Ist IPv6 gefährlich oder wie funktioniert das Internet zu Hause

Worum es geht:

"Ich habe gehört, es gibt da neue Internet-Adressen, und die sind gefährlich. Wie kann ich die denn bei mir abschalten?"

Diese Frage hat mir ein Bekannter gestellt. Er meinte IPv6. Er ist nicht der einzige, in zahlreichen Posts wird von der Gefährlichkeit hinsichtlich des Datenschutzes geredet und dann auch Anleitungen zum Abschalten gegeben. Ich wollte meinem technisch interessiertem Bekannten, der aber kein IT-Fachmann ist, kurz anworten, aber tatsächlich ist daraus eine Erklärung geworden, wie denn das Internet zu Hause funktioniert. Ich habe sie hier mal nacherzählt.

Hier geht es um IP-Adressen in der Versionen 4 und 6 und wie die im häuslichen Netzwerk vorkommen.

Hinweis: Alle genannten IP-Adressen sind frei erfunden und haben nichts mit der Wirklichkeit zu tun (es sei denn, es ist im Einzelfall konkret anders dargestellt)

Wozu braucht man IP-Adressen?

Wenn man im Internet Kontakt zu einem Dienst aufnehmen will, zum Beispiel google.de, so kann der Browser oder die App zunächst mit dieser Information als Ziel nichts anfangen. Benötigt wird eine Art "Telefonnummer", die sogenannte Internet Protokoll (IP) -Adresse. Der Browser (oder die App) erkundigen sich erst einmal bei einem Dienst namens DNS (Domain Name Server) nach dieser IP-Adresse. Erst wenn die vorliegt, kann der Browser den Internet-Dienst ansprechen

Die "bisherigen" IPv4-Adressen

Bisher sehen IP Adressen so aus:

143.122.209.001(Beispiel)

Das sind also 4 Zahlen, jede kann Werte zwischen 0-255 annehmen, getrennt durch Punkte

Dieses Format nennt man IP Version 4 (IPv4).

Zum Ausprobieren: Gebt man in einem Terminalfester ein "ping dwd.de":

Man sieht hier also, dass der Deutsche Wetterdienst (dwd.de) die IP 141.38.3.62 hat.

Der Mangel an IPv4 - Adressen

Er gibt also insgesamt 256256256*256 = 4.294.967.296 (also knapp 4,3 Milliarden) Adressen. Eine sehr große Zahl. Aber wenn man bedenkt, dass es über 8 Milliarden Menschen gibt, könnte nur jeder 2. Mensch eine eigene IP-Adresse haben. Da aber jedes Gerät, dass mit dem Internet verbunden ist, eine eigene Adresse haben muss, und manch einer inzwischen mehrere Geräte (PC, Smartphone, Fernseher, Spielekonsole,..) besitzt, kann man leicht erkennen:

Es gibt zuwenig IPv4 Adressen!

Warum gibt es nicht genug IPv4-Adressen? Sie wurden 1983 eingeführt, damals gab es weniger als 2000 Geräte (üblicherweise Großrechner) im Internet. Niemand konnte sich vorstellen, dass es mal Milliarden von Geräten im Internet geben wird.

Trotzdem funktioniert das Internet bisher. Wie kann das sein?

Die Lösung heißt "private Subnetze". Die Teilnehmer eines privaten Subnetztes teilen sich eine IP-Adresse. Jeder hat so ein Netz zu Hause. Das geht so:


Bild 2: Privates Netz

Wichtigstes Bauteil ist der Router. Das ist nicht nur das Gerät, das das WLAN aufspannt - dieses Funktion kam erst später dazu -, sondern es kümmert sich um das Management und die Übersetzung von IP-Adressen.

  • Vom Internet--Service-Provider (ISP, also der Firma, mit der man einen Vertrag über den Internetzugang hat) bekommt der Router eine "echte" (öffentliche) Internetadresse. In diesem Beispiel lautet sie 34.223.49.18.
  • Der Router selber gibt jedem Gerät im Haus, das mit dem Router verbunden wird, egal ob mit Kabel oder WLAN, eine "private" Adresse. Die beginnen in Netzen bei Privatleuten immer mit "192.168". Sie werden NIEMALS ins Internet übergeben.
  • Wenn jemand zum Beispiel vom Smartphone die Seite seines Lieblingsshops aufruft, so geht -- eine Verbindung von 192.168.1.4 (Smartphone) an den Router. -- der Router übersetzt die private Adresse (192.168.1.4) in die "echte" Adresse (34.223.49.18) und schickt sie ins Internet, wo sie beim Lieblingsshop ankommt.
    -- Kommt die Antwort vom Lieblingsshop zurück an 34.223.49.18, sieht der Router "ja, ich weiß, das Smartphone hat da eine Anfrage hingeschickt" Also übersetzt er die echte Adresse (34.223.49.18) in die private Adresse des Smartphones (192.168.1.4)

Das ganze funktioniert so natürlich genauso, wenn man vom PC aus mit dem Lieblingsshop kommuniziert. Nur die private Adresse ist eine andere.

Also: - Alle Geräte zu Hause teilen sich die "echte" IP Adresse



"Nach Hause telefonieren"

Kommen wir erstmal zur "Gefährlichkeit" von IP-Adressen. Dieses Konstrukt mit der Adressübersetzung hat einen Vor- und einen Nachteil:

  • Wenn der böse Herr Hacker nachsehen will, was auf dem PC an Daten vorhanden ist, so kann er natürlich versuchen, etwas an 34.223.49.18 zu schicken. Nur sagt dann der Router "Sorry, ich habe mir hierzu nichts gemerkt, ich weiß nicht, an welches Gerät ich das weiterleiiten sollte". Das heißt, eine Verbindung kommt nicht zustande. Prima, nicht? Das ist tatsächlich einen Eigenschaft, die einen gewissen Schutz bietet
  • Aber: Wenn Herr Müller (der dieses schöne Netz betreibt) in seinem Urlaub Fotos macht und die schon mal aus der Ferne auf seinen PC speichern will - sicher ist sicher: Das gleiche Spielchen. Der Router kann da keine Verbindung aufbauen.

Ok. Es gibt Möglichkeiten dem Router zu sagen: Wenn du etwas empfängst, das nicht die Antwort auf eine Frage eines der Geräte ist, dann sende das bitte an den PC (Stickworte: DMZ, Port Forwarding). Damit könnte Herr Müller seine Fotos hochladen. Der Herr Hacker käme aber auch einen Schritt weiter.

Allerdings ist das nicht immer möglich. Der Mangel an IP-Adressen treibt schon seltsame Blüten:

  • Die "echte" IP (34.223.49.18) wird von einigen Internet-Providern nur vorübergehend vergeben. Das heißt, morgen habe ich eine andere Adresse.
  • Einige Internet-Provider haben so wenig IPv4-Adressen, dass sie nicht für alle Kunden reichen. Deren Lösung: Sie bauen ein "privates" Netz auf, ähnlich wie oben für das Eigenheim beschrieben. Das heißt, unser Router oben bekommt keine "echte" IP-Adresse mehr, sondern eine "private" Adresse des Netztes des Internet-Providers.

Die "privaten" Adressen des ISP fangen üblicherweise mit 10.xxx.xxx.xxx oder 100.xxx.xxx.xxxan.
Familie Müller und Famile Meyer (und andere mehr) teilen sich die "echte" Internetadresse 34.223.49.18..

 Mit dieser Konstellation hat Herr Müller **keine Change** seine Fotos hochzuladen, denn er müsste nicht nur seinen eigenen Router konfigurieren, sondern auch den des Internet Service Providers



Der Fortschritt - IPv6

Man sieht: Der Mangel an IPv4 - Adressen ist nur mit einigen Tricks zu beheben, die aber zu Einschränkungen führen. Ideal wäre es doch, wenn wirklich jedes Gerät eine eigene Adresse hätte. Und hier kommt - Internet Protokoll Version 6 (IPv6) ins Spiel. Es wurde 1998 eingeführt. (Eine Version 5 gibt es übrigens nicht). IPv6 ist ein sehr vielseitiges Protokoll, ich gehe daher hier nur auf die entscheidenden Grundlagen ein.

Eine IPv6 Adresse sieht ganz anders aus. Beispiel:

2a03:45B7:1198:acff:901c:2201:bf61:0001

Die IPv6 Adresse besteht aus

  • 8 Blöcken
  • jeder Block besteht aus bis zu 4 Stellen (führende Nullen können weggelassen werden)
  • Jede Stelle kann die Werte 0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f annehmen

Es ergeben sich 340 Sextillionen Adressen. Das ist eine 3 mit 38 folgenden Nullen. Ich habe mal gehört, dass damit jedes Sandkorn auf der Erde eine Internet-Adresse haben könnte. Wie auch immer, es reicht für alle PCs, Smartphones, Playstations , Fernseher, Kühlschränke, Glühlampen etc zu Hause.

Nun kann man sich vorstellen, dass es schwierig sein wird, bei so vielen möglichen Teilnehmern einen Adressat zu finden. Darum hat man die IPv6-Adresse in 2 Blöcke unterteilt:

  • 2a03:45B7:1198:acff: <--- die ersten 4 Blöcke nennt man den Prefix.
  • Die letzten 4 Blöcke sind der Postfix --> :901c:2201:bf61:0001

Vergleicht man das mit Telefonnummern, so kann man den Prefix mit einer Ortsvorwahl vergleichen, den Postfix mit der Anschlussnummer.

Hinweis: Ein Gerät kann mehrere IPv6-Adressen haben. 
Die uns hier interessierenden Adressen fangen zur Zeit immer mit "2axx:.." an. Es gibt auch immer eine Adresse mit "fxxx:...". Die sind eine Art "interne Rufnummer" und werden hier nicht weiter betrachtet.

Router und IPv6

Wenn jedes Gerät eine "echte" Internet-Adresse hat, dann braucht man doch keinen Router mehr?

Leider doch. Tatsächlich braucht man ihn nicht mehr zum Übersetzen von private in öffentliche IP-Adressen. Die Anfrage von Familie Müllers PC an den Lieblingsshop wird einfach durchgereicht. Aber neben solchen "Nebensachen" wie den Aufbau des WLANs braucht man ihn zur IPv6-Adresserzeugung.

IPv6-Adresserzeugung
Bild 4: IPv6-Adresserzeugung

  1. Der Internet-Dienstleister sendet an den Router einen Prefix (hier rot dargestellt
  2. Der Router verteilt den Prefix an alle angeschlossenen Geräte

  3. Am Beispiel des Smartphones: Das Gerät nimmt den Präfix (rot) und denkt sich nach festgelegten Regel einen Postfix (grün) aus

    Alle Geräte zu Hause haben den gleichen Präfix



Gefährlichkeit von IPv6

Was bedeutet "IPv6" ist gefährlicher als das alte IPv4?

Die wesentliche Eigenschaft von IPv6 ist es, dass jedes Gerät, egal ob PC, Smartphone, Kühlschrank oder Funksteckdose eine "echte" öffentliche IP haben kann. Daraus ergeben sich 2 Gefährdungsansätze:

  1. Durch die Erreichbarkeit eines Gerätes ist es möglichen Hacker-Angriffen ausgesetzt. Keiner möchte, dass irgendwelche "Spaßvögel" die Heizung abschalten oder die Fensterrolläden hochfahren.
  2. Das Gerät ist im Internet identifizierbar. Damit können interessierte Firmen persönliche Profile anlegen. Man wird so zur transparenten Person: Wo lebe ich, was ist mein Beruf, wer sind meine Freunde, was sind meine Hobbies, wohin Reise ich gerne .. Als Folge davon bekomme ich im Internet Informationen zu sehen, die zu meinem Profil passen. Dinge, die mich bisher interessiert haben, politische Aussagen, die mir gefallen. Da ich letztes Jahr auf einem großen Rockkonzert war, bekomme ich hauptsächlich Informationen zu Rockkonzerten. Von dem kleinen aber feinen Kammerkonzert mit Barockmusik sehe ich nichts. Und vor den Meinungen anderer Parteien werde ich "beschützt".

Ja, in dieser Hinsicht ist IPv6 gefährlicher als IPv4, aber es gibt Schutzmaßnahmen.


IPv6 Schutzmaßnahmen

Hacker - Angriffe

Da die vielen neuen Geräte (Garagentorsteuerung, Waschmaschine,...) gerade mal so viel Rechenleistung haben, wie sie für Aufgabe benötigen - also sehr wenig -, ist eine Implementierung von Schutzmaßnahmen inklusiv regelmäßiger Sicherheitsupdates praktisch nicht möglich.

Hier kommt wieder der Router ins Spiel.

  • Ähnlich wie bei IPv4 lässt er Verbindungsaufbauten von den Geräten zu Hause ins Internet zu, aber verweigert den Verbindungsaufbau vom Internet zu den Heimgeräten (es sei denn, man läßt spezielle Verbindungen explizit zu).
    Damit ist man wieder auf dem Sicherheitsniveau von IPv4 (siehe Bild 2)

Geräte - Identifizierung

Gleich vorweg: Für die Geräteidentifizierung zwecks Profilbildung sind überwiegend Geräte interessant, die

  • mit vielen verschiedenen Teilnehmern kommunizieren
  • die ortsveränderlich sind

Eine Heizung, die regelmäßig verschlüsselt Kontakt zur Servicefirma aufnimmt, ist da nicht so spannend.

Geräte, die für Profilbilder interessant sind - PCs, Smartphones, .. - verfügen über einen Mechanismus, der "Privacy Extension" heißt. Das Gerät legt sich eine 2. öffentliche IPv6-Adresse zu.

IPv6-Adresserzeugung
Bild 6: Privacy Extension

  1. Die erste Adresse wird wie oben beschrieben erzeugt. Der Postfix ist immer gleich, und sofern kein neuer Präfix zugeteilt, ist die gesamte Adresse immer gleich. Deshalb wird diese Adresse verwendet, wenn man das Gerät ansprechen will - man kennt ja die Adresse
  2. Die für die 2 Adresse wird vom Gerät ein Postfix in Intervallen frei erfunden, zum Beispiel einmal pro Stunde. Die Adresse ist also nur temporär gültig. Diese Adresse wird verwendet, wenn vom Gerät eine Verbindung aufgebaut wird, zum Beispiel zum Lieblingsshop.

Durch die Verwendung der temporären IPv6-Adresse kann der Lieblingsshop an Hand des Prefixes zwar tracken, dass die Anfrage von Familie Müller kommt, aber nicht von welchen Gerät. Das Schutzniveau ist damit auf dem Level, wie im Bild 2 für IPv4 erklärt wurde. 

Hinweis: In einigen Betriebssystemen muss die "Privacy Extension" vom Benutzer einmalig konfiguriert werden.

Im Übrigen: Tracking über Internet-Adressen ist für interessierte Firmen eher uninteressant. Es gibt da viel effektivere Methoden. Bekannt sind da zum Beispiel Cookies oder Googles Werbe-ID.

Wer mal sehen möchte, was man einfach so von sich preisgibt, klicke mal hier https://mein-ip-check.de



Bietet IPv6 vielleicht auch eine Verbesserung hinsichtlich der Sicherheit?

Klare Antwort: JA

Beispiel Überwachungskamera.
Man möchte vom Smartphone nachsehen, ob zu Hause alles in Ordnung ist.
Die billige Kamera aus dem Baumarkt kann nur IPv4. Sie damit direkt vom Smartphone zu erreichen ist schwierig bis unmöglich. Daher wird ein Trick angewendet: Ein Vermittlungsrechner.

IPv4-Verbindung mit Vermittlungsserver
Bild 7: Vermittlungsrechner

  1. Die Kamera baut eine permanente Verbindung zu einem Vermittlungsserver auf.
  2. Wenn ich auf dem Smartphone das Kamerabild sehen will, baue ich vom Smartphone eine Verbindung zum Vermittlungsserver auf und melde mich mit meinen Kameradaten an.
  3. Der Vermittlungsserver verbindet das Smartphone mit der Kamera.

Diese Lösung funktioniert und wird bei vielen Geräten so eingesetzt.

Das "Unschöne" dieser Lösung:

  • Die Verbindung ist nur über den Vermittlungsserver möglich. Falls die Firma ihren Dienst irgendwann mal einstellt, ist die Kamera wahrscheinlich nur noch Elektroschrott
  • Der Server steht irgendwo auf der Welt, zum Beispiel in China. Er permanent Zugriff auf die Kamera. Ob oder was mit den Daten auf dem Server gemacht wird, weiß man nicht. Man muss denen also vertrauen.

Mit IPv6 und einer Kamera, die sich ansprechen läßt (Stichworte "WebInterface", "Onvif") ist es recht einfach, eine Direktverbindung aufzubauen. Wer es noch sicherer haben will: VPN. Aber davon ein anderes mal.

Zusammenfassung: IPv6 ja oder nein?

Wie wir gesehen haben, ist IPv6 nichts "gefährliches".

Meine Empfehlung also:

  1. Für die meisten von uns, die praktisch nur "ausgehende" Verbindungen (der Verbindungsaufbau erfolgt durch ein Gerät zu Hause) nutzen, bringt IPv6 keine merkliche Änderung. Praktisch alle großen Anbieter haben eine IPv4 Adresse. Ob die Adressierung nun mit IPv4 oder IPv6 erfolgt, merkt man nicht. Man muss also nichts tun, es spricht aber auch nichts gegen die Aktivierung von IPv6.

  2. Wer "nach Hause telefonieren" (also eine "eingehende" Verbindung zu einem Gerät aufbauen) will, sollte das mit IPv6 tun. Man kann, falls man eine echte öffentliche IPv4 - Adresse hat, auch damit eine Verbindung aufbauen, aber wegen des IPv4-Mangels bekommt man häufiger eine neue Adresse. IPv6 - Präfixe - und damit IPv6 Adressen, sind langlebiger. Ich habe seit über 3 Jahren keinen neuen Präfix bekommen.

  3. Wer eine private Adresse erreichen will, zum Beispiel den Nextcloud-Server von Freunden, macht sich mit IPv6 das Leben leichter. Zugang im Router des Freundes freischlalten lassen (falls nicht sowieso schon geschehen) - das ist alles.



Wer es genauer wissen will

Dir schwirrt der Kopf? Verstehe ich. Aber das hier war nur eine sehr grobe Zusammenfassung. Die meisten IT-Experten sind wahrscheinlich entsetzt, weil es noch so viele Details gibt. Wer mehr wissen will, dem empfehle ich

IPv4 bei Wikipedia Das wesentliche über IPv4
IPv6 bei Wikipedia Ein detaillierter Einstieg zu IPv6

Danksagungen

Vielen Dank an

  • Roboxinvasion
  • febrianes86
  • Cassandra Colas
  • OpenClipart-Vectors
  • b0red

Für ihre Grafiken be https://pixaby.com