IPv6

    So wie ich das englische Forum verfolgt habe, ist noch keine Firmware mit IPv6 geplant.


    Ich finde es auch schade, wobei ich selbst noch keine Verwendung hätte.
    Für die Zukunft wäre es schon wichtig IPv6 zu haben.

    Wozu braucht ihr IPv6 ? :-/
    Habt ihr 'ne Standleitung mit fester IP-Adresse im Internet? Wohl kaum.


    Ihr braucht also immer irgendeinen WAN-LAN Router (ob nun DSL, Kabel oder sonstwas) und die werden wohl bei wirklicher Verfügbarkeit von IPv6-Adressen im Internet wohl noch mindestens 10 Jahre im LAN IPv4 unterstützen. WAN-Netz und LAN-Netz sind durch den Router per NAT eh getrennt, also was solls. Ob ihr nun den Router 'ne externe IPv6-Adresse auf eine interne IPv6- oder IPv4-Adresse umsetzen lasst, hängt eher von der Unterstützung der eigenen Gerätschaft ab. Und da schaut es für IPv6 miserabel aus.


    Sicher wird es irgendwann soweit sein, dass jedes Gerät eine eigene Adresse bekommen kann, die Krux für mich ist da aber die Sicherheit. Selbst wenn ich eine eigene Adresse bekommen würde, will ich eine dedizierte Firewall mit NAT und SPI VOR meinem Netz haben, oder wollt ihr 'nen Windows-Rechner direkt ins Internet hängen :?:


    Was ich mir am ehesten vorstellen könnte, wäre ein Router der vom WAN mehrere IPv6-Adressen bekommen kann (statt wie heute üblich nur eine IPv4) und diese dann ins interne Netz eingeblendet. Ob das allerdings für einen normalen Anwender dann noch konfigurierbar ist ? Lassen wir uns überraschen :mrgreen:

    Zitat von "warpcam"

    Wozu braucht ihr IPv6 ?:


    Mit NAT geht viel, aber es gibt laufend unangenehme Situationen, wo man wieder etwas basteln muss, damit es auch ohne offizielle IPs auf allen Geräten geht. Das ist nervig. Ausserdem wird es wohl nicht mehr lange dauern, bis IPv4 Adressen echt knapp werden. Wir haben gottseidank noch üppige IPv4 Reseven, aber unsere Kunden schon nicht mehr. Dort müssen wir meist NATen oder wegen des zu kleinen offiziellen Netzes den Wichtigen Geräten offizielle IPs geben und den anderen geNATete. Einfach lästig!


    Mittlerweile können aber sogar schon AVM FritzBoxen IPv6 handlen und sich notfalls per 6over4 Tunnel ins LAN holen, wenn Dein Provider - wie viele - IPv6 noch nicht unterstützt. Siehe http://www.avm.de/de/Service/S…IPv6/labor_start_IPv6.php. Damit kannst Du auch Firewallregeln definieren.


    IPv6 ist irgendwie wie 64-Bit-Technologie: man kann sicher noch lange Zeit alles mit 32 Bit (IPv4) lösen, aber es sind dann doch nurmehr laufend Workarounds und Patches und Unannehmlichkeiten. Allerdings, zugegeben, wie bei 64 Bit funktioniert auch mit IPv6 vieles noch nicht rund. Gerade deshalb sollte man allerdings damit experimentieren und die Hersteller mehr fordern, IPv6 in ihren Produkten zum Laufen zu bringen.

    Wenn's die Zukunft fordert, wirds die Zukunft schon bringen.


    Wir werden mit unseren Enkeln im Holodeck am Lagerfeuer sitzen und und sie werden uns ungläubig lauschen, was wir in den guten alten zeiten so alles geNATet haben :D


    Hallo warpcam,


    ich habe den Eindruck, dass du IPv6 nicht verstanden hast, aber ebenso wenig über NAT weist. Das was derzeit an Routern mit NAT gemacht wird hat keinerlei Sicherheitsfunktion, da die interne IP-Adresse zwar nicht nach aussen kommuniziert wird, doch dennoch in allen Headern der öffentlichen IP-Adresse deines Routers die unterschiedlichen Geräte deines LANs identifiziert werden - wie sollte denn ansonsten eine Webseite oder der Router wissen an welchen von 2 PC im LAN die angeforderten Daten gehen sollen? Es wird bei jeder Anfrage ein NAT-Port mitgesendet der auch in der Antwort enthalten ist die der Router wieder intern weiter leitet.

    • Mit IPv6 braucht man kein NAT mehr, kann es aber dennoch einsetzen wenn es nötig wäre.
    • Ohne NAT muss man keine Port-Forwardings mehr machen, da jedes Gerät im Netz jeden Port nutzen kann.
    • Ein NAT nützt kein bisschen mit einer schlecht konfigurierten Firewall, ohne NAT gilt das selbe.
    • NAT ist nur eine Pseudo-Sicherheit.


    Jedes XP kann IPv6 wenn man es kostenlos nachrüstet. Seit der neuen FW habe ich kein Gerät in meinem LAN mehr das kein IPv6 kann - einschliesslich meiner Fritzbox.


    Interessanter und gut zusammen gefasster Artikel dazu:
    http://www.elektronik-kompendium.de/sites/net/0812111.htm


    Gruß Complicated

    Zitat von "Complicated"

    ich habe den Eindruck, dass du IPv6 nicht verstanden hast, aber ebenso wenig über NAT weist. Das was derzeit an Routern mit NAT gemacht wird hat keinerlei Sicherheitsfunktion, da die interne IP-Adresse zwar nicht nach aussen kommuniziert wird, doch dennoch in allen Headern der öffentlichen IP-Adresse deines Routers die unterschiedlichen Geräte deines LANs identifiziert werden - wie sollte denn ansonsten eine Webseite oder der Router wissen an welchen von 2 PC im LAN die angeforderten Daten gehen sollen? Es wird bei jeder Anfrage ein NAT-Port mitgesendet der auch in der Antwort enthalten ist die der Router wieder intern weiter leitet.


    Du hättest den von dir verlinkten Artikel besser vollständig lesen sollen! Nur der Router kennt die Übersetzungsinformationen zwischen externem und internem Netz (NAT-Tabelle). LAN-Geräte sind von außen nicht identifizierbar, die Protokoll-Header enthalten nur die Informationen zur Identifikation des Routers. Je nach verwendetem Protokoll kann das Probleme verursachen oder auch hilfreich sein. Dadurch dass die internen Geräte nicht direkt von außen identifizierbar sind, können ohne explizite Portforwardings oder DMZ natürlich auch von aussen keine Verbindungen aufgebaut werden, wohin sollte der Router die Pakete denn schicken? Nur von innen initiierte Verbindungen werden in der NAT-Tabelle vermerkt und können dementsprechend zurück übersetzt werden.


    Ich kenne natürlich deine Definition von Sicherheit nicht, aber für mich ist die Nichterkennbarkeit der Netztopologie hinter einem NAT-Router sehr wohl ein Sicherheitsgewinn. Ohne dieses Wissen fällt es Angreifern schwerer, die passende Einbruchsstrategien zu wählen. Wenn, und das ist ja das Ziel von IPv6, jedes Gerät eine eigene öffentliche Adresse bekommt, wird es für Angreifer einfacher, bekannte Schwachstellen in bestimmten Geräten auszunutzen, denn sie können dann einzeln identifiziert werden. Wenn jetzt noch statische Adressen zum Einsatz kommen, wird sich die Werbewirtschaft freuen, denn dann ist es viel einfacher, einen Nutzer in seinen Gewohnheiten zu beobachten :( . In einer der letzten c't war mal ein sehr interressanter Bericht über die technischen Vorteile von IPv6 aber auch die potentiellen individuellen Auswirkungen und Nachteile.


    Zitat von "Complicated"
    • Ein NAT nützt kein bisschen mit einer schlecht konfigurierten Firewall, ohne NAT gilt das selbe.
    • NAT ist nur eine Pseudo-Sicherheit.


    Für Leute, die Wissen was sie tun, ist NAT sicher keine echte Hürde, für Script-Kiddies aber schon.


    Zitat von "Complicated"

    Jedes XP kann IPv6 wenn man es kostenlos nachrüstet. Seit der neuen FW habe ich kein Gerät in meinem LAN mehr das kein IPv6 kann - einschliesslich meiner Fritzbox.


    Deine interne Geräte mögen es können, aber es gibt nur wenige IPv6 Server im Internet. Und da dein Internet-Provider vermutlich noch keine IPv6-Adressen vergibt, ist ein IPv4/IPv6-Mischbetrieb (WAN/LAN) zumindest im Router zwingend erforderlich und damit auch weiterhin NAT. Im LAN gibts aber auch mit IPv4 kein Problem, was also hast du durch die interne Verwendung von IPv6 gewonnen? So kompliziert wird dein LAN ja wohl nicht sein ;)

    Zitat von "warpcam"


    Du hättest den von dir verlinkten Artikel besser vollständig lesen sollen! Nur der Router kennt die Übersetzungsinformationen zwischen externem und internem Netz (NAT-Tabelle). LAN-Geräte sind von außen nicht identifizierbar, die Protokoll-Header enthalten nur die Informationen zur Identifikation des Routers. Je nach verwendetem Protokoll kann das Probleme verursachen oder auch hilfreich sein. Dadurch dass die internen Geräte nicht direkt von außen identifizierbar sind, können ohne explizite Portforwardings oder DMZ natürlich auch von aussen keine Verbindungen aufgebaut werden, wohin sollte der Router die Pakete denn schicken? Nur von innen initiierte Verbindungen werden in der NAT-Tabelle vermerkt und können dementsprechend zurück übersetzt werden.

    Und worin ist nun der Unterschied ob ich NAT benutze oder nicht wenn ich eine Firewall mit Paketfilter eingeschaltet habe? Damit lässt sich auch nur eine Verbindung von aussen herstellen wenn sie von innen angefordert wurde.


    NAT versendet im Header die LAN-Port Adresse die der internen IP zugeordnet ist und somit das richtige Gerät identifiziert - ansonsten könnte der angesprochene Server nicht an den richtigen PC antworten. Oder wo sollte die Antwort vom Router intern hin geschickt werden wenn 2 PCs auf der gleichen Webseite surfen?


    Zitat

    Ich kenne natürlich deine Definition von Sicherheit nicht, aber für mich ist die Nichterkennbarkeit der Netztopologie hinter einem NAT-Router sehr wohl ein Sicherheitsgewinn.

    Das erkennen ist ja mit einem NAT nicht nötig, da der Router die Topologie für jeden übersetzt wenn er ein Javascript auf einer Manipulierten Webseite aufruft - Die LAN-Port Adresse des Routers ist ja bekannt und der richtige PC erhält die angeforderten Datenpakete. Was du meinst sind willkürliche Portscanns von nicht angesprochenen Servern - da ist IPv6 auch nicht weniger sicher.


    http://de.wikipedia.org/wiki/IPv6#Paketfilter_und_Firewalls

    Zitat

    Einige Aspekte von NAT wurden in der Vergangenheit oft als Sicherheitsfunktion verstanden; NAT ist in IPv6 jedoch höchstens in Ausnahmefällen vorgesehen. RFC 4864 beschreibt Vorgehensweisen, welche diese Aspekte von NAT mit IPv6-Techniken abbilden[29]; so kann etwa die bei einigen Implementierungen bestehende Funktion von NAT, neu eingehende Verbindungen nicht an Rechner des Heimnetzes weiterzuleiten, durch einen zustandsbasierten Paketfilter im Router ersetzt werden. Dieser kann nach Wunsch neu eingehende Verbindungen generell abweisen oder diese nur für bestimmte Bereiche des Heimnetzes zulassen.


    Nein ich habe derzeit auch kein ipV6 im Einsatz aber es wird ja kommen und ich finde daran nichts negatives - vieles wird einfacher werden. :)

    Zitat

    Von außen initiierte Verbindungsversuche werden verworfen und bekommen keinen Zugang zum lokalen Netzwerk. Hacker, die zyklisch alle TCP-Ports einer IP-Adresse nach offenen Ports absuchen (Port-Scan) bekommen keine Antwort vom Router.


    genau das ist doch der punkt. 99,9% aller "hackversuche" sind genau das, einfache kiddie angriffe. besonders im privatbereich! wenn man nicht gerade microsoft heisst, wird sich kein hacker die mühe machen einem anzugreifen... ausser als spass, aber die chance dass es einem erwischt innerhalb eines jahres dürfte im promillebereich sein. im gegensatz zu den kiddie angriffen wo man praktisch eine 100% garantie hat, dass es innerhalb 24 stunden jemand so versucht. und wenn es tatsächlich ein profi-hacker auf einem abgesehen hat, dann hilft eventuell die beste firewall und auch sonst GAR NIX. ich meine ein guter hacker kommt (kam) auch ins pentagon rein. ist also alles pseudo-sicherheit und sollte man auf alle sicherheitsfeatures generell verzichten? sicher nicht.


    gäbe es kein NAT und wären alle ports offen und würden an den NAS weitegeleitet, dann hätten wir hier wohl TAUSENDE berichte von usern die gehackt wurde. haben wir aber nicht. um genau deshalb dient es sehr wohl der sicherheit.


    vergleich in die reale welt: meine wohnungstüre (oder autotüre, wenn ich ein auto hätte ^^) kann jeder "hacken" und sich zutritt verschaffen, wenn er denn will. aber soll ich sie deswegen nicht abschliessen?? das wäre doch fahrlässig (die diebstahlversicherung würde evtl. auch nicht mehr zahlen). genauso sehe ich es mit NAT.


    übrigens dito "ports ändern".... natürlich ist es aus technischer sicht eine pseudo-sicherheit wenn ich den port 8080 oder 21 auf irgend nen anderen zufälligen port wechsle. aber in der praxis sorgt es dafür dass ich kaum mehr hackversuche habe da sich die kiddies (was auch riesige kriminelle organisationen sind wie russische mafia etc., nur damit wir diese gruppe nicht verharmlosen) eben meist auf die well known ports beschränken. ich eliminiere das risiko nicht aber ich reduziere die wahrscheinlichkeit eines erfolgreichen angriffs erheblich! das ist nicht IT-theorie sondern realität.


    naja diese diskussion ist wohl schon so alt wie das internet und vermutlich werden sich die verfechter unterschiedlicher ansichten nie einig :mrgreen:


    NAT find ich gut als erster schutz, dass mal nicht jeder dreck reinkommt. hardware-firewall (SPI etc.) brauch und will ich nicht. hatte ich schon in diversen ausführungen und ist einfach nur mühsam weil es immer wieder mal irgendwas blockte was ich nicht wollte. auch wenn ich mich damit auskenne, ich will doch nicht jeden tag irgendwas dran rumbasteln! das soll laufen und dann will ich jahrelang nix mehr davon hören/sehen. software-firewall habe ich nur die in vista integrierte. das reicht völlig aus als zweite schutzschicht. und dann habe ich noch nen simplen antivirus (bitdefender da halbwegs ressourcenschonend).


    mein antivirus hat in den letzten 5 jahren vielleicht 2 mal ausgeschlagen. mails werden auf server bereits gescannt und da ich nicht allzu blöd bin, weiss ich wann ich ein virusrisiko vor mir habe. also bräuchte ich den antivirus gar nicht. obwohl ich seit jeher windows user bin ^^ ich finds aber trotzdem gut, genau wegen den 2 mal in 5 jahren. um dieses minime restrisiko weiter zu minimieren. dito NAT und software-firewall.


    man mag sich über einzelne punkte streiten, aber auch bei sicherheitsprofis ist es anerkannt dass das "schichtenprinzip" 100mal mehr bringt als eine einzelne sicherheitsmassnahme. den ein einzelner punkt (auch eine 20'000 euro checkpoint firewall) kann fehlerhaft sein. aber mehrere punkte - selbst wenn einige oder alle davon nur mittelmässig sind - stellen ein viel grösseres hindernis dar.


    wie auch immer, jedem das seine. aber ich finds nicht gut wenn man wie bei einer religion auf etwas beharrt und keine anderen meinungen zulässt. ich verstehe durchaus ebenso die anti-nat fraktion und grundsätzlich hat sie ja auch teilweise recht. vor allem aus technischer sicht. aber wir sprechen von der realen welt und da gibt es mehr als nur technik und theorie. und dem DAU sein NAT zu nehmen wäre etwas gefährlich ;) mal ganz realistisch: die meisten leute haben absolut null ahnung und können/wollen/sollen niemals ne firewall oder sowas konfigurieren. es kann doch nicht jeder ein IT experte werden. soll ich meinen vater nun über TCP/IP schulen? oder ne 500 euro firewall installieren? das interessiert ihn einen sch**** und das geld würde er auch nie ausgeben :D und das ist auch gut so. er ist ein begnadeter handwerker aber er zwingt mich ja auch ned dazu dass ich nun handwerker werde und lässt mir meine zwei linken hände die knapp ausreichen ein ikea regal zusammenzubauen ;) und seit ich ihm beigebracht habe, was er besser nicht klicken sollte, ist auch noch nie etwas passiert. für alles weitere ist NAT, software-firewall und antivirus da. was dafür gesorgt hat, dass es nie sicherheitsrelevante probleme gab.


    so oder so - und da sind sich bestimmt alle einig - der beste schutz ist immer noch brain.exe 8-)

    Zitat

    gäbe es kein NAT und wären alle ports offen und würden an den NAS weitegeleitet, dann hätten wir hier wohl TAUSENDE berichte von usern die gehackt wurde. haben wir aber nicht. um genau deshalb dient es sehr wohl der sicherheit.

    So sieht es aus. Nur ist es nicht die NAT welche die Portscans verwirft. Es ist die Firewall. Warum sollten alle Ports geöffnet werden wenn kein NAT da ist? Das NAT schließt keinen einzigen Port.
    Und alle die ein Portforwarding eingerichtet haben:
    http://de.wikipedia.org/wiki/Portweiterleitung

    Zitat

    Für alle Rechner im externen Netz sieht es so aus, als ob der Router den Serverdienst anbietet. Dass dem nicht so ist, lässt sich anhand von Header-Zeilen oder Paketlaufzeitanalysen erkennen.


    Versteht mich nicht falsch: ich bin kein NAT Gegner. Nur werden viele Eigenschaften der Routerfirewalls oft fälschlicherweise der NAT zugeschrieben und daraus der falsche Schluß gezogen IPv6 wäre unsicherer weil keine NAT mehr benötigt wird. Bei fehlender NAT würde die Firewall des Routers eben für 5 anstatt für 1 IP die Portscans blockieren.
    Die Firewall ist viel wichtiger bei der Kontrolle der raus gehenden Verbindungen und nicht beim blockieren der eingehenden, da jeder vernünftig konfigurierte Router nur von intern angeforderte Pakete rein lässt.


    Das ist für Server nicht möglich und das kann auch keine NAT ändern da ja eine automatische Übersetzung der Anfragen nötig ist. Oder auf welche Weise erkennt die NAT im Router wer da auf den FTP oder Webserver des NAS durchgelassen wird und wer nicht? ;)


    Diese dem NAT zugeschriebene Eigenschaft wird aber durch den Paketfilter erledigt auch Statefull Inspection Paketfilter genannt. Es gibt NAT-Router die dies nicht eingebaut haben und zwar nicht wenige. Die haben diesen Schutz gar nicht aber dennoch eine NAT.
    Hier ein sehr gut aufbereiteter Artikel der dies detailiert erklärt: http://betrieblicher-datenschu…ter-nat-router-sicherheit
    Und hier eine Seite die rund um Firewall viele Fragen sehr gut beantwortet falls sich der eine oder andere Mitleser detaillierter damit beschäftigen möchte ;)
    http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html


    Hier auch nochmal besser erklärt als ich das formulieren könnte:
    http://www.silicon.de/hardware…eit+sicherer+als+ipv4.htm

    Zitat

    Vor allem lässt sich mit IPv6 die ursprüngliche Idee der flachen Hierarchie innerhalb des Internets wieder verwirklichen, also Verbindung eines jeden Client zu jedem anderen Client. Nur eine solche flache Hierarchie macht den durchgängigen Einsatz von IP-Sicherheit, konkret des IPsec-Protokolls, überhaupt möglich. Mit NAT-Boxen oder ähnlichen Konstrukten wird dagegen die Sicherheit unterbrochen. An solchen Stellen müssen die Pakete nämlich "ausgepackt", also entschlüsselt und dann wieder neu verschlüsselt werden. Derartige Umladestellen bilden immer potenzielle Sicherheitslecks.


    Im Wust der Network Address Translation (NAT) ist die Idee der flachen Hierarchien weitgehend verloren gegangen. Mehr noch: Viele Anwender halten den Notbehelf NAT für eines der wesentlichen Sicherheitsmerkmale in IPv4, weil es viele private IP-Adressen hinter einer öffentlichen Adresse verbirgt. Dazu schreiben Autoren des deutschen IPv6-Referenzzentrums an der Uni Münster: "NAT ist nicht gleichbedeutend mit Sicherheit. Aber der Fehler ist leicht verständlich, da in der Regel eine NAT-Box auch mit einer Firewall ausgestattet ist. Diese schützt die Box vor Angriffen und damit auch das Netz dahinter. Wäre diese Firewall nicht da und würde die NAT-Box erfolgreich angegriffen, wäre es auch um die Sicherheit für die Rechner im Netz geschehen."

    Zitat von "Complicated"

    Und worin ist nun der Unterschied ob ich NAT benutze oder nicht wenn ich eine Firewall mit Paketfilter eingeschaltet habe? Damit lässt sich auch nur eine Verbindung von aussen herstellen wenn sie von innen angefordert wurde.


    Das lässt sich so nicht verallgemeinern. Wenn Du eine Firewall einsetzt, so kannst Du darin konfigurieren, auf welche Weise Pakete gefiltert werden. Es ist durchaus üblich, auch Verbindungen von Aussen zuzulassen - auf einen internen Web- oder Mailserver beispielsweise. Dabei ist es unerheblich, ob geNATet wird oder geroutet. Packet Filtering und NAT sind keine ausschliessenden oder widersprüchlichen Prinzipien.


    Zitat von "Complicated"

    NAT versendet im Header die LAN-Port Adresse die der internen IP zugeordnet ist und somit das richtige Gerät identifiziert - ansonsten könnte der angesprochene Server nicht an den richtigen PC antworten. Oder wo sollte die Antwort vom Router intern hin geschickt werden wenn 2 PCs auf der gleichen Webseite surfen?


    Eine TCP/IP Verbindung wird identifiziert durch das Tupel Sender-IP (32 Bit) und Sender-Port (16 Bit) sowie Empfänger-IP (32 Bit) und Empfänger-Port (16 Bit). Somit ist es möglich, dass auf derselben Maschine (Sender-IP) mehrere Webbrowser (jeder mit einem anderen Sender-Port) auf demselben Webserver (Empfänger-IP, Empfänger-Port immer 80) surfen können, und jedes Paket richtig zugeordnet wird. NAT macht sich zunutze, dass die Portnummern ja ein wichtiges Merkmal für die Verbindung sind und arrangiert diese um. Somit wird einer internen Verbindung eine externe Verbindung zugeordnet, nach dem Konzept


    * ich merke mir die interne Quelle (IP & Port)
    * ich verbinde zum gewünschten esxternen Ziel (IP & Port)
    * die Verbindung von mir geht aber von meiner externen IP und einem anderen Port aus


    Diese Informationen werden in einer Übersetzungstabelle notiert. Kommen nun Pakete an diesen "anderen" Port zurück, schaut die NAT Einheit in der Tabelle nach und weiss, welcher internen IP und auf welchen Port dort das Paket zugestellt werden soll.


    Als Antwort auf die DIskussion also konkret:


    * ja, man kann die externe Verbindung eindeutig dem internen Requext zuordnen - sonst würde NAT ja nicht funktionieren! ;)


    * nein, niemand ausserhalb der NAT Unit (Router, Linux-Box, ...) kann das, weil die Zurdnungstabelle nur dort verfügbar ist


    und


    * nein, man kann von Aussen auch nichteinmal erkennen, OB eine Verbindung direkt von der absendenden IP Adresse kommt (also Request direkt von einem Prozess auf diesem Gerät ohne NAT) oder von einer geNATeten anderen Quelle "dahinter".


    ...vorausgesetzt natürlich, der INHALT der Kommunikation enthält keine Informationen über die Quelle, wie z.B: bei SIP...

    Zitat

    Packet Filtering und NAT sind keine ausschliessenden oder widersprüchlichen Prinzipien.

    Richtig das versuchte ich ja die ganze Zeit zu erklären. Daher wird der Verlust von NAT bei IPv6 auch keinen Verlust von Sicherheit bedeuten. Wer NAT unbedingt will kann das ja immer noch mit IPv6 machen, wird aber bald merken dass er es eigentlich nicht mehr braucht und sich nur unnötige Schwierigkeiten damit macht ohne einen Funken mehr Sicherheit zu erhalten.


    NAT ist kein Sicherheitsfeature von IPv4, so wie RAID kein Backup ersetzt :mrgreen:

    ich sag ja auch nix gegen ipv6, ist sicher ne schöne sache und wer's braucht soll's brauchen. steht ja jedem frei es zu nutzen, sofern möglich. viele provider bieten es ja schon gar nicht an, zumindest nicht für privatuser.


    aber über die "IPs werden knapp" panikmache meldungen kann ich einfach nur noch lachen... ich habe dies das erste mal vor über 10 jahren gelesen und seither jedes jahr mindestes 2 mal in exakt identischer form! irgendwann kann man sowas einfach nicht mehr ernst nehmen. es besteht meistens schon gar kein bedarf - ausser in grossfirmen oder einigen technisch/ISP/hosting orienterten unternehmen vielleicht - ipv6 zu nutzen. man ist in der regel mit ipv4 und der trennung von externem und internen netz vollauf zufrieden.


    wir verkaufen auch netzwerkprodukte (enduser und KMU bereich) und ich hatte in den letzten 8 jahren hier maximal 5 anfragen bezüglich ipv6... sehr populär kann es in diesen segmenten also nicht sein ;)


    Zitat

    Nur ist es nicht die NAT welche die Portscans verwirft. Es ist die Firewall. Warum sollten alle Ports geöffnet werden wenn kein NAT da ist? Das NAT schließt keinen einzigen Port.


    wir müssen uns jetzt nicht darüber streiten, dass ein nicht-weiterleiten faktisch für den user aufs selbe rauskommt oder? und das kann ein NAT sehr wohl, dazu braucht es keine firewall und kein spi. absolut jeder router kann das (wir verkaufen selber router, darunter billigstmodelle ohne firewall). zudem kann man theoretisch gesehen einen port grundsätzlich nicht "schliessen", wenn wir denn weiter drauf rumreiten wollen ;) man kann ein eingehendes paket nur ignorieren (verwerfen) oder mit nem deny/reject antworten. was jetzt besser ist, darüber kann man sich streiten.


    für den normalo-user ist ein NAT das einfachste, im optimalfall mit UPnP - so wird es genannt, effektiv handelt es sich dann um Internet Gateway Device (IGD) Standardized Device Control Protocol - damit er ports gar nicht manuell öffnen muss. das mag für manche IT gurus ein horror sein, für den privatuser ist es oft das einzige brauchbare. ich erlebe das seit jahren täglich. nicht wenige wissen schon gar nicht was eine IP adresse ist. daher muss die lösung für ein problem praktikabel sein und nicht weitere fragen aufwerfen. das ist die realität. und ich bin auch der meinung es sollte eigentlich nicht nötig sein für nen homeuser das zu wissen.


    und nur damit keine missverständnisse auftreten: ich spreche nicht von ipv6 mit nat, ich spreche nur von ipv4 mit nat.

    Zitat von "IamQ"


    und nur damit keine missverständnisse auftreten: ich spreche nicht von ipv6 mit nat, ich spreche nur von ipv4 mit nat.


    Und der Thread heisst IPv6 ;)
    Es ging hier lediglich darum dass IPv6 ohne NAT nicht unsicherer als IPv4 mit NAT ist - im Gegenteil es ist sogar sicherer.
    nur manche schreiben eben den falschen Komponenten eines Routers die Eigenschaften zu.


    NAT kann keine Pakete filtern sondern das macht der Paketfilter:
    http://www.openbsd.org/faq/pf/de/nat.html#works

    Zitat

    HINWEIS: Übersetzte Pakete müssen weiterhin die Filterengine durchlaufen und werden geblockt oder durchgelassen - je nachdem, welche Filterregeln definiert wurden. Die einzige Ausnahme zu dieser Regel ist, wenn das pass-Schlüsselwort innerhalb der nat-Regel verwendet wird. Dies hat zur Folge, dass NAT-Pakete direkt durch die Filterengine gelassen werden.


    Sei dir ebenfalls bewusst, dass - da die Übersetzung vor dem Filtern stattfindet - die Filterengine die übersetzten Pakete mit den übersetzten IP-Adressen und Ports sehen wird, wie es in Wie NAT funktioniert beschrieben wurde.

    Ich glaube das ist mittlerweile die dritte Quelle die ich gepostet habe die das belegt :roll:
    Daran ändert auch nichts, dass NAT-Router mit IPfiltern verkauft werden - es bleiben zwei unterschiedliche Komponenten.

    Mannomann
    Soviel Text.......
    Aber ich bin einsichtig.
    NAT ist ein Werk des Teufels und wird verdienterweise zur Hölle fahren und dort in Ewigkeit schmoren, wenn einmal die göttliche Endlösung ipv6 da ist.


    In der Zeit hätte man genausogut etwas an Unicef spenden, oder einem Obdachlosen einen 10er in den Hut werfen können.
    Auch das hätte, gerade zur Weihnachstzeit, die Welt etwas besser gemacht.

    Zitat

    Es ging hier lediglich darum dass IPv6 ohne NAT nicht unsicherer als IPv4 mit NAT ist - im Gegenteil es ist sogar sicherer.


    dagegen ist nichts einzuwenden :) zumindest will ich dir nicht widersprechen da ich mich nie mit ipv6 auseinandergesetzt habe.


    Zitat

    Daran ändert auch nichts, dass NAT-Router mit IPfiltern verkauft werden - es bleiben zwei unterschiedliche Komponenten.


    ich weiss dass es solche router gibt. ich hab sogar router konfiguriert wo man firewall/paketfilter explizit ausschalten kann und nur noch NAT nutzen. ich hab einen solchen adsl router zuhause. trotzdem werden pakete noch verworfen welche ich nicht explizit weiterleite. ist ja auch logisch, denn wie soll der router wissen an welchen meiner PCs/NAS er das paket (eine anfrage, nicht antwort) weiterleiten soll? dieses nicht-wissen reicht doch schon völlig aus (für den homeuser) damit die pakete gar nie beim ziel ankommen. da braucht es keine filter! jeder 5 euro router seit etwa 10 jahren oder so kann das.


    und egal wieviele quellen man listet, dass dies eine falsche sicherheit ist, im wirklichen leben ist und bleibt es für sehr viele menschen ein guter schutz (bei ipv4) und bringt somit einen sicherheitsgewinn.


    IT theorie und die realität waren noch nie 100% kompatibel :mrgreen:

    2 Mal editiert, zuletzt von IamQ ()

    Sorry für die Ausschweifungen :) - und ich will ja nicht den i-tüpfelchen-zurechtbieger spielen, da ich ja bis vor 2 Jahren das genauso dachte. Es ist halt nur das Problem, dass durch diese eingebürgerten Sprachgebräuche jetzt häufig eben diese fehlerhaften Schlüße gezogen werden wenn es um IPv6 geht.
    Es ist merkwürdig wie viele Vorurteile bei einem technischen Thema bestehen können, nur weil ein Sprachgebrauch nicht der exakten technischen Beschreibung entspricht - ich habe das auch noch nie in einem anderen Bereich so erlebt wie bei der IPv6 gegen IPv4 Diskussion. Und das häufigste Argument für IPv4 ist eben die Angst den NAT zu verlieren. Obwohl die Funktion die man fürchtet zu verlieren durch NAT gar nicht bereit gestellt wird :P


    So kommen Kleinigkeiten die vor 5 Jahren noch keiner Unterscheidung bedurften heute zu einer grossen Tragweite, wenn selbst professionals und Enthusiasten wie wir hier erst seitenweise definieren müssen worüber wir überhaupt reden um uns zu verstehen ;)

    Zitat

    Es ist halt nur das Problem, dass durch diese eingebürgerten Sprachgebräuche


    ja das ist durchaus ein problem :D gerade im bereich nat, firewall, etc. überschneidet sich vieles stark und ist unklar, selbst experten sind sich nicht alle einig darüber! ich hatte schon leute vor mir die gesagt haben "eine firewall gibt es nicht" 8-) was auch nicht falsch ist, denn es ist in der tat nicht genau spezifiziert was eine firewall beinhalten/können muss.


    nur muss sich dann wohl oder übel irgendwann der techniker zwecks verständigung dem sprachgebrauch annähern. weil der gemeine pöbel wird sich nicht anpassen ;)


    die ganze KiB/MiB (Kibibyte/Mebibyte) geschichte wo jeder wikipedianer drauf spinnt ist auch so ne sache.... logisch wäre es korrekt und vielleicht besser. aber soll man das nach gefühlten 100 jahren wirklich noch ändern? NIEMAND ausser n paar freaks braucht diese ausdrücke im wirklichen leben. wenn ich diese ausdrücke verwenden würde, verstünde mich schlichtweg niemand. also kann/darf ich diese nicht gebrauchen. überall wird kilobyte und megabyte genutzt und da weiss auch jeder wovon man spricht, daher werde auch ich dabei bleiben.


    und das ist auch gut so :mrgreen:

    Ehrlich gesagt habe ich keine Angst NAT zu verlieren, ist nämlich kein Familienmitglied :D


    Man möge mir meinen Spott verzeihen (ich kann da nicht immer von lassen :oops: )
    Natürlich lässt sich ein so komplexes Thema nicht in zwei Sätzen abfackeln.
    Genauso wird auch, wie angesprochen, die theorie nie mit der realität übereinstimmen.
    Ich bin jedenfalls immer vorsichtig hinsichtlich der versprochenen Qualitätsrahmen zukünftiger Errungenschaften.


    Die Titanic ist unsinkbar.....mehr wie 640KB Arbeitsspeicher braucht kein Mensch....ein 1000jähriges Reich in 6 jahren abfackeln....kennen wir doch alles. ;)


    Was die Sicherheitsaspekte von ipv6 angeht, wird sich auch erst zeigen, wenn es soweit ist und wir damit leben müssen.


    Ich habe ne Menge Erfahrungen angesammelt im Bereich HighEnd Audio, jahrzehntelang hab ich mich belesen, konzipiert, Zeugs gebaut.
    Das ganze Gedöns läuft heute noch bei meinen damaligen Kunden.
    Aber es kam nix mehr dazu, weil das Thema heute keine Sau mehr interessiert, ich könnte mich da auch aufregen, weil die leute glauben surround anlagen hätten was mit authentischem Klang und realistischer räumlicher Abbildung zu tun.
    Aber soll ich mich jetzt darüber aufregen, hitzige Diskussionen beginnen?
    Oder lieber abwarten, ob sich die derzeitige Technik wieder in die richtige Richtung bewegt? (und das ist so subjektiv, denn ich red ja von MEINER richtigen Richtung) :mrgreen:


    Selbst ein gesundes Mass an Haarspaltereien muss in einer Diskussion seinen Platz finden.
    Das ist gut so, nur zu hitzig solls nicht werden, das ist nicht gut.
    Wenns ein Aufsatz wäre würde drunter stehen: "Thema verfehlt" :D


    Der Ton ist nunmehr schon wieder viel versöhnlicher.....das freut mich :thumb:


    Lasst uns unser NAT streicheln, solange wir es noch brauchen und wenn wir es mal nicht mehr brauchen, ihm ehrenvoll für die treuen Dienste gedenken :)