Umstellung auf IPv6

[NicholasRush]

Hallo liebes Forum,

ihr habt ja bestimmt schon davon gehört das die Internet Provider jetzt in Vollen mit IPv6 gehen wollen und IPv6 dieses Jahr noch kommen soll. Nun sehe ich die Netzwerksicherheit gefärdeter denn je, da IPv6 leider kein NAT mehr enthält und man so leider nicht mehr internes und externes Netzwerk trennen kann. Die einzigen Vorteile die mir für IPv6 einfallen würden wären der 128Bit Adressraum und das so End to End Verschlüsselungen endlich möglich werden, aber leider auf kosten von NAT. Wie kann man denn da Zuhause die Netzwerksicherheit gewahrt halten? Ich hatte mir auch schon überlegt den ganzen Traffic über einen Squid Proxy laufen zu lassen für ein Fake NAT.

Vielleicht habt Ihr da noch bessere Vorschläge als ich.

Danke im vorraus.

[Eye-Q]

Man muss ja im internen Netz nicht zwangsläufig IPv6 einsetzen, sondern kann weiterhin bei IPv4 bleiben. Somit muss zwangsläufig NAT eingesetzt werden und fertig ist die Laube. Einen IPv6-fähigen Router braucht man natürlich, aber das war's aber auch schon.

[NicholasRush]

Dabei würde der Traffic leider über den Teredo Adapter in Windows laufen und das wollte ich aus sicherheitsgründen vermeiden.

[127.0.0.1]

....Netzwerksicherheit gefärdeter... ....nicht mehr internes und externes Netzwerk trennen kann.

versteh ich nicht. wieso kannst du nicht trennen? du hast dpch eine zentrale stelle -gateway, router, usw- die eindeutig zwischen intern und extern trennt. und du hast ne firewall die verhindert, dass jeder, der deine v6-adresse kennt zugriff auf deinen rechner erhält.

[NicholasRush]

Gemeint war ich möchte gerne das ganze Netz so schützen wie bei IPv4. Und nicht jeden Rechner einzeln. Da jeder Rechner bei IPv6 normalerweise eine eigene Externe IP erhält. Und das möchte ich verhindern. Mit der Proxy Idee. Es gibt ein Internes und ein Externes Netzwerk, alles IPv6. Extern bezeichnet die IPv6 Adressen die mir vom Provider zugeteilt werden. Und das Interne Netzwerk, meine Internen selbst vergebenen IPv6 Adressen. Jeder Rechner der jetzt ins Internet möchte muss dann die Interne IPv6 Adresse des Squid Proxys im Browser eingetragen haben, damit eine Komunikation mit dem Internet möglich ist.

So war es jedenfalls gedacht:

Internet ------>extern IPv6 --> Squid Proxy (eth0) (eth1) ------> Intern IPv6 ---> Client PC

[Eye-Q]

Ob Du das Kind nun Proxy oder Router nennst, ist ziemlich wumpe, da auch ein Router, der sowohl intern als auch extern IPv6 spricht, extern nur eine IP-Adresse erhält und intern einen von dir ausgedachten IP-Adresskreis besitzt.

Wieso willst Du eigentlich krampfhaft intern auch IPv6 einsetzen? Es spricht absolut null komma gar nichts dafür, da für interne Netzwerke IPv4-Adressen vollkommen ausreichend sind. Es gibt keine Leistungsunterschiede oder sonstwas, weswegen man intern IPv6 einführen sollte/müsste. "Weil es moderner ist" sehe ich nicht als Argument an, da IPv4 zumindest für interne Netzwerke sicherlich auch noch die nächsten 50 Jahre problemlos einsetzbar ist.

[NicholasRush]

Ich dachte mir dabei nur, dass es vielleicht besser wäre mal in einem TCP/IP Stack zu bleiben, und das nur für die Basis Internetkonektivität, Interner Netzwerkdatenverkehr sollte so wie er ist Intern weiterlaufen. Ich gehe doch in einem Homenetz nicht ernsthaft hin, und lasse auch Privaten Datenverkehr über IPv6 laufen, ich bin doch nicht bescheuert, zumindest noch nicht. Ich konnte IPv6 bis jetzt noch nicht selber testen.

Klar kann ich Anfragen an ein IPv6 Gerät über IPv4 in UDP Pakete paken, ist das denn aber schon ausgereift und sicher?

Da die Rechner so wie du das erkärt hast keine eigene IPv6 Adresse bekommen sondern nur der Router ist das Netz ja dann auch sicher. Trotz alledem es kein NAT mehr gibt.

Bearbeitet 2. Februar 2012 von NicholasRush

[Eye-Q]

Klar kann ich Anfragen an ein IPv6 Gerät über IPv4 in UDP Pakete paken, ist das denn aber schon ausgereift und sicher?

Das ist genauso sicher wie VoIP-Pakete in IPv4-Pakete zu verpacken...

Außerdem: IPv6 ist seit 14 Jahren standardisiert, es ist also kein Schnellschuss, weil plötzlich die öffentlichen IPv4-Adressen ausgehen.

Da die Rechner so wie du das erkärt hast keine eigene IPv6 Adresse bekommen sondern nur der Router ist das Netz ja dann auch sicher. Trotz alledem es kein NAT mehr gibt.

:confused: Wenn der Router extern eine IPv6-Adresse erhält und intern einen IPv4-Adresskreis besitzt, ist das doch astreines NAT...

[NicholasRush]

Klar ist das dann NAT aber ein IPv4 zu IPv6 NAT kein IPv6 zu IPv6 NAT was es ja leider nicht gibt. Mich würde nur interessieren wie man das zur Not noch übergehen kann und ein Fake IPv6 zu IPv6 NAT erstellen.

Es geht sich um ein Fake NAT innerhalb von IPv6, darauf wollte ich die ganze Zeit hinaus.

[sparecrow]

Ob Du das Kind nun Proxy oder Router nennst, ist ziemlich wumpe, da auch ein Router, der sowohl intern als auch extern IPv6 spricht, extern nur eine IP-Adresse erhält und intern einen von dir ausgedachten IP-Adresskreis besitzt.

.

Das ist nicht richtig! Jeder Endnutzer erhält mind. ein /64, und auf Nachfrage/gegen Aufpreis auch ein größeres Subnetz (für eigenes Subnetting, bei dem auch weiterhin EUI64-Adressen genutzt werden können). Und ein Proxy ist nicht das selbe wie ein Router.

an den TE: NAT ist keine Sicherheitsfunktion. Auch für IPv6 gibt es Firewalls, die unaufgeforderte eingehende Verbindungen blockieren, wie 127.0.0.1 auch schon schrieb. Den Proxy kannste natürlich nutzen, bedenke aber, dass der nur fürs www ist.

Die Firewall im Router schützt natürlich alle Rechner auf einmal.

[afo]

NAT hat nichts mit Sicherheit zu tun. NAT trennt nicht. NAT verbindet. Dass dabei zufälligerweise abfällt das die internen Adressen nicht so einfach von außen zu erreichen sind ist mehr oder weniger Zufall.

Auch bei IPv4 brauchst du je nach Sicherheitsanforderungen schon eine separate Firewall oder einen Proxyserver.