[Eisfair] eisfair und IPv6 - allgemein und DHCP/DNS/BIND?

Hendrik Orep hendrik.orep at mailbox.org
Do Okt 31 21:41:04 CET 2019


Hallo Kay,

Am 31.10.19 um 21:09 schrieb Kay Martinen:
> Am 31.10.2019 um 20:44 schrieb Hendrik Orep:
>> Hallo Kay,
>>
>> Am 31.10.19 um 19:15 schrieb Kay Martinen:
>>> Das ist ja so auch nicht ganz richtig. Ein PC mit einer Öffentlichen
>>> IPv6 Adresse wird nur noch von seiner eigenen Firewall geschützt. Und
>>> ggf. dem Umstand das auf ihm keine Dienste laufen die Ports öffnen die
>>> an diese Global gültige Adresse gebunden sind.
>>
>> Das ist für ein 08/15 Heimnetz schlichtweg falsch. Die gängigen dort
>> verwendeten Router haben eine Firewall integriert, die keine Pakete
>> durchlässt, welche nicht Antworten zu einer aus dem LAN initiierten
>> Anfrage sind (Abruf einer Webseite per http z.B.).
> 
> Du meinst z.b. Bots die ihren C&C Server kontaktieren? Welche FW hält
> das schon auf. Es mag ja sein das in Beiden Varianten nur Related
> Verkehr durch geht. Ein Schutz ist das aber auch nicht wirklich.

Das ist aber bei einem 08/15-Plasterouter effektiv das selbe Verhalten
wie im alten IPv4 mit NAT. Der ausgehende Verkehr (und die dazugehörigen
Antworten) werden da auch nicht geblockt. Wenn ein Bot _in_ deinem Netz
sitzt, ist das sowieso ein ganz anderes Angriffsmodell aus "von außen
erreichbare" PCs.

>> Wer also sein IPv6 alleine aus dem Grunde NATet, damit Rechner nicht
>> ungeschützt aus dem Internet erreichbar sind, schafft sich damit
>> lediglich zusätzliche Probleme, ohne jedoch sein eigentliches Problem
>> wirklich zu lösen.
> 
> NAT6 ist wohl kaum der Normalfall. Und Ein Router der jede Ankommende
> IPv6-Verbindung erst mal abblockt verhindert doch eigentlich auch
> effektiv das der PC wirklich "im Internet" ist - falls es eine Bewußte
> Entscheidung war auf ihm Dienste für die Öffentlichkeit an zu bieten.
> 
> Das ist natürlich ebenso wenig der Normalfall. Wie geht denn das bei
> deiner Fritte. Kann man da die Blockierung ankommender Verbindungen zu
> Intern für jeden Host getrennt aufheben oder nur Ausnahmen definieren?

Du kannst für jeden einzelnen Host einzelne Ports für den Zugriff von
außen freigeben.

> Letzteres wäre dann wie bei IPv4 mit PortFw nur das kein NAT gebraucht wird.

[x] that's why IPv6 is so much better :)

> Ein "Exposed Host" Feature finde ich da übrigens auch nicht vergleichbar
> - wenn es nicht an einen Festen Port und Separates LAN-Segment (DMZ)
> gebunden ist.

Exposed Host geht bei den Fritzboxen auch. Du kannst auch separate (per
DHCPv6-PD delegierte!) Netze komplett freigeben.

Man mag von den AVM-Dingern halten was man will, aber bei IPv6 machen
die schon ziemlich viel richtig. Und wenn dass nicht mehr ausreicht –
mit quasi jedem Linux oder BSD kann man sich IPv6-Router und Firewalls
mit allen Funktionen bauen (ipfire und opnsense wurden ja schon
angesprochen).

Gruß
Hendrik


Mehr Informationen über die Mailingliste Eisfair