IPv6: Fluch oder Segen?

[lordnoxx]

Guten Abend allerseits.

Habe gerade das hier gesehen
http://www.heise.de/security/artikel/IP ... 51552.html

Und nun habe ich große Bedenken bzgl. der Einführung von IPv6, welche ja früher oder später kommen wird.

Wie seht ihr das Thema IPv6 im Allgemeinen, hinsichtlich Sicherheit und im Vergleich zu IPv4? Fluch oder Segen?


Gruß

[TRex]

Ich lade es mir gerade runter via torrent. Ohne jetzt auch nur die Slideshows anzusehen, sehe ich das größte Problem darin, dass jeder eine statische IP-Adresse haben wird (davon gehe ich zumindest aus, vielleicht planen die ISPs auch eine Rotation, um dann doch wieder einen Unterschied zur teuren Standleitung zu haben).

Wenn das der Fall ist, brauchen wir keine Tracking-Cookies mehr. Dann können wir direkt nach der ersten Eingabe unseres Namens oder Bankdaten auch gleich ne Kopie des Personalausweises an den Browser-Agent anhängen.

Edit: http-mirror gefunden: http://datatomb.de/mirror/CCC/27C3/mp4-h264-HQ/

[catdog2]

davon gehe ich zumindest aus, vielleicht planen die ISPs auch eine Rotation, um dann doch wieder einen Unterschied zur teuren Standleitung zu haben

Wenn ich richtig informiert bin plant zumindest die Telebums genau das.

Wenn das der Fall ist, brauchen wir keine Tracking-Cookies mehr. Dann können wir direkt nach der ersten Eingabe unseres Namens oder Bankdaten auch gleich ne Kopie des Personalausweises an den Browser-Agent anhängen.

Wenn man davon ausgeht, dass du dein subnet alleine benutzt ja.

Edit: http-mirror gefunden: http://datatomb.de/mirror/CCC/27C3/mp4-h264-HQ/

Geht auch offensichtlicher: http://ftp.ccc.de/congress/27c3/mp4-h264-HQ/
Den gibts auch da: http://media.ccc.de/browse/congress/201 ... ities.html

Und nun habe ich große Bedenken bzgl. der Einführung von IPv6, welche ja früher oder später kommen wird.

Ich nicht. Du tust ja so, als ob IPv4 sicherer wär.

Wie seht ihr das Thema IPv6 im Allgemeinen, hinsichtlich Sicherheit und im Vergleich zu IPv4? Fluch oder Segen?

IPv6 bringt gerade mit den Autokonfigurationsmechanismen ein paar lustige neue Möglichkeiten. Wie Gesagt: IPv4 ist auch nicht besser.

Auch bei IPv6 (was ja auch schon seine 10-15 Jahre aufm Buckel hat) wird davon ausgegangen, dass innerhalb des lokalen Netzes ja keiner böse Absichten verfolgt und man sich nur nach Außen hin absichern muss. War schon immer eine recht wackelige Annahme und kann man heute mit Wlan und Mobilgeräten, die kommen und gehen total in die Tonne treten.

[lordnoxx]

Ich nicht. Du tust ja so, als ob IPv4 sicherer wär.

Naja, ich habe das so verstanden, dass gerade bei IPv4 das NAT doch etwas mehr Sicherheit bietet. Bei IPv6 ist zwar NAT auch noch möglich, denke ich mal, aber nicht mehr zwingend nötig und auch nicht vorgesehen. Außerdem finde ich diese autoconfig-Fähigkeit von IPv6 irgendwie unheimlich. Da hat man doch sein Netz nichtmehr voll unter Kontrolle. Ich würde eigentlich auch gerne weiterhin die IPs in meinem Netz mittels eines DHCP-Servers verteilen. Und wie soll denn eine Firewall ohne NAT funktionieren wenn jeder Rechner seine eigene öffentliche IP bekommt?
Und wie soll das dann mit der einwahl beim ISP funktionieren, jeder Rechner einzeln?

Wie ich das hier so schreibe, merke ich, dass ich eigentlich überhupt nicht verstanden habe was an IPv6 so toll sein soll (abgesehen vom großen Adressraum). Habe gerade auch nochmal den IPv6 Artikel auf wikipedia überflogen....das ganze Thema ist soooooo unglaublich komplex. Ich werde da wohl nie völlig durchsteigen.

[catdog2]

Naja, ich habe das so verstanden, dass gerade bei IPv4 das NAT doch etwas mehr Sicherheit bietet.

Nö.

Ich würde eigentlich auch gerne weiterhin die IPs in meinem Netz mittels eines DHCP-Servers verteilen. Und wie soll denn eine Firewall ohne NAT funktionieren wenn jeder Rechner seine eigene öffentliche IP bekommt?

1. Kannst du machen. Ob das besser ist ist fraglich.
2. Was hat eine firewall mit nat zu tun?

Und wie soll das dann mit der einwahl beim ISP funktionieren, jeder Rechner einzeln?Und wie soll das dann mit der einwahl beim ISP funktionieren, jeder Rechner einzeln?

Nö wieso?

[lordnoxx]

2. Was hat eine firewall mit nat zu tun?

Ja gut, nicht mit NAT aber mit Routing. Eine Firewall steht ja immer zwischen zwei Subnetzen und erlaubt oder unterbindet gewisse Pakete vom einen in das andere Netz. So auch bei IPv4 zwischen Internet und den Heim/Firmen Netzen. Wie aber soll das bei IPv6 gehen, wenn es nur noch öffentliche Andressen gibt? An welcher stelle Setzt dann die Firewall an?

[syssi]

2. Was hat eine firewall mit nat zu tun?

Ja gut, nicht mit NAT aber mit Routing. Eine Firewall steht ja immer zwischen zwei Subnetzen und erlaubt oder unterbindet gewisse Pakete vom einen in das andere Netz. So auch bei IPv4 zwischen Internet und den Heim/Firmen Netzen. Wie aber soll das bei IPv6 gehen, wenn es nur noch öffentliche Andressen gibt? An welcher stelle Setzt dann die Firewall an?

Dann konfigurierst du es immer noch so, dass dein Router eine einzelne IPv6 Adresse bezieht und du ein privates IPv6-Subnet als lokales Netz verwendest. Alternativ klickt man dann irgendwann in Zukunft in seinem Router einen Knopf mit der Aufschrift "oeffentliches IPv6 Subnet anfordern", dann bekommt dein Router ein Adresspool zur Verfuegung gestellt, dieser verteilt die Adressen per DHCP an deinen Rechner im LAN weiter und schon sind alle deine Rechner ueber eigene oeffentliche IPs aus dem Netz erreichbar. Dabei handelt es sich aber um ein Feature, welches einfach durch den größeren Adressraum möglich wird.

[lordnoxx]

Dann konfigurierst du es immer noch so, dass dein Router eine einzelne IPv6 Adresse bezieht und du ein privates IPv6-Subnet als lokales Netz verwendest.

Und das ist dann kein NAT? Denn wenn mein Router dann ja eine externe und eine interne Adresse hat, muss er ja zwischen diesen Adressen vermitteln.

[syssi]

Doch, das ist dann wieder NAT. Wer zwingt dich denn dazu kein NAT mehr zu verwenden?

[lordnoxx]

Sorry, aber wie ich schon sagte....das ist sehr komplex. Man bekommt im Netzt unterschiedliche Infos zu dieser Sache. Ich werde mir da wohl mal ein Buch zulegen müssen.

[uname]

Das Problem ist die MAC-Adresse des Gerätes, die Teil der IPv6-Adresse ist. Ist man nun mit einem anderen Netzwerk unterwegs so erfährt z.B. der entfernte Webserver diese Information und kann einen trotzdem eindeutig zuordnen. Ist man in vielen Netzen unterwegs wird man kaum die Netzbetreiber jeweils fragen können ob die MAC-Adresse dynamisch neu zugewiesen wurde, was ja auch routingtechnisch nicht notwendig wäre. Da hilft nur eine clientseitige Software, die regelmäßig die MAC-Adresse bzw. den entsprechenden Teil der IPv6-Adresse ändert.

Ist wohl wie bei der IMAI-Adresse vom Handy. Es reicht eben nicht wenn man ein Handy klaut die SIM-Karte zu tauschen. Das Handy ist weiterhin lokalisierbar. Hat somit alles seine Vor- und Nachteile.

[catdog2]

Code: Alles auswählen

sysctl net.ipv6.conf.eth0.use_tempaddr=2 

[trompetenkaefer]

Das Problem ist die MAC-Adresse des Gerätes, die Teil der IPv6-Adresse ist. Ist man nun mit einem anderen Netzwerk unterwegs so erfährt z.B. der entfernte Webserver diese Information und kann einen trotzdem eindeutig zuordnen. Ist man in vielen Netzen unterwegs wird man kaum die Netzbetreiber jeweils fragen können ob die MAC-Adresse dynamisch neu zugewiesen wurde, was ja auch routingtechnisch nicht notwendig wäre. Da hilft nur eine clientseitige Software, die regelmäßig die MAC-Adresse bzw. den entsprechenden Teil der IPv6-Adresse ändert.

Ist wohl wie bei der IMAI-Adresse vom Handy. Es reicht eben nicht wenn man ein Handy klaut die SIM-Karte zu tauschen. Das Handy ist weiterhin lokalisierbar. Hat somit alles seine Vor- und Nachteile.

Stichwort Privacy Extensions

[uname]

Danke für die Info. Vielleicht kann ja mal jemand mal beim Debian-Projekt irgendwo eintüten, dass die "Privacy Extensions" bei Debian standardmäßig aktiviert werden. Hätte gedacht Debian hat einen gewissen Anspruch an IT-Sicherheit. Wie sieht das überhaupt aktuell bei Android aus?

[lordnoxx]

Warum hätte es eigentlich nicht genügt, einfach den Andressraum von IPv4 zu vergrößern? Sprich: Adresse wie bei IPv6 aber der Rest des Protokolls bleibt beim bekannten IPv4.

[startx]

Ist wohl wie bei der IMAI-Adresse vom Handy. Es reicht eben nicht wenn man ein Handy klaut die SIM-Karte zu tauschen. Das Handy ist weiterhin lokalisierbar. Hat somit alles seine Vor- und Nachteile.

wenn ein handy nicht lokalisierbar waere wuerden dich anrufe nie erreichen

aber ja, ich weiss schon was du meinst, die IMEI ( das meinst du vermutlich ) ist halt nicht oder nicht einfach zu aendern.

[Lord_Carlos]

Fest IP und kein NAT, endlich.
Das was hier so manch einer als Nachteil sieht finde ich gut. Ich habe das jetzt schon mit IPv4 zu hause bei mir, aber sowas kann man nicht ueberall bekommen.