Windows und IPv6

Auch wenn die meisten ISPs anderes behaupten und versuchen, das Problem auszusitzen: IPv6 ist seit Jahren eine Realität und aus dem modernen Internet nicht wegzudenken. Leider ist die Umsetzung auf Windows-Plattformen bestensfalls dürftig und bedarf deutlicher Anpassungen, um ein stabiles, sicheres System zu gewährleisten.

Tunnelprotokolle

Aufgrund der mangelnden Bereitschaft der ISPs zur Weiterentwicklung und der dadurch deutlich verlangsamten Verbreitung von IPv6 hat sich Microsoft entschieden, standardmäßig diverse Tunnelprotokolle zu unterstützen, die IPv6 auch auf den Computern bereitstellen, die über einen IPv6-Verweigerer mit dem Internet verbunden sind.

Leider bringt dies einige Sicherheitsrisiken mit sich, da die IPv6-Verbindung durch einen verschlüsselten Tunnel nach außen führt und somit die Firewall-Funktionen des heimischen Routers umgeht. Dadurch  entstehen deutliche Sicherheitsrisiken, da der Computer lediglich durch die Windows-Firewall geschützt wird.

Außerdem werden die Tunnelprotokolle nicht deaktiviert, wenn eine native IPv6-Verbindung zur Verfügung steht. Hier entstehen Sicherheitsrisiken, die nicht erforderlich sind. Außerdem werden die vielen Netzwerkschnittstellen schnell unübersichtlich.

Letztendlich sind die Geschwindigkeiten der IPv6-Tunnel extrem langsam und durch die priorisierte Verwendung von IPv6 wird bei aktivierten Tunnelprotokollen die Internetverbindung langsamer.

Zur Deaktivierung dieser heutzutage oft unnötigen Protokolle ist lediglich ein Eintrag in die Registrierung erforderlich:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
"DisabledComponents"=dword:00000001

Nach einem Neustart sind die virtuellen Netzwerkschnittstellen verschwunden und das System verfügt nur noch über die physisch vorhandenen Schnittstellen. Sofern in einem darüber verbundenen Netzwerk IPv6 vorhanden ist, wird es selbstverständlich genutzt.

Privacy Mode

Eine IPv6-Adresse ist in zwei Hälften geteilt. Während die erste Hälfte das Netzwerk adressiert, wird durch die zweite Hälfte der einzelne Computer eindeutig identifiziert. Dieses Prinzip war zwar in IPv4 bereits ähnlich vorhanden, allerdings wird in Version 6 des Protokolls die zweite Hälfte nicht automatisch – und damit meist zufällig – vergeben sondern anhand der MAC-Adresse berechnet.

Dadurch ist bleibt die zweite Hälfte der Adresse netzwerkübergreifend gleich und erlaubt somit eine Verfolgung des Geräts – unter Umständen auch auf weltweiten Reisen, sodass ein Bewegungsprofil erstellt werden kann.

Die Privacy Extensions erlauben eine zufällige Generierung dieses Host-Anteils in regelmäßigen Abständen. Somit wird das Verfolgen des Geräts effektiv unterbunden. Leider sind jedoch in einigen Windows-Versionen die Privacy Extensions standardmäßig deaktiviert.

Die Aktivierung ist natürlich nur auf Geräten erforderlich, die sich auch tatsächlich bewegen – sie kann aber auch generell auf allen Geräten durchgeführt werden ohne sich negativ auszuwirken. Die Aktivierung erfolgt in der Network-Shell (netsh), die mit Administrativen Berechtigungen gestartet werden muss:

interface ipv6
set privacy enabled
set global randomizeidentifiers=enabled

Wer in lokalen Netzwerken keinen Bedarf für zufällig wechselnde IP-Adressen hat und einen festen Host-Anteil in den IP-Adressen haben möchte, kann die Privacy Extensions natürlich jederzeit deaktivieren:

interface ipv6
set privacy disabled
set global randomizeidentifiers=disabled

Zum Übernehmen der Änderungen ist ein Neustart erforderlich.

Share this...Share on FacebookShare on Google+Tweet about this on Twitter

Leave a Reply

Your email address will not be published. Required fields are marked *