IPv6, der nächste Schritt
 |
6 Juni 2012, IPv6 World Launch Day. An diesem Datum wird das Internet der zweiten Generation "eingeschaltet". Bereits am 3 . Februar 2011 wurde von der IANA der letzte freie IPv4 Adressraum vergeben, dennoch funktioniert das Internet noch immer :) also, kein Grund zur Panik
Gerade weil es für den normalen Gebrauch noch keinen Effekt hat, kümmert es den normalen User nicht ob er nun IPv6 ready ist oder nicht. Trotzdem, Swisscom ist seit einiger Zeit bereit ihren Kunden eine IPv6 Verbindung zu ermöglichen.
IPv6 bei Swisscom
Am 21.04.2011 startete der offizielle Trial für Privatkunden um IPv6 zu erproben bzw zu nutzen.
Als Technik setzt Swisscom momentan auf 6RD. Wie es der Name schon sagt ist 6 rapid deployment eine Technik, um Kunden durch einen Provider durch relative einfache Art und Weise, schnell kostengünstig eine IPv6 Konnektivität zu geben. Entwickler Rémis Després (6RD kann auch für seine Initialen stehen) hat bereits 2007 bei Free, einem Französischen Provider bewiesen das er dies innert 5 Wochen einführen konnte!
Auch Swisscom verwendet diese Tunneltechnik erfolgreich um den Privatkunden IPv6 anzubieten.
Bei den Centro Routern haben die Kunden seit einiger Zeit die Möglichkeit IPv6 zu aktivieren. Dies muss bewusst via Kundencenter geschehen (auch wenn es natürlich andere Möglichkeiten dazu gibt). Durch die Aktivierung wird dies dem Router provisioniert. CWPM sei Dank :)
In einer späteren Phase wird IPv6 per Default aktiviert sein!
In einer späteren Phase wird IPv6 per Default aktiviert sein!
Es spielt dabei keine Rolle ob man einen Centro Grande oder einen Centro piccolo besitzt. Anfänglich war nur der Centro Grande von Pirelli/ADB in der Lage eine 6RD Verbindung herzustellen. Mittlerweile sind die Motorola Router dazu aber auch fähig.
Auf die Technik selber möchte ich hier an dieser Stelle nicht weiter eingehen.
Wer sich dafür interessiert dem empfehle ich mal die Swisscom labs und deren Trial zu besuchen. http://labs.swisscom.ch/de/trial/ipv6-sneak-preview
IPv6 ist das sicher?
Genau diese Frage stellt sich relativ bald, sofern man sich etwas mit IPv6 beschäftigt. Schauermärchen des übelsten tun noch ihr übriges um ein mulmiges Gefühl zu hinterlassen.
Bisher war man sich gewohnt das man durch das NAT eines Routers zumindest einigermassen sicher im Internet unterwegs ist. Im Zusammenhang mit IPv6 wird auch immer wieder die Privatsphäre genannt.
Heikle Themen, für die es Lösungen gibt, unerfahrene Anwender aber mal zunächst sicher abhalten IPv6 anzuwenden bzw zu aktivieren.
Daher auch der primäre Wunsch der Anwender, dass das CPE des Provider, zumindest mal für den grundsätzlichen Schutz sorgen soll. Hier war bisher wenig bis gar nichts vorhanden. So verteilt der Centro Grande von Pirelli/ADB zwar fleissig Adressen, lässt aber sämtlichen IPv6 Traffic ungehindert durch. Beim Centro von Motorola sah es bisher etwas "besser" aus. Dieser Verteilt auch seine Adressen, blockiert aber sämtlichen nicht aus dem LAN initiierten Verkehr. Ausnahmen sind auf einfache Art keine zu realisieren.
Kein Zustand der wirklich Freude macht.
Schritt 1, die Adressverteilung und ein funktionierendes 6RD wurden also schnell mal erreicht.
Zeit nun für Schritt 2. Gewinne die normalen User durch Sicherheit.
Sicherheit durch Router
Um Sicherheit bei IPv6 zu gewährleisten gehören sauber konfigurierte Client Firewalls zum wichtigsten.
Mit einer aktivierten Windows Firewall ist man also schon mal gut unterwegs.
Um einen ähnlichen Schutz zu haben wie bei NAT, braucht es aber eine Hardware Firewall, zB im Router.
Die Zeit ist gekommen, auch Swisscom wird sie haben :)
In einer Vorversion der Centro Motorola Firmware, habe ich dieses neue Feature unter die Lupe genommen. Die Roadmap sieht momentan vor, dass ab Juli 2012 die Motorola Geräte mit dieser neuen Firmware ausgestattet werden. Bei Pirelli/ADB wird es länger dauern, man geht von November aus.
Interessierte müssen keine Beziehung zu Swisscom haben um diese Firmware von Motorola zu testen.
Das Wissen wie Swisscom die Firmwares speichert und ein wenig offene Augen an den richtigen Stellen reichen zum Download. Aus Integrität gebe ich den Link hier nicht an und bitte dies auch nicht in den Kommentaren zu tun. Mir hat keiner von Swisscom geholfen diese Firmware zu finden, es kann also nicht so schwer sein :D
Ansonsten abwarten und Tee trinken. Die Firmwares sollten ja bald mal ausrollen.
NAT IPv4
Wer den Centro Grande Motorola kennt, wird auch die gewohnte Portweiterleitung wieder finden. IPv6 bei Swisscom wird im Dual Stack angeboten. Sprich IPv4 steht immer noch zur Verfügung. Logisch, das Internet wäre teilweise noch relativ langweilig ;) Darum ist es auch wichtig und wird es auch noch lange bleiben, dass man seine IPv4 Server versorgen kann.
Unter Einstellungen > Port- Weiterleitung findet man das gewohnte Menü um vorkonfigurierte Dienste auf einen Host zu leiten.
Ist ein Dienst nicht vorhanden, kann man diesen im Menü Einstellungen > Dienste, eröffnen.
An dieser Stelle sei gesagt. Was man von jedem 08-15 Router gewohnt ist, dass sogenannte NAPT, steht im WUI immer noch nicht zur Verfügung. Einer der Hauptgründe warum die Centros als DAU Geräte angesehen werden. Es sind die DAU's die nicht verstehen das die Möglichkeit via Shell trotzdem besteht. Trotzdem unverständlich warum dies via WUI aber nicht möglich ist.
Swisscom, hier bitte endlich mal nachbessern! Früher war es ja auch möglich :) Die Router an sich, sind ja ansonsten i.O.
IPv6 Firewall
Soweit so gut. Nun aber zur Neuerung, der IPv6 Firewall. Sobald man im Kundencenter IPv6 aktiviert hat, steht im WUI ein neuer Menüpunkt zur Verfügung.
Dieser nennt sich Sicherheit.
Sicherheit in 3 Stufen
Mittel
Defaultmässig ist die IPv6 Firewall auf Mittel Hoch gestellt.
Falls die IPv6 Firewall
Stufe ""Mittel"" aktiviert ist, wird der IPv6 Datenverkehr
in beide Richtungen (ankommend und abgehend) zugelassen. Davon ausgenommen ist
eine Gruppe von Standard Protokollen (Gruppiert in ""Fernwartungs-Protokolle""
und ""LAN-Protokolle) und alle benutzerdefinierten Regeln, welche Sie
definieren. TCP Ports, welche zur Kategorie "Fernwartungs-Protokolle"
gehören, werden nicht aus dem ankommenden Datenverkehr gefiltert. UDP und TCP
Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im
abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um
vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel durch deaktivieren des Kontrollkästchens
ausschalten, wird automatisch der Firewall-Status "Mittel"
angewendet, welcher für die spezifizierten Ports den Datenverkehr in beiden
Richtungen (ankommend und abgehend) erlaubt.
Hier ist das Standardverhalten auf "erlauben". Die Firewall lässt Traffic durch. Ausgenommen ist aber ein ganzes Set an wichtigen Protokollen, die eigentlich nur im LAN verwendet oder als Remote Zugang genutzt werden. Diese Protokolle und Ports sind gesperrt, lassen sich aber mittels einfachem Klick auf erlaubt setzen.
Wichtig: Erlaubter Traffic bezieht sich immer auf alle Hosts im LAN. Erlaubt man zB. FTP wird dies für alle Adressen nicht mehr geblockt. Darum ist Client Sicherheit immer nach das A und O.
Hier die gesperrten Dienste und Protokolle
Fernwartungs-Protokolle
| Aktivieren | Dienst | Protokoll | Ports | Blockieren |
|---|---|---|---|---|
| Secure Shell (SS) | TCP | 22 | Eingehend | |
| Telnet | TCP | 23 | Eingehend | |
| Apple Airport PPP Status etc. | TCP | 192 | Eingehend | |
| Mac OS X Server Admin | TCP | 311 | Eingehend | |
| rlogin | TCP | 513 | Eingehend | |
| TCP Shell | TCP | 514 | Eingehend | |
| Mac OS X Server Administration | TCP | 660 | Eingehend | |
| Mac OS X Server Administration | TCP | 687 | Eingehend | |
| Samba Web Administration Tool | TCP | 901 | Eingehend | |
| Telnet over TLS/SSL | TCP | 992 | Eingehend | |
| QT Server Administration | TCP | 1220 | Eingehend | |
| VNC Listener | TCP | 5500 | Eingehend | |
| VNC over HTTP | TCP | 5800 | Eingehend | |
| VNC remote desktop protocol | TCP | 5900 | Eingehend | |
| TeamViewer remote desktop proto. | TCP | 5938 | Eingehend | |
| WBEM HTTP, Apple Remote Desktop | TCP | 5988 | Eingehend |
LAN Protokolle
| Aktivieren | Dienst | Protokoll | Ports | Blockieren |
|---|---|---|---|---|
| WINS | Beide | 42 | Ankommend/Abgehend | |
| TACACS | Beide | 49 | Ankommend/Abgehend | |
| Trivial File Transfer Protocol | Beide | 69 | Ankommend/Abgehend | |
| Mac OS X Server Password Server | Beide | 106 | Ankommend/Abgehend | |
| ONC RPC (SunRPC) | Beide | 111 | Ankommend/Abgehend | |
| SQL Services | Beide | 118 | Ankommend/Abgehend | |
| DCOM Service Control Manager | Beide | 135 | Ankommend/Abgehend | |
| NetBIOS Name Service | Beide | 137 | Ankommend/Abgehend | |
| NetBIOS Datagram Service | Beide | 138 | Ankommend/Abgehend | |
| NetBIOS Session Service | Beide | 139 | Ankommend/Abgehend | |
| SQL Service | Beide | 156 | Ankommend/Abgehend | |
| SNMP | Beide | 161 | Ankommend/Abgehend | |
| SNMP Traps | Beide | 162 | Ankommend/Abgehend | |
| Print-srv, Network PostScript | Beide | 170 | Ankommend/Abgehend | |
| X Display Manager Ctrl (XDMCP) | Beide | 177 | Ankommend/Abgehend | |
| Service Location Protocol (SLP) | Beide | 427 | Ankommend/Abgehend | |
| Microsoft-DS SMB file sharing | Beide | 445 | Ankommend/Abgehend | |
| Kerberos Change/Set password | Beide | 464 | Ankommend/Abgehend | |
| Rexec, Remote Process Execution | Beide | 512 | Ankommend/Abgehend | |
| Line Printer Daemon | Beide | 515 | Ankommend/Abgehend | |
| RIPng | Beide | 521 | Ankommend/Abgehend | |
| RPC | Beide | 530 | Ankommend/Abgehend | |
| DHCPv6 client | Beide | 546 | Ankommend/Abgehend | |
| DHCPv6 server | Beide | 547 | Ankommend/Abgehend | |
| AFP over TCP | Beide | 548 | Ankommend/Abgehend | |
| Internet Printing Protocol | Beide | 631 | Ankommend/Abgehend | |
| LDAP over TLS/SSL | Beide | 636 | Ankommend/Abgehend | |
| Kerberos administration | Beide | 749 | Ankommend/Abgehend | |
| iSCSI (RFC 3720) | Beide | 860 | Ankommend/Abgehend | |
| MSSQL Server | Beide | 1433 | Ankommend/Abgehend | |
| MSSQL Monitor | Beide | 1434 | Ankommend/Abgehend | |
| RADIUS authentication | Beide | 1812 | Ankommend/Abgehend | |
| RADIUS accounting | Beide | 1813 | Ankommend/Abgehend | |
| SSDP | Beide | 1900 | Ankommend/Abgehend | |
| NFS | Beide | 2049 | Ankommend/Abgehend | |
| MySQL Server | Beide | 3306 | Ankommend/Abgehend | |
| Web Services Discovery | Beide | 3702 | Ankommend/Abgehend | |
| UPnP | Beide | 5000 | Ankommend/Abgehend | |
| NAT Port Mapping Protocol | Beide | 5351 | Ankommend/Abgehend | |
| NAT Port Mapping Protocol | Beide | 5353 | Ankommend/Abgehend | |
| Link-Lcl Mcast Name Resolution | Beide | 5355 | Ankommend/Abgehend | |
| WSDAPI over HTTP | Beide | 5357 | Ankommend/Abgehend | |
| WSDAPI over HTTPS | Beide | 5358 | Ankommend/Abgehend | |
| PostgreSQL | Beide | 5432 | Ankommend/Abgehend |
Hoch
Falls die IPv6 Firewall Stufe ""Hoch"" aktiviert ist, wird der IPv6 Datenverkehr nur in abgehender Richtungen zugelassen. Davon ausgenommen sind ""LAN-Protokolle"" und benutzerdefinierte Regeln, welche Sie definieren. UDP und TCP Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel, durch deaktivieren des Kontrollkästchens ausschalten, wird automatisch der Firewall-Status "Hoch" angewendet, welcher für die spezifizierten Ports den Datenverkehr nur in abgehender Richtung erlaubt.
Benutzerdefinierte Regeln mit der Richtlinie "Erlaube ankommenden Datenverkehr" erlauben gleichzeitig Verkehr in abgehender Richtung, entsprechend dem Verhalten der Firewall in der Einstellung "Hoch".
Hier ist das Standardverhalten "verbieten" Auf Stufe Hoch agiert hier die Stateful Firewall ähnlich wie ein NAT Router. Nicht aus dem LAN initiierter Verkehr wird verworfen. Auch hier die Möglichkeit Dienste von extern zu erlauben, indem man auf einen der vordefinierten Dienste klickt oder selber eine Regel erstellt.
Standardregeln
LAN Protokolle
| Aktivieren | Dienst | Protokoll | Ports | Blockieren |
|---|---|---|---|---|
| WINS | Beide | 42 | Blockiere gesamten Verkehr | |
| TACACS | Beide | 49 | Blockiere gesamten Verkehr | |
| Trivial File Transfer Protocol | Beide | 69 | Blockiere gesamten Verkehr | |
| Mac OS X Server Password Server | Beide | 106 | Blockiere gesamten Verkehr | |
| ONC RPC (SunRPC) | Beide | 111 | Blockiere gesamten Verkehr | |
| SQL Services | Beide | 118 | Blockiere gesamten Verkehr | |
| DCOM Service Control Manager | Beide | 135 | Blockiere gesamten Verkehr | |
| NetBIOS Name Service | Beide | 137 | Blockiere gesamten Verkehr | |
| NetBIOS Datagram Service | Beide | 138 | Blockiere gesamten Verkehr | |
| NetBIOS Session Service | Beide | 139 | Blockiere gesamten Verkehr | |
| SQL Service | Beide | 156 | Blockiere gesamten Verkehr | |
| SNMP | Beide | 161 | Blockiere gesamten Verkehr | |
| SNMP Traps | Beide | 162 | Blockiere gesamten Verkehr | |
| Print-srv, Network PostScript | Beide | 170 | Blockiere gesamten Verkehr | |
| X Display Manager Ctrl (XDMCP) | Beide | 177 | Blockiere gesamten Verkehr | |
| Service Location Protocol (SLP) | Beide | 427 | Blockiere gesamten Verkehr | |
| Microsoft-DS SMB file sharing | Beide | 445 | Blockiere gesamten Verkehr | |
| Kerberos Change/Set password | Beide | 464 | Blockiere gesamten Verkehr | |
| Rexec, Remote Process Execution | Beide | 512 | Blockiere gesamten Verkehr | |
| Line Printer Daemon | Beide | 515 | Blockiere gesamten Verkehr | |
| RIPng | Beide | 521 | Blockiere gesamten Verkehr | |
| RPC | Beide | 530 | Blockiere gesamten Verkehr | |
| DHCPv6 client | Beide | 546 | Blockiere gesamten Verkehr | |
| DHCPv6 server | Beide | 547 | Blockiere gesamten Verkehr | |
| AFP over TCP | Beide | 548 | Blockiere gesamten Verkehr | |
| Internet Printing Protocol | Beide | 631 | Blockiere gesamten Verkehr | |
| LDAP over TLS/SSL | Beide | 636 | Blockiere gesamten Verkehr | |
| Kerberos administration | Beide | 749 | Blockiere gesamten Verkehr | |
| iSCSI (RFC 3720) | Beide | 860 | Blockiere gesamten Verkehr | |
| MSSQL Server | Beide | 1433 | Blockiere gesamten Verkehr | |
| MSSQL Monitor | Beide | 1434 | Blockiere gesamten Verkehr | |
| RADIUS authentication | Beide | 1812 | Blockiere gesamten Verkehr | |
| RADIUS accounting | Beide | 1813 | Blockiere gesamten Verkehr | |
| SSDP | Beide | 1900 | Blockiere gesamten Verkehr | |
| NFS | Beide | 2049 | Blockiere gesamten Verkehr | |
| MySQL Server | Beide | 3306 | Blockiere gesamten Verkehr | |
| Web Services Discovery | Beide | 3702 | Blockiere gesamten Verkehr | |
| UPnP | Beide | 5000 | Blockiere gesamten Verkehr | |
| NAT Port Mapping Protocol | Beide | 5351 | Blockiere gesamten Verkehr | |
| NAT Port Mapping Protocol | Beide | 5353 | Blockiere gesamten Verkehr | |
| Link-Lcl Mcast Name Resolution | Beide | 5355 | Blockiere gesamten Verkehr | |
| WSDAPI over HTTP | Beide | 5357 | Blockiere gesamten Verkehr | |
| WSDAPI over HTTPS | Beide | 5358 | Blockiere gesamten Verkehr | |
| PostgreSQL | Beide | 5432 | Blockiere gesamten Verkehr |
Aus
Es ist nur eine
grundlegende Datenverkehrs-Kontrolle aktiviert um vor ungültigem und
schädlichem Verkehr zu schützen, da die IPv6 Firewall ausgeschalten ist.
Schalten Sie die Firewall ein um sämtliche Funktionen des Experten Modus zu
benützen.
Selbstverständlich kann man die Firewall auch deaktivieren und eine eigene Schutzlösung verwenden.
Regeln erstellen
Ähnlich wie bei der Portweiterleitung bei IPv4 kann man auch eigene Regeln für IPv6 erstellen um diese zu erlauben oder explizit zu blocken. Wie schon erwähnt leitet man hier nicht auf einen einzelnen Host, sondern schaltet diesen Traffic allgemein ein oder aus.
What else?
Hmm es gibt da schon noch was :)
Leider hat sich seit dem Update auf SOC OS 9.0.7 die IP-Weiterleitungs Funktion in eine Nichtfunktion verwandelt. Mann kennt die Workarounds und das ist auch gut so.
Allerdings ist der sogenannte Data pump ein wichtiger Teil eines DSL Routers. Es macht also durchaus Sinn auch einen Router der mal im Bridge Mode ist irgendwann wieder mal eine neue Version zu spendieren.
Nun gut, leider ist der Bridge Mode immer noch nicht vorhanden. Als Trostpflaster funktioniert nun aber die IP Weiterleitung wieder einwandfrei.
Dazu geht man unter Einstellungen auf das Menü IP-Weiterleitung und wählt, richtig, IP-Weiterleitung. Der gewünschte Host muss seine IP via DHCP beziehen und bereits an den Router angeschlossen sein. Ist dies der Fall, lässt sich der Host auswählen. Der Centro Router weisst noch darauf hin das der Centro Router selber einen neustart braucht, sowie der IP-Weiterleitungs Host einen neuen DHCP request machen muss.
Tux0ne machen die Centro Router selber wie auch die Witzboxen von AVM keine Freude. Klar, dass die ipfire für den Test hinhalten muss. Selbstverständlich funktioniert auch Swisscom TV in diesem Modus auch noch einwandfrei (hinter meiner ipfire).
Luft für Spielereien ist auch noch vorhanden. Da ipfire 2.11 noch nicht wirklich IPv6 ready ist (was aber in ipfire3 noch kommt), ist der Centro Router als IPv6 Gateway in meinem Netz durchaus vorstellbar.
Wer sich näher für dieses Thema interessiert kann sich dieses PDF's anschauen. -http://www.swissipv6council.ch/sites/default/files/docs/residential_ipv6_at_swisscom_--_memberanlass_03-2012.pdf
-http://www.swissipv6council.ch/sites/default/files/images/ipv6_roadmap_swisscom.pdf
-http://www.swissipv6council.ch/sites/default/files/images/ipv6-residential-swisscom.pdf
-http://www.swissipv6council.ch/sites/default/files/images/ipv6_roadmap_swisscom.pdf
-http://www.swissipv6council.ch/sites/default/files/images/ipv6-residential-swisscom.pdf
Ansonsten sind auch Kommentare erlaubt.
Kommt Zeit, kommt Rat, kommt Attentat.
