Andere/Übergreifend Wechsel auf IPv6 sinnvoll?
- Ersteller Don_2020
- Erstellt am
Du stellst dort nicht um, sondern erstmal kommt IPv6 zusätzlich dazu, IPv4 bleibt bestehen.
Kurzfristig wird für Dich dadurch nichts besser oder schlechter, langfristig unterstützt Du damit die Verbreitung von IPv6. Wenn Dein Anbieter für IPv4 irgendwann auf CG-NAT umstellt (wenn ihm z.B. die IPv4-Adressen für alle seine Kunden ausgehen würden), dann hast Du mit IPv6 (zu entsprechenden Gegenstellen) etwas bessere Verbindungen als per IPv4 über das CG-NAT-System des Anbieters.
Empfehlung: Schalte es an und beobachte, ob Du überhaupt einen Unterschied bemerkst. Wenn Du nichts (störendes) bemerkst, lass es einfach an.
Kurzfristig wird für Dich dadurch nichts besser oder schlechter, langfristig unterstützt Du damit die Verbreitung von IPv6. Wenn Dein Anbieter für IPv4 irgendwann auf CG-NAT umstellt (wenn ihm z.B. die IPv4-Adressen für alle seine Kunden ausgehen würden), dann hast Du mit IPv6 (zu entsprechenden Gegenstellen) etwas bessere Verbindungen als per IPv4 über das CG-NAT-System des Anbieters.
Empfehlung: Schalte es an und beobachte, ob Du überhaupt einen Unterschied bemerkst. Wenn Du nichts (störendes) bemerkst, lass es einfach an.
Nein, wie bei IPv4 läßt Deine Fritzbox auch bei IPv6 nicht angeforderte Daten nicht einfach so in Dein Netz.Don_2020 schrieb:
"Hauptgefährder" ist da eh - wie @Fujiyama sagt - der Nutzer, der einen Mailanhang leichtfertig öffnet oder etwas aus unsicherer Herkunft runterlädt und ausführt. Ob die Mail oder das Programm per IPv4 oder IPv6 runtergeladen wurde spielt für die Sicherheit keine Rolle.
Nein. Nur weil NAT entfällt, entfällt nicht auch die Firewall. Der Router blockiert von Außen nach Innen trotzdem erst einmal alles, was nicht explizit freigegeben wurde.Don_2020 schrieb:
Auf lange Sicht hat man mit IPv6 nur Vorteile. Aktuell gibt es bereits einige wenige Dienste, die nur mit IPv6 funktionieren. Das dürfte bei den meisten Usern aber weniger auffallen.
Ich bin der Meinung, dass IPv6 die Sicherheit sogar erhöht. Warum? ganz einfach.
es gibt 2^32-1 (4.294.967.295) IPv4 Adressen. Eine davon gehört einem Internetanschluss, der eine eigene externe IPv4 hat.
Diesen Adressraum mit einem mittelstarken Server zu scannen (auf mögliche Schwachstellen/offene Ports/...) dauert ~ 10 Minuten.
Auf der anderen Seite gibt es 2^128-1 (340,282,366,920,938,463,463,374,607,431,768,211,456) IPv6 Adressen.
Davon gehört genau eine deiner Firewall und genau eine weitere jedem Gerät, welches mit dieser verbunden ist.
(das kleinste IPv6 Netzwerk ist ein /64 und kann damit 18,446,744,073,709,551,616 Geräte beherbergen)
Ein Scan dessen dauert .... ja gute Frage .... wahrscheinlich mit heutigen (hochleistungs) Mitteln mehrere Jahrzehnte.
Weiterhin: Die IPv6 Adressen der Geräte ändern sich in der Regel regelmäßig (Privacy Extensions). Das iPhone gönnt sich bei jedem Reconnect ins WLAN eine neue und verwirft die alte.
siehe da. bereits das kleinste IPv6 Netzwerk hat 2^32 mal mehr mögliche IP Adressen, als es IPv4 Adressen gibt. Der unsicherste Faktor ist und bleibt der Mensch
R
RalphS
Gast
Keine Vorteile, es funktioniert nur anders, und die Architektur ist auch eine andere.
Ich weiß nicht, wie hier paar Leute auf die Idee kommen, ein Router würde automatisch irgendwas blocken, insbesondere bei ipv6. Das kann er machen, aber es ist nicht mal im Ansatz eine inhärente Eigenschaft.
Der schlaue Mensch stellt sich mit Implementierung von IPv6 eine Hardwarefirewall entweder vor oder unmittelbar hinter den Router.
Dann muß er sich nämlich nicht auf die Behauptungen von Routeranbietern verlassen.
Wenn das nicht geht, weil Aufwand, Kostenpunkt und so weiter, dann bleibt die lokale Software-Firewall am Client, die man sich dann entsprechend einrichten sollte.
IPv6 benötigt kein Portforwarding mehr - das ist eine Eigenschaft von NAT, welche für IPv4 in Verbindung mit privaten Netzsegmenten erforderlich war. Letztere werden in v6 nicht mehr benötigt.
ALLE Hosts in v6 haben eine global gültige Adresse, entsprechend sind auch erstmal alle Hosts in v6 erreichbar -- wenn die Firewall das erlaubt. Die Idee, daß meine Heimnetzadresse mit 192.168.irgendwas nicht geroutet wird, entfällt.
IPv4 und v6 haben miteinander nichts zu tun, wenn man also Dualstack fährt, muß man beides absichern.
Mit v6 wird funktionierende Namensauflösung zur Pflicht. Nicht nur, daß sich (privat) die v6-Adressen ändern - sie sind auch viel zu lang zum Merken. Wenn man außerdem IPv4 implementiert hat, dann kann man darüber natürlich weiterhin seine Ziele im Heimnetz erreichen.
Statische v6 Adressen kann man sich zB für seinen Netzwerkspeicher selbst definieren - Stichwort ULA. Macht aber nur in Verbindung mit einem Namensauflösungsdienst Sinn. Üblicherweise DNS.
V4-only services gibt es stellenweise noch, ja, aber das sind nicht viele. Dasselbe für v6-only. Zumindest derzeit ist "prinzipiell" jeder Webservice über v4 und v6 erreichbar.
Technisch kann DNS per A und AAAA Record demselben DNS-Namen verschiedene Hosts zuordnen und je nachdem, "wie" ich anfrage, erhalte ich den einen oder den anderen. Manche Sites machen da Gebrauch von.
Damit "v6 Internet" funktioniert, muß der jeweilige Client zuhause selbst auch eine öffentliche v6 Adresse erhalten (2::/3).
Es mag noch Zugangsanbieter geben, die einem zuwenig Adressraum geben, wenn man sein Heimnetz irgendwie strukturiert hat. Dann würde es unter Umständen nicht funktionieren.
So oder so ähnlich muß die IP-Konfiguration am Client aussehen. Fehlen die inet6 Einträge, oder steht da nichts mit einer 2 am Anfang, funktioniert es auch nicht per v6 (im Internet).
Ich weiß nicht, wie hier paar Leute auf die Idee kommen, ein Router würde automatisch irgendwas blocken, insbesondere bei ipv6. Das kann er machen, aber es ist nicht mal im Ansatz eine inhärente Eigenschaft.
Der schlaue Mensch stellt sich mit Implementierung von IPv6 eine Hardwarefirewall entweder vor oder unmittelbar hinter den Router.
Dann muß er sich nämlich nicht auf die Behauptungen von Routeranbietern verlassen.
Wenn das nicht geht, weil Aufwand, Kostenpunkt und so weiter, dann bleibt die lokale Software-Firewall am Client, die man sich dann entsprechend einrichten sollte.
IPv6 benötigt kein Portforwarding mehr - das ist eine Eigenschaft von NAT, welche für IPv4 in Verbindung mit privaten Netzsegmenten erforderlich war. Letztere werden in v6 nicht mehr benötigt.
ALLE Hosts in v6 haben eine global gültige Adresse, entsprechend sind auch erstmal alle Hosts in v6 erreichbar -- wenn die Firewall das erlaubt. Die Idee, daß meine Heimnetzadresse mit 192.168.irgendwas nicht geroutet wird, entfällt.
IPv4 und v6 haben miteinander nichts zu tun, wenn man also Dualstack fährt, muß man beides absichern.
Mit v6 wird funktionierende Namensauflösung zur Pflicht. Nicht nur, daß sich (privat) die v6-Adressen ändern - sie sind auch viel zu lang zum Merken. Wenn man außerdem IPv4 implementiert hat, dann kann man darüber natürlich weiterhin seine Ziele im Heimnetz erreichen.
Statische v6 Adressen kann man sich zB für seinen Netzwerkspeicher selbst definieren - Stichwort ULA. Macht aber nur in Verbindung mit einem Namensauflösungsdienst Sinn. Üblicherweise DNS.
V4-only services gibt es stellenweise noch, ja, aber das sind nicht viele. Dasselbe für v6-only. Zumindest derzeit ist "prinzipiell" jeder Webservice über v4 und v6 erreichbar.
Technisch kann DNS per A und AAAA Record demselben DNS-Namen verschiedene Hosts zuordnen und je nachdem, "wie" ich anfrage, erhalte ich den einen oder den anderen. Manche Sites machen da Gebrauch von.
Damit "v6 Internet" funktioniert, muß der jeweilige Client zuhause selbst auch eine öffentliche v6 Adresse erhalten (2::/3).
Es mag noch Zugangsanbieter geben, die einem zuwenig Adressraum geben, wenn man sein Heimnetz irgendwie strukturiert hat. Dann würde es unter Umständen nicht funktionieren.
Code:
inet6 fe80::cb6:66ca:173c:23d0%en7 prefixlen 64 secured scopeid 0x17
inet6 2a02:***:1 prefixlen 64 autoconf secured
inet6 2a02:***:2 prefixlen 64 autoconf temporary
inet 192.168.0.166 netmask 0xffffff00 broadcast 192.168.0.255
media: autoselect (1000baseT <full-duplex>)
status: activeSo oder so ähnlich muß die IP-Konfiguration am Client aussehen. Fehlen die inet6 Einträge, oder steht da nichts mit einer 2 am Anfang, funktioniert es auch nicht per v6 (im Internet).
RalphS schrieb:
Das Routermodell wurde vom Threadersteller genannt und beim genannten Routermodell ist es nunmal der Fall, dass IPv6 von Außen erstmal Dicht ist.
Einem fragenden Privatnutzer, der sich mit IPv6 bisher nicht ansatzweise auskennt, ist mit einer auf seinen konkreten Fall bezogenen Antwort mehr geholfen, als mit einer umfangreichen Erklärung (vermutlich wird der Threadersteller kein "HE IPv6 Sage"-Zertifikat machen wollen ;-)).
Web-Schecki
Lieutenant
- Registriert
- Juni 2010
- Beiträge
- 988
Also es gibt schon noch überraschend viele Nameserver größerer Internetkonzerne, die schlicht keinen AAAA-Record ausliefern. Da wären solche Firmen wie Amazon zu nennen, oder Ebay, GitHub, ... Ich glaube, @foo_1337 hatte mal irgendwann eine Webseite dazu genannt, die diese Dienste auflistet (den Link finde ich aber nicht mehr). Hatte mich damals auch etwas überrascht. Immerhin gibt es IPv6 schon seit über 20 Jahren.RalphS schrieb:
Mal anders gefragt: Von welchem Heimrouter-Hersteller wird kein standardmäßig aktivierter Paketfilter integriert? Zumindest die wenigen Geräte, die ich bisher gesehen habe, hatten selbstverständlich eine Firewall, die auch immer aktiviert war. Natürlich ist es keine inhärente Eigenschaft von Routern, aber die Geräte für den Heimanschluss sind ja sowieso in der Regel eher Schweizer Taschenmesser mit integriertem Modem, Router, Switch, DHCP-Server, DNS-Cache, HTTP-Server (zur Administration), oft auch mit WLAN-AP, oft auch mit SIP-Server/-Client, ..., und eben einem Paketfilter.RalphS schrieb:
Klar bieten sich dadurch theoretisch viele Angriffsvektoren, weil du ein fehlerhafter Dienst das gesamte Gerät samt integrierte Firewall gefährdet - weshalb eine dedizierte Hardware-Firewall sicherlich die Königslösung ist und bleibt. In jedem Fall würde ich der integrierten Firewall in einem Heimrouter eines bekannten Herstellers aber eher vertrauen als irgendeiner Software-Lösung beim Client. Wenn der Rechner kompromittiert ist, dann kann man auch nicht mehr davon ausgehen, dass die Software-Firewall noch funktioniert.
Web-Schecki schrieb:
Ich würde einer Heimrouter Firewall bei einem durchschnittlichen privat Nutzer auch mehr vertrauen als einer Enterprise oder umfangreichen opensource / DIY Firewall. Letztere muss aufwendiger konfiguriert werden was nun einmal nicht jeder Benutzer hinbekommt. Sie hat zwar viele Möglichkeiten, die die meisten Benutzer wohl aber nie brauchen.
Ähnliche Themen
