ITrig

Das die die freien IP Adressen zu Ende gehen ist nicht gerade neu, sie sind quasi schon aufgebraucht. Darum wird nun nach und nach von IPv4 (32bit) auf IPv6 (128Bit) umgestellt.
Statt denn bisher 4.294.967.296 möglichen stehen nun 340 Sextillionen (umgerechnet 600 Billiarden Adressen auf jeden Quadratmillimeter der Erdoberfläche) Adressen zur Verfügung, das sollte wohl vorerst ausreichen.

Durch die Masse an neuen IPs kann theoretisch jedem technischen Gerät auf Lebenszeit eine eigene Adresse zugewiesen werden. Dies ruft natürlich Datenschützer auf den Plan, denn das neue Protokoll erlaubt theoretisch eine Vollüberwachung, um den entgegen zu wirken wurden beispielsweise Techniken wie "Privacy Extensions" implementiert.
Was also bedeutet IPv6 für den Anwender, was kommt eigentlich auf Entwickler zu und wie sieht die technische Seite aus. Ich möchte an Hand eines kleinen Artikels diese Fragen klären.

Warum ist IPv6 die bessere Lösung

• Wie oben bereits erwähnt, vergrößert sich der freie Adressbereich enorm (2 hoch 128).
• Es gib keine Prüfsummen mehr im Header. Da TCP und Ethernet bereits eine besitzen, würde das die Übertragung verlangsamen.
  
• IPv6 versucht selbständig die MTU herauszufinden.
  
• Wiederherstellung von fragmentierten Paketen wird nicht von Routern gemacht sondern nur von Sender und Empfänger.
• IPv6 unterstützt Erweiterungen, die angepasst werden können. So kann mit Next Header ein Erweiterungsheader definiert werden.
  
• Der Header bei IPv6 hat eine feste Größe und macht es Hardwaredesignern einfacher.
  

Adressnotation

IPv4 wurde bisher in 8bit Gruppen notiert, für das neue IPv6 ist dies wenig sinnvoll, hier setzt man auf 16-Bit-Gruppen in hexadezimaler Form.
Daraus entstehen im Endeffekt 8 hexadezimale Blocks a 2 Byte getrennt durch einen Doppelpunkt.

• Zum Beispiel: FFFF:0000:0000:0000:0000:0000:c0a8:1

Nullnummer

• Führende Nullen können weggelassen werden, so verkürzt sich die Adresse auf
  
• FFFF:0:0:0:0:0:c0a8:1
• Insgesamt können Nullen auch ausgelassen werden, da eine Adresse automatisch mit Nullen gefüllt wird, bis sie eine Länge von 128bit erreicht:
  
• FFFF::c0a8:1
  

CIDR Notation - Aufteilung des Adressraums

• Die Classless Inter-Domain Routing Notation bleibt gleich:
  
• FFFF:0000:0000:0000:0000:0000:c0a8:1/16
• FFFF ist die Netzadresse
• c0a8:1 die Hostadresse

Einteilung in Netzwerkklassen

• Die Einteilung in Netzwerkklassen A,B und C entfällt ab IPv6

Richtige Eingabe im Browser mit Portangabe

Hier sollte die Adresse in Klammern eingefasst werden:

• http://[FFFF::c0a8:1]:8080

Eine IPv4 Adresse in IPv6 umschreiben

• 192.168.0.1 wird zu
• ::FFFF:192.168.0.1
  
• Ausgeschrieben zu 0000:0000:0000:0000:0000:FFFF:192.168.0.1
• oder in hexadezimal zu ::FFFF:c0a8:1
  

IPv4 in IPv6 automatisch umrechnen

• Einfach einen online Umrechner verwenden

Adresstypen - Broadcast war gestern

Der klassische Broadcast fällt mit dem neuen Standard weg, dafür unterscheidet man in drei verschiedene Typen

• Unicast
• Die Unique Global Address steht für die eindeutige Zuweisung zu einem Gerät, ähnlich den nicht reservierten Adressen bei IPv4.

• Multicast
  
• Erhält bei IPv6 eine bessere Stellung durch den Wegfall des Broadcasts. Das heißt Daten werden von einem Sender zu einer Gruppe von Empfängern versendet, z.b. alle Router (FF02::2). Alle Adressen beginnen mit FF::/8.

• Anycast
• Die einzigen neuen Adressen bei IPv6 sind Anycast Adressen. Ähnlich wie beim Multicast werden hier Daten an eine Gruppe von Empfängern versendet, anders als beim Multicast gibt es aber nur einen Empfänger, nämlich derjenige der zuerst reagiert. Frei nach dem Motto "Wer zuerst kommt, malt zuerst". Der Aufbau ähnelt einer Unicastadresse, das Verhalten dem einer Multicastadresse.
  

Der neue Localhost

Was bis heute auf T-shirts zu finden ist (127.0.0.1) wird nun von 0000::1 abgelöst. In der Kurzschreibweise reicht sogar ein [::1]

Weitere Besonderheiten

• FE80::/10 Adressen sind die neuen lokalen bzw. linklosen Adressen, vergleichbar mit 169.254.0.0/16
  
• IPv6 Adressen sind globale Adressen, das heißt NAT wird eigentlich nicht länger benötigt. Obwohl das Port Forwarding nicht mehr nötig ist, verwaltet es weiterhin NAT Listen, um die Sicherheit zu wahren. Denn würde nicht per default der Zugang blockiert, wären interne Adressen von außen erreichbar.
  
• IPv6 besitzt eine Art Autokonfiguration, die es erlaubt selbständig aus der eigenen MAC eine linklose Adresse zu erstellen, um sich an anderen Geräten zu melden. Somit wird ARP quasi überflüssig, bzw. wird nicht zwingend ein DHCP Server benötigt, um eine Adressverteilung zu automatisieren. Das neue Protokoll macht das automatisch alleine.

Techniken der Autokonfiguration

• Router Discovery
• Prefix Discovery
• Parameter Discovery
• Address Autoconfiguration
• Address Resolution
• Next Hop Determination
• Neighbor Unreachability Detection
• Duplicate Address Detection
• Redirect
  

Wie hoch ist die Sicherheit von IPv6?

• Mit den Standardeinstellungen wird eine IPv6 Adresse alle vier Stunden erneuert, ähnlich wie bei IPv4 lassen sich diese aber abändern.
• Im Netz ist teilweise zu lesen, das die MAC Adresse in IPv6 eingebettet ist. Das stimmt so nicht ganz. Eine Einbettung wäre zwar möglich und würde so ein komplettes Tracking erlauben, wird in der Praxis jedoch nichts genutzt.
• "IPv6 Address Privacy" nennt sich das Stichwort, diese Funktion sorgt dafür das die IPv6 Adresse neben der MAC Adresse aus einer Zufallszahl generiert wird und nicht zurückverfolgbar ist.
  
• Mit Hilfe des Erweiterungsheaders "Authentication Headers" können Datenpakete auf ihre Echtheit überprüft werden und gewährleisten einen Transport ohne Manipulation
• Verschlüsselung der Daten mittels "Encapsulating Security Payload Header". Ähnlich wie bei der Echtheitsprüfung wird ein Erweiterungsheader verwendet, der ein Verschlüsselung einbindet, die nicht Bestandteil von IPv6 ist.

Was muss ich als Anwender beachten?

Sollten keine Probleme auftreten, gibt es keine Besonderheiten zu beachten.

Was ändert sich mit IPv6 für Entwickler oder Admin?

• Um einen Nutzer genau zu identifizieren, sind die ersten 4 hexadezimalen Blöcke relevant.
• Für das Sperren der IP sollten alle Blöcke verwendet werden.
• Alternativ kann auch das Subnet, also die ersten 4 Blöcke gesperrt werden.

Quelle, Quelle

Wissenswertes

• Visual Studio 2012 SP1 veröffentlicht
• Raspberry Pi als eigenen Webserver aufsetzen
  
• Wie erstellt man anonyme Email Accounts
• Die GEZ sammelt auch 2013 munter weiter
• E-book - 9 Schritte zur Cybersecurity
• Wie funktioniert die neue mobile ZeuS Trojaner Variante Eurograbber?
  

Nützliches

• PowerShell Plus - Guter Powershell Editor mit Snippets
  
• Java-Editor jEdit 5.0.0
• CSS3 Generator - Schatten, runde Ecken und Transformation live generieren

Sehenswertes

• Chinterest - Pinterest fürs Kinn
• Gerade war erst Saisoneröffnung - Die besten Skitipps für die Alpen
• Nasa: Wolkenlose Bilder der Erde, faszinierende Nachtaufnahmen
• Offizieller Trailer zu Star Trek Into Darkness
  

History

• Google Chrome Webstore eröffnet
  

Das GIMP Magazin hat mit Issue 2 seine zweite Ausgabe veröffentlicht. Auf knapp 100 Seiten widmen sich die Autoren dem Thema Grafik & Design. Issue 2 bietet in der aktuellen Ausgabe Tutorials zu Comiczeichnungen, Ölmalereien und professionellen Broschüren. Alle Anleitungen zeigen Schritt für Schritt, in Bild und Text, wie man zu perfekten Grafik gelangt.

Neben den Designanleitungen finden sich Interviews und Entwürfe von David Revoy, Martin Eschoyez Przemyslaw Geremek, Maria Wendt und Jeremy Gooch im freien Magazin. Wer ein Grafiktablet sein eigen nennt, bekommt mit dem Tutorial von Rolf Steinort einen Einblick in die Arbeit mit GIMP und Tablets.

Auch Teil zwei der freien GIMP Zeitschrift ist auf jeden Fall einen Blick wert.

Download GIMP Issue2

Nach 5 Monaten hat der beliebte Netzwerkscanner Nmap ein großes Update auf v. 6.25 erhalten. Nmap 6.25 hat hunderte Neuerungen bekommen, so wurden 85 neue NSE-Scripts eingebunden (Nmap Scriptng Engine), sowie fast 1,000 neue Betriebssystem und Service Detection Fingerprints integriert.
Für Windows 8 und die IPv6 Traceroute Unterstützung gab es ebenfalls Verbesserungen. Der komplette Changelog ist hier zu finden.

Damit keine Fragen zu Nmap offen bleiben, möchte ich kurz auf die wichtigsten Fragen eingehen.

Was it Nmap?

Nmap steht für "Network Mapper" und ist ein Tool zur Untersuchung von Computern und anderen Geräten (Hosts) in einem Netzwerk. Dazu werden die Geräte gescannt und eine Auswertung über die gefunden Daten abgelegt.

Was sind NSE-Scripts und wofür sind sie gut?

Diese Scripte sind die eigentliche Stärke des Portscanners, da sie die Funktionen des Tools stark vergrößern und es sehr flexibel machen.

Eine Einführung in NSE Scripte findet ihr in Form eines Video oder als Zusammenfassung im deutschen Referenzhandbuch.

Insgesamt werden mit NMAP 433 dieser Scripte mitgeliefert, eine komplette Auflistung was welches Script kann gibt es ebenfalls.

Gibt es ein Grundlagenhandbuch?

Ja das gibt es und zwar direkt bei den Entwicklern

Gibt es eine GUI (grafische Oberfläche)?

Unter Windows wird automatisch Zenmap mit installiert (siehe Screenshot), was ein einfaches Arbeiten erlaubt.

Unter Ubuntu kann diese nachinstalliert werden.

• sudo apt-get install zenmap
  

Mit Hilfe der Gui könnt ihr gut erkennen wie Kommandozeilenbefehle aussehen können, was uns gleich zur nächsten Frage bringt.

Was sind die wichtigsten Nmap Befehle?

Der Aufbau eines Scankommandos sieht ungefähr so aus:

• nmap [Befehl] [Zusatzbefehl] [IP]

Als Befehl kann beispielsweise folgendes verwendet werden:

• -a: aktiver OS Scan
• -v: ausführlicher Scan (verbose)
• -sS: Stealth Scan
• -sT: TCP-SYN-Scan, alle offenen Ports finden
• -sS: TCP-Connect-Scan, offene Ports scannen
• -sU: UDP-Scan
• -sL: List Scan
• -sP: List Scan mit zusätzlichen Ping
• -Pn: Ping abschalten
• -sV: Versionserkennung
• -O : OS Erkennung
• -D: Decoy (Attrappe)

Zusatzbefehle können zum Beispiel sein:

• --traceroute
• –-allports
• –osscan-limit: OS-Erkkenung nur bei offenen Ports

Eine ausführlichere Übersicht mit Beschreibungen findet ihr hier.

Kann ich eine falsche IP Adresse vortäuschen?

Wieso sollte das nicht funktionieren

• nmap -sS Ziel-IP -D Ersatz-IP
  

Was versteht Nmap unter Port Zuständen?

Bei einem Standardscan (scannt die 1000 häufigsten TCP Ports) macht das Tool Unterschiede bei den Zuständen:

• offen
• geschlossen
• gefiltert
• ungefiltert
• offen|gefiltert
• geschlossen|gefiltert

Eine detaillierte Beschreibung zu Portzuständen findet ihr hier.

Ist Port Scanning mit Nmap illegal?

Die Wikipedia meint dazu:

"Die Legalität von Portscans ist umstritten, da sie als erste Instanz eines Eindringversuches gewertet werden können. In jedem Fall ist eine Benutzung auf eigenen Systemen legal. Unklarer ist die Rechtslage bei Portscans gegen fremde Systeme und Netzwerke. Da beispielsweise empfindliche Computer durch viele Verbindungsanfragen gestört werden können, kann dies als Angriff auf die Verfügbarkeit eines Systems gewertet und in Deutschland durch § 303b StGB (Computersabotage) bestraft werden. Das SANS-Institut bestätigt in einer Veröffentlichung ebenfalls den Zwiespalt von Portscans[1].
Portscanner werden jedoch aktuell nicht als Computerprogramm zum Ausspähen von Daten nach § 202c StGB (Hackerparagraf) angesehen, da sie keine Sicherheitsmechanismen umgehen oder Daten abfangen."

Download Nmap Portscanner Windows und Linux

Es war eigentlich nur einen Frage der Zeit bis die virtuelle Pinnwand den Schritt in die Offlinewelt schafft. Ich persönlich habe mich schon eine ganze Weile gefragt, wieso die größtenteils geschmackvollen Bildersammlungen nicht anderweitig genutzt werden.

PinPigeon setzt dies nun endlich um. Wie der Name vermuten lässt, liefert der Brieftaubendienst Postkarten von Pins der virtuellen Pinnwand aus. Die gewünschten Bilder können per Browserplugin für Chrome oder per Copy & Paste auf ein 4x6 große Postkarte gedruckt und mit einem persönlichen Test versehen werden. Das Chrome Addon funktioniert dabei ähnlich wie die hauseigenen Pinterest-Funktionen und bettet sich daneben ein. Gezahlt werden kann mit Kreditkarte, jede Karte kostet 1,95 Dollar.

Für einen individuellen Weihnachtsgruß in drei Schritten, bietet sich der Dienst nahezu perfekt an. Er wird aber auch Abseits vom Trubel am Jahresende sicherlich seine Abnehmer finden, schicke Karten finden immer ihre Fans.