pfSense IPv6 mit Swisscom
August 18, 2022
#InfoSec #Awareness
November 17, 2022
Seit der Einführung von IPv6 gab es immer wieder Bedenken bezüglich Datenschutz und Sicherheit. Der grösste Unterschied zwischen IPv4 und IPv6 besteht - nebst dem Aufbau der Adresse - im Konzept, dass jedes Endgerät eine öffentliche IPv6 Adresse erhält, um ins Internet zu gelangen. Hatte bei IPv4 mittels NAT (Network Address Translation) das Endgerät eine private IP Adresse, fällt dies bei IPv6 weg. Theoretisch wäre damit jedes IPv6 Endgerät aus dem Internet erreichbar. Das wäre absolut fatal. Darum ist bei IPv6 eine zumindest einfache Firewall auf dem Router Pflicht, um Anfragen aus dem Internet zu blocken. Besser und empfehlenswert sind jedoch spezialisierte Firewalls der nächsten Generation wie die pfSense. Betreffend Datenschutz stellt sich die Sachlage etwas kniffliger.
Datenschutz bei IPv6
Geht es um Datenschutz, so sind es die personenbezogenen Daten, die von Interesse sind. Also wieviel Daten eine Firma wie Google, Meta (Facebook) oder Apple an Daten sammelt und die einer Person zuordnen kann. Dies geschieht per Browser mittels Cookies, Logindaten, Browserverlauf, IP Adresse etc. und zusätzlich auf dem Mobilgerät mittlels Geo Tracking (GPS etc.). Die IP Adresse spielte bis anhin eine eher untergeordnete Rolle, da diese einerseits nur den Internetanschluss erfasste, da die Endgeräte mittels NAT geschützt waren und da anderseits die IP Adresse oftmals per DHCP zugewiesen wurde und somit sporadisch wechselte.
Bei IPv6 sieht es schon etwas anders aus, da ein Endgerät eine öffentliche IPv6 Adresse erhält. Eine Zuordnung dieser geschieht heutzutage meistens mittels SLAAC oder DHCPv6 und so unterscheidet sich auch der Datenschutz.
SLAAC und Datenschutz
Bei SLAAC (Stateless Address Autoconfiguration) gibt der Router das Präfix bekannt, und jeder Client generiert den Interface Identifier seiner IPv6-Adresse selber anhand der Geräte MAC-Adresse. Da diese konstant bleibt und einen Rückschluss auf den Hersteller des Endgerätes bietet, hat man schnell erkannt, dass der Datenschutz nur mangelhaft ist. Daher wurde bei SLAAC die Privacy Extension eingeführt. Diese generiert einen zufälligen Interface Identifier, der sich periodisch ändert. Damit bleibt zwar der Network Prefix unverändert, aber eine genaue Zuordnung kann nun nicht mehr gemacht werden. Dies ist mit IPv4 vergleichbar. Privacy Extension ist bei den meisten Betriebssystemen vorgängig aktiviert. Wie man überprüft, ob Privacy Extension aktiv ist, erfährt man mit diesem Artikel auf Heise.
DHCPv6 und Datenschutz
Bei DCHPv6 erhält jedes Endgerät eine IP Adresse aus dem DHCP Pool. Da der Pool Bestandteil des Prefix des Subnetzes ist, lässt sich daraus wiederum die 'Hausnummer' des Anschlusses ableiten. Aber wie bei SLAAC mit Privacy Extension ist der Interface Identifier ebenfalls variabel und ändert sich sporadisch. Damit ist der Datenschutz ähnlich wie bei SLAAC oder auch IPv4.
Auf statische IPv6 Adressen sollte man soweit als möglich verzichten und nur bei Geräten einsetzen, die nicht aktiv z.B. per Browser im Internet unterwegs sind.
Fazit
Ein allzu grosser Unterschied zwischen IPv6 und IPv4 besteht nicht. Der Datenschutz wurde nicht massgeblich schlechter. Bei der Datensammelwut ist die IP Adresse ein Faktor von vielen. Wer seine IP Adresse durch einen VPN Dienst oder den Tor Browser verschleiert, aber trotzdem mit Googel sucht, hat bezüglich Datenschutz nicht viel erreicht.
