IPv6 kommt

watchout

Legend
undead

Registered: Nov 2000
Location: Off the grid.
Posts: 6845

01.12.2010 - 02:43

Stell dir Ports als Anwendung und IPs als Adresse vor.

Merkst du das Problem?

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6837

01.12.2010 - 07:50

Zitat von EvilGohan
Ich hab NAT nie als Ärgernis gesehen...eher als einfache Security-Maßnahme

grad bei am CMSler wundert mich diese aussage... dass euch nicht mit dem baseballschläger "NAT is _not_ security" eingebläut wird.

wenn man nicht für die aussenwelt erreichbar sein will, tuts auch ein simpler paketfilter. pakete kann man auch ohne nat filtern - nur weiss das heutzutage kaum noch jemand, weil jeder einen NATenden router daheimstehn hat.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

01.12.2010 - 08:10

hätte auch gesagt, dass es reicht wenn ein gerät nicht von außen erreichbar sein soll, dann einfach "ip any any" incoming blocken (wie es zb windows bei "öffentlichem netzwerk" macht), also nicht wirklich ein security-problem, vor allem wenn das (modem/router)

man muss sich nur SIP, IPSec, FTP (auch wenn FTP weit größere Probleme hat

) anschauen, für die man eben extra umgehungslösungen bauen musste, damit sie NAT unterstützen.

und weil heimrouter angesprochen wurden
dort kann ich meistens eh kein portforwarding auf ip-basis einrichten, sondern ich klick auf das gerät (gekennzeichnet durch den pc-namen) und dann kann ich das dort einrichten.... ip füllt er da selbstständig aus

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

01.12.2010 - 08:12

Zitat von Neo-=IuE=-
und weil heimrouter angesprochen wurden
dort kann ich meistens eh kein portforwarding auf ip-basis einrichten, sondern ich klick auf das gerät (gekennzeichnet durch den pc-namen) und dann kann ich das dort einrichten.... ip füllt er da selbstständig aus

spätestens da bin ich froh noch nie solch einen in die finger bekommen zu haben

(ich mein damit nur klicki-consumer-geräte, nedmal alle netgear die ich bis jetzt in den fingern hatte waren so aufgebaut)

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12119

01.12.2010 - 08:12

Ich kann noledges Post nur in allen Punkten unterstreichen. Ein NAT-Gateway ist vielleicht eine bequeme Sache fuer Leute, die eine katastrophal unsichere, weil (zu) leicht exploitierbare Infrastruktur hinter einer etwas sichereren, weil weniger leicht exploitierbaren "Schranke" verstecken wollen - mehr aber auch nicht.

Das Ende-zu-Ende-Prinzip des Internets gibt es schon deutlich laenger als den Hack der NAT, und wenn man an die grauslichen Workarounds denkt, die es noetig macht, freue ich mich wie ein kleines Kind auf den Tag, an dem dieses Konzept endlich aus den Koepfen und Routern der Menschen fliegt.

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

01.12.2010 - 08:37

Das Internet besteht aber zu 90% aus Usern die eine solch "katastrophal unsichere, weil zu leicht exploitierbare Infrastruktur" betreiben.

Wie du sagst ist dort NAT sehr bequem.

Ich kann ned mit dem Rohrstock hinter den Leuten stehen und ihnen sagen: machts eure Updates, Updatets die Virenscanner und BITTE drückts _TROTZDEM_ ned auf den "free p0rn"-Button, egal wie sehr der blinkt!

Gegen letzteres Hilft zwar eh kaum was, aber ich glaub mein Punkt ist klar?

@uon: Dein Glück/Geld würdi gern haben.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

01.12.2010 - 08:50

Zitat von EvilGohan
@uon: Dein Glück/Geld würdi gern haben.

an tp-link 1043 kannst da sicher leisten, da brauchst ned viel geld und erst recht ka glück (um beim aktuellen router zu bleiben)

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

01.12.2010 - 09:16

Zitat von EvilGohan
Das Internet besteht aber zu 90% aus Usern die eine solch "katastrophal unsichere, weil zu leicht exploitierbare Infrastruktur" betreiben.

diese haben derzeit ipv4 router ohne portforwarding konfiguriert und sind somit nicht von außen erreichbar

nachher haben sie einen ipv6 router vom provider, der kein portforwarding braucht, weil man ein ganzes subnet hat
aber dafür ist "ip any any" incoming blockiert

um einen zugriff von außen zu ermöglich muss man statt portforwarding halt jetzt eine firewallausnahme definieren
ja das macht wirklich einen großen unterschied

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6837

01.12.2010 - 10:05

Zitat von Neo-=IuE=-
diese haben derzeit ipv4 router ohne portforwarding konfiguriert und sind somit nicht von außen erreichbar

nachher haben sie einen ipv6 router vom provider, der kein portforwarding braucht, weil man ein ganzes subnet hat
aber dafür ist "ip any any" incoming blockiert

um einen zugriff von außen zu ermöglich muss man statt portforwarding halt jetzt eine firewallausnahme definieren
ja das macht wirklich einen großen unterschied

qft.

leute - ob ich jetzt mit einem hackerl "NAT" aktivier, oder mit einem hackerl eine "default deny any von aussen", is blunzn. der effekt ist der gleiche, nur hab ich in letzterem fall keine krücke, die für einen anderen zweck geschaffen wurde und dann nicht mehr notwendig ist - und erspar mir die troubles die NAT mit sich bringt.

niemand will euch eure heissgeliebten mini-router wegnehmen. es geht nur ums NAT. dass da per default a vernünftige firewall-regelbasis aktiv sein sollte, ist dann sache der hersteller - genauso, wie sies geschafft haben, per default WPA zu aktivieren.

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

01.12.2010 - 10:10

Weißt eh was alles sein sollte und was ist...

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50298

01.12.2010 - 10:30

Zitat von EvilGohan
Weißt eh was alles sein sollte und was ist...

ich versteh nicht warum du dich da so wehrst?
spätestens wenns die ersten "auf die pappen" gehaut hat werdens vorsichtiger.

Updates macht Windows, der virenscanner und fast alle programme von ganz alleine. Wenn die Firewall von Haus aus ordentlich konfiguriert ist (so wie die Windowsfirewall - "mach mal alles zu und sollte wer was brauchen frag") ist die Sache ja gegessen.

Im Grunde braucht man auch keine Firewall oder Paketfilter sofern man alles nicht benötigte geschlossen hält

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

01.12.2010 - 10:41

Habts eh recht. Schau ma mal was kommt und vor allem wann. In den nächsten Jahren wird eher gespart als umgestellt...so zumindest meine Einschätzung.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50298

01.12.2010 - 11:42

Zitat von EvilGohan
Habts eh recht. Schau ma mal was kommt und vor allem wann. In den nächsten Jahren wird eher gespart als umgestellt...so zumindest meine Einschätzung.

schneller als dir lieb ist

anfang 2011 (also so in 3-4 Monaten) bekommen die 5 RIP jeweils einen der letzten IPv4 /8 Blöcke - die werden dann verteilt und danach ists aus damit.

Sprich in spätestens einem Jahr muss umgestellt werden da dann einfach keine Adressen da sind

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

01.12.2010 - 11:51

Schau ma ob UPC, Telekom, Kabsi und Co innerhalb von einem Jahr eine IPv6 Infrastruktur aufziehen.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

01.12.2010 - 11:53

die infrastruktur steht mit sicherheit schon, zumindest kann ichs mir ned vorstellen das provider wirklich so "dumm" eingekauft haben in den letzten ~5 jahren

watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	01.12.2010 - 02:43 Stell dir Ports als Anwendung und IPs als Adresse vor. Merkst du das Problem?
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6837	01.12.2010 - 07:50 Zitat von EvilGohan Ich hab NAT nie als Ärgernis gesehen...eher als einfache Security-Maßnahme grad bei am CMSler wundert mich diese aussage... dass euch nicht mit dem baseballschläger "NAT is _not_ security" eingebläut wird. wenn man nicht für die aussenwelt erreichbar sein will, tuts auch ein simpler paketfilter. pakete kann man auch ohne nat filtern - nur weiss das heutzutage kaum noch jemand, weil jeder einen NATenden router daheimstehn hat.
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	01.12.2010 - 08:10 hätte auch gesagt, dass es reicht wenn ein gerät nicht von außen erreichbar sein soll, dann einfach "ip any any" incoming blocken (wie es zb windows bei "öffentlichem netzwerk" macht), also nicht wirklich ein security-problem, vor allem wenn das (modem/router) man muss sich nur SIP, IPSec, FTP (auch wenn FTP weit größere Probleme hat ) anschauen, für die man eben extra umgehungslösungen bauen musste, damit sie NAT unterstützen. und weil heimrouter angesprochen wurden dort kann ich meistens eh kein portforwarding auf ip-basis einrichten, sondern ich klick auf das gerät (gekennzeichnet durch den pc-namen) und dann kann ich das dort einrichten.... ip füllt er da selbstständig aus
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	01.12.2010 - 08:12 Zitat von Neo-=IuE=- und weil heimrouter angesprochen wurden dort kann ich meistens eh kein portforwarding auf ip-basis einrichten, sondern ich klick auf das gerät (gekennzeichnet durch den pc-namen) und dann kann ich das dort einrichten.... ip füllt er da selbstständig aus spätestens da bin ich froh noch nie solch einen in die finger bekommen zu haben (ich mein damit nur klicki-consumer-geräte, nedmal alle netgear die ich bis jetzt in den fingern hatte waren so aufgebaut)
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12119	01.12.2010 - 08:12 Ich kann noledges Post nur in allen Punkten unterstreichen. Ein NAT-Gateway ist vielleicht eine bequeme Sache fuer Leute, die eine katastrophal unsichere, weil (zu) leicht exploitierbare Infrastruktur hinter einer etwas sichereren, weil weniger leicht exploitierbaren "Schranke" verstecken wollen - mehr aber auch nicht. Das Ende-zu-Ende-Prinzip des Internets gibt es schon deutlich laenger als den Hack der NAT, und wenn man an die grauslichen Workarounds denkt, die es noetig macht, freue ich mich wie ein kleines Kind auf den Tag, an dem dieses Konzept endlich aus den Koepfen und Routern der Menschen fliegt.
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	01.12.2010 - 08:37 Das Internet besteht aber zu 90% aus Usern die eine solch "katastrophal unsichere, weil zu leicht exploitierbare Infrastruktur" betreiben. Wie du sagst ist dort NAT sehr bequem. Ich kann ned mit dem Rohrstock hinter den Leuten stehen und ihnen sagen: machts eure Updates, Updatets die Virenscanner und BITTE drückts _TROTZDEM_ ned auf den "free p0rn"-Button, egal wie sehr der blinkt! Gegen letzteres Hilft zwar eh kaum was, aber ich glaub mein Punkt ist klar? @uon: Dein Glück/Geld würdi gern haben.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	01.12.2010 - 08:50 Zitat von EvilGohan @uon: Dein Glück/Geld würdi gern haben. an tp-link 1043 kannst da sicher leisten, da brauchst ned viel geld und erst recht ka glück (um beim aktuellen router zu bleiben)
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	01.12.2010 - 09:16 Zitat von EvilGohan Das Internet besteht aber zu 90% aus Usern die eine solch "katastrophal unsichere, weil zu leicht exploitierbare Infrastruktur" betreiben. diese haben derzeit ipv4 router ohne portforwarding konfiguriert und sind somit nicht von außen erreichbar nachher haben sie einen ipv6 router vom provider, der kein portforwarding braucht, weil man ein ganzes subnet hat aber dafür ist "ip any any" incoming blockiert um einen zugriff von außen zu ermöglich muss man statt portforwarding halt jetzt eine firewallausnahme definieren ja das macht wirklich einen großen unterschied
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6837	01.12.2010 - 10:05 Zitat von Neo-=IuE=- diese haben derzeit ipv4 router ohne portforwarding konfiguriert und sind somit nicht von außen erreichbar nachher haben sie einen ipv6 router vom provider, der kein portforwarding braucht, weil man ein ganzes subnet hat aber dafür ist "ip any any" incoming blockiert um einen zugriff von außen zu ermöglich muss man statt portforwarding halt jetzt eine firewallausnahme definieren ja das macht wirklich einen großen unterschied qft. leute - ob ich jetzt mit einem hackerl "NAT" aktivier, oder mit einem hackerl eine "default deny any von aussen", is blunzn. der effekt ist der gleiche, nur hab ich in letzterem fall keine krücke, die für einen anderen zweck geschaffen wurde und dann nicht mehr notwendig ist - und erspar mir die troubles die NAT mit sich bringt. niemand will euch eure heissgeliebten mini-router wegnehmen. es geht nur ums NAT. dass da per default a vernünftige firewall-regelbasis aktiv sein sollte, ist dann sache der hersteller - genauso, wie sies geschafft haben, per default WPA zu aktivieren.
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	01.12.2010 - 10:10 Weißt eh was alles sein sollte und was ist...
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50298	01.12.2010 - 10:30 Zitat von EvilGohan Weißt eh was alles sein sollte und was ist... ich versteh nicht warum du dich da so wehrst? spätestens wenns die ersten "auf die pappen" gehaut hat werdens vorsichtiger. Updates macht Windows, der virenscanner und fast alle programme von ganz alleine. Wenn die Firewall von Haus aus ordentlich konfiguriert ist (so wie die Windowsfirewall - "mach mal alles zu und sollte wer was brauchen frag") ist die Sache ja gegessen. Im Grunde braucht man auch keine Firewall oder Paketfilter sofern man alles nicht benötigte geschlossen hält
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	01.12.2010 - 10:41 Habts eh recht. Schau ma mal was kommt und vor allem wann. In den nächsten Jahren wird eher gespart als umgestellt...so zumindest meine Einschätzung.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50298	01.12.2010 - 11:42 Zitat von EvilGohan Habts eh recht. Schau ma mal was kommt und vor allem wann. In den nächsten Jahren wird eher gespart als umgestellt...so zumindest meine Einschätzung. schneller als dir lieb ist anfang 2011 (also so in 3-4 Monaten) bekommen die 5 RIP jeweils einen der letzten IPv4 /8 Blöcke - die werden dann verteilt und danach ists aus damit. Sprich in spätestens einem Jahr muss umgestellt werden da dann einfach keine Adressen da sind
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	01.12.2010 - 11:51 Schau ma ob UPC, Telekom, Kabsi und Co innerhalb von einem Jahr eine IPv6 Infrastruktur aufziehen.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	01.12.2010 - 11:53 die infrastruktur steht mit sicherheit schon, zumindest kann ichs mir ned vorstellen das provider wirklich so "dumm" eingekauft haben in den letzten ~5 jahren

IPv6 kommt

Forum Index > Digital Life > Internet & Provider

watchout

noledge

Neo-=IuE=-

userohnenamen

COLOSSUS

EG

userohnenamen

Neo-=IuE=-

noledge

EG

Viper780

EG

Viper780

EG

userohnenamen