IPv6-Firewall für einen IPv6-Tunnel einrichten

Wenn man den Raspberry Pi als IPv6-Tunnel-Endpunkt oder IPv6-Gateway betreibt, dann ist „jeder Rechner im LAN“ mit einer eigenen globalen IPv6-Adresse weltweit erreichbar. Jeder kann von außen, sofern eine IPv6-Adresse aus dem LAN bekannt ist, auf diese Rechner zugreifen. Es ist jetzt nicht mehr so, wie man es von IPv4 kennt, per NAT hinter einem Router verstecken kann. Das hat die Konsequenz, dass man dafür sorgen muss, dass auf dem Raspberry Pi eine entsprechend konfigurierte IPv6-Firewall aktiv ist.


Next Generation Firewall

Die Bezeichnung „Next Generation Firewall“ wurde von Gartner Research (Marktforschungsinstitut im Bereich IT) definiert. Diese Firewall der nächsten Generation kann im Datenstrom Anwendungen und Benutzer erkennen. Dazu gehört ein integriertes Intrusion Prevention System (IPS), die Identifikation von Anwendungen und Protokollen unabhängig vom genutzten Port und die Berücksichtigung externer Datenquellen, wie zum Beispiel Verzeichnisdienste mit Benutzerdaten.


Angriffsszenarien, die eine IPv6-Firewall abwehren muss

Eine Firewall für IPv4 filtert keinen IPv6-Verkehr. Und IPv6 ist nicht einfach nur ein IPv4 mit anderen Adressen. Die Erfahrungen aus der IPv4-Welt lassen sich nur bedingt auf IPv6 übertragen. Der Schutz eines LANs durch eine Firewall bedarf für IPv6 völlig neuer Regeln, die bei IPv4 bisher nicht notwendig waren.

  • Umgehen der Filterregeln durch den kreativen Einsatz von Extension Header.
  • IPv6-Datagramme mit vorgetäuschter Absender-Adresse aus dem internen Netz.
  • Beliebige ICMPv6-Pakete
  • Fluten der NDP-Table
  • Überlasten der Firewall per TCP-Flooding

Es muss nicht immer zwangsläufig das Umgehen der Firewall sein. Einem Angreifer kann es schon genügen, wenn die Firewall überlastet wird und somit die Verbindung zum Internet gestört ist.


Update: Firewall

Eine Firewall ist eine Schutzmaßnahme vor fremden und unberechtigten Verbindungsversuchen aus dem öffentlichen (Internet, ISDN) ins lokale Netz. Mit einer Firewall lässt sich der kommende und gehende Datenverkehr kontrollieren, protokollieren, sperren und freigeben.

Eine Firewall ist keine Blackbox, die Sicherheit vor dem öffentlichen Netz vorgaukelt. Eine Firewall ist als eine Sicherheitsstrategie zu verstehen, die unerwünschte, unsichere und schädigende Verbindungen verhindern soll. Ohne ständige Überwachung und Pflege bleibt nach einiger Zeit keine Schutzwirkung übrig.


All-in-One-Router: Lancom 1823 VoIP

Router Lancom 1823 VoIPRouter, die alles können, wie von AVM und D-Link, setzen sich langsam durch. Mit dem Lancom 1823 VoIP kommt erstmals ein Profi-Router auf den Markt, der auch in die Liga der All-in-One-Router aufsteigt.

Dazu gehört ein integriertes ADSL2+-Modem, ein VoIP-Gateway, Telefonieports für ISDN und analog, ein VPN-Router und eine Firewall. Nicht zu vergessen WLAN für den drahtlosen Netzwerkzugang.

Wie alle anderen Lancom-Produkte ist auch dieser Router sehr universell, entsprechend nur mit ausreichend Netzwerk-Kenntnissen zu programmieren. Wer auch noch die VoIP- und TK-Funktionen nutzen will, der sollte Erfahrung auch aus diesen Bereichen mitbringen.