Mir ist bewusst, dass es bis zur Einführung von IPv6 noch ein weiter Weg ist, aber ich versuche, die Grundlagen zu verstehen, um immer einen Schritt voraus zu sein – und auch einfach nur zum Spaß.
Die Kommunikation über IPv6 ist kein Problem. Sie funktioniert einwandfrei. Ich bin mir jedoch nicht sicher, wie ich mein internes Netzwerk absichern kann.
Betrachten Sie diesen Screenshot von meinem Router. Ich habe die Option „Eingehende IPv6-Verbindungen blockieren“ aktiviert (standardmäßig ist sie deaktiviert):
Wie erwartet blockiert der Router nun alle eingehenden IPv6-Verbindungen zu meinen internen Hosts. Ich habe dies mit einem webbasierten Portscanner überprüft. Was ichnichtIch hatte erwartet, dass Peer-to-Peer-Anwendungen, die auf einem internen Host laufen, den Router nicht mehr anweisen können, Ports bei Bedarf über NAT-PMP vorübergehend zu öffnen. Auch dies habe ich mithilfe eines Portscanners überprüft. Es wurden keine Verbindungen über IPv6 zum Port von BitTorrent zugelassen (obwohl dieser auf IPv6 lauscht, wie über „lsof“ überprüft wurde), aber Verbindungenwaraufgrund erfolgreicher NAT-PMP-Zuordnung für die IPv4-Adresse zulässig.
Als nächstes habe ich versucht, das Kontrollkästchen „Eingehende IPv6-Verbindungen blockieren“ auf Routerebene zu deaktivieren und stattdessen die Firewall-Richtlinie auf Hostebene anzuwenden. Dies hat erfolgreich funktioniert. BitTorrent konnte eingehende IPv6-Verbindungen empfangen. Es gibt jedoch einen großen Sicherheitsnachteil. Sehen Sie sich den folgenden Screenshot des Firewall-Konfigurationsbildschirms des Hosts an:
http://imgur.com/imrXyLD,Cdp310a#1
Hier sehen wir, dass BitTorrent seinen temporären Port erfolgreich geöffnet hat. Wir sehen auch, dass File Sharing und andere wichtige interne Dienste ebenfalls auf Verbindungen warten. Und ein schneller IPv6-Port-Scan ergab, dass diese wichtigen internen Dienste nun vollständig dem Internet ausgesetzt sind. Das ist natürlich nicht das, was ich will.
Ich habe das Kontrollkästchen „Eingehende IPv6-Verbindungen blockieren“ auf Firewall-Ebene schnell noch einmal aktiviert und mein Experiment abgeschlossen. Aber ich bin immer noch ratlos, wie ich das interne Netzwerk in einer IPv6-Welt sichern soll. Sollen wir die Dinge auf Router-Ebene sperren (aber wie öffnen Apps dann dynamisch Ports? Gelten UPnP und NAT-PMP nicht mehr?) oder sollen wir umgekehrt den Router den Datenverkehr durchlassen lassen und Sicherheit auf interner Host-Ebene anwenden (aber wie schützen wir dann interne Dienste vor dem Internet?)?
Antwort1
Auf die gleiche Weise schützen Sie Ihre IPv4-Hosts. Stellen Sie einfach sicher, dass die Hardware/Software neben IPv4 auch die Sicherheitsfunktionen von IPv6 vollständig unterstützt.