IPv6 im gesamten LAN deaktivieren

[uname]

Ich muss nun doch noch mal nachfragen. Dass man kein NAT mehr braucht und die Gesamt-IPv6-Adresse sich aus MAC und der externen irgendwie zusammensetzt, habe ich verstanden. Dass wenn ein Gerät von innen nach außen kommuniziert und der Rückweg funktioniert, habe ich auch verstanden. Dass man heutzutage MAC-Adressen fälscht, damit das eigene Smartphone z. B. in anderen Netzen nicht wiedererkannt wird, weiß ich auch.

Nun aber zu meiner Frage:
Wie soll denn nun der Angriff passieren?
Der Angreifer kennt den Teil des IPv6, der bei allen Adressen meines LANs/WLANs gleich ist.
Der Angreifer kennt auch gerne die IPv6 meines Routers.
Aber rät der Angreifer nun bei den Milliarden oder noch mehr Adressen meinen lokalen Webserver (MAC-Bestandteil), nutzt er Broadcast oder ist es sowieso vollkommen ungefährlich?

[cosinus]

Nun aber zu meiner Frage:
Wie soll denn nun der Angriff passieren?
Der Angreifer kennt den Teil des IPv6, der bei allen Adressen meines LANs/WLANs gleich ist.
Der Angreifer kennt auch gerne die IPv6 meines Routers.
Aber rät der Angreifer nun bei den Milliarden oder noch mehr Adressen meinen lokalen Webserver (MAC-Bestandteil), nutzt er Broadcast oder ist es sowieso vollkommen ungefährlich?

1. der Angreifer muss schon die IPv6-Adresse oder den hostnamen wissen wenn er gezielt angreifen will
2. Ja, das ist der Präfix - dann sind aber immer noch 64 Bit also theoretisch 2^64 Kombinationen für den Hostanteil da
3. die IP deines Routers ist in diesem Fall uninteressant, es sei denn er hats auf deinen Router abgesehen, aber da hätte er auch die WAN-IPv4 nehmen können
4. wozu raten? Du willst doch dass dein Webserver aus dem Internet erreichbar ist?

[uname]

Ich wollte vor allen speefak bei seiner Entscheidung helfen.
Aufgrund deiner Informationen sehe ich auch kaum Gründe IPv6 zu deaktivieren oder irgendwas groß zu filtern.

[slu]

Ich hänge mich hier mal an und IPv6 fällt mir auch noch schwer.
Kennt jemand ein gutes Buch oder ein Video mit den Grundlagen?

[cosinus]

Ich hänge mich hier mal an und IPv6 fällt mir auch noch schwer.
Kennt jemand ein gutes Buch oder ein Video mit den Grundlagen?

Also das wichtigste kannst du kostenlos bekommen -> https://de.wikipedia.org/wiki/IPv6
Der Rest kommt erst dann, wenn man damit arbeitet. Ich glaube Praxis kann man durch nix ersetzen. Ansonsten frag, ich hab meine Firma auch auf IPv6 umgestellt wir nutzen beides natürlich

[TRex]

Ich hänge mich hier mal an und IPv6 fällt mir auch noch schwer.
Kennt jemand ein gutes Buch oder ein Video mit den Grundlagen?

Also das wichtigste kannst du kostenlos bekommen -> https://de.wikipedia.org/wiki/IPv6
Der Rest kommt erst dann, wenn man damit arbeitet. Ich glaube Praxis kann man durch nix ersetzen. Ansonsten frag, ich hab meine Firma auch auf IPv6 umgestellt wir nutzen beides natürlich

Bei letzterem stimme ich dir zu, aber IPv6 bringt viele neue Komplexitäten mit sich. Ich kam (dank Yodafon) am Wochenende auf die Idee, mein DNS zu debuggen.

Code: Alles auswählen

$ dig +short -6 @fe80::6651:6ff:fed8:6ec1%2 google.com
142.250.184.238

$ grep nameserver /etc/resolv.conf
nameserver 192.168.10.100
nameserver fe80::6551:6ff:fed8:6ec1%enp3s0

$ dig +short -6 google.com
;; communications error to fe80::6551:6ff:fed8:6ec1%2#53: timed out
;; communications error to fe80::6551:6ff:fed8:6ec1%2#53: timed out
;; communications error to fe80::6551:6ff:fed8:6ec1%2#53: timed out
;; no servers could be reached

Mit wireshark sehe ich dann, dass bei letzterem vorher noch mit ICMPv6 im Trüben gefischt wird, ich weiß aber nicht, wieso das so ist. Es liegt nicht in meinem Interesse, den Thread zu hijacken - ich will nur darauf hinaus, dass es (auch wenn ich pro IPv6 bin) einiges zu lernen und zu verstehen gibt, insbesondere bei der anwendungsorientierten Umsetzung. Ich kann gerade nicht sagen, ob mein Setup funktioniert oder einfach immer der IPv4-Eintrag verwendet wird.

[schorsch_76]

@TRex: Ich vermute das dein NDP nicht richtig funktioniert. Was sagt

Code: Alles auswählen

ip -6 neigh

[TRex]

Ich würde vorschlagen, wir machen mit meinem Problem hier weiter: viewtopic.php?t=184986

[speefak]

Ja, bei IPv6 ist einiges anders, aber im Großen und Ganzen sind da mehr Gemeinsamkeiten mit IPv4. Wie gesagt, es gibt kein NAT und DHCP wird idR auch völlig anders gemacht als bei v4.
Du kannst ja mal mit deinem Rechner auf https://www.wieistmeineip.de/ gehen, dann siehst du ob und welche v6-Adresse dein Rechner zum Surfen verwendet. Siehst du da deine Adresse, die nach EUI64 gebildet wird, solltest du die IPv6-Privacy-Extensions aktivieren. Geht in der /etc/sysctl.conf mit diesem Eintrag:

Code: Alles auswählen

net.ipv6.conf.<iface>.use_tempaddr = 2

Für <iface> trägst du deine Netzwerkschnittstelle ein, also sowas wie enp3s0 oder eth0. Bei mir heißt sie eth0 also hab ich

Code: Alles auswählen

net.ipv6.conf.eth0.use_tempaddr = 2

eingetragen. Zusätzliche ULAs brauchst du nicht. Man fährt ja zweigleisig, hat also sowohl IPv4- als auch IPv6-Adressen, du kannst intern also einfach deine 192.168.178.x Adressen verwenden.

=> Ihre IPv6-Adresse lautet: nicht vorhanden ( lt. wie ist meine IP )
=> LAN IPv6 => fe80::da50:e6ff:fe50:d09a ( lt. ip a )
=> Eintrag in der /etc/sysctl.conf => net.ipv6.conf.all.disable_ipv6 = 1

IPv6 Dummy ( net.ipv6.conf.<iface>.use_tempaddr = 2 ) vs ipv6 deaktivieren für alles schnittstellen, aber ich habe immernoch einen ipv6 eintrag lt. ip a ?!

[cosinus]

IPv6 Dummy ( net.ipv6.conf.<iface>.use_tempaddr = 2 ) vs ipv6 deaktivieren für alles schnittstellen, aber ich habe immernoch einen ipv6 eintrag lt. ip a ?!

Die fe80-Adressen sind die Link-Local-Adressen. Die sind nur im abgschlossenen Segment gültig und werden nicht geroutet. Hat doch hier auch schon einer geschrieben.
Wikipedia schreibt dazu: "Link-Local-Adressen sind mit APIPA-Adressen im Netz 169.254.0.0/16 vergleichbar. "

use_tempaddr = 2 sorgt "nur" dafür, dass du zB beim Surfen nicht deine v6-Adresse nutzt, die nach EUI64 gebildet wird. Mit net.ipv6.conf.all.disable_ipv6 = 1 in der /etc/sysctl.conf hab ich aber komplett kein IPv6 mehr, grad in einer Debian-VM getestet. Siehe auch https://www.thomas-krenn.com/de/wiki/IPv6_deaktivieren

[speefak]

Nun aber zu meiner Frage:
Wie soll denn nun der Angriff passieren?
Der Angreifer kennt den Teil des IPv6, der bei allen Adressen meines LANs/WLANs gleich ist.
Der Angreifer kennt auch gerne die IPv6 meines Routers.
Aber rät der Angreifer nun bei den Milliarden oder noch mehr Adressen meinen lokalen Webserver (MAC-Bestandteil), nutzt er Broadcast oder ist es sowieso vollkommen ungefährlich?

1. der Angreifer muss schon die IPv6-Adresse oder den hostnamen wissen wenn er gezielt angreifen will
2. Ja, das ist der Präfix - dann sind aber immer noch 64 Bit also theoretisch 2^64 Kombinationen für den Hostanteil da
3. die IP deines Routers ist in diesem Fall uninteressant, es sei denn er hats auf deinen Router abgesehen, aber da hätte er auch die WAN-IPv4 nehmen können
4. wozu raten? Du willst doch dass dein Webserver aus dem Internet erreichbar ist?

Der private IPv6 Teil der Adresse ... auf https://torcheck.xenobite.eu/index.php ( aktuell down ) sah ich den privaten Teil der Adresse oder die LAN IPv4 Adresse wenn IPv6 in der FB nicht komplett deaktiviert wurde. Mit deaktiviertem IPv6 der FB scheint der IPv6 private Teil nicht mehr aufzutauchen.

[cosinus]

Was bitte ist ein "privater Teil" der v6-Adresse? Link-Local-Adressen sind immer privat. Es gibt keine privaten oder nicht-privaten Anteile...
Und deine interne v4-Adresse wie zB 192.168.178.100 können die Webserver so auch nicht sehen. Es sei denn da läuft irgendwas mit JavaScript im Hintergrund, aber ich weiß nicht ob das mit den aktuellen Browsern noch so möglich ist, solche Host-Infos auszulesen.

[speefak]

Ist "FE80:" demnach das Äquivalent zu 127.0.0.1 ?

[JTH]

Ist "FE80:" demnach das Äquivalent zu 127.0.0.1 ?

Nein. Mit der Link-Local-Adresse kannst du, anders als mit 127.0.0.1, schon andere Geräte erreichen. Aber nur die im lokalen Subnetz, jegliches Routing ist damit ausgeschlossen.

[cosinus]

Ist "FE80:" demnach das Äquivalent zu 127.0.0.1 ?

Nein, der IPv6-localhost lautet ::1