, das einzige was ich da lese ist ein wenn/vielleicht/möglicherweise... Das hättet ihr euch sparen können.

**DerTiger** · 02. 12. 2011, 09:46

Zitat von Warlord85

Nein eben nicht... Man kann aktulle nur Rückschlüsse auf einem Internetanschluss / einem Router, aber nicht zu einem bestimmten PC der hinter diesem Router, ziehen. Das ist zwar Strafrechtlich quasi egal, da man ja den Anschluss-Inhaber hat, aber eben nicht für die Sicherheit einzelner PCs (versucht man die aus dem Internet sichtbare IP zu hacken landet man erstmal am Router).

a) er spricht hier von IPv6, da ist die MAC (oder ein anderer eindeutiger 'interface identifier') in der IP mit verarbeitet und die IP somit eindeutig zuzuweisen.

b) wenn er am Router NAT einschaltet, landet er auf den dahinter angeschloßenen Rechnern. Wo ist jetzt die Sicherheit?

Und was zum Hencker soll "da ein Teil der Adresse immer gleich bleibt"" bedeuten? Aus dem Internet heraus gesehen haben alle PCs hinter einem Router die gleiche IP... ob es jetzt einer oder hundert dahinter sind macht da keinen Unterschied.

und nochmal geht es um IPv6, wo der Teil mit der MAC immer gleich bleibt, da sich deine MAC niemals ändert. Und die IPv6 Addresse wird durch den Router weitergeleitet.

@Shodan_v2-3:

Warum nicht? Jeder der versucht auf die vom Internet aus sichtbare IP zuzugreifen landet erstmal beim Router... und wenn er den hacked.. was solls? An die PCs dahinter kommt er trotzdem nicht.

Etwas naiv gedacht, hm? Wenn er den Router gehackt hat kann er doch ohne Probeme NAT einschalten um die Rechner dahinter zugänglich zu machen, wo soll da das Problem liegen?

Da ist überhaupt nix sicher an deinem Konzept, schon garnicht wenn sie erstmal auf deinen Router gekommen sind.

**Lugyacci** · 02. 12. 2011, 10:39

@ anderer Tiger,

MAC Adressen kann man in einigen Fällen doch ändern bzw spoofen.

Zitat von PTL

was solls
wir sitzen es einfach aus . warten wir eben noch mal 16 jahre . lol
wie soll dann eigentlich ne firewall funktionieren ? indem man ip4 bei sich zuhause
abschaltet ? und zum thema feste ip .
was tut man wenn man zuhause geddost wird ? hatte mal von zuhause ne webseite
laufen lassen . mit lighttpd und noip . hatte einmal die woche scriptattacken .
was bei ner 16mbit leitung noch geht . aber bei ner dict attack oder portscan ,
konnte man nich mal mehr surfen . diese hacker scannen sowieso den ganzen tag
den deutschen ip pool ab . da könnse se sich bei ner festen ip voll auf einen
einarbeiten . egal
würden unter ip6 noch proxys ,anon und normal , vernünftig funktionieren ?

Afaik bekommst du bei IPv6 dein eigenes Quasi-Subnetz, d.h. du kannst deine IP nach belieben ändern.
IPv6 ist hier sicherer als IPv4 würde ich meinen.

**fabih1** · 02. 12. 2011, 12:10

Zitat von Warlord85

Nein eben nicht... Man kann aktulle nur Rückschlüsse auf einem Internetanschluss / einem Router, aber nicht zu einem bestimmten PC der hinter diesem Router, ziehen. Das ist zwar Strafrechtlich quasi egal, da man ja den Anschluss-Inhaber hat, aber eben nicht für die Sicherheit einzelner PCs (versucht man die aus dem Internet sichtbare IP zu hacken landet man erstmal am Router).

Bei mir am Router hängt ein PC. Wenn der Router erkannt wird, dann auch mein einziger PC. Soll ich jetzt die ganze Stadt an meinen Router klemmen um anonym zu sein?

Bruder Mad · 02. 12. 2011, 12:22

Zitat von fabih1

Bei mir am Router hängt ein PC. Wenn der Router erkannt wird, dann auch mein einziger PC. Soll ich jetzt die ganze Stadt an meinen Router klemmen um anonym zu sein?

Das wissen wir jetzt auch...

Aber im Normalfall sieht man eben nur den Router... Nicht, was da so alles hinter steht...

Soll ich jetzt die ganze Stadt an meinen Router klemmen um anonym zu sein?

Lies nochmal von Anfang an... Anonym bist du eh nicht... Ob da ein PC dran hängt oder die halbe Stadt...
Sein Anschlüss zählt...

**DerTiger** · 02. 12. 2011, 13:07

Zitat von Lugyacci

@ anderer Tiger,

MAC Adressen kann man in einigen Fällen doch ändern bzw spoofen.

mhm, weil ottonormalverbraucher auch einen MACspoofer reinbastelt. bleiben wir doch mal realistisch.

**fabih1** · 02. 12. 2011, 13:15

Zitat von Bruder Mad

Das wissen wir jetzt auch...

Aber im Normalfall sieht man eben nur den Router... Nicht, was da so alles hinter steht...

Lies nochmal von Anfang an... Anonym bist du eh nicht... Ob da ein PC dran hängt oder die halbe Stadt...
Sein Anschlüss zählt...

http://de.wikipedia.org/wiki/IPv6#Adressaufbau_von_IPv6
" soll ein Teil der Anonymität von IPv4 wiederhergestellt werden."
Nur ein teil !!! Auch mit neuer IP weiß jemand noch immer wer Du bist !! Weil Deine MAC Adresse in der IPv6 drin steht

**Sempralon** · 02. 12. 2011, 15:08

Zitat von GulliNews

Laut Netzwerkspezialist Fernando Gont, der für das britische National Infrastructure Security Co-ordination Centre (NISCC) Sicherheitstests an Netzwerkprotokollen durchführte, bemängelte auch den Mangel an qualifizierten Personal.

... qualifiziertes Personal kostet eben Geld ... mehr als Studenten!
... und wenn sich die Studenten qualifiziert haben, dann möchten sie auch entsprechend bezahlt werden!
Ein Teufelskreis!

... ist ja klar, warum sich die Hersteller noch ncht drum gekümmert haben ... jetzt können sie des Zeug teuer verkaufen und bei jeden "Erkenntnissprung" in Sachen Sicherheit verkloppen sie dir neue Hardware!

@fabih1 ... das ist ja auch beabsichtigt!
... ist wie eine DNA ... damit auch Friedrich weiß, mit welchem amerikanischen Relais aus jenem Wasserwerk in den Bergen Illinois, das ins Internet geklinkt wurde, seine Ministeriumsrechner zum Absturz gebracht wurden!

@Warlord85 ... ich habe neulich ein IPv6 Netzwerk aufgebaut, das hinter einer Linuxfirewall mit NAT hängt, der Kunde wollte das so ... kommt aber noch besser, da dieser die Verquickung von MAC und IPv6 nicht mag hat er sich gesagt, warum nicht einen IPv4 Addressraum zwischen seiner internen Ipv6 IT-Welt und der Globalen IPv6 IT-Welt schalten?
Derart viele Endgeräte hat er nicht, keinen Kühlschrank, kein Atomkraftwerk, das im Internet um Milch oder einem Gau betteln könnte oder dürfte!

Diese Form Natterei verbraucht im übrigen recht wenig Recourcen ...
... im übrigen kann man die MAC auch fälschen und somit war es das mit der Eindeutigkeit!

@DerTiger
Viele Hersteller aus dem asiatischen Raum, verwenden häufig einen festen Pool an MAC-Addressen, was heist, sind nur 2000 Addressen "genehmigt" aber es liegen Bestellungen für 10000 vor, dann kann es schon mal sein, das es MACs eben zweimal oder 5x gibt!
... da machen "Die" sich keinen Hals!
Ferner kann ich manuell der Netzwerkkarte eine alternative MAC zuweisen, das kann Linux, Windows ... und Appel kann des sicher auch!
(Netzwerkkarte - Erweitert - Lokal verwaltete Adresse)

**Anonym0us** · 02. 12. 2011, 15:52

Zitat von fabih1

Mich stört viel mehr, dass ein PC immer identifizierbar ist, selbst mit den Privacy-Extensions

Weshalb mensch IPv6 auch deaktivieren sollte. Simpel as poo. http://www.youtube.com/watch?v=00I_Q1qwhxE

**HouseKatZe** · 02. 12. 2011, 18:05

Die MAC Adresse spielt bei IPv6 nur mit Router Discovery eine Rolle (DHCPv6 mal aussen vor gelassen), weil da die MAC Adresse Teil der IPv6 Adresse wird (wird hinter den Prefix/das Subnet gesetzt). Wenn man die IP von Hand einträgt oder Privacy Extensions nutzt kann man das ganz einfach umgehen!

Das ist sowieso nur ein lokales Problem, innerhalb des Subnetzes... Also man könnte nicht einfach IPv6 Adressen im Internet übernehmen nur weil man die MAC seines Modems/Routers/Computers ändert. ISPs die öffentliche IPs anhand der Modem MAC vergeben oder ähnliches haben das gleiche Problem auch bei IPv4, das ist also kein v6 Problem.

**fabih1** · 02. 12. 2011, 19:32

Zitat von Anonym0us

Weshalb mensch IPv6 auch deaktivieren sollte. Simpel as poo. http://www.youtube.com/watch?v=00I_Q1qwhxE

Es gibt bald kein ipv4 mehr, soll ich mein pc dann weg werfen? Das ich es zZ aus habe , ist klar

Zitat von HouseKatZe

Die MAC Adresse spielt bei IPv6 nur mit Router Discovery eine Rolle (DHCPv6 mal aussen vor gelassen), weil da die MAC Adresse Teil der IPv6 Adresse wird (wird hinter den Prefix/das Subnet gesetzt). Wenn man die IP von Hand einträgt oder Privacy Extensions nutzt kann man das ganz einfach umgehen!

Privacy Extensions bringen nur zum teil was. Und zum teil bedeutet es ist sinnlos