IPv6 - so ein Blödsinn

Da hier zumindest aus einer Richtung recht viel Blödsinn kommt, wollte ich eigentlich nichts zu diesem Thema schreiben… Aber gut, irgendwie juckt es mich doch in den Fingern.

Die Sicherheit kommt nicht durch NAT, sondern durch die stateful Firewall. Wenn jemand ein privates IPv6 Subnetz hat, dann hat er auch einen Router, der als Gateway fungiert. Und dort läuft dann ebenso eine stateful Firewall wie auf einem Router der zusätzlich noch NAT macht.

Das liegt nicht primär an der Virtualisierungstechnologie, sondern daran, dass der Anbieter diese Funktionalität künstlich aus dem Kernel entfernt um ein Vermarktungsargument für teurere VMs zu haben. Die Virtualisierungstechnologie spielt nur deshalb eine Rolle, weil man den Kernel als Nutzer der VM nicht austauschen kann.

NAT ist kein Sicherheitsfeature.

NAT selbst nicht, aber der damit einhergehende Umstand das ohne entsprechende Regel keine Verbindung direkt von “außen” nach “innen” hergestellt werden kann.

Und dafür sind Firewalls da!

Nat, Firewalls, UDP, listen Ports, Protokolldateien - was gibt es denn da noch? Und ein paar Dienste, Prozesse und so brauchen/benötigen unter Windows (7) doch “Internetverbindung”. Und Nat und dieses Mysterium: “Es können erst Daten von einem Server empfangen werden, wenn sich der Client zuvor bei ihm ‘gemeldet’ hat.”

Wurscht, kompliziert ist das. (So ein Netzwerk-Buch hat auch 1001 Seiten).

Immer noch: stateful inspection, die nichts mit NAT zu tun hat.

[QUOTE=Sen-Mithrarin]Sowas wäre natürlich auch ein möglicher Einsatz von IPv6 und der Tatsache das praktisch jedem einzelnen Gerät eine eigene, öffentlich route-bare IP zugewiesen werden kann. Nur durch sowas dann bewusst ein Stück Sicherheit wie eine NAT-Firewall aufgeben … hmm, muss jeder selbst wissen.
[/quote]

NAT ist kein wirkliches Sicherheitsinstrument. Es wurde nur aus den IPv4-Nöten heraus als solches benutzt.

Wer keine statische IPv6 haben möchte nutzt einfach die Privacy-Extensions. Und wer bisher der Meinung war NAT schützt ihn, der verwendet stattdessen nun eine Firewall. Und alle sind glücklich.

Und der Punkt VPN und fehlendes tun/tap-Device : tja, das ist halt so eine Eigenschaft von Container-based v-machines wo man keinen Einfluss auf Kernel oder Module hat. Sowas steht einem dann erst ab KVM-Vollvirtualisierung zur Verfügung.

Ist bekannt. Mein vRoot (Hetzner) kann das. Eine mögliche Alternative die günstiger als Hetzner war/ist, konnte das nicht. Also bin ich bei Hetzner geblieben.

Mir ist zwar immer noch ein Rätzel wie es bei dedizierter Hardware möglich ist über ein Verwaltungs-Tool Dinge wie ein forced-reboot oder mal eben ein re-install durchzuführen und bin auch der Meinung das da halt in irgendeiner Art und Weise immer noch eine Art Hypervisor die Finger mit im Spiel hat,

Muss nicht…

Die einfache/naive Variante wäre:

Forced Reboot: Per netzwerksteuerbarer Steckdose die Kiste mal kurz stromlos schalten und im Bios eingestellt haben, dass sie bei Stromzufuhr direkt startet. Fertig ist das Zauber-Feature.
Re-Install: Netzwerkboot (gekoppelt mit forced-reboot) in automatisches Installationssystem?

Daneben soll es, um es ein wenig professioneller zu betreiben, auch spezielle Zusatzkarten und Mainboards geben die eine Serviceschnittstelle für genau sowas anbieten. Z.b. Integrated Lights-Out – Wikipedia

Mit 0815 Mediamarkt-Konsumer-Hardware hat das allerdings nix zu tun.

Geht alles. Man muss nur kreativ sein (und statt Computerbild c’t lesen ). Aber wir schweifen vom Thema ab.

Gruß
Alex