AVM Firewall, ipv6 & AR7.cfg Interna

[RSchnauzer]

IPv6 security testen

... Um die Ports zu testen muss man aber noch die Windows-Firewall deaktivieren oder über die erweiterten Einstellungen gehen ...

Hallo,
die Diskussion ist ja sehr interessant, aber wie kommt man jetzt am besten weiter, wenn man einerseits IPv6 Erfahrungen machen möchte und nicht gleichzeitig ein großes Loch aufmachen will.
Den Ansatz die offenen Ports zu testen ist schon mal ein viel versprechender Ansatz. Ich hab aber noch Schwierigkeiten die entsprechenden IPv6-Adressen für den Test zu finden.
Ich hab mir mit netsh interface ipv6 show neighbors auf einem XP client die Adressen angezeigt und dann mit der URL getestet.

• Ping kommt nicht durch,
• traceroot zeigt nach dem 6to4 router nichts mehr an,
  

   1  2001:1af8:4200:b000::1 (2001:1af8:4200:b000::1)  1.397 ms  1.438 ms  1.509 ms
    2  2001:1af8:4100::5 (2001:1af8:4100::5)  26.348 ms  26.407 ms  26.476 ms
    3  be11.crs.evo.leaseweb.net (2001:1af8::9)  2.333 ms  2.366 ms  2.351 ms
    4  2001:1af8::7 (2001:1af8::7)  0.884 ms  0.943 ms  0.993 ms
    5  easyhosting.easynet.nlsix.net (2001:7f8:13::a503:9556:2)  1.504 ms  1.514 ms  1.565 ms
    6  xmr8k-nikhef1-ipv6.as39556.net (2a02:728:0:1::2)  1.812 ms  1.612 ms  1.600 ms
    7  6to4.easycolocate.nl (2a02:728:e:67::167)  2.024 ms  2.085 ms  2.261 ms
    8  * * *  bis 30 * * *

• scann port mit einem in der FB freigegebenen Port ist nicht erfolgreich.

Eine Firewall hab in in den Clients hinter der FB nicht an.
Nach außen komme ich mit IPv6 ping -6 www.heise.de erfolgreich.
Jetzt bin ich nicht sicher, ob der Zugang dicht ist, oder ob ich mit der falschen Adresse getestet habe.

Wie bekomme ich die IPv6 Adresse der FB angezeigt? Ich finde nur den prefix, muss man die Adresse aus MAC-Adresse und Prefix selber bilden?

Ergänzung: die IPv6 Adresse der FB steht in der Log, wenn man mit der testet (kein cut/paste) gibt es das selbe Ergebnis. Interessant ist die MAC Adresse in der IPv6 Adresse. Wie bekommt man alle MAC-Adressen der FB raus, ohne den Trace auf allen Interfaces auszuwerten? Das ist auf jeden Fall nicht die WLAN Basis Adresse.

 

[RSchnauzer]

IPv6 Security

Das Thema scheint versandet zu sein. Für mich stellt sich immer noch die Frage, ob ich mit dem Test von IPv6 im Netz hinter der FB mein Netz und die PCs gefährde, oder ob ich mich auf eine Grundsicherheit durch die FB verlassen kann.

Die IPv6 Funktionalität ist ja gewährleistet, aber habe ich noch eine funktionierende Firewall in der FB? Brauchen wir da einen eigenes Thema, oder geht es hier weiter?

 

[quantive]

Wie ich an deiner Liste der Beiträge sehe, hast du noch keinen eigenen Thread gestartet.

Ich habe mich hiermit länger nicht mehr beschäftigen können, werde es leider auch nicht können, und gebe alles folgende nur aus meinen vorhandenen Notizen wieder, bin noch ganz auf IP4.

1.

Wie bekommt man alle MAC-Adressen der FB raus, ohne den Trace auf allen Interfaces auszuwerten? Das ist auf jeden Fall nicht die WLAN Basis Adresse.

Die steht bei der FB 7270 unter Internet -> Zugangsdaten -> dann "Internetzugang über DSL" aktivieren unter "Verbindungseinstellungen" unten. Vielleicht noch auf einem Aufkleber auf der FB, kann die jetzt nicht umdrehen.

2.
Die IPv6 eines PC's bekommst du über ipconfig /all oder auf der Seite http://ipv6-test.com/
Der Router macht über seine öffentliche IPv4 eine Verbindung zu einem öffentlichen 6to4 Relay und bekommt so ein IPv6 Netz zugewiesen z.B. 2001:0db8:85a3::/48 (globaler IPv6-Präfix). Adressen stehen auch im Router unter Zugangsdaten -> IPv6.
Mit seiner MAC (wird bei mir an den Präfix gehängt) macht der Router dann eine globale IPv6.
Die PC's hinter dem Router bekommen auch eine globale IPv6 (gleichen Präfix+ MAC der Netzwerkkarte), die über den 6to4 Tunnel mit dem IPv6 Internet kommunizieren. NAT gibt es nicht mehr.
Bei der großen Anzahl der IPv6 Adressen ist ein Portscann-Angriff wahrscheinlich gar nicht möglich. Zudem geht der PC mit der temporären IPv6 ins Internet, die sich ändert.

3.
In der FB kannst du Anfragen an eine Interface-ID (die letzten vier 4er Einheiten der IPv6)
mit der festen IPv6 oder
temporären IPv6 (Vorsicht beim testen, die ändert sich!), ermittelbar mit ipconfig /all,
unter Internet -> Freigaben -> IPv6 -> "neues Gerät" für einen Portbereich weiterleiten. Am Port muss natürlich ein Dienst horchen, sonst ist der Port nicht offen.

Unter http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-port-scanner.php kannst du dann testen, ob durch Ändern der Freigabe in der FB Verbindung zu einem Dienst des PC's besteht oder nicht.

Unter W7 greift noch die W7 Firewall ein, die du auch testweise aus und einschalten kannst, um die Änderungen bei SubnetOnline zu sehen.
Es gibt klare Unterschiede.
Das ganze für sich zu testen ist sehr aufwendig, siehe Bild, ich weiß.

Mein Fazit wie schon gesagt ist:

Also ich würde gerne für mich abschließen (bis auf eine Sache, UDP).
Alle IPv6 TCP Ports, die ich getestet habe, werden tatsächlich geblockt aber auch durch IPv6 Freigaben einfach zum gewünschten PC (Interface Identifier) weiter geleitet, entweder zur globalen oder zur temporären ID.

Falls du bedenken bezüglich der Sicherheit hast, dann hilft nur ein teurer Profi-UTM-Router speziell für IPv6 mit Management-Konsole usw.
http://www.computerwoche.de/netzwerke/tk-netze/2485286/