Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitsforscher: "Ich habe ganz…

Tja, mit IPv6 klappt das dann nicht mehr ...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: Bonita.M 18.02.19 - 18:33

    Zumindest wenn die Hosts dann nicht mehr über Reverse-DNS-Lookup gefunden werden können.

  2. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: nikeee13 18.02.19 - 18:47

    Dann fangen Leute wieder an zu denken, wenn sie die IP niemandem sagen, wäre der Dienst geheim.

  3. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: Bonita.M 18.02.19 - 18:49

    > Dann fangen Leute wieder an zu denken, wenn sie die IP niemandem sagen,
    > wäre der Dienst geheim.

    Es geht um die vielen SOHO-IPs für die keine Reverse- oder sonstigen -DNS-Einträge existieren.
    Die sind dann nicht so einfach durch Scannen ermittelbar.

  4. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: pointX 18.02.19 - 18:54

    Bonita.M schrieb:
    --------------------------------------------------------------------------------
    > Die sind dann nicht so einfach durch Scannen ermittelbar.
    Security by obscurity hat noch nie funktioniert. Irgendwann findet dich einer.

  5. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: Bonita.M 18.02.19 - 19:05

    > Security by obscurity hat noch nie funktioniert.
    > Irgendwann findet dich einer.

    Ich sag ja nicht, dass damit alle Möglichkeiten ausgeschlossen sind.
    Aber die im Text genannte, also durch Scannen gefunden zu werden, auf jeden Fall.
    Und wenn man nur irgendeinen Dummy-Dienst anbietet der nicht genutzt wird, also z.B. einen ungepatchten Apache in Default-Konfiguration, dann ist man de-facto nicht exploitbar weil kein Traffic existiert der auf die eigene Existenz hinweist. In dem Fall kann man definitiv sagen, dass das funktioniert.

  6. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: dogpatch06 18.02.19 - 19:20

    Bonita.M schrieb:
    --------------------------------------------------------------------------------
    > Und wenn man nur irgendeinen Dummy-Dienst anbietet der nicht genutzt wird,
    > also z.B. einen ungepatchten Apache in Default-Konfiguration, dann ist man
    > de-facto nicht exploitbar weil kein Traffic existiert der auf die eigene
    > Existenz hinweist.


    What could possibly go wrong?


    Und was soll das ganze? Wozu einen die Dienst anbieten den keiner nutzt?

  7. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: Bonita.M 18.02.19 - 19:23

    > Und was soll das ganze? Wozu einen die Dienst anbieten den keiner nutzt?

    Ist halt so, dass der oft mit einer Default-Konfigurartion mitkommt.
    Eine theoretische IPv6-Erreichbarkeit ist in dem Falle nicht tragisch.

  8. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: Nocta 18.02.19 - 19:38

    Ich verstehe es nicht ganz (kenne mich mit IPv6 nicht aus). Kannst du das etwas näher erläutern? :) Danke

  9. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: Bonita.M 18.02.19 - 19:43

    > Ich verstehe es nicht ganz (kenne mich mit IPv6 nicht aus).
    > Kannst du das etwas näher erläutern? :) Danke

    Es gibt 2^128 IPv6-Adressen und die sind auch trotz Vendor-IDs in dem Adressteil den die MAC-Adresse bestimmt noch recht bunt gewürfelt. Da einen Treffer durch Scannen zu landen ist schon recht unwahrscheinlich.
    Allerdings sind IPv6-Adressen Nibble-Weise im DNS eingetragen sofern es denn einen Reverse-Lookup für die gibt. Das ist bei IPv6 sogar einfacher als bei IPv4, denn bei IPv4 entspricht jeder Knoten im Reverse-DNS-Baum einem Oktett und nicht einem Nibble. Die Reverse-DNS-Lookups sind natürlich für einfache Einwahl-IPs nicht gegeben.



    1 mal bearbeitet, zuletzt am 18.02.19 19:46 durch Bonita.M.

  10. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: Tremolino 18.02.19 - 22:09

    Naja, so allgemein würde ich das nicht behaupten. Aber es funktioniert auf keinen Fall, wenn man das "Problem" mit unendlich Zeit oder Rechenleistung bombardieren kann.

    VG

  11. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: treysis 18.02.19 - 23:19

    Tremolino schrieb:
    --------------------------------------------------------------------------------
    > Naja, so allgemein würde ich das nicht behaupten. Aber es funktioniert auf
    > keinen Fall, wenn man das "Problem" mit unendlich Zeit oder Rechenleistung
    > bombardieren kann.

    Also wie Passwörter. Mit unendlich Zeit und Rechenleistung kann ich da auch jedes bruteforcen...

  12. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: das_mav 18.02.19 - 23:32

    pointX schrieb:
    --------------------------------------------------------------------------------
    > Bonita.M schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die sind dann nicht so einfach durch Scannen ermittelbar.
    > Security by obscurity hat noch nie funktioniert. Irgendwann findet dich
    > einer.

    Funktioniert hervorragend. Kein Einbrecher hat Lust irgendwelche Dinge zu erraten und geht zum nächsten Smarten Deppen mit dicker Brieftasche. In jedem Zug sitzt ein dummer, du musst ihn nur abholen. Ob das Macbook hinterher Lieselotte Rentnerwitwe oder Jochen Schweizer gehörte interessiert den Einbrecher herzlich wenig.

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  13. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: tomatentee 19.02.19 - 00:29

    Doch. Der real zu scannende Adressraum ist deutlich eingeschränkt. Es ist ja bekannt, welche Blöcke an wen vergeben sind.

    Den gesamten IPv4 Adressraum kannst du mit einer Maschine in unter 1h scannen...

  14. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: treysis 19.02.19 - 00:42

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Doch. Der real zu scannende Adressraum ist deutlich eingeschränkt. Es ist
    > ja bekannt, welche Blöcke an wen vergeben sind.
    >
    > Den gesamten IPv4 Adressraum kannst du mit einer Maschine in unter 1h
    > scannen...

    Der IPv4-Adressraum hier war ja auch schon eingeschränkt, weil er sich auf Österreich beschränkt hat. IPv6 beinhaltet aber an jedem Anschluss mit min. 64er-Präfix schon milliardenfach so viele IP-Adressen, wie der gesamte IPv4-Raum. Selbst, wenn du dich also auf die bereits vergebenen "Blöcke" beschränkst...hier wirst du nicht so schnell fertig.

  15. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: JgdKdoFhr 19.02.19 - 08:36

    Was bitte hat DNS mit Portscanning im Allgemeinen zu tun? DNS ist nur einer von vielen Diensten, die über die 1024 Well-Known-Ports und weitere ~64.000 angeboten werden können.

    Ausnahmslos alle Security Features von IPv6 sind bereits in IPv4 integriert, namentlich IPSec. Aus Sicherheits-Sicht ergibt nur eines wirklich Sinn. Nur die Ports öffnen auf denen Dienste angeboten werden sollen, und diese dann so sicher wie möglich anbieten, also mindestens transportverschlüsselt und signiert.

    Aus Datenschutz-Sicht ist IPv6 sogar potentiell der Super-GAU, da dort die Intention war jedem Internet-fähigen Gerät eine ein-eindeutige IP zuweisen zu können. IPv4 bietet da wenigstens die zugegebenermaßen krückenhafte Technik von NAT im Zusammenhang mit einem erschöpften IP-Adressraum.

  16. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: Bonita.M 19.02.19 - 08:41

    > Was bitte hat DNS mit Portscanning im Allgemeinen zu tun? ...

    Du musst erstmal die Hosts ausmachen die Du scannen willst. Und das geht bei 2^128 IPv6-Adressen nicht mehr wie bei IPv4, wo das Scannen ganzer Provider-Blöcke möglich ist. Aber es gibt Reverse-DNS-Lookup-Einträge wo man den IPv6-Adressraum hierarchisch und Nibble-weise druchscannen kann. Damit findet man zumindest die IPv6-Hosts für die es entspredchende Einträge gibt.
    Für ein bissl Gundlagen-Wissen kannst Du das
    https://de.wikipedia.org/wiki/Reverse_DNS
    lesen.

  17. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: ikhaya 19.02.19 - 08:54

    Ganz ausschließen würde ich es dennoch nicht, denn
    https://media.ccc.de/v/33c3-8061-you_can_-j_reject_but_you_can_not_hide_global_scanning_of_the_ipv6_internet
    hat diverse interessante Dinge gefunden.
    Ja vielleicht entkommt der ein oder andere Host, aber es lässt sich mehr finden als man denkt.
    Erst recht weil manche Hosts über v6 antworten aber nicht über v4

  18. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: Bonita.M 19.02.19 - 08:57

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Ganz ausschließen würde ich es dennoch nicht, denn
    > media.ccc.de
    > hat diverse interessante Dinge gefunden.

    Sag ich doch, Reverse-DNS-Lookups, aber die sind ja nur für Hosts möglich für die es entsprechende Einträge im DNS gibt.

  19. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: ikhaya 19.02.19 - 10:12

    Wenn IPv6 sich stärker verbreitet werden auch diese Records zunehmen.

  20. Re: Tja, mit IPv6 klappt das dann nicht mehr ...

    Autor: Bonita.M 19.02.19 - 10:25

    > Wenn IPv6 sich stärker verbreitet werden auch diese Records zunehmen.

    Aber der weitaus größte Teil der Dialin-Hosts wird keine derartigen Einträge haben.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BavariaDirekt, München
  2. CSB-SYSTEM AG, Geilenkirchen
  3. Neoskop GmbH, Hannover
  4. BwFuhrparkService GmbH, Troisdorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBGRATISH10
  2. 344,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Carver Elektro-Kabinenroller als Dreirad mit Neigetechnik
  2. Elektroauto Neuer Chevrolet Bolt fährt 34 km weiter
  3. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

  1. Disney: 4K kostet bei Disney+ keinen Aufpreis
    Disney
    4K kostet bei Disney+ keinen Aufpreis

    Ohne Aufpreis für 4K-Streaming will sich Disney zum Start von Disney+ von Konkurrenten wie Netflix abheben. Außerdem wird auf der Plattform Binge-Watching weniger populär sein, denn neue Episoden sollen nacheinander wöchentlich erscheinen.

  2. Kickstarter: Retrostone 2 ist ein Game Boy mit LC-Display und Ethernet
    Kickstarter
    Retrostone 2 ist ein Game Boy mit LC-Display und Ethernet

    Er sieht aus wie eine Mischung aus SNES-Controller und Game Boy: Der Retrostone 2 ist eine mobile Spielekonsole, auf der Gamer ihre alten Spiele als Emulation spielen können. Ungewöhnlich: Mit USB, HDMI und Ethernet eignet sich das System auch als Standkonsole am Fernseher.

  3. Taleworlds: Mount and Blade 2 ist 2020 nach acht Jahren spielbar
    Taleworlds
    Mount and Blade 2 ist 2020 nach acht Jahren spielbar

    Mit dem Schwert und dem Pferd können Fans der Mittelaltersimulation Mount and Blade den langersehnten zweiten Teil spielen. Diese Version wird allerdings im Early Access erscheinen und von daher nicht fertig sein. Zumindest geht es voran.


  1. 13:13

  2. 12:34

  3. 11:35

  4. 10:51

  5. 10:27

  6. 18:00

  7. 18:00

  8. 17:41