[UPC] Kein IPv4 mehr

[David Seppi]

Hallo allerseits!

Mittlerweile hats mich erwischt: Heute wurde mein UPC-Anschluß von
nativem IPv4 auf IPv6 mit DS-Lite umgestellt. Ich kann zwar von daheim
aus weiterhin IP4-Adressen erreichen, bekomme aber selbst keine
eindeutige mehr zugewiesen, sondern muß die mit anderen teilen.
Dadurch sind meine Geräte von außen (port forwarding) nicht mehr per IP4
erreichbar, was sehr ärgerlich ist, da ich weder auf mein NAS, noch auf
meinen RPi zugreifen kann.
Kann man das irgendwie umgehen?

Außerdem:
Mein Router-Modem erhält zwar von UPC einen IP6-Adreßraum und vergibt
auch brav IP6-Adressen aus diesem Adreßraum an die Clients weiter,
man kann jedoch diese Adressen nicht von außen erreichen. Vermutlich
funkt da irgendeine Firewall unterwegs dazwischen. Ich kann meine Geräte
also nicht einmal aus IP6-fähigen Netzen erreichen.

Hat jemand ähnliche Probleme und die vielleicht schon irgendwie gelöst?

XPost ai.provider & ai.breitband, fup2 ai.breitband

--
David Seppi
1220 Wien

[Johann Mayerwieser]

Am Thu, 13 Nov 2014 12:15:52 +0000 schrieb David Seppi:

> Mein Router-Modem erhält zwar von UPC einen IP6-Adreßraum und vergibt
> auch brav IP6-Adressen aus diesem Adreßraum an die Clients weiter,
> man kann jedoch diese Adressen nicht von außen erreichen. Vermutlich
> funkt da irgendeine Firewall unterwegs dazwischen. Ich kann meine Geräte
> also nicht einmal aus IP6-fähigen Netzen erreichen.

vermutlerich hat das ncihts mit Firewall zu tun

http://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_.28DS-Lite.29

[David Seppi]

Johann Mayerwieser schrieb:

Der Artikel beschreibt nur warum das mit IPv4 nicht geht.
Mit IPv6 sollte aber eigentlich alles klappen?

[christian mock]

David Seppi <dse...@a1.net> wrote:

>> http://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_.28DS-Lite.29
>
> Der Artikel beschreibt nur warum das mit IPv4 nicht geht.
> Mit IPv6 sollte aber eigentlich alles klappen?

seh ich auch so. wennst mir eine v6-adresse + erreichbarseinsolltenden
port zukommen läßt, kann ich ja mal tracen, wo das SYN versumpft...

cm.


--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
Other languages don't walk up to web designers in the street and call
out "hey, big boy, wanna inline some code with me?"
-- Peter da Silva about PHP

[David Seppi]

christian mock schrieb:

> seh ich auch so. wennst mir eine v6-adresse + erreichbarseinsolltenden
> port zukommen läßt, kann ich ja mal tracen, wo das SYN versumpft...

Danke, hat sich erübrigt. Das Problem war eine aktive IPv6-Firewall im
Router, die sich deaktivieren ließ.

[David Seppi]

Ingrid:

> Außerdem:
> Mein Router-Modem erhält zwar von UPC einen IP6-Adreßraum und vergibt
> auch brav IP6-Adressen aus diesem Adreßraum an die Clients weiter,

Leider passiert ersteres dynamisch. Man kann zwar seinen Clients
Adressen aus dem zugeteilten Raum statisch vergeben, der Router bekommt
aber nach Neustart einen neuen IPv6-Adreßbereich zugewiesen.
Nicht gerade ideal.

[Robert Waldner]

Was ich heute von Kollegen gehoert hab, kann man durchaus beim Support
anrufen, sudern und bekommt dann doch wieder IPv4 (dafuer halt kein v6,
weil volles Dual-Stack scheint dort nicht moeglich zu sein).

YMMV.

cheers,
&rw
--
-- "There are two major products that come out of Berkeley:
-- LSD and UNIX. We don't believe this to be a coincidence."
-- -Jeremy S. Anderson

[David Seppi]

Walter H. schrieb:

> On 13.11.2014 23:34, David Seppi wrote:
[...]

>> Danke, hat sich erübrigt. Das Problem war eine aktive IPv6-Firewall im
>> Router, die sich deaktivieren ließ.
>>

> Du deaktivierst wirklich diese Firewall?

Natürlich. Firewalls, die nur global "ein" und "aus" kennen, sind
vielleicht für Orthonormalbenutzer brauchbar, ansonsten aber Schrott.

> Dir ist schon bewußt, daß damit alle Geräte bei Dir zu Hause aus dem
> IPv6-Netz offen angreifbar sind ...

Nur in der Standardkonfiguration. Das läßt sich leicht vermeiden, indem
man das WLAN deaktiviert und einen dedizierten WLAN-Router anschließt,
der nur IPv4 routet. Damit sind dann nur die Geräte, die direkt am
Kabelmodem-Router angeschlossen sind, von außen erreichbar. Diese
*sollen* auch erreichbar sein, das ist ja der Sinn der Übung.
Mit aktivierter Firewall werden Serverdienste unmöglich, sofern man
nicht mit VPN herumhampelt.

[René Schuster]

On 2014-11-15 23:38, Walter H. wrote:

> Du deaktivierst wirklich diese Firewall?
>

> Dir ist schon bewußt, daß damit alle Geräte bei Dir zu Hause aus dem
> IPv6-Netz offen angreifbar sind ...

Und wenn nicht, sind sie nicht erreichbar, was den Vorteil einer
Internetanbindung in gewisser Weise negiert. Desperate times call for
desperate measures...

--
rs

[Bernd Petrovitsch]

On Sun, 16 Nov 2014 00:06:57 +0000, David Seppi wrote:
> Walter H. schrieb:
>> On 13.11.2014 23:34, David Seppi wrote:
> [...]
>>> Danke, hat sich erübrigt. Das Problem war eine aktive IPv6-Firewall im
>>> Router, die sich deaktivieren ließ.
>>>
>> Du deaktivierst wirklich diese Firewall?
>
> Natürlich. Firewalls, die nur global "ein" und "aus" kennen, sind
> vielleicht für Orthonormalbenutzer brauchbar, ansonsten aber Schrott.

Die sind idR auch für Otto Normalnutzer Schrott - schon weil jede
"Firewall", die man nicht selber unter Kontrolle hat, kein Security-Device
sein kann.
Außer, Du vertraust zu 100% - in diesem Fall - UPC ...

Und mit global "ein" und "aus" braucht "man" eigentlich eine
(Detail-)Erklärung (so auf Port-Ebene), was bei "ein" alles erlaubt
ist .....

>> Dir ist schon bewußt, daß damit alle Geräte bei Dir zu Hause aus dem
>> IPv6-Netz offen angreifbar sind ...
>
> Nur in der Standardkonfiguration. Das läßt sich leicht vermeiden, indem
> man das WLAN deaktiviert und einen dedizierten WLAN-Router anschließt,

Einen fremd-kontrollierten WLAN-Access-Point in der eigenen Wohnung?
Wollen wir nur hoffen, daß man den wirklich daktivieren kann oder ...

Bernd
--
Bernd Petrovitsch Email : be...@tuxoid.at
"For I was talking aloud to myself. A habit of the old: they choose
the wisest person present to speak to; the long explanations needed
by the young are wearying." --- Gandalf, the White

[David Seppi]

Bernd Petrovitsch schrieb:

> Einen fremd-kontrollierten WLAN-Access-Point in der eigenen Wohnung?
> Wollen wir nur hoffen, daß man den wirklich daktivieren kann oder ...

Wieso sollte das nicht funktionieren? Sind die UPC-Modems so br0ken?

[Bernd Petrovitsch]

On Sun, 16 Nov 2014 13:02:36 +0000, David Seppi wrote:
> Bernd Petrovitsch schrieb:
>> Einen fremd-kontrollierten WLAN-Access-Point in der eigenen Wohnung?
>> Wollen wir nur hoffen, daß man den wirklich daktivieren kann oder ...
>
> Wieso sollte das nicht funktionieren? Sind die UPC-Modems so br0ken?

Naja, ich kann da was anhakeln, daß das WLAN deaktiviert (wenn man
dem User-Interface glauben will).

Zum einen hindert UPC kaum etwas dran, daß einfach wieder zu
aktivieren (wie es unlängst bei der Umstellung auf IPV6 passiert
ist).

Zum anderen, könnte das auch nur das Broadcasten der ESSID
deaktivieren (sowie jegliches sonstiges Senden), aber ansonsten
alles mitlesen, das am Layer 0 vorbeikommt.

Wobei "UPC" oben ja auch nicht unbedingt "UPC" als solches sein
muß, sondern jede Organisation, die Einfluß auf die
Kabelmodem-Firmare nehmen kann.

[David Seppi]

Bernd Petrovitsch schrieb:

> Naja, ich kann da was anhakeln, daß das WLAN deaktiviert (wenn man
> dem User-Interface glauben will).
>
> Zum einen hindert UPC kaum etwas dran, daß einfach wieder zu
> aktivieren (wie es unlängst bei der Umstellung auf IPV6 passiert
> ist).

Was haben die davon?

> Zum anderen, könnte das auch nur das Broadcasten der ESSID
> deaktivieren (sowie jegliches sonstiges Senden), aber ansonsten
> alles mitlesen, das am Layer 0 vorbeikommt.
>
> Wobei "UPC" oben ja auch nicht unbedingt "UPC" als solches sein
> muß, sondern jede Organisation, die Einfluß auf die
> Kabelmodem-Firmare nehmen kann.

Das gilt aber für jeden käuflich erhältlichen WLAN-Router.
Ansonsten sehe ich keinen Sinn verschlüsselte Kommunikation mitzulesen.

[Clemens Zauner]

Walter H. <Walter...@mathemainzel.info> wrote:
>> Danke, hat sich erübrigt. Das Problem war eine aktive IPv6-Firewall im
>> Router, die sich deaktivieren ließ.
>>

> Du deaktivierst wirklich diese Firewall?
>

> Dir ist schon bewußt, daß damit alle Geräte bei Dir zu Hause aus dem
> IPv6-Netz offen angreifbar sind ...

Wirklich jetzt?

Wenn dein v6 sprechendes System sowohl a) solche Schwächen hat und dann
b) nicht von Haus aus eine Option 'von aussen geht nix' anbietet, dann
schmeiss es *bitte* weiter.

Jedes Windows >= VISTA $irgendwas stolpert da nicht darüber (ich gebs
zu, ich habs nur mit dem 7er selbst getestet, aber mir wurde von jemanden,
der mit Windows sein Geld verdient versichert, dass es mit VISTA auch so i
sei).

Ja, die UPC 'IPv6-Einführung' ist in der Umsetzung ziemlich schwach.
Da hätten sie lieber gar nix gemacht. Weil so wie das daherkommt
ist auch nix mit prefix-delegation auf eine dahinterliegende Firewall
(oder ich war zu blöd dafür). Wurde dann halt transparent bridgend
stateful (wollte ich eh schon immer mal probieren).

Zur allgemeinen Beruhigung: zur Zeit ist das definiv noch kein
aktiv verwendeter Angriffsvektor. Zumindest habe ich - im gegensatz
zu v4-Portforward versenkete 'Serverdienste' noch keine Einbrüche
in der Richtung gesehen. Da kommt sicher was, irgendwann. Diverse
billig-NASe u.gdl.m werden da schon entsprechende übel ausgeliefert
werden.

[David Seppi]

David Seppi schrieb:

> Ingrid:
>
>> Außerdem:
>> Mein Router-Modem erhält zwar von UPC einen IP6-Adreßraum und vergibt
>> auch brav IP6-Adressen aus diesem Adreßraum an die Clients weiter,
>
> Leider passiert ersteres dynamisch. Man kann zwar seinen Clients
> Adressen aus dem zugeteilten Raum statisch vergeben, der Router bekommt
> aber nach Neustart einen neuen IPv6-Adreßbereich zugewiesen.

Erneute Ingrid:
Das dürften nur Umstellungsschwierigkeiten gewesen sein. Mittlerweile
ist der IPv6-Bereich schon längere Zeit statisch, d.h. meine Geräte,
die von außen erreichbar sein sollen, sind das jetzt über statische
öffentliche IPv6-Adressen, die ich ins DNS eintragen kann.
Sehr praktisch, sofern die Gegenseite ebenfalls über IPv6
angebunden ist.

[christian mock]

Walter H. <Walter...@mathemainzel.info> wrote:

> On 12.12.2014 17:29, Clemens Zauner wrote:

>>> Du deaktivierst wirklich diese Firewall?
>>>
>>> Dir ist schon bewußt, daß damit alle Geräte bei Dir zu Hause aus dem
>>> IPv6-Netz offen angreifbar sind ...
>>
>> Wirklich jetzt?

> ja wirklich

ganz ganz wirklich? ich mein, ich hab auf meinem ISP-modem auch keine
firewall, werd ich jetzt gehaxxored?

>> Wenn dein v6 sprechendes System sowohl a) solche Schwächen hat und dann
>> b) nicht von Haus aus eine Option 'von aussen geht nix' anbietet, dann
>> schmeiss es *bitte* weiter.

> dann schmeiss dei System komplett weg ..., du hast kei Ahnung

ja, wenn einer mit deiner street cred das sagt, dann ignorieren wir
natürlich jeden anderen, insbesondere solche, die ein paar jahrzehnte
netzwerkerfahrung haben.

> des is Unfug; zu meinen eine Softwarefirewall ist nicht komprimitierbar
> ist sträflicher Leichtsinn ...

software-firewall im gegensatz wozu? "hardware-firewall", so eine
plastikbox von d-link oder sonicwall oder zyxel? weil in der ja keine
software läuft?

und auch eine echte hardware-firewall
(http://www.zgonc.at/media/catalog/product/cache/1/thumbnail/468x/9df78eab33525d08d6e5fb8d27136e95/i/m/image_43953.jpg)
mag zwar nicht kompromittierbar sein, aber umgehbar ist sie trotzdem,
zb
http://www.jocm.us/index.php?m=content&c=index&a=show&catid=124&id=600

pwnage, wohin man schaut. PANIK!

cm.

--
** christian mock in vienna, austria -- http://www.tahina.priv.at/

What other OS provides not one but two INTERCAL compilers as part of
the standard distribution?
Mark Brown about Debian

[Clemens Zauner]

Walter H. <Walter...@mathemainzel.info> wrote:
>> Wenn dein v6 sprechendes System sowohl a) solche Schwächen hat und dann
>> b) nicht von Haus aus eine Option 'von aussen geht nix' anbietet, dann
>> schmeiss es *bitte* weiter.

> dann schmeiss dei System komplett weg ..., du hast kei Ahnung

Kann schon sein; ich habe hier wenigstens a) Tests durchgeführt und
habe b) ein Sample über ausreichend Adressraum. Aufgefallen ist es mir
in den letzten Jahren kein nennenswerter Angriff.

>> Jedes Windows>= VISTA $irgendwas stolpert da nicht darüber (ich gebs
>> zu, ich habs nur mit dem 7er selbst getestet, aber mir wurde von jemanden,
>> der mit Windows sein Geld verdient versichert, dass es mit VISTA auch so i
>> sei).

> des is Unfug; zu meinen eine Softwarefirewall ist nicht komprimitierbar
> ist sträflicher Leichtsinn ...

Ach, und was genau ist dann deiner Ansicht nach nicht kompromittierbar?
Ich vertraue ja nicht mal wirklich meinem Keygeneration-Rechner (der
mit dem guten Zufall), der nicht mal am Netz hängt.

> es verdienen auch Quacksalber ihr Geld ;-)

Ja, eh.

cu
Clemens.

[René Schuster]

On 2015-04-19 15:36, Walter H. wrote:

> On 08.01.2015 21:31, christian mock wrote:
>
>> "hardware-firewall", so eine
>> plastikbox von d-link oder sonicwall oder zyxel?

> darf auch Cisco oder Linksys sein ...

Ist doch wurscht was drauf steht...

>> weil in der ja keine
>> software läuft?

> nein, keine die sich Komponenten wie CPU od. RAM mit deinem Rechner, ...
> oder sonst was teilt ...

Das ist bei heutigen CPU- und RAM-Kapazitäten nun wirklich kein
Argument. Ob der Angreifer die Software ausschaltet die auf einem
externen Kisterl läuft oder auf Deinem Rechner ist doch vollkommen egal.

--
rs

[René Schuster]

On 2015-05-23 20:52, Walter H. wrote:

> On 19.04.2015 15:55, René Schuster wrote:
>>
>> Ob der Angreifer die Software ausschaltet die auf einem
>> externen Kisterl läuft oder auf Deinem Rechner ist doch vollkommen egal.
>>

> ist es nicht;

Doch.

> deaktiviert er die Firewall auf einer externen Einheit, kommt er noch
> lange nicht an die Daten des Rechners; deaktiviert er hingegen die
> Firewall vom Rechner, hat er die Daten auch schon ...

Nein, warum?

--
rs

[christian mock]

Walter H. <Walter...@mathemainzel.info> wrote:
> On 19.04.2015 15:55, René Schuster wrote:
>

>>>> weil in der ja keine
>>>> software läuft?
>>> nein, keine die sich Komponenten wie CPU od. RAM mit deinem Rechner, ...
>>> oder sonst was teilt ...
>>

>> Ob der Angreifer die Software ausschaltet die auf einem
>> externen Kisterl läuft oder auf Deinem Rechner ist doch vollkommen egal.
>>

> ist es nicht;

>
> deaktiviert er die Firewall auf einer externen Einheit, kommt er noch
> lange nicht an die Daten des Rechners; deaktiviert er hingegen die
> Firewall vom Rechner, hat er die Daten auch schon ...

und wie soll er auf das externe kastl kommen? in der realität kommt er
eh immer direkt auf den rechner, firewall hin oder her, weil sich der
user beim surfen was eintritt, was seine veraltete java- oder
flash-installation exploitet. mission accomplished für den angreifer.

cm.

--
** christian mock in vienna, austria -- http://www.tahina.priv.at/

** http://www.vibe.at/ ** http://quintessenz.org/ ** s...@foo.woas.net
Magie kapot. Jij nu weg. En blijf weg. -- Bram

[Clemens Zauner]

Walter H. <Walter...@mathemainzel.info> wrote:
>> Ob der Angreifer die Software ausschaltet die auf einem
>> externen Kisterl läuft oder auf Deinem Rechner ist doch vollkommen egal.
>>

> ist es nicht;

In der Tat, es ist sogar noch wesentlich schlimmer; weil die 'externen
Kastl' werden so ca alle paar Jahre mal angeschaut. z.B. wenns nicht
mehr tut. Anders natürlich bei einer professionell gepflegten FW, die
auch regelmässig betreut wird. Wenn aber irgendwas steht, das einfach
nur gelb (oder in einer anderen typischen Farbe) gehalten ist, das
halt 'die Firewall' ist, die eh 'schützt' dann ist eh schon alles klar.

Und da die Rechner alle richtung LAN eh immer alles offen haben, kann
von dort aus alles & noch viel mehr über Monate abgegriffen werden.
Auf der 'Firewall' wirst du als Angreifer nämlich kaum bis gar nicht
gefunden, und es ist eine wirklich mühsame Arbeit herauszufinden, ob
jemand da einem einen anderen Bootloader oder eine andere Firmware
untergeschoben hat.

Sowas können nur wenige, gerne machen das noch weniger. Für Österreich
hast wahrscheinlich alle locker an einem Tisch platz, und eine Runde
auszugeben ist keine zu hohe finanzielle Belastung.

> deaktiviert er die Firewall auf einer externen Einheit, kommt er noch
> lange nicht an die Daten des Rechners; deaktiviert er hingegen die
> Firewall vom Rechner, hat er die Daten auch schon ...

Dieses theoretische Wissen ist schon recht angestaubt; die Realität
ist viel, viel brutaler. Zum einen werden die Kastl meist über
Rechner übernommen (weil man von da auf das Wartungsinterface kommt);
das ist derart verbreitet, dass das regelrecht automatisiert funktioniert.
In the wild, regelmässig anzutreffen. Oder via Rechner werden 'Services'
der FW ins LAN (UPNP, SSDP, diverse Gateway/reponder/forwarder-Dienste)
sehr intensiv verwendet.

Also sollte ich mir jemals einen BlackHat aufsetzen, werde ich sicher
nicht versuchen per portscan über v6-Ranges verwundbare Dienste in LANs
aufzuspüren. Da fallen einem sofort ganz, ganz viele viel bessere und
effektivere Methoden ein die gut erprobt sind und nachweislich
funktionieren.

Langer Rede kurzer Sinn: Wenn ein Rechner nicht ausreichend sicher ist,
dass man den auch 'ohne Firwallkistl' direkt ins Netz hängt, sollte man
das auch nicht unbedingt 'mit Firewallkistl' tun.

cu
Clemens.