Sicheres IPv6 Netzwerk

Hallo zusammen

Tut mir leid, aber das wird ein langer Text ;)

Ist Situation:

Ich habe ein privates geschlossenes Netzwerk und eine DMZ. In dieser DMZ stehen meine beiden Server, welche von ausserhalb erreichbar sind.
Die DMZ ist teilweise offen (Bsp. Webhosting Port 443 ist offen), um eben die Server von aussen für gewisse Dienste erreichbar zu machen.

Meiner Auffassung nach ist meine Netzwerkarchitektur ziemlich sicher aufgebaut. Wenn jemand die Kontrolle über den Server bekommt kann er ja nicht ins Private Netzwerk rüber.
Ausserdem habe ich ja nur die Ports geöffnet die auch nötig sind.

Um jetzt die Webseite zu erreichen oder Mailserver usw. habe ich bisher immer mit DynDNS gearbeitet. Denn in der Schweiz ist eine fixe IPv4 Adresse nur als Business Kunde möglich. Jedoch ist das einfach nicht so schön und jetzt hab ich da was über IPv6 gelesen und dann kam mir eine Idee.

Anscheinend sind IPv6 Adressen statisch. Somit könnte ich ja einfach für die Records bei meiner Domain die IPv6 Adresse angeben.


So und jetzt zu meinem "Problem"

Ich habe keine Ahnung von IPv6. Ein bisschen was habe ich durch ewiges durchlesen von PDFs herausgefunden, aber da sind trotzdem noch ein paar Fragen.

1. Ich habe bei der DNS Zone meiner Domain einen AAAA Record mit meiner IPv6 Adresse von einem der Server erstellt. Und nun komme ich einfach so auf die Webseite. Ich musste keine Ports oder sonst was weiterleiten. Das kann ja nicht sicher sein?

Also für mich sieht das im Moment so aus, als wäre die Firewall für IPv6 deaktiviert? Muss ich da was beim Router einstellen, oder gibts die Firewall nicht mehr und nur noch die im Computer selbst ist dafür zuständig?



2. Habe ich das richtig gelesen. Die IPv6 Adresse eines Computers ist statisch? Sie wird unteranderem aus einem Teil der MAC Adresse mutgebildet?

Denn ansonsten würde alles garnichts bringen.


Mir ist bewusst, dass ich auch googeln könnte. Aber ich habe schon einiges an Zeit verbraucht um nur ganz wenige am Schluss zu wissen. Deshalb dachte ich, vielleicht weiss ja jemand grad schon was oder hat schon Erfahrung mit IPv6.

Danke schonmal für eure Hilfe
 

Whistler

Blog Benutzer
Anscheinend sind IPv6 Adressen statisch.
Überprüfe das bitte bei Deinem Internetprovider. Hier in Deutschland gab es während des IPv6-Feldversuches der Telekom eine längliche Datenschutzdiskussion, in deren Ergebnis bei jeder Einwahl eine neue Adresse (genauer: Präfix) zugewiesen wird, um die Rückverfolgbarkeit zu erschweren. Zumindest bei der Telekom ist es noch so, bei anderen DSL-Anbietern habe ich in der Leistungsbeschreibung ähnliches gelesen.

Kabelnetzanbieter dagegen handhaben es anders, hier bekommt man oft monatelang dieselbe Konfiguration bzw. muß sogar auf einer Serviceseite des Anbieters eine neue IP beauftragen. In der Schweiz kenne ich mich diesbezüglich nicht aus.

Oft wird der IP-Wechsel (und die früher oft übliche Zwangstrennung/IP-Neuvergabe) gezielt gemacht, um den Serverbetrieb zu erschweren - wer mehr als Surfen und mailen macht, soll dafür eines der Businessprodukte verwenden.

1. Ich habe bei der DNS Zone meiner Domain einen AAAA Record mit meiner IPv6 Adresse von einem der Server erstellt. Und nun komme ich einfach so auf die Webseite. Ich musste keine Ports oder sonst was weiterleiten. Das kann ja nicht sicher sein?
Die Aussage verstehe ich jetzt nicht.
Wenn Du einen Server im RZ hast, ist das dort ja genauso - und wesentlicher Bestandteil der erwarteten Funktionalität.
Sicherheit muß primär aus dem Server selbst heraus kommen.

Was vermutlich Dein Denkfehler ist: So wie Du oben Dein Netzwerk beschreibst hast Du vermutlich keine klassische DMZ mit öffentlichen IPs, sondern nur einen einfachen Einwahlzugang mit einer einzelnen dynamischen IP (deswegen ja auch das DynDNS) und dahinter auf IPv4 NAT.

"Portweiterleitung" ist lediglich ein Hilfskonstrukt, um mit dieser einzelnen IP verschiedene Server und deren Dienste ansprechen zu können.

IPv6 hat aufgrund der Länge der Adressen einen so großen Adreßraum, daß man das Hilfskonstrukt NAT usw. nicht braucht, jeder Kunde bekommt einen ganzen Netzblock (oft /64 oder /56) zugewiesen. Damit kann jedes Endgerät eine weltweit gültige Adresse erhalten und die komplexe und fehlerträchtige Übersetzung privater <-> öffentlicher Addressraum (NAT) entfällt.

Also für mich sieht das im Moment so aus, als wäre die Firewall für IPv6 deaktiviert? Muss ich da was beim Router einstellen, oder gibts die Firewall nicht mehr und nur noch die im Computer selbst ist dafür zuständig?
Das kann man ohne genaue Kenntnis Deiner Netzarchitektur schlecht beantworten. In der Anfangszeit gab es oft billige Home-Router, die nur für IPv4 eine Firewall mitbrachten und IPv6 gar nicht verstehen (und filtern) konnten. Dieses Stadium sollte aber seit mindestens 10 Jahren überwunden sein, gängige Router (z.B. FRITZ!Box) und natürlich semiprofessionelle Router (wie z.B. LANCOM) können das selbstverständlich.
natürlich muß man die Firewall einschalten und passig (Ziel-Adressen, Ports, Connection-Limits) auskonfigurieren.
Und natürlich sollte der Server sich diesbezüglich selbst schützen können (nicht zu viele offene Ports und Dienste, Wartungsports wie z.B. ssh verlegt, fail2Ban usw - dazu ist hier im Forum viel geschrieben).

2. Habe ich das richtig gelesen. Die IPv6 Adresse eines Computers ist statisch? Sie wird unteranderem aus einem Teil der MAC Adresse mutgebildet?
Das entscheidest Du selbst. Wenn Du einen /64-präfix hast, kannst Du aus 2^32 Adressen auswählen.
Statische IPv6-Adressen werden mit den gleichen Mechanismen (und nur marginal anderer Syntax) konfiguriert wie IPv4

Was Du beschreibst ist die zustandslose Autokonfiguration (SLAC) - ein zusätzliches Feature von IPv6, welches die manuelle Adreßvergabe ersetzen kann. Im IPv4-Bereich setzt man (abseits der Serverwelt) heutzutage oft DHCP ein - damit kannst Du auch nicht unbedingt vorhersehen, welche IP z.B. Dein Handy gerade verwendet. Neben der Autokonfiguration gibt es natürlich noch andere Möglichkeiten, z.B. ebenfalls DHCPv6 oder die (bei Windows standardmäßig aktivierte) IP Privacy nach RFC 4941.

Mir ist bewusst, dass ich auch googeln könnte.
Nimm es mir nicht übel, aber bei Deinem aktuellen Kenntnisstand solltest Du das. Es gibt viele gute Informationsseiten zum Thema.
 
Überprüfe das bitte bei Deinem Internetprovider. Hier in Deutschland gab es während des IPv6-Feldversuches der Telekom eine längliche Datenschutzdiskussion, in deren Ergebnis bei jeder Einwahl eine neue Adresse (genauer: Präfix) zugewiesen wird, um die Rückverfolgbarkeit zu erschweren. Zumindest bei der Telekom ist es noch so, bei anderen DSL-Anbietern habe ich in der Leistungsbeschreibung ähnliches gelesen.

Kabelnetzanbieter dagegen handhaben es anders, hier bekommt man oft monatelang dieselbe Konfiguration bzw. muß sogar auf einer Serviceseite des Anbieters eine neue IP beauftragen. In der Schweiz kenne ich mich diesbezüglich nicht aus.

Oft wird der IP-Wechsel (und die früher oft übliche Zwangstrennung/IP-Neuvergabe) gezielt gemacht, um den Serverbetrieb zu erschweren - wer mehr als Surfen und mailen macht, soll dafür eines der Businessprodukte verwenden.


Die Aussage verstehe ich jetzt nicht.
Wenn Du einen Server im RZ hast, ist das dort ja genauso - und wesentlicher Bestandteil der erwarteten Funktionalität.
Sicherheit muß primär aus dem Server selbst heraus kommen.

Was vermutlich Dein Denkfehler ist: So wie Du oben Dein Netzwerk beschreibst hast Du vermutlich keine klassische DMZ mit öffentlichen IPs, sondern nur einen einfachen Einwahlzugang mit einer einzelnen dynamischen IP (deswegen ja auch das DynDNS) und dahinter auf IPv4 NAT.

"Portweiterleitung" ist lediglich ein Hilfskonstrukt, um mit dieser einzelnen IP verschiedene Server und deren Dienste ansprechen zu können.

IPv6 hat aufgrund der Länge der Adressen einen so großen Adreßraum, daß man das Hilfskonstrukt NAT usw. nicht braucht, jeder Kunde bekommt einen ganzen Netzblock (oft /64 oder /56) zugewiesen. Damit kann jedes Endgerät eine weltweit gültige Adresse erhalten und die komplexe und fehlerträchtige Übersetzung privater <-> öffentlicher Addressraum (NAT) entfällt.


Das kann man ohne genaue Kenntnis Deiner Netzarchitektur schlecht beantworten. In der Anfangszeit gab es oft billige Home-Router, die nur für IPv4 eine Firewall mitbrachten und IPv6 gar nicht verstehen (und filtern) konnten. Dieses Stadium sollte aber seit mindestens 10 Jahren überwunden sein, gängige Router (z.B. FRITZ!Box) und natürlich semiprofessionelle Router (wie z.B. LANCOM) können das selbstverständlich.
natürlich muß man die Firewall einschalten und passig (Ziel-Adressen, Ports, Connection-Limits) auskonfigurieren.
Und natürlich sollte der Server sich diesbezüglich selbst schützen können (nicht zu viele offene Ports und Dienste, Wartungsports wie z.B. ssh verlegt, fail2Ban usw - dazu ist hier im Forum viel geschrieben).


Das entscheidest Du selbst. Wenn Du einen /64-präfix hast, kannst Du aus 2^32 Adressen auswählen.
Statische IPv6-Adressen werden mit den gleichen Mechanismen (und nur marginal anderer Syntax) konfiguriert wie IPv4

Was Du beschreibst ist die zustandslose Autokonfiguration (SLAC) - ein zusätzliches Feature von IPv6, welches die manuelle Adreßvergabe ersetzen kann. Im IPv4-Bereich setzt man (abseits der Serverwelt) heutzutage oft DHCP ein - damit kannst Du auch nicht unbedingt vorhersehen, welche IP z.B. Dein Handy gerade verwendet. Neben der Autokonfiguration gibt es natürlich noch andere Möglichkeiten, z.B. ebenfalls DHCPv6 oder die (bei Windows standardmäßig aktivierte) IP Privacy nach RFC 4941.


Nimm es mir nicht übel, aber bei Deinem aktuellen Kenntnisstand solltest Du das. Es gibt viele gute Informationsseiten zum Thema.
Danke für deine Ausführliche Antwort.
Mir ist einiges jetzt deutlich klarer geworden.

Das mit der DMZ stimmt. Es ist ein eigenes abgetrenntes Netzwerk, dass über eine einzige öffentliche IP läuft.


Mit der Aussage, dass ich keine Ports freischalten musste, da dachte ich, dass wenn eine Anfrage auf 443 direkt zu meinem Server gelangt (ohne dass ich den Port beim Router wie bei ipv4 geöffnet habe) dann sind ja wahrscheinlich alle Ports offen und somit wird alles durchgelassen.
so meine Überlegung
 

Whistler

Blog Benutzer
Wie schon geschrieben:
Dein Server hat eine weltweit gültige IPv6-Adresse, damit sind auch alle Ports, an die Dienste gebunden sind weltweit erreichbar.
Bei IPv4 wäre das nur so, wenn Du Deinen Server direkt mit einem Modem (nicht Router) mit dem Internet verbindest.
Meist haben Router auch die Möglichkeit, alle Ports an einen Server weiterzuleiten (heißt je nach Modell oft 1:1-NAT oder exposed Host).
Damit ist Dein Server nicht sicherer oder unsicherer als ein gehosteter im Rechenzentrum - der hat ja auch eine öffentliche IPv4 und IPv6.
Auch den muß man aus sich selbst heraus sicher konfigurieren und schützen.

Eine DMZ wird üblicherweise durch eine Firewall vom Internet abgetrennt. Die kann in Deinem Router sein (bei DSL-Routern hat man i.d.R. volle Kontrolle, Glasfaser- oder Kabelrouter sind oft fernverwaltete Mietgeräte vom Anbieter mit nur rudimentären Einstellmöglichkeiten) oder kann als separates Gerät von den üblichen Anbietern (z.B. Cisco, Fortinet, Sophos, WatchGuard oder CheckPoint) dazwischengeschaltet werden.

Wenn Dein Router "alle Ports durchläßt" ist die Firewall für IPv6 dort entweder nicht konfiguriert, ausgeschaltet oder nicht vorhanden.

Eine weitere Möglichkeit wären zwei getrennte Netzwerkschnittstellen am Server - eine öffentliche, die nur die beabsichtigen Dienste (in Deinem Fall Port 443) durchläßt und eine private mit Management-Zugängen wie z.B. SSH.
 

MarroniJohny

New Member
Denn in der Schweiz ist eine fixe IPv4 Adresse nur als Business Kunde möglich
Wer hat Dir denn das erzählt? Ich war jetzt >20 Jahre bei UPC, und hatte immer fixe IP, bzw. die IPv4 hat einfach nie gewechselt. Genauso bei der Swisscom. Jetzt bin ich bei Salt und bezahle einen 10er Aufpreis für eine IPv4 Adresse.

Ausnahmlos alle Provider die hier an meinem Standort verfügbar sind bieten eine fixe IPv4 Adresse. LTE mal aussen vor. Teils standardmässig, teils gegen einen geringen Aufpreis. Bei welchem Anbieter bist Du denn?
 
Last edited:
Top