Durch die Migration einiger großer Internet Provider in Richtung IPv6, unabhängig von dessen technischer Umsetzung, häufen sich bei mir die Anfragen, wie es den mit der Privatsphäre aussieht. Dazu kommen dann noch die Fragen, wie es den mit der Sicherheit aussieht, schließlich ist der eigene PC jetzt direkt aus dem Internet erreichbar.

Die meisten Fragen kommen dadurch zustande das NAT, also die bei den meisten DSL Routern verwendete Network Address Translation, als Feature für Datenschutz und Sicherheit verstanden wird. Ich werde nachfolgend mal auf die verschiedenen Mythen und Missverständnisse zu diesem Thema eingehen, und erläutern warum man mit IPv6 nicht prinzipbedingt schlechter dran ist.

Datenschutz

Im Internet kommunizieren wir in der Regel über die verschiedenen IP Protokolle, dadurch fallen bei der erforderlichen bidirektionalen Kommunikation auch immer IP Adresse an. Während eine Verbindung besteht werden diese benötigt, um überhaupt eine Kommunikation durchführen zu können, im Anschluss landen diese Informationen meist in einem Archiv (Logfiles). Bei aktiviertem NAT landet beim anderen Kommunikationsteilnehmer immer die öffentliche IP Adresse unseres Routers im Protokoll, der PC welcher sich hinter dem NAT befindet ist nicht direkt ersichtlich. Der Router ersetzt hier unsere interne private IPv4 Adresse durch die öffentliche IPv4 Adresse der WAN Schnittstelle. Zusätzlich merkt er sich die ganze Aktion in Tabellen, so dass er auch Antwortpakete an den richtigen Client zustellen kann.

Über diese öffentliche IP Adresse lässt sich prima der Inhaber des Anschlusses durch geeignete Maßnahmen ermitteln, wer genau aus diesem Netzwerk aber etwa eine Straftat begannen hat, ist nicht ermittelbar. Zumindest die IPv4 Adresse unseres Routers bietet keine Information darüber, sondern taugt nur um den Anschlussinhaber zu ermitteln.

Bei IPv6 wurde im grundlegenden Design bewusst auf Krücken wie NAT verzichtet, was meiner Ansicht nach eine sehr gute Entscheidung war. 128 Bit lange Adressen ermöglichen es uns jeden PC und jeden Chip auf diesem Planeten seine eigene Adresse zu geben, ohne das wir auch nur im Ansatz den möglichen Adressraum ausnutzen würden.

Die Konsequenz aus dieser Entscheidung ist, dass jeder Kommunikationsteilnehmer automatisch sein Gegenüber kennt, und nicht wie bisher nur zufällig diese eine IP vom Router. Um zu verhindern das man durch diese sinnvolle Entscheidung eine Zuordnung zu einem einzelnen Client oder gar Benutzer erstellen kann wurden sog. Privacy Extensions definiert. Diese sorgen dafür das sich ein Client mit einem bestimmten Algorithmus selbstständig neue Adresse aus dem gleichen Subnetz generiert. Das Subnetz ist bei IPv6 einem Router und damit einem Anschlussinhaber zugewiesen, es handelt sich dabei in der Regel um die ersten 64 Bit der Adresse. Bei der IPv6 Adresse 2003:65:c77f:d284:f0b4:c9e4:ae6e:8597/64 wäre das Subnetz z.B. die 2003:65:c77f:d284::/64, der Rest wäre ein PC in meinem Netzwerk. Da ich die Privacy Extensions auf allen Clients aktiviert habe bietet diese Adresse keine wertvolle Information, da sich diese eben ständig ändert. In den Logfiles der verschiedenen Provider und Tracking Dienste stehen also ständig sich ändernde Adresse, aber alle aus demselben Subnetz (solange ich daheimbleibe). Mit dem Subnetz, also der IPv6 Adresse, ist es wieder möglich den Anschlussinhaber ermitteln zu lassen, einen individuellen PC aber nicht.

Zusammengefasst erfüllen also, aus der Sicht von einem Abmahnanwalt oder einem Tracking Dienst, beide Techniken (NAT oder PE) den gleichen Zweck: Der Client kann nicht ermittelt werden, der Anschluss aber nach wie vor. Wir erreichen mit den Privacy Extensions also das gleiche Schutzniveau wie zuvor, müssen aber nicht mit den technischen Nachteilen von NAT, wie kaputte P2P Dienste, leben.

Sicherheit

Einige dürften noch W32.Blaster kennen, das war ein Wurm der 2003 die Windows Welt unsicher machte. Blaster war einer der letzten großen Angriffe mittels Server Side Exploit, man nutzte also die Tatsache aus das Computer mit unsicheren Netzwerkdiensten direkt aus dem Internet erreichbar waren. Anwender, die sich hinter einem schon damals recht verbreiteten DSL Router mit NAT befanden, hatten wenig Probleme, andere mit DSL Modems oder ISDN/Modem kamen nicht so gut davon. Konsequenz war das Microsoft mit Windows XP Service Pack 2 eine Personal Firewall aktivierte, um auch Anwender ohne NAT Router zu schützen. Die richtige Konsequenz wäre es gewesen in der Standardkonfiguration einfach keine von außen erreichbaren Services anzubieten, aber damit hatte man wohl so seine Probleme.

Durch den fehlenden Eintrag in der Verbindungstabelle des Routers hat die NAT Implementierung des Routers die eingehende Verbindungsanfrage des Wurmes nicht weitergeleitet. Der Schutz war also eine folge der Art und Weise wie NAT funktioniert und nicht weil NAT hier einen Schutz als Feature bietet. Das gleiche verhalten konfiguriert man bei einem IPv6 Router, indem man alle neuen eingehenden Verbindungen nicht an angeschlossene Clients weiterleitet, ganz ohne den zusätzlichen Aufwand einer Adressumschreibung.

Eine kaputte Routingtabelle würde kaum ein Administrator als Sicherheits Feature bezeichnen, also sollten wir dies bei NAT, auch wenn es manchmal hilft, auch nicht machen.

Auch hier sind NAT und IPv6 gleichwertig zu betrachten, lediglich der Ansatz ist anders und auch hier kann wieder auf technische Krücken beim Einsatz von IPv6 verzichtet werden. Zusätzlich sollte man beachten das 2013 kaum noch ein Angriff über offene Ports erfolgt, sondern man sich einfach der schwächsten Komponenten im System bedient die nach draußen Kommunizieren dürfen. Diese verwundbare Komponente ist heute der Browser, den dieser kommt komfortabel durch alle Proxies, Router und Firewalls und kann den schädlichen Code direkt auf den Client laden.

Fazit

NAT bietet weder mehr Sicherheit, noch mehr Privatsphäre als es mit IPv6 möglich ist. Durch den Verzicht auf diese technische Krücke bekommen wir etwas Komfort (P2P Dienste) zurück, und sonst ändert sich bei einer korrekten Implementierung und ordentlicher Policy im Router für uns als Anwender nichts.

Für viele Anwender ist es nach wie vor schwer, sich von dem Gedanken zu verabschieden NAT sei ein Feature aus dem Bereich der IT Sicherheit. Aber gemeinsam werden wir auch das überleben ;)