IPv6 Privacy Extensions

    Hallo,


    ich versuche mich derzeit in das Thema IPv6 einzuarbeiten.

    Nun habe ich mal geschaut, mit welcher IP die Clients online gehen. Beim NAS ist mir aufgefallen, dass über SSH ifconfig keine temporäre IP angezeigt wird. In den Einstellungen habe ich aber auch keine Privacy Extensions gefunden.


    Nur für den Fall, dass ich falsch denke... Wenn das NAS eine IPv6 erhält ist es doch per End-to-End Verbindung über das Modem mit dem ISP verbunden. Somit geht das NAS mit der globalen IPv6 online.

    Wenn ich mal von extern auf das NAS muss, mache ich das über eine VPN Verbindung zum meinem Security Gateway.

    Wäre es da nicht angebracht, wenn das NAS mit Privacy Extensions online ist? Oder habe ich da einen Denkfehler?


    Achso, einen http Server etc. habe ich darauf nicht laufen.


    Grüße

    Zitat von Mosconi

    Wäre es da nicht angebracht, wenn das NAS mit Privacy Extensions online ist?

    Wie so vieles bei v6 sind die PE sicherlich ein Streitthema... mir gehen die PE total auf den Senkel und ich würde sie am liebsten überall verbannen.

    Das NAS macht mit seiner globalen v6 eigentlich nichts anderes, als Updates von den QNAP Servern abzurufen, ggf. werden auch woanders Lizenzen überprüft. Ich denke der Datenschutz ist hier gewahrt, auch wenn dadurch jemand herausfinden kann, was genau dieses NAS so macht; und dass es ein QNAP Gerät ist, ist auch relativ klar, ohne dass man das an der IPv6 erkennen muss.

    Unterm Strich sehe ich keinen Grund dafür, dass ein NAS mit einer PE ausgestattet wird. Bei anderen Geräten auf denen ggf. wirklich persönliche Daten/ Nutzungsverhalten aus der IPv6 abgeleitet werden können mag mir das einleuchten, auch wenn ich es trotzdem wahnsinnigen Quatsch finde.

    Da wird über PE nachgedacht und im selben Zuge legt man ggü seinem Provider und sonstwem doch wieder alles offen, weil man an jeder Ecke getracked wird, man die providerseitigen DNS nimmt, etc.

    Bei einer festen IPv4 (mit NAT) hat auch nie jemand gejammert, dass man das Nutzungsverhalten etc. einem Anschluss und damit einer uU geringen Anzahl an Usern zuordnen kann...

    PE macht für einen Server nicht viel Sinn, denn er soll ja unter einer festen IP seine Services anbieten.

    Ist ja kein Konsument wie ein normaler Client bei dem die IP nur für die Antwortpakete benötigt werden.

    Hier könnte sich bei IPv6 ja pro Browserfenster eine IPv6 aus dem PE Bereich für die Dauer der Sitzung zuteilen.


    Wenn sich aber eine Server IP ändert, passt das Regelwerk nicht mehr, die DNS Auflösung scheitert usw.

    Erschreckender Weise schließen sich Server und Privacy Extentions (PE) nicht unbedingt aus. Auch ein Host der PE nutzt hat eine GA. Diese GA ist bei einem Server ideal unveränderlich. Auf diese GA zeigt das DNS und diese GA verwendet die Clients. Für alle Anfragen, die er Server selbst stellt - und dann ist er strenggenommen auch nur ein Client - kann man sehr wohl parallel mit PE verschleiern.


    Aber ich bin auch kein Freund von PE. Ich bin vermutlich einfach nicht paranoid genug, obwohl ich schon ein sehr ausgeprägtes Sicherheitsbewusstsein habe, das für manch einen nahe an die Paranoia geht. :D


    Ich stimme also beiden Vorpostern zu, PE auf einem Server-Host ist "bäh", technisch geht es.


    Zitat von Mosconi

    Wenn ich mal von extern auf das NAS muss, mache ich das über eine VPN Verbindung zum meinem Security Gateway.

    Wäre es da nicht angebracht, wenn das NAS mit Privacy Extensions online ist? Oder habe ich da einen Denkfehler?

    Was hat die grundsätzliche Nutzung einer GA mit einem VPN zu tun?


    Ja, Du könntest direkt vom Internet auf das NAS per IPv6 zugreifen, wenn Du in Deiner Firewall den Zugriff freigibst. Das wäre aber auch genauso bei IPv4, nur das hier bei den Meisten noch ein NAT dazwischen ist, weil man keine offizielle IPv4 für da NAS hat. Hättest Du eine offizielle IPv4 für Dein NAS, dann wäre es exakt gleich.


    Nur weil Dein NAS eine GA (öffentliche IPv6) hat, musst Du es ja nicht freigeben. Du könntest auch bei IPv6 über VPN auf Dein NAS zugreifen, wenn Du das möchtest.

    Erstmal Danke für die schnelle Antworten!


    Ich würde niemanden paranoid nennen, der PE fordert. Letztlich ist es schon erschreckend, was unsere Gesellschaft heut zu Tage alles ausspioniert. aber das interessiert unsere Politik herzlich wenig. Leider kann man ja auch nicht mehr sagen, dass nur noch lohnenswerte Ziele gehackt werden.

    Heute kann sich ja leider jeder 10 jährige Kali installieren und die notwendigen Parameter eingegeben, mal unabgesehen davon ob er versteht, was er da tut.


    @ Barungar: erstmal gar nix. Bislang hatte ich IPv6 deaktiviert. Und mittels IPv4 konnte ich halt immer via VPN auf das USG und hatte damit auch Zugang zum NAS. Das NAS möchte ich von außen nicht direkt zugänglich haben. Da ist mir die Möglichkeit über VPN irgendwie lieber. Aber das mag sich mit mehr Wissen ggf. auch ändern.