IPv6 im gesamten LAN deaktivieren

[speefak]

Moin, ich versuche gerade sämtliches IPv6 im LAN zu deaktivieren. IPv6 Geräte sind ohne NAT direkt aus dem Netz erreichbar. Bevor ich nun auf jedes System ( sofern möglich ) eine Firewall installiere und dann zig FWs zu administrieren habe, schalte ich IPv6 lieber komplett ab. Mit IPv6 wird auch der PiHole DNS umgangen, die Latenz beim Surfen ist doppelt so lang wie bei reinem IPv4 und eine Zentrale Zuweisung der Ports zu IPs ( NAT ) gibts mit IPv6 auch nicht mehr. Ergo ist jedes IPv6 Gerät quasi in seiner eigenen DMZ und damit eine potentielle IT - Massenvernichtungwaffe.

Ich habe in der Fritzbox alles was IPv6 angeht abgeschaltet ( DHCPv6 ULAv6 etc ) aber meine Systeme erhalten weiterhin eine IPv6 Adresse sofern die IPv6 Vergabe nicht für jedes System deaktiviert worden ist ( echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf ). Vergeben die Systeme sich selbst eine IPv6 ( ähnlich wie 127.0.0.1 ) oder bekommen die Ihre IPv6 Adresse von einem IPv6 DHCP und wenn ja wie finde ich den ?

[mat6937]

Vergeben die Systeme sich selbst eine IPv6 ...

Ja.
Schau mal ob Du IPv6 schon beim booten, mit dem Bootparameter "ipv6.disable=1" deaktivieren kannst.

EDIT:

Z. B. sieht das dann so aus:

Code: Alles auswählen

:~ $ ping -6 -c 3 heise.de
ping: socket: Address family not supported by protocol

[unitra]

Viel einfacher wäre in der Fritzbox zentral das IPv6 in Richtung Provider abzuklemmen, und es im LAN zu belassen. Man kann auch in jedem Endgerät im LAN mit dem dazugehörigen Betriebsystem das IPv6 deaktivieren, dauert nur viel viel länger. Manche kommerzielle Betriebsysteme setzten IPv6 vorraus, damit alles funktioniert.

Moin, ich versuche gerade sämtliches IPv6 im LAN zu deaktivieren. IPv6 Geräte sind ohne NAT direkt aus dem Netz erreichbar. Bevor ich nun auf jedes System ( sofern möglich ) eine Firewall installiere und dann zig FWs zu administrieren habe, schalte ich IPv6 lieber komplett ab. Mit IPv6 wird auch der PiHole DNS umgangen, die Latenz beim Surfen ist doppelt so lang wie bei reinem IPv4 und eine Zentrale Zuweisung der Ports zu IPs ( NAT ) gibts mit IPv6 auch nicht mehr. Ergo ist jedes IPv6 Gerät quasi in seiner eigenen DMZ und damit eine potentielle IT - Massenvernichtungwaffe.

Ich habe in der Fritzbox alles was IPv6 angeht abgeschaltet ( DHCPv6 ULAv6 etc ) aber meine Systeme erhalten weiterhin eine IPv6 Adresse sofern die IPv6 Vergabe nicht für jedes System deaktiviert worden ist ( echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf ). Vergeben die Systeme sich selbst eine IPv6 ( ähnlich wie 127.0.0.1 ) oder bekommen die Ihre IPv6 Adresse von einem IPv6 DHCP und wenn ja wie finde ich den ?

[cosinus]

IPv6 Geräte sind ohne NAT direkt aus dem Netz erreichbar.

Ja und? Das klingt nach ziemlicher Panikmache. Der Router schottet die mit seinem Paketfilter doch ab und viele Router wie auch zB die von der Telekom lassen da gar keine Konfiguration zu. Man kann also hinter einem Speedport Router keine Serverdienste über IPv6 laufen lassen.

Ich würde IPv6 auf jeden Fall aktiviert lassen.

[uname]

@cosinus
Ich bin nun kein Sicherheitsprofi und von IPv6 habe ich erst recht keine Ahnung. Aber mal unter der Vorraussetzung der Router würde von außen alle IPv6-Anfragen durchlassen und auf einem internen Gerät würde ein Service laufen (sagen wir mal 80/443). Kann der Angreifer bei der Unzahl von internen IPv6-Adressen überhaupt das Ziel erraten? Oder gibt es eine Art Broadcast über den der Angreifer die interne IPv6-Adresse erhält? Das würde mich schon interessieren. Vielleicht würde das speefak in seiner Entscheidung unterstützen.

[speefak]

Code: Alles auswählen

speefak@blackbox:~> ipspec
+---------------------------------------------------------------------------------------------------+
| WAN IP      =>   XX.XXX.XXX.XXX                         (DE, Germany)                             | 
| LAN IPv4    =>   XXX.XXX.X.XXX                          (XX:XX:XX:XX:XX:XX) (dev: eno1)           | 
| LAN IPv6    =>   fe80::4c60:f059:c4a:8517               (XX:XX:XX:XX:XX:XX) (dev: eno1)           | 
| Gateway IP  =>   XXX.XXX.X.X                            (XX:XX:XX:XX:XX:XX) (dev: FRITZ!Box XXXX) | 
| TOR status  =>   inactive                               (https://check.torproject.org)            | 
+---------------------------------------------------------------------------------------------------+
speefak@blackbox:~>  ping -6 -c 3 heise.de
ping: connect: Das Netzwerk ist nicht erreichbar
speefak@blackbox:~> 

IPv6 scheint lt. ping nicht zu funktionieren, mich wundert allerdings immer noch die IPv6 Adresse des o.g. Rechners trotz IPv6 Eintrag in der /etc/sysctl.conf

Eine Frage zu IPv6: IPv6 besteh soweit ich es verstanden habe aus 3 Teilen:
1. Lokalisation prefix ( müsste vom IPS vergeben werden und auf den Router leiten )
2. Irgendwas dazwischen
3. Device Suffix ( Anhand der MAC abgeleiteter teil der IPv6 Adresse )

Analog zu IPv4 : Fehlt der L-Prefix kann das Gerät gar nicht erreichbar sein da die "Öffentliche IP" ( Router IPv4 ) nicht existiert. Selbst wenn der Port (IPv4 bzw. IPv6 Suffix ) konfiguriert ist dürfte es nicht funktionieren denn ohne öffentlichen Teil ( Router IPv4 / IPv6 Prefix ) existiert kein valider Endpunkt aus dem Inet heraus.

Wenn ipv6 genutzt wird ist es dann möglich eine IP (v4/v6) zu scannen und aktive Verbindungen für 4 und 6 zu sehen oder wird das bei IPv6 alles vom ISP geregelt und der Router leitet den Traffice ohne einzugreifen ( wie bei NAT ) direkt an das Gerät weiter ?

Ich hatte mich vor Jahren schon mal IPv6 beschäftigt und war schockiert als es hies die MAC Adressen können übers Netz ausgelesen werden und die Geräte stehen ALLE in einer DMZ. Damit hatte sich IPv6 für mich direkt erledigt denn jedes IPv6 Gerät im LAN einzeln absichern und administrieren ... der Tag hat nur 24 Stunden ...

Hat sich da mittlerweile was getan ? Die Geschichte mit der "DMZ" für jede IPv6 Adresse scheint noch aktuell zu sein

[mat6937]

Oder gibt es eine Art Broadcast über den der Angreifer die interne IPv6-Adresse erhält? Das würde mich schon interessieren. Vielleicht würde das speefak in seiner Entscheidung unterstützen.

Warum die "interne" IPv6-Adresse? Wenn man IPv6 nutzt, hat jedes Gerät (im W/LAN) auch eine oder mehrere externe/globale/öffentliche IPv6-Adressen, die direkt (auch) aus dem Internet erreichbar sind, ... wenn die v6-Firewall des Routers (border device) entsprechend konfiguriert (... Portfreigabe und nicht Portweiterleitung) ist.

[mat6937]

..., mich wundert allerdings immer noch die IPv6 Adresse des o.g. Rechners trotz IPv6 Eintrag in der /etc/sysctl.conf

Mit sysctl wird IPv6 ja nicht deaktiviert. Entweder mit dem Bootparameter deaktivieren oder den Kernel, ohne IPv6-Unterstützung kompilieren.

[speefak]

IPv6 Geräte sind ohne NAT direkt aus dem Netz erreichbar.

Ja und? Das klingt nach ziemlicher Panikmache. Der Router schottet die mit seinem Paketfilter doch ab und viele Router wie auch zB die von der Telekom lassen da gar keine Konfiguration zu. Man kann also hinter einem Speedport Router keine Serverdienste über IPv6 laufen lassen.

Ich würde IPv6 auf jeden Fall aktiviert lassen.

Wieso sind dann IPv6 Geräte OHNE Portforwarding direkt aus dem Netz erreichbar ? Ich habe hier täglich knapp 3000 Logikversuche auf SSH, 4000 auf HTTPS und Andere sowie quasi permanenten Portscann ( Server ). Somit ist die IP auch über versch. Netzdienste recht einfach zu bestimmen. Darum ist nur der Server übers Netz erreichbar und dem entsprechend gesichert. Alle anderen Geräte ( Firewalls, Gateways, NAS etc ) sind von außen nicht erreichbar ( nur übers VPN ). TOR Gateway, PiHole und VPNserver werden bei aktivem IPv6 umgangen und funktionieren nicht mehr.

[cosinus]

@cosinus
Ich bin nun kein Sicherheitsprofi und von IPv6 habe ich erst recht keine Ahnung. Aber mal unter der Vorraussetzung der Router würde von außen alle IPv6-Anfragen durchlassen und auf einem internen Gerät würde ein Service laufen (sagen wir mal 80/443). Kann der Angreifer bei der Unzahl von internen IPv6-Adressen überhaupt das Ziel erraten? Oder gibt es eine Art Broadcast über den der Angreifer die interne IPv6-Adresse erhält? Das würde mich schon interessieren. Vielleicht würde das speefak in seiner Entscheidung unterstützen.

Kommt drauf an wie das konfiguriert ist. Bei Debian scheint die IPv6-Privacy nicht standardmäßig aktiv zu sein. D.h. es nutzt die v6-Adresse, bei der der Hostanteil (Interface Identifier, die zweiten 64 Bits in der v6-Adresse) nach EUI64 aus der MAC-Adresse gebildet wird. Das kann zu Problemen bei der Privatsphäre führen, da der Rechner ja so über den 2. Teil der v6-Adresse wiedererkennbar ist, egal ob man nun ein neues Präfix (die ersten 64 Bits in der v6-Adresse) hat oder nicht. Ansonsten ist das meinen Erachtens nicht zu erraten, denn bei aktivem IPv6-Privacy wird dann zusätzlich noch eine temporäre Adresse generiert, da ist der 2. Teil dann tatsächlich gewürfelt - und diese Adresse wird dann auch aktiv genutzt.

Windows hat automatisch die v6-Privacy extensions aktiv, da muss man dann schon mittels einem umständlichen Befehl mit netsh umkonfigurieren.

[speefak]

Viel einfacher wäre in der Fritzbox zentral das IPv6 in Richtung Provider abzuklemmen, und es im LAN zu belassen. Man kann auch in jedem Endgerät im LAN mit dem dazugehörigen Betriebsystem das IPv6 deaktivieren, dauert nur viel viel länger. Manche kommerzielle Betriebsysteme setzten IPv6 vorraus, damit alles funktioniert.

Moin, ich versuche gerade sämtliches IPv6 im LAN zu deaktivieren. IPv6 Geräte sind ohne NAT direkt aus dem Netz erreichbar. Bevor ich nun auf jedes System ( sofern möglich ) eine Firewall installiere und dann zig FWs zu administrieren habe, schalte ich IPv6 lieber komplett ab. Mit IPv6 wird auch der PiHole DNS umgangen, die Latenz beim Surfen ist doppelt so lang wie bei reinem IPv4 und eine Zentrale Zuweisung der Ports zu IPs ( NAT ) gibts mit IPv6 auch nicht mehr. Ergo ist jedes IPv6 Gerät quasi in seiner eigenen DMZ und damit eine potentielle IT - Massenvernichtungwaffe.

Ich habe in der Fritzbox alles was IPv6 angeht abgeschaltet ( DHCPv6 ULAv6 etc ) aber meine Systeme erhalten weiterhin eine IPv6 Adresse sofern die IPv6 Vergabe nicht für jedes System deaktiviert worden ist ( echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf ). Vergeben die Systeme sich selbst eine IPv6 ( ähnlich wie 127.0.0.1 ) oder bekommen die Ihre IPv6 Adresse von einem IPv6 DHCP und wenn ja wie finde ich den ?

Das ist eigentlich der Plan. EIN Gerät für die Verwaltung des Gesamten Netzwerks. Aber Warum zum Henker haben manche Rechner dann trotzdem eine ( unvollständige ? ) IPv6 Adresse ?

[speefak]

..., mich wundert allerdings immer noch die IPv6 Adresse des o.g. Rechners trotz IPv6 Eintrag in der /etc/sysctl.conf

Mit sysctl wird IPv6 ja nicht deaktiviert. Entweder mit dem Bootparameter deaktivieren oder den Kernel, ohne IPv6-Unterstützung kompilieren.

Im Netz findet man überall die Info zum Deaktivieren von IPv6 mit dem o.g. Befehl/Eintrag. Kernel kompilieren und Bootparameter ist wieder ein recht hoher Aufwand weil es für jedes System nötig ist aber wenn es nicht anders geht ist es eben so ;/

[JTH]

Code: Alles auswählen

| LAN IPv6    =>   fe80::4c60:f059:c4a:8517               (XX:XX:XX:XX:XX:XX) (dev: eno1)           | 

Aber Warum zum Henker haben manche Rechner dann trotzdem eine ( unvollständige ? ) IPv6 Adresse ?

Das ist die Link-Local-Adresse des Interfaces. Die wird automatisch zugewiesen und ist gerade ausdrücklich nicht dazu gedacht und geeignet, aus deinem Netz heraus ins freie Internet oder in dein Netz herein zu kommunizieren.

[cosinus]

Wieso sind dann IPv6 Geräte OHNE Portforwarding direkt aus dem Netz erreichbar ?

Weil das so designed wurde! Es gibt kein NAT mehr. Genau das ist doch auch Sinn und Zweck von IPv6 gewesen, nicht nur den Adressmangel der bei IPv4 herrscht zu beheben. NAT stört sehr viele Protokolle. Denk da nur mal an FTP.

Und aus dem inet sind die Rechner mit v6-Adresse(n) nur erreichbar wenn du deine Firewall nicht richtig konfiguriert hat.

[JTH]

Und aus dem inet sind die Rechner mit v6-Adresse(n) nur erreichbar wenn du deine Firewall nicht richtig konfiguriert hat.

Darüber bin ich hier auch gerade gestolpert. Selbstverständlich ist auch mit IPv6 das hier

Aber mal unter der Vorraussetzung der Router würde von außen alle IPv6-Anfragen durchlassen

nicht der Fall. Außer man hat seinen Router entweder falsch oder bewusst so konfiguriert. Wenn ein Router über IPv6 beliebig Anfragen auf alle Ports durchlassen würde, wär das eine Katastrophe für jedes Heimnetz.

IPv6 Geräte sind ohne NAT direkt aus dem Netz erreichbar. Bevor ich nun auf jedes System ( sofern möglich ) eine Firewall installiere und dann zig FWs zu administrieren habe, schalte ich IPv6 lieber komplett ab. Mit IPv6 wird auch der PiHole DNS umgangen, die Latenz beim Surfen ist doppelt so lang wie bei reinem IPv4 und eine Zentrale Zuweisung der Ports zu IPs ( NAT ) gibts mit IPv6 auch nicht mehr. Ergo ist jedes IPv6 Gerät quasi in seiner eigenen DMZ und damit eine potentielle IT - Massenvernichtungwaffe.

NAT ist ungleich Firewall und ungleich Portfreigabe.

Mit IPv6 wird auch der PiHole DNS umgangen

Das sollte aber nicht pauschal so sein, sondern liegt dann an deiner lokalen Konfiguration.

[speefak]

Wieso sind dann IPv6 Geräte OHNE Portforwarding direkt aus dem Netz erreichbar ?

Weil das so designed wurde! Es gibt kein NAT mehr. Genau das ist doch auch Sinn und Zweck von IPv6 gewesen, nicht nur den Adressmangel der bei IPv4 herrscht zu beheben. NAT stört sehr viele Protokolle. Denk da nur mal an FTP.

Und aus dem inet sind die Rechner mit v6-Adresse(n) nur erreichbar wenn du deine Firewall nicht richtig konfiguriert hat.

Das würde ja bedeuten ich muss für JEDES Gerät eigene Firewallregeln erstellen. Das ist doch Wahnsinn bei Netzwerken mit einigen Hundert Teilnehmern. Abgesehen davon gehen Infos ins Netz raus die da nicht rein gehören ( MAC Ableitungen z.B. ). IPv6 hat für mich eher einen Orwellschen Charakter als technischen Fortschritt. Wenn ich mir die letzten Dekaden anschaue sehe ich eine Relation zu Hacks und der Verbreitung von IPv6. Solange man kein DPI bei einer FW braucht funktioniert NAT sehr gut als FW.

[cosinus]

Das würde ja bedeuten ich muss für JEDES Gerät eigene Firewallregeln erstellen.

Unsinn. Wie ich schon schrieb, ist der Paketfilter bei Standardroutern wie Speedport und Firtzbox aktiv auch für IPv6. Sonst wären massive Sicherheitsprobleme vorprogrammiert.
Ich hab hier sehr stark den Eindruck, dass deine Panik vor IPv6 noch deinen großen Wissenslücken darüber geschuldet ist.

funktioniert NAT sehr gut als FW.

NAT ist keine Firewall und kein Sicherheitsfeature.

[mat6937]

Das würde ja bedeuten ich muss für JEDES Gerät eigene Firewallregeln erstellen. Das ist doch Wahnsinn bei Netzwerken mit einigen Hundert Teilnehmern. Abgesehen davon gehen Infos ins Netz raus die da nicht rein gehören ( MAC Ableitungen z.B. ).

Wenn es keine Server sind, muss man das nicht. Es sollten evtl. nur keine v6-NEW-Verbindungen erlaubt sein. Gegen MAC-Ableitungen gibt es (bei Nicht-Servern) die privacy extensions.

[speefak]

"Außer man hat seinen Router entweder falsch oder bewusst so konfiguriert. Wenn ein Router über IPv6 beliebig Anfragen auf alle Ports durchlassen würde, wär das eine Katastrophe für jedes Heimnetz."

Aufgefallen ist mir das Ganze als im LAN wieder massiv Werbung auf Webseiten auftauchte und Loginversuche von Systemen gemeldet wurden, die aus dem Netz gar nicht erreichbar sein sollten. Daraufhin fiel mir auf, dass IPv6 mit einem der letzten FB Updates wieder aktiviert wurde und ich wieder IPv6 Adressen in den Systemspecs einiger Systeme sah. Bisher konnte ich mich vor IPv6 drücken aber die Zeit ist wohl vorbei ;/

Daher eine Abschließende Frage : ist im Router kein IPv6 konfiguriert oder besser komplett deaktiviert fehlt der IPv6 Suffix und die IPv6 Adresse ist ungültig weil unvollständig ( Analog zu IPv4 hätte man nur Portnummer und NAT Zuweisung im Router aber nicht die öffentliche Router IP ? ) Demnach sind Geräte im LAN von Außen nicht erreichbar sondern nur LAN intern ? Können MAC Infos bei Inaktivem IPv6 im Router von Außen ausgelesen werden ?

[speefak]

Ich hab hier sehr stark den Eindruck, dass deine Panik vor IPv6 noch deinen großen Wissenslücken darüber geschuldet ist.

Da liegst du gar nicht so falsch Ich war vor Jahren nur geschockt : IPv6 aktiviert und ALLE Geräte direkt aus dem Netz über IPv6 erreichbar ( Gerät Fitzbox 7390, default Config, nichts verändert, Werksreset ), Da war IPv6 für direkt erledigt.

[cosinus]

Was hast du immer mit deinen "MAC-Infos" bei IPv6?
MAC-Adressen werden nur im jeweiligen Segment übertragen. Das ist bei IPv6 nicht anders.

IPv6 aktiviert und ALLE Geräte direkt aus dem Netz über IPv6 erreichbar ( Gerät Fitzbox 7390, default Config, nichts verändert, Werksreset ), Da war IPv6 für direkt erledigt.

Das kann nicht sein. Bei der Fritzbox ist der Paketfilter per default aktiv.

https://www.msxfaq.de/netzwerk/ipv6/ipv ... itzbox.htm

Fritz!Box als Firewall

Schon bei IPv4 hat eine Fritz!Box die internen Systeme erst einmal nicht aus dem Internet direkt erreichbar gemacht. Das war aber auch kein Hexenwerk, da die Clients durchweg mit "privaten IP-Adressen" gearbeitet haben. Mit IPv6 ist das aber anders, da jeder Kunde z.B. 265 Subnetze bekommt und die Fritz!Box als IPv6-Router fungiert. Allerdings ist auch hier keine eingehende Verbindung ohne entsprechende Konfiguration möglich.

[speefak]

ich glaube ich müsste mal ein wenig IPv6 RTFM betreiben

Wie gesagt bei der FB 7390 wars damals so, Werksreset und alle IPv6 Geräte waren vom Netzauserreichbar. Das scheint allerdings nicht per ( aktuellen ) defaults so zu sein. Mich wundert halt nur die IPv6 Adresse obwohl IPv6 im Router aus ist. Da gibs dann auch noch ULA und einiges mehr was es bei IPv4 so nicht gab => RTFM

[mat6937]

Wie gesagt bei der FB 7390 wars damals so, Werksreset und alle IPv6 Geräte waren vom Netzauserreichbar.

Du kannst in der FritzBox das IPv6 komplett deaktivieren (wenn Du kein DS-lite-Internetanschluss hast), aber nach einem Werksreset ist es evtl. wieder aktiv und muss erneut deaktiviert werden.
BTW: MAC-Adressen aus der externen IPv6-Adresse ableiten, gut nur dann wenn die Interface-ID der IPv6-Adresse, mac-address-basiert (SLAAC) konfiguriert ist.

EDIT:

BTW: Wenn Du DS oder DS-lite oder natives IPv6+CGN für IPv4 als Internet-Anhscluss hast und beides (IPv6+IPv4) benutzt, wird mit Hilfe von "Happy Eyeballs" entschieden ob für eine Verbindung, IPv6 oder IPv4 benutzt wird.

[cosinus]

Ja, bei IPv6 ist einiges anders, aber im Großen und Ganzen sind da mehr Gemeinsamkeiten mit IPv4. Wie gesagt, es gibt kein NAT und DHCP wird idR auch völlig anders gemacht als bei v4.
Du kannst ja mal mit deinem Rechner auf https://www.wieistmeineip.de/ gehen, dann siehst du ob und welche v6-Adresse dein Rechner zum Surfen verwendet. Siehst du da deine Adresse, die nach EUI64 gebildet wird, solltest du die IPv6-Privacy-Extensions aktivieren. Geht in der /etc/sysctl.conf mit diesem Eintrag:

Code: Alles auswählen

net.ipv6.conf.<iface>.use_tempaddr = 2

Für <iface> trägst du deine Netzwerkschnittstelle ein, also sowas wie enp3s0 oder eth0. Bei mir heißt sie eth0 also hab ich

Code: Alles auswählen

net.ipv6.conf.eth0.use_tempaddr = 2

eingetragen. Zusätzliche ULAs brauchst du nicht. Man fährt ja zweigleisig, hat also sowohl IPv4- als auch IPv6-Adressen, du kannst intern also einfach deine 192.168.178.x Adressen verwenden.

[cosinus]

Achso, nochwas. Wenn man einfach nur im Browser kein IPv6 haben will, dann kann man das zumindest im Firefox in about:config so einstellen:

Code: Alles auswählen

network.dns.disableIPv6 = true