AVM bringt das Internet von morgen auf die Fritzbox

In puncto Sicherheit muss man bei IPv6 komplett neu denken. Nahezu alle Überlegungen betreffs Sicherheit im Intranet gelten nicht mehr. NAT-Routing, bei dem sich mehrere Rechner eine öffentliche IPv4-Adresse teilen, ist einerseits mit Einschränkungen verbunden, anderseits bedeutet NAT-Routing auch einen Sicherheitsgewinn, da Rechner im Intranet nicht aktiv von außen erreicht werden können.

Ein Rechner oder Gerät mit einer öffentlichen IPv6-Adresse muss natürlich geschützt werden. Dies sollte mit einer Firewall geschehen, die einen Verbindungsaufbau an alle IPv6-Adressen, die nicht aus dem eigenen Netz kommen, grundsätzlich abweist. Anschließend lassen sich einzelne Dienste, beispielsweise SIP und RTP für einen VoIP-Adapter, einzeln freischalten.

Hier ist durchaus der Hersteller des Routers gefordert. AVM hat in der aktuellen Laborversion ein IPv6-Firewallkonzept implementiert, allerdings noch nicht mit einem Benutzerinterface versehen, so dass die Firewall immer aktiv ist, und sich keine Ausnahmen konfigurieren lassen, um einzelne Rechner, Protokolle und Ports freizugeben. Eine IPv6-Firewall auf dem Router zu realisieren, hat den Vorteil, dass man eine zentrale Stelle hat, an der jeder ein- und ausgehende Verkehr ohnehin vorbei muss. Ferner ist davon auszugehen, dass viele IPv6-Consumer-Devices nicht über ausreichende Sicherheitsmechanismen verfügen werden und man sie mit Bordmitteln nicht angemessen schützen kann.

Generell darf man aber davon ausgehen, dass es zur Zeit noch relativ ungefährlich ist, ungeschützte Rechner im IPv6-Internet stehen zu haben. Kommerzielle Malware-Autoren haben das IPv6-Internet für sich noch gar nicht entdeckt. Das wird sich natürlich in Zukunft ändern, zumal die Angriffsfläche grundsätzlich viel größer ist als im IPv4-Internet. Die Angriffsfläche auf das Notwendigste zu reduzieren ist im IPv6-Internet Aufgabe eines jeden privaten Nutzers.

Der Großteil der privaten Nutzer benötigt hier Unterstützung, da das Hantieren mit IP-Adressen und Ports mit einem Kommandozeilentool wie iptables zu kompliziert ist. Trotzdem muss jeder Nutzer in die Lage versetzt werden, frei mit anderen Knoten im gesamten Internet zu kommunizieren.

Oft hört man die Meinung, dass öffentliche IPv6-Adressen in privaten Netzwerken ungefährlich seien, weil der Hostteil einer IPv6-Adresse 64 Bit lang sei, und Adressscans nicht möglich seien, da man im Zweifel 18 Trillionen Adressen ausprobieren muss, bevor man auf eine gültige IPv6-Adresse trifft. Das ist natürlich deswegen so nicht richtig, da der Sinn des IPv6-Internet nicht darin liegt, alle Geräte mit einer öffentlichen IP-Adresse auszustatten, diese jedoch möglichst geheim zu halten. Dann kann man auch bei IPv4 bleiben oder ULAs verwenden.

Wenn man beispielsweise ein IPv6-SIP-Telefon an sein Netzwerk zuhause anschließt, dann will man, dass man es durch Wählen einer bestimmten Telefonnummer oder einer SIP-Adresse zum Klingeln bringen kann. Das geht im Prinzip nur, wenn man die IPv6-Adresse des Telefons per AAAA-Record im DNS veröffentlicht. Über den Umweg eines NAPTR-Records im ENUM und eines SRV-Records soll die IP-Adresse ermittelbar sein.

Wenn jemand mit bösen Absichten das Telefon nicht zum Klingeln bringen, sondern Malware einschmuggeln möchte, die die Gespräche des Nutzers abhört, dann benötigt der Hacker dieselbe IP-Adresse, die auch derjenige braucht, der den Nutzer einfach nur anrufen möchte. Dieses Beispiel dürfte klar machen, wie wichtig es ist, auch Consumer-Endgeräte, etwa ein SIP-Telefon, ausreichend gegen Missbrauch abzusichern.