- Anzeige -

Connectbox / IPv6 / FTP- Server

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Connectbox / IPv6 / FTP- Server

Beitragvon sasch » 16.09.2016, 14:58

tq1199 hat geschrieben:
sasch hat geschrieben:... Aber meinen Gästen möchte ich sicher nicht eine potentielle Gefahr anbieten...


BTW: Wie schützen deine Gäste ihre Geräte (Tablets, Smartphones, etc.) wenn sie damit z. B. in einem öffentlichen (freien) WLAN unterwegs sind?


Ich vermute je nach Bildungsstand, und Gottvertrauen wenig bis gar nicht.... die verlassen sich dann schon mal gerne auf den Anbieter des freien WLANs bzw. den Hersteller ihrer DV Ausstattung... - so nach dem Motto "wird schon nix passieren" oder "eben mal kurz nur..."
Just make sure you don't fall into a temporal causality loop!
Irgendwas mit 120.000
Benutzeravatar
sasch
Kabelneuling
 
Beiträge: 20
Registriert: 22.06.2009, 20:32
Wohnort: Paderborn

Re: Connectbox / IPv6 / FTP- Server

Beitragvon tq1199 » 16.09.2016, 15:21

sasch hat geschrieben:..., und Gottvertrauen wenig bis gar nicht....


OK, aber dann würde ich an deiner Stelle, Geräte die so ungeschützt unterwegs waren, nicht in mein (W)LAN/VPN lassen. :zwinker:
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1228
Registriert: 07.02.2014, 10:05

Re: Connectbox / IPv6 / FTP- Server

Beitragvon SpaceRat » 18.09.2016, 07:55

tq1199 hat geschrieben:Dann solltest Du mal "Firewall" definieren, denn ein Router ist keine Firewall.

Das ist - wenn wir von Haarspaltereien absehen - natürlich völliger Käse.

Ein Router beinhaltet tatsächlich nicht zwangsläufig auch eine Firewall und im Profi-Segment (Also wo die Teile ins 19"-Rack geschraubt werden ...) ist eine Trennung tatsächlich üblich.

Im Consumer-Bereich hingegen beinhaltet jeder auch nur rudimentär funktionsfähige Router auch eine Firewall-Funktionalität, mindestens in dem Maße, daß eingehende Pakete nur als Antworten auf ausgehende Pakete zugelassen sind.
Sieht man ja daran, daß selbst die Elektronikschrott-Geräte Drecknikotzlor DK7200, Übel Evil und DisconnectBox soviel können.

Ist der Router darüber hinaus sogar "annähernd anständig", dann kann er auch einzelne Ports für neue eingehende Verbindungen auf einzelnen IPv6-Zieladressen freigeben.
Das nutzt einem wohl nur begrenzt etwas, denn da vorgesehen war, bei IPv6 auch dem Blödsinn mit den dynamischen IPs ein Ende zu machen, können fast alle Router diese Freigaben nur für vollständig eingegebene IPv6-Adressen konfigurieren. Diese dürfen sich also nicht ändern, das tun sie aber in Deutschland ...

Es gibt drei Router-Hersteller/Firmware-Hersteller, bei denen es dafür eine programmatische Lösung gibt:
  • AVM
    Hier werden die Freigaben immer nur anhand des Suffixes/Host-Teils der IPv6 eingerichtet und passen sich dem gerade aktuellen dynamischen Präfix automagisch an.
  • ZyXEL/Hitron
    Hier können IPv6-Freigaben optional so eingerichtet werden, daß sie sich verändernden Präfixen automatisch "folgen".
  • OpenWrt/LEDE
    Per se können diese Firmwares IPv6-Freigaben auch nur für komplette und damit feste IPv6-Adressen.
    Aber da man hierbei Herr im Hause bleibt, kann man das Umschreiben der ip6tables per Script lösen.
    Nicht schön und feierlich, aber es geht ...



tq1199 hat geschrieben:Und ich behaupte jetzt mal, dass mein Server oder mein PC, den ich direkt in das Internet stelle, besser abgesichert als ein (Zwangs)router auf dessen Firmware ich überhaupt keinen Einfluss habe bzw. den ich auch nur bedingt konfigurieren kann.

Mit Verlaub, aber das ist Schwachfug sonder Gleichen.
Als man noch genau einen PC direkt ans DSL-Modem gehängt hat, hätte man tatsächlich noch alle Dienste abschalten können, die im Internet nix verloren haben.
Wo nichts ist/kein Dienst lauscht, braucht man natürlich auch keine Firewall, um etwas zu blocken.

Aber:
Schaltet man an einem der UM-Schrottrouter in seiner Verzweiflung die IPv6-Firewall ganz ab, dann hängen ja i.d.R. immer noch mehrere Geräte dahinter, die sowas wie ein LAN/Heimnetz bilden.
Natürlich könnte man alle diese Rechner wie in den 90ern einzeln verrammeln, aber das tut ja in der wahren Welt keiner¹. Man will ja im LAN auf seinen Sat-Receiver, sein NAS, usw. zugreifen können.
Und die Absicherung im Sinne von "Halte Port 445 offen, aber erlaube nur die Clients a, b und c aus dem Heimnetz, aber nicht die Angreifer 1 bis 9 Milliarden aus dem Internet" ist nix für Laien und Hobby-ITler.


  1. Ich weiß, daß Ausnahmen die Regel bestätigen.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 5.3@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 5.3
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS/F!B 7390 / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2612
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Connectbox / IPv6 / FTP- Server

Beitragvon F-orced-customer » 18.09.2016, 09:35

tq1199 hat geschrieben: Im Zeitalter von IPv6 wird auf dem Router keine "Firewall" mehr benötigt.
:D
F-orced-customer
Übergeordneter Verstärkerpunkt
 
Beiträge: 528
Registriert: 11.09.2012, 12:54

Re: Connectbox / IPv6 / FTP- Server

Beitragvon MartinDJR » 18.09.2016, 09:50

SpaceRat hat geschrieben:die Elektronikschrott-Geräte ... DisconnectBox

Eine Zwischenfrage mal:

Über den TC7200 und vor allem den uBee habe ich bereits genügend Beschwerden gelesen, über die ConnectBox noch keine.

Ist die ConnectBox nun ein brauchbarer Router oder nicht?

Immerhin hat die ConnectBox meines Wissens sogar eine relativ frei konfigurierbare Firewall...

SpaceRat hat geschrieben:Hier werden die Freigaben immer nur anhand des Suffixes/Host-Teils der IPv6 eingerichtet

Ich frage mich, warum es keine Firewalls gibt, bei denen man anstatt der IPv6-Adresse die MAC-Adresse des Zielgerätes angeben kann...
MartinDJR
Übergabepunkt
 
Beiträge: 433
Registriert: 22.12.2015, 16:53

Re: Connectbox / IPv6 / FTP- Server

Beitragvon SpaceRat » 18.09.2016, 10:01

MartinDJR hat geschrieben:Ich frage mich, warum es keine Firewalls gibt, bei denen man anstatt der IPv6-Adresse die MAC-Adresse des Zielgerätes angeben kann...

Was großartig anderes ist das Suffix ja nicht:

Solange keine Bullshit Extensions ("Privacy" Extensions) verwendet werden gilt:
MAC (48) -> Mittig ff:fe rein und dann in 4er-Blocks geschrieben, siebtes Bit von links invertieren => modified EUI-64 = Host-Suffix.

Und eingeben muß man die ja bei der Fritz!Box auch nicht, man wählt einfach aus der Drop-Down-Liste der bekannten Rechner aus.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 5.3@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 5.3
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS/F!B 7390 / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2612
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Connectbox / IPv6 / FTP- Server

Beitragvon addicted » 18.09.2016, 11:48

SpaceRat hat geschrieben:
MartinDJR hat geschrieben:Ich frage mich, warum es keine Firewalls gibt, bei denen man anstatt der IPv6-Adresse die MAC-Adresse des Zielgerätes angeben kann...

Was großartig anderes ist das Suffix ja nicht:

Ich weiß nicht, was Du gegen PE hast, aber ich fände das auch eine gute Idee.

Leider wird die Ziel-MAC innerhalb der Xtables noch nicht zur Verfügung stehen. Man könnte vielleicht kurz im ARP/Neighbor Cache gucken, aber gerade für unbekannte neue Verbindungen klappt das ja nicht :(
addicted
Glasfaserstrecke
 
Beiträge: 1834
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: Connectbox / IPv6 / FTP- Server

Beitragvon MartinDJR » 18.09.2016, 19:59

addicted hat geschrieben:Leider wird die Ziel-MAC innerhalb der Xtables noch nicht zur Verfügung stehen. Man könnte vielleicht kurz im ARP/Neighbor Cache gucken, aber gerade für unbekannte neue Verbindungen klappt das ja nicht :(

Wenn der Router ein IP-Paket (egal ob IPv4 oder IPv6) an den PC/Server/... weiterleiten muss (also bei allen eingehenden Paketen), muss er ja sowieso erst einmal die zugehörige MAC-Adresse (per ARP oder eben Neighbor Discovery) abfragen, wenn er sie noch nicht kennt.

Bevor das IP-Paket an den Rechner weitergeschickt wird, kennt der Router die MAC-Adresse.
MartinDJR
Übergabepunkt
 
Beiträge: 433
Registriert: 22.12.2015, 16:53

Re: Connectbox / IPv6 / FTP- Server

Beitragvon addicted » 18.09.2016, 20:48

Die Firewall ist fertig bevor die MAC ermittelt wird. In Kombination mit ebtables könnte es aber evtl. einen Weg geben.
addicted
Glasfaserstrecke
 
Beiträge: 1834
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: Connectbox / IPv6 / FTP- Server

Beitragvon MartinDJR » 19.09.2016, 08:34

addicted hat geschrieben:Die Firewall ist fertig bevor die MAC ermittelt wird. In Kombination mit ebtables könnte es aber evtl. einen Weg geben.

Bei aktuellen Routern ist die Firewall fertig, bevor die MAC ermittelt wird.

Es gibt aber keinen mir ersichtlichen technischen Grund, warum man keine Router bauen können sollte, bei der die Firewall Pakete auch noch nach der Ermittlung der MAC-Adresse blocken kann.
MartinDJR
Übergabepunkt
 
Beiträge: 433
Registriert: 22.12.2015, 16:53

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste