[Eisfair] eisfair und IPv6 - allgemein und DHCP/DNS/BIND?

Kay Martinen kay at martinen.de
Do Okt 31 19:15:04 CET 2019


Am 31.10.2019 um 18:46 schrieb Marcus Roeckrath:

> Hendrik Orep wrote:
> 
>>> Die beste Firewall bringt nichts, wenn der PC mit Windoof eine
>>> öffentliche ipv6 Adresse hat. Der PC kann sich ja dann selber die
>>> Türen öffnen die er braucht.
>>
>> Hmm, was hat den die IP-Adresse des PCs mit der Firewall zu tun? Wenn
>> die Firewall keinen Zugriff auf die Clients im LAN aus dem Internet
>> erlaubt (was z.B. bei der Fritz Box die Standardeinstellung ist), dann
>> ändert sich daran auch durch eine öffentliche IPv6-Adresse auf dem
>> Client nichts.
> 
> Es wäre auch eine Horrorvorstellung, wenn alleine die Verwendung von IPv6
> die PCs im lokalen Netz beliebig von überall zugreifbar wären.

Ironie-Tag vergessen?

Das ist ja so auch nicht ganz richtig. Ein PC mit einer Öffentlichen
IPv6 Adresse wird nur noch von seiner eigenen Firewall geschützt. Und
ggf. dem Umstand das auf ihm keine Dienste laufen die Ports öffnen die
an diese Global gültige Adresse gebunden sind.

Das ist wie mit den Geschlossenen Ports in der Firewall des Routers bei
IPv4. Nur das dort alle Ausgehenden Verbindungen per NAT unterbrochen
und auf die Öffentliche IPv4 Adresse umgesetzt werden, und ankommende
Verbindungen "normalerweise" keine Offenen Ports vorfinden - außer man
richtet Portforwards ein, Manuell oder per uPnP auf Anfrage von innen.

Die Firewall des Router ist aber üblicherweise für IPv6 Verkehr mit den
Globalen Adressen durchlässig. Ausgehender Verkehr wird m.W. generell
durchgelassen und ankommende Verbindungen auch an die Global gültige
Adresse durchgereicht - die des jeweiligen PCs im LAN der sie inne hat.

Darum schützt die Firewall des Routers bei IPv6 gegen gar nichts. Nur
noch die im PC selbst. Bohrt da ein Programm ein loch rein und aktiviert
einen Dienst ist der PC zum IPv6 Internet hin offen und kompromittiert.

Ich vermute das wollten Olaf und Marcus damit sagen, oder?

Kay

-- 
Sent via SN (Eisfair-1)


Mehr Informationen über die Mailingliste Eisfair