Was kann man mit meiner IPv6 anfangen?
Habe ausversehen meine IPv6 geleaked. WAs genau könnte man jetzt theoretisch damit machen???
6 Antworten
Moin,
das ist ein Sicherheitsthema, welches durchaus Bedenken auslösen kann. Dabei hängt es aber davon ab, wie ISPs damit arbeiten.
Bei Adressen, die über EUI-64 gebildet werden, bist du angreifbar und deine IPv6 ist auch ermittelbar und deine MAC Adresse bekannt.
Provider (danke an qugart) scheinen aber weiterhin dynamische, nicht mit EUI-64 erzeugte Adressen zu verwenden.
Soweit sind allerdings die meisten Adressen noch IPv4, welche über DualStack Light in IPv6 getunnelt werden. Diese Adressen lassen sich nicht so einfach auf dich zurückverfolgen und werden regelmäßig getauscht.
LG
Ich sprach beim ersten nur von EUI-64 ohne Zusätze und beim 2. sagte ich ja selbst, dass Provider EUI nicht verwenden.
Im Normalfall hast du ne dynamsiche Adresse, sprich auch deine IPv6 ändert sich ~ einmal am Tag. Im Router kannst du auch einen manuellen Reconnect anstoßen, der ne neue IP besorgt.
Ansonsten ist das erst mal nicht dramatisch. Deine IP wird auch durch vieles andere "veröffentlicht" - sonst würde das Internet nicht funktionieren. Wenn du bei dir keine verwundbaren Server o.ä. laufen hast oder dein Router eine Lücke hat passiert auch nichts.
Wenn du dir Sorgen machst, nimm deinen Router vom Netz und schalt ihn nach ein paar Minuten wieder ein, dann wird dir eine neue IP zugewiesen.
Auch IPv6 können statisch oder dynamisch vom ISP vergeben werden.
Unter https://www.wieistmeineip.de/ kannst du dir deine aktuelle IP (v4 und v6) anzeigen lassen, also probiere es doch einfach aus. Mich würde es schon stark wundern, wenn der Provider beim Reconnect immer dieselbe IPv6 vergibt, da hat man dich also, denke ich, falsch informiert.
Naja, wenn man überlegt, dass IPv4 mittlerweile auch nur monatlich vergeben werden... Bei einer IPv6 wäre das ein anderes Thema. Wenn man keine IPv4 mehr bezieht, auch nicht DS/Lite benutzt, würden schließlich statische Adressen oder EUI-64 möglich sein. Adressen gibt es schließlich genug.
Puh, so tief in der Materie stecke ich leider nicht, aber laut https://de.wikipedia.org/wiki/Zwangstrennung ist es aktuell wohl noch so, dass bei jeder Zwangstrennung (also alle 24h, wenn mich nicht alles täuscht) eine neue IP vergeben wird:
Die Neuvergabe der IP-Adresse oder des IP-Präfix (IPv4 wie IPv6) bietet dem Privatanwender einen beschränkten Schutz der Privatsphäre und – solange gegen ihn keine behördlichen Ermittlungen laufen – auch eine gewisse Anonymität. Bei IPv6 gibt es darüber hinaus die im RFC 4941 definierten „Privacy Extensions“. Alle populären Betriebssysteme setzen diese Erweiterungen standardmäßig um.
Die 24 Stunden gelten nicht mehr. Schon länger nicht mehr. Ist leider ein alter Stand, auf dem ich auch noch war.
Durch Dual Stack finden IPv4 Adresswechsel gerne erst nach einem Monat statt.
Verstehe, danke für die Info, mal wieder was Neues gelernt! :)
https://www.gutefrage.net/frage/ip-zwangstrennung---seit-wann-obsolet-wie-funktioniert-es-nun hier, die Frage hatte ich schon mal gestellt. Soweit viel es aber vielen selbst schwer, sie zu beantworten. :-)
Naja, wenn man überlegt, dass IPv4 mittlerweile auch nur monatlich vergeben werden...
Bei mir gibt es mit jeder Neuverbindung eine neue IPv4-Adresse und ein neues IPv6-Präfix. Alle 24 Stunden neu. Nix mit "nur monatlich neu".
Bei einer IPv6 wäre das ein anderes Thema. Wenn man keine IPv4 mehr bezieht, auch nicht DS/Lite benutzt, würden schließlich statische Adressen oder EUI-64 möglich sein.
Bei IPv6 wird keine Adresse, sondern ein Präfix vergeben. Den Interface-ID baut sich das Gerät selbst, in der Regel nicht per EUI-64.
Alle 24 Stunden neu. Nix mit "nur monatlich neu".
Das ist mittlerweile die Regel und ist sicherlich umstellbar bei dir. Man kann die Zeit natürlich auch oft selbst einstellen. Deshalb die Frage in meinem Link. Denn dass es bei allen IPv4 Adressen so ist, ist nicht mehr der Fall.
Bei IPv6 wird keine Adresse, sondern ein Präfix vergeben. Den Interface-ID baut sich das Gerät selbst, in der Regel nicht per EUI-64
Richtig. Das Prefix steht dem Provider zu und du bekommst die Interface ID zugewiesen.
EUI-64 ist soweit ich weiß eher im Mobilfunknetz üblich. Aussage war lediglich, dass es auch in Verwendung ist. Ich mag es nicht sonderlich, da es eine zu große Angriffsfläche bietet.
Richtig. Das Prefix steht dem Provider zu und du bekommst die Interface ID zugewiesen.
Nein, der Provider weist das Präfix zu, häufig /56 oder /64. Den Interface ID baut sich das Gerät selbst.
EUI-64 ist soweit ich weiß eher im Mobilfunknetz üblich. Aussage war lediglich, dass es auch in Verwendung ist.
Meines Wissens verwenden alle gängigen Betriebssysteme per Default kein EUI-64.
Ich dachte dem Provider wird von der IANA ein Teil vom Prefix zugewiesen?
alle Adressen gehen vom IANA aus. Das IANA verteilt große, zusammenhängende Präfixe an die Regionalen Internet Registrare (RIR). Diese wiederum geben zusammenhängende Blöcke aus ihren Pools an die Lokalen Internet Registrare (LIR). Das können Provider sein, aber auch sehr große Unternehmen oder Behörden. Die End-User wiederum erhalten ihre Präfixe aus dem Bereich ihres LIRs.
Ein Präfix ist nichts anderes als ein IPv6-Netz. Der Provider bekommt vom von der IANA Präfixes zugewiesen. Diese kann er dann aufteilen und die Teile an unterschiedliche Kunden weitergeben. Mein Provider hat z. B. (mindestens) ein /40 von der IANA erhalten. Die teilt er in /56 auf und gibt sie den Kunden weiter.
Ja, aber im Grunde ist das doch nichts anderes als ein "Subnetting"(Natürlich nicht wörtlich, da IPv6 in dem Sinne kein Subnetting hat).
Deshalb meine ich, dass der Prefix zum Teil von der IANA zugewiesen wird, von welchem du ebenso einen Teil bekommst und der Rest vom ISP zugewiesen wird?
Ja, aber im Grunde ist das doch nichts anderes als ein "Subnetting"(Natürlich nicht wörtlich, da IPv6 in dem Sinne kein Subnetting hat).
Man spricht tatsächlich auch von Subnetzen. Aber richtig, eine Subnetzmaske wie bei IPv4 gibt es nicht.
Deshalb meine ich, dass der Prefix zum Teil von der IANA zugewiesen wird, von welchem du ebenso einen Teil bekommst
Korrekt. Du bekommst aber vom Provider keine IPv6-Adresse inklusive Interface ID.
Naja....man kann damit testen, welche Ports bei dir geöffnet sind.
Wenn offen, dann halt relativ viel. IPv6 braucht deutlich höhere Sicherheitsvorkehrungen als bei IPv4. Der Großteil wird bei IPv4 ja übers NAT erschlagen.
Weißt du, ob IPv6 statisch vergeben werden oder dynamisch? Theoretisch wäre es ja ohne Probleme statisch möglich, da es mehr als genug IPv6 Adressen gibt. Auch weiß ich nicht, ob bei ISPs EUI-64 eingesetzt wird.
Ursprünglich waren die rein statisch gedacht. Die ISP haben sich aber relativ schnell dafür ausgesprochen, die weiterhin dynamisch zu vergben. Sonst verkaufen die ja keine Business-Tarife mehr. Da ist das Hauptkriterium eben die feste IP.
Weißt du, ob IPv6 statisch vergeben werden oder dynamisch?
Das hängt vom Provider ab. Bei mir ist es eine dynamisch zugewiesenes Präfix, die bei jedem Verbindungsaufbau geändert wird.
Wenn offen, dann halt relativ viel. IPv6 braucht deutlich höhere Sicherheitsvorkehrungen als bei IPv4. Der Großteil wird bei IPv4 ja übers NAT erschlagen.
Bei einem Heimrouter gibt es eine Firewall. Die lässt weder über IPv4 noch über IPv6 neue Verbindungen von außen zu.
Aha. Bitte nenne mir einen Heimrouter, der keine Firewall integriert hat.
Die allermeisten Consumer-Router haben keine Firewall (SPI et al). Da funktioniert eine "Firewall" aufgrund NAT. Und selbst wenn man eine SPI hat, dann muss die erstmal konfiguriert werden.
NAT ist IPv4, nicht IPv6.
IPv6 != IPv4
Dass IPv4 ungleich IPv6 ist, ist mir durchaus klar. NAT ist nicht IPv4, NAT ist Network Address Translation. Das kann man sowohl mit IPv4 als auch mit IPv6 machen, auch gemischt in Form von NAT64.
Die Heimrouter, die ich kenne, haben allesamt mindestens eine IPv6-Firewall. Alles andere wäre mehr als grob fahrlässig. Ob bei IPv4 die Sicherheit nun durch eine Firewall, durch NAT oder durch eine Kombination aus beidem erreicht wird, ist völlig unerheblich. Fakt ist, dass bei den Standardeinestellungen eines Heimrouters sowohl per IPv4 als auch per IPv6 bei Heimroutern keine Verbindung aus dem Internet ins Heimnetz aufgebaut werden kann.
Was du persönlich kennst ist eher irrelevant.
Aha. Was Du weißt und kennst, ist jedoch der Weisheit letzter Schluss und die einzige Wahrheit? Interessant. Dann nenne mir bitte konkret Heimrouter, die in den Standardeinstellungen keine IPv6-Firewall aktiv haben.
Ein "Kenn ich nicht, also gibts das nicht" ist ein sehr, sehr, sehr, sehr, sehr gefährlicher Trugschluss.
Viel Spaß noch mit deinen Heimroutern
Ein "Kenn ich nicht, also gibts das nicht" ist ein sehr, sehr, sehr, sehr, sehr gefährlicher Trugschluss.
Deswegen bin ich gewillt, zu lernen. Aber leider kommen von Dir derzeit keine sachdienlichen Hinweise.
Da muss ich dem franzhartwig Recht geben; Wenn du meinst, dass es Router ohne IPv6 Firewall gibt, kannst du doch sicherlich einen verlinken?
Ist das hier ein Kindergarten?
Linksys, Netgear, TP-Link,....alle bieten auch Router ohne an. ebenso sind viele noch mit reinen Modems unterwegs.
Was soll also dieses naive Gehabe? Mehr gibts da jetzt nicht von mir und ich hoffe hier ist dann endlcih Ruhe.
Ist das hier ein Kindergarten?
Du bist hier der, der sich gerade aufplustert, weil er nach einem Router fragt, weil er keinen kennt. Die Reaktion von dir ist eher ein Witz.
Markennamen reinzuwerfen bringt dabei aber auch nicht viel...
Da die IPv6 sich theoretisch anhand der MAC Adresse des Gerätes aufbaut, kann es sein das man jetzt Rückschlüsse auf die MAC Adresse deines Rechners ziehen kann.
Aber ganz ehrlich? Dies ist halb so wild wie es sich anhört, denn damit kann er eigentlich auch nichts anfangen oder über dich herausfinden.
Die IPv4 & IPv6 von dir kann eh fast jeder Server- und Webseitenbesitzer einsehen.
mitmac adressen kenn ich mich ein bisschen aus danke aber trozdem
Die MAC hat erstmal nichts mit der IPv6 zu tun. Das ist ein Verfahren welches angewandt werden kann aber nicht muss. Nennt sich EUI-64, durch welches die MAC genommen, in der Mitte geteilt wird und FF FE eingefügt wird, sowie das 7. Bit gedreht wird.
Durch Network Sniffer wie Wireshark lassen sich dann MAC Adressen im öffentlichen Netz finden und Geräte gezielt angreifen.
Ich weiß das es angewandt werden kann und nicht muss. Ich schrieb jetzt auch "theoretisch" und "es kann sein".
In dem Thema kenne ich mich zu genüge aus und du hast zudem vergessen das noch das 7. Bit aus dem ersten Oktett invertiert wird, also nicht bloß FFFE. ;)
Aber wenn die IPv6 sich nicht auf die MAC bezieht, dann kann man daraus nicht einmal die MAC Adresse herausfinden, also noch weniger als vorher und vorher geht schon so gut wie gar nichts.
Hatte ich schon korrigiert mit dem 7. Bit. Wenn sie sich nicht auf die MAC bezieht, kann man nichts machen? Wie macht es denn IPv4?... Switche haben nicht umsonst MAT und ARP.
Du magst es aber wirklich meine Worte zu verdrehen oder?
So gut wie gar nichts.
Natürlich kann man die gleichen Angriffe versuchen die bei einer IPv4 Adresse auch gehen und hier hoffe ich einfach mal darauf das die Firewall von einem vernünfigen Router hier schon einiges verhindert. In der Regel hat eine Privatperson auch nicht gerade jeden X beliebigen Port offen um noch mehr Angriffe zu ermöglichen.
Es ist jedenfalls so das ein Serverbesitzer die IP jederzeit sehen kann und wenn es so schlimm wäre wie du es wirken lässt, dann wäre ich ja fast jeden Tag Opfer eines Angriffs wenn ich eine Webseite aufrufe oder einen TS Server betrete.
Ist es nicht. Ich habe nichts gedreht, sondern deine Worte eins-zu-eins wiedergegeben, weil es nicht sonderlich sinnig war.
Natürlich kommen Angriffe vor. Aber wie du schon sagst eher selten. DDoS ist nicht sonderlich üblich und trifft wenn, dann nur größere Provider und Serverfarmen. Was würde es einem Angreifer bringen, irgendeinen Computer zu attackieren und praktisch keinen Gewinn davon zu haben?
Ich stelle es nicht schlimm dar, sondern nur von der Seite des möglichen.
Sicherheit ist halt ein Thema in der IT und EUI-64 nicht umsonst umstritten.
Da die IPv6 sich theoretisch anhand der MAC Adresse des Gerätes aufbaut,
Theoretisch kann das sein, praktisch ist das nicht der Fall. Alle gängigen Betriebssysteme nutzen heute die Privacy Extensions.
Bei allen gängigen Betriebssystemen sind die Privacy Extensions heutzutage Standard. Wenn man nichts entsprechendes konfiguriert, wird kein EUI-64 nach außen verwendet.
Der Provider hat mit EUI-64 nichts zu tun. Das Betriebssystem des Endgerätes entscheidet, welche IPv6-Adresse verwendet wird. Der Provider teilt nur das Präfix zu.