IPv6 ist nicht unsicher, nur weil es kein NAT hat

• Die Behauptung, IPv4 sei sicherer, weil es standardmäßig NAT verwendet, beruht auf einer Verwechslung von Sicherheit und Adressumsetzung
• NAT (Network Address Translation) ist keine Sicherheitsfunktion, sondern ein Mechanismus zur Einsparung von Adressen, um den Mangel an IPv4-Adressen zu lösen
• NAT funktioniert im Wesentlichen nur so, dass mehrere Geräte sich auf Basis von Port-Mappings eine einzige öffentliche IP teilen
• Tatsächlich übernimmt nicht NAT die Aufgabe, externen Traffic zu blockieren, sondern eine zustandsbehaftete Firewall (stateful firewall)
• Auch in IPv6-Umgebungen blockieren Firewalls standardmäßig nicht autorisierten Traffic, daher bedeutet das Fehlen von NAT keine Abschwächung der Sicherheit

Verwechslung von NAT und Sicherheit

• Die Behauptung, IPv4 sei sicherer, weil es NAT nutzt, ist eine Fehlwahrnehmung
  • NAT ist keine Sicherheitsfunktion, sondern eine Technik zur Adressersparnis (address conservation)
  • Auch in IPv6 kann NAT verwendet werden, aber das erhöht die Sicherheit nicht
• NAT sorgt dafür, dass mehrere Geräte im internen Netzwerk eine einzige öffentliche IP-Adresse gemeinsam nutzen
  • Das Routing erfolgt durch Umschreiben (rewrite) der Ziel-IP auf Basis des Zielports eines Pakets
  • Es arbeitet nach Regeln für Port-Mapping oder Port-Forwarding, die der Netzwerkadministrator festlegt

Wie NAT tatsächlich funktioniert

• In einer NAT-Umgebung wird eingehender externer Traffic nicht an interne Geräte weitergeleitet, wenn er einen unerwarteten Zielport hat
  • Solcher Traffic verbleibt bei dem Gerät mit der öffentlichen IP und wird nicht ins interne Netzwerk geroutet
• Dadurch wirkt es so, als würde NAT externen Zugriff blockieren, aber das ist nur ein Nebeneffekt und nicht das eigentliche Sicherheitsziel des Designs

Die Rolle der Firewall

• Der Sicherheitseffekt, den viele fälschlich NAT zuschreiben, stammt in Wirklichkeit von der zustandsbehafteten Firewall (stateful firewall)
  • Die meisten modernen Router enthalten unabhängig davon, ob NAT verwendet wird, standardmäßig Firewall-Regeln, die eingehenden Traffic blockieren
  • Die Firewall verwirft (drop) Traffic mit unerwartetem Ziel, bevor Pakete umgeschrieben oder geroutet werden
• Als Beispiel gelten für einen UniFi-Router standardmäßig folgende IPv6-Firewall-Regeln
  • Established/Related-Traffic erlauben (Antwort-Traffic auf ausgehende Verbindungen)
  • Invalid-Traffic blockieren
  • Jeden anderen Traffic blockieren

Sicherheit in IPv6-Umgebungen

• Auch in IPv6-Netzwerken blockieren Standard-Firewall-Regeln nicht autorisierten eingehenden Traffic
  • Derselbe Schutz gilt auch ohne den Einsatz von NAT
• Um von außen nicht angeforderten Traffic zu IPv6-Geräten zuzulassen, müssen explizit Firewall-Regeln hinzugefügt werden
  • Das gilt unabhängig davon, ob NAT verwendet wird oder nicht

Fazit

• Die Behauptung, IPv6 sei weniger sicher, weil es kein NAT verwendet, ist unbegründet
• Die tatsächliche Sicherheit wird nicht durch NAT, sondern durch Firewall-Richtlinien und Regeln zur Traffic-Kontrolle bestimmt
• Auch in IPv6-Umgebungen lässt sich mit einer passenden Firewall-Konfiguration eine Default-Deny-Sicherheitsstrategie aufrechterhalten