Forum: Offtopic Ipv6 Host exposute ganz witzig.


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Philipp K. (philipp_k59)


Lesenswert?

Moin,

Ich habe zufällig zur Einrichtung meines DYNDNS auf einem Vodafone Kabel 
Station Router eine Recht interessante Funktion gefunden, das ganze 
nennt sich "Host Exposure".

Das bedeutet das der Netzwerkteilnehmer im Prinzip über eine Mac-Adresse 
ungefiltert ohne Firewall an eine öffentliche IPv6 Adresse gebunden 
werden kann da die eigene öffentliche ipv6 eine /64 ist.

Komisch das mir die Funktion vorher nie aufgefallen ist.

von Gustl B. (gustl_b)


Lesenswert?

So viele Schreibfehler in so wenig Text, sogar schon im Betreff.

von (prx) A. K. (prx)


Lesenswert?

Gibts bei Fritzens auch, ebenfalls unter "Exposed Host". Bei IPv4 kriegt 
dieser Host per NAT alles, was der Fritz nicht selbst braucht oder was 
Portforwarding hat. Bei IPv6 fällt NAT weg und es geht alles.

Kann man als eine Art Autoinstaller für Parasiten betrachten, wenn man 
nicht sehr genau weiss, was man tut.

: Bearbeitet durch User
von Philipp K. (philipp_k59)


Lesenswert?

Ach sorry.

Das Handy ist mit meinen Wurstfingern immer etwas störrisch, dazu kommt 
dann noch autovervollständigung und die kleine Schrift zum drüber lesen.

Ich gelobe Besserung und schreibe hier nur noch am PC.


Jo, sicherheitstechnisch sollte man natürlich auf Serverniveau sein, ich 
benutze sowieso nur Port 22 für rsync. Da habe ich mich aber auch 
erschrocken als sofort die Apache Default Seite aufblitzte. LOL

von Mario M. (thelonging)


Lesenswert?

Philipp K. schrieb:
> das ganze nennt sich "Host Exposure".

Gibts doch schon "immer". Wurde früher oft fälschlicherweise als DMZ 
bezeichnet.

von Rene K. (xdraconix)


Lesenswert?

Philipp K. schrieb:
> Port 22 für rsync

Und da fällt schon mal die erste Sicherheitsschranke... Port 22 ist für 
SSH und RSYNC läuft über SSH. Das wäre das letzte was ich öffentlich 
zugänglichen machen würde wollen.

von (prx) A. K. (prx)


Lesenswert?

Rene K. schrieb:
> Das wäre das letzte was ich öffentlich
> zugänglichen machen würde wollen.

Man sollte dann natürlich beim Ball bleiben und die Sicherheits-Ticker 
mitlesen. Wie alle Protokolle erwischt es ab und zu auch SSH. Im sshd 
oder der Firewall des Servers kann man dazu noch IP-Einschränkungen 
machen, wenn man das nicht für die ganze Welt öffnen will, sondern nur 
für bestimmte Gegenstellen.

: Bearbeitet durch User
von Kilo S. (kilo_s)


Lesenswert?

(prx) A. K. schrieb:
> Im sshd oder der Firewall des Servers kann man dazu noch
> IP-Einschränkungen machen, wenn man das nicht für die ganze Welt öffnen
> will, sondern nur für bestimmte Gegenstellen.

Rootlogin verbieten usw..

https://www.hosting.de/helpdesk/anleitungen/server/openssh_server/

von Rene K. (xdraconix)


Lesenswert?

Kilo S. schrieb:
> Rootlogin verbieten usw..

Rootlogin ist glücklicherweise ja sowieso im Standard deaktiviert.

von Stefan F. (stefanus)


Lesenswert?

Philipp K. schrieb:
> dazu kommt dann noch autovervollständigung

Mich nervt echt, wie oft ich diese faule Ausrede lesen muss. Schalte die 
Funktion aus!

von Philipp K. (philipp_k59)


Lesenswert?

Naja, das ist ja eher das kleine Server 1x1.

Port 22 war nur ein Synonym für einen beliebigen Port und natürlich 
steht es jedem Offen, ob er ein schwieriges Passwort speichert oder 
einen ssh-key benutzt den er ja trotzdem auch Speichern muss. Man kann 
sich auch im Security Wahn mit einem Port Triggering oder einem VPN 
vorweg einwählen da der port garnicht öffentlich ist. Oder halt einfach 
mit ssh-key einloggen, und dann für sudo ein zusätzliches Passwort 
wählen.

Vielleicht installiere ich auch einfach OpenMediavault, das Webinterface 
setze ich auf Port 3333 oder so, nur im lokalen Netzwerk erreichbar.

Dann mache ich einen ssh-key Login als Dynamischen Port Tunnel als Proxy 
für meinen vorkonfigurierten Browser.

Stefan F. schrieb:
> Schalte die
> Funktion aus!

Das habe ich in der Tat schon überlegt, die nervt total wenn man in 
Englisch tippern will.

von (prx) A. K. (prx)


Lesenswert?

Philipp K. schrieb:
> Das habe ich in der Tat schon überlegt, die nervt total wenn man in
> Englisch tippern will.

Man kann manche Autokorrektoren auch zweisprachig einstellen.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.