Hallo, ich hätte zwei Fragen zum Thema IPv6. Ich habe sinngemäß aus dem Unterricht mitgenommen, dass IPv4 irgendwann vollständig von IPv6 abgelöst werden soll und dass eine schrittweise Umstellung aller Netzwerke erfolgen soll. Könnte man nicht beide Protokolle parallel einsetzen ohne das eine durch das andere ablösen zu lassen? Sind mit der vollständigen Umstellung auf IPv6 dann Techniken wie NAT und DHCP obsolet?
Torben S. schrieb: > Ich habe sinngemäß aus dem Unterricht mitgenommen, dass IPv4 irgendwann > vollständig von IPv6 abgelöst werden soll und dass eine schrittweise > Umstellung aller Netzwerke erfolgen soll. > > Könnte man nicht beide Protokolle parallel einsetzen ohne das eine durch > das andere ablösen zu lassen? Genau das ist der Fall. Viele Server im Internet (leider noch nicht mikrocontroller.net) haben bereits eine IPv4 und eine IPv6. Nutzer, die bereits von ihrem Internetanbieter mit v6 gesegnet wurden, nutzen dann bereits IPv6, ohne dass sie etwas davon merken. > Sind mit der vollständigen Umstellung auf IPv6 dann Techniken wie NAT > und DHCP obsolet? Nicht zwingend. Es gibt DHCPv6 nach wie vor als Protokoll. Es gibt Anwendungsfälle, wo es sinn ergibt es einzusetzen - bspw. Prefix-Delegation. NAT ist nun für zu Hause nicht mehr notwendig, da jeder Rechner eine eigene IP bekommen kann. Trotzdem wird es auch hier wohl fälle geben, wo am Ende doch wieder NAT eingesetzt wird. VG Jue
Vielen Dank für die Antwort. Was ist aber, wenn ein Unternehmen ein reines internes IPv4-Netzwerk betreibt aber vom Provider eine IPv6-Adresse bekommen hat. Muss das Unternehmen sein internes IPv4-Protokoll komplett durch IPv6 ersetzen?
Wir hatten auf Arbeit IPv4 und IPv6 parallel betrieben. Wenn man sich verkonfiguriert, kann es zu Ausfällen kommen, die man tückischerweise nicht sofort bemerkt. Für zu Hause ist mir der Mehraufwand nicht wert.
Torben S. schrieb: > Vielen Dank für die Antwort. Was ist aber, wenn ein Unternehmen ein > reines internes IPv4-Netzwerk betreibt aber vom Provider eine > IPv6-Adresse bekommen hat. Muss das Unternehmen sein internes > IPv4-Protokoll komplett durch IPv6 ersetzen? Man sollte als Unternehmen, erst schauen, dass beides Zuverlässig läuft und IPv4 erst dann abschalten, wenn alle/sehr viele Webseiten und Dienste auch per IPv6 (zuverlässig) gehen. Meisten wird ein Firmen IPv6 als erstes deaktiviert und als Teufelszeug definiert. Leider ist das nur ein Aprilscherz: https://www.tagesschau.de/ausland/internetabschaltung100.html
Torben S. schrieb: > Vielen Dank für die Antwort. Was ist aber, wenn ein Unternehmen ein > reines internes IPv4-Netzwerk betreibt aber vom Provider eine > IPv6-Adresse bekommen hat. Muss das Unternehmen sein internes > IPv4-Protokoll komplett durch IPv6 ersetzen? Du meinst, wenn der Provider nur eine IPv6 ausgibt? Dann muss im Firmennetz zumindest IPv6 mit ausgerollt werden. IPv4 darf aber weiter bestehen - darüber gehts aber nicht ins Internet. Mir ist aber kein Provider bekannt, der das macht. Es gibt aber einige, die s.g. DS Lite veranstalten. Dann bekommt der Kunde keine öffentliche IPv4-Adresse mehr. Hier Lesestoff dazu: https://www.elektronik-kompendium.de/sites/net/2010211.htm VG Jue
W. schrieb: > Wir hatten auf Arbeit IPv4 und IPv6 parallel betrieben. Wenn man > sich > verkonfiguriert, kann es zu Ausfällen kommen, die man tückischerweise > nicht sofort bemerkt. Für zu Hause ist mir der Mehraufwand nicht wert. Bei den Plastikkisten (von AVM zumindest) ist IPv6 normalerweise an (wenn man es nicht deaktivert) und recht unproblematisch.
Torben S. schrieb: > Ich habe sinngemäß aus dem Unterricht mitgenommen, dass IPv4 irgendwann > vollständig von IPv6 abgelöst werden soll und dass eine schrittweise > Umstellung aller Netzwerke erfolgen soll. Nicht soll, das wird seit geraumer Zeit so gemacht. > Könnte man nicht beide Protokolle parallel einsetzen ohne das eine durch > das andere ablösen zu lassen? Ja, das nennt sich DualStack. Ein DualStack-Host kann über IPv4 und IPv6 kommunizieren. > Sind mit der vollständigen Umstellung auf IPv6 dann Techniken wie NAT > und DHCP obsolet? NAT wäre obsolet, weil der Adressmangel dann quasi faktisch nicht mehr existiert. Für ein paar unverbesserliche, die meinen, dass NAT einen Sicherheitsgewinn darstellt, wurde NAT6 erfunden, was aber quasi Schwachsinn ist! :) NAT ist eine Krux, die entsprechende Ressourcen auf dem NAT-Gateway benötigt (RAM für das Connection Tracking) und einen Sicherheitsgewinn gibt es meines Erachtens nach auch nicht. - Ja, man sieht dann extern nur noch die IPv6-Adresse des NAT-Gateways anstatt irgendeine zufällige aus dem zugewiesenen IPv6-Präfix, aber Security by Obscurity bringt auch nicht wirklich etwas. Auch ohne NAT6 lässt sich eine Stateful Firewall auf dem Router realisieren, die sämtlichen Netzwerkverkehr vom Internet in's lokale Netzwerk unterbindet, sofern vorher keine ausgehende Verbindung vorhanden war. AFAIK machen das alle Providerboxen so, egal ob DSL oder Kabel oder oder... DHCP ist nicht obsolet, wird aber nicht mehr so verwendet wie bei IPv4. Die Adressverteilung bei IPv6 kann (muss aber nicht) über so genannte Router-Advertisements geschehen: Der Router verteilt ein IPv6-Präfix per Broadcasts in das Netzwerk und die Clients wählen sich eine Adresse aus dem Präfix selbst. - DHCPv6 ist dann für solche Dinge wie DNS-Server, NTP-Server und weiteren Kram da, kann aber ebenfalls auch IPv6-Präfixe zuweisen. In der Praxis funktioniert jedoch das meiste über RA, weil man auf Clientseite keinerlei Konfiguration benötigt und der RA ebenfalls die Adresse für den DHCPv6-Server beinhaltet, über den sich der Client weitere Informationen bezieht. Seit geraumer Zeit sind eine Menge Internetanschlüsse auch nur noch IPv6-only. Beim Zugriff auf IPv4-Hosts wird providerseitig ein NAT6to4 gemacht. Der Fachausdruck dafür ist CG-NAT (Carrier-Grade NAT) und man versucht es uns als "DualStack Lite" zu verkaufen. Mit DualStack hat es aber gar nichts zu tun, es ist und bleibt ein IPv6-only Zugang. Je nach Auslastung der CG-NAT-Gateways, kann dann schon einmal auch mal der Zugriff auf IPv4-only Hosts zu Stoßzeiten auch schon mal gar nicht mehr funktionieren, weshalb man DS-Lite nicht unbedingt haben möchte. Ein Tipp: Viele Provider können den eigenen Anschluss auf DualStack umstellen, wollen jedoch oft Geld dafür. Gerade in der heutigen Zeit reicht oft ein Anruf mit der Bitte DualStack freizuschalten, weil sonst das VPN in die Firma nicht funktionieren würde etc. ;) Das wird dann oft kostenfrei erledigt. In Summe funktioniert IPv6 bei Millionen Nutzern absolut problemlos! Viele wissen nicht einmal, dass sie überhaupt IPv6 einsetzen, weil es eben einfach tut. Es gibt aber einige Stimmen (die Ewiggestrigen), die einfach nicht damit klar kommen, dass eine Adresse eben nicht mehr 4 Zahlen mit 3 Punkten sind, sondern jetzt etwas komplexer sind und auch den Unterschied zwischen NAT und Stateful-Firewall nicht kennen und Automatismen (RA) grundsätzlich feindselig gegenüber stehen. Diese Sorte Anwender und auch Admins sind mir schon oft begegnet und oftmals ist es einfach nur fehlendes Verständnis/Unwissen bzgl. IPv6, warum sie es nicht einsetzen oder zu bequem oder zu faul sind. IPv6 ist nicht die Zukunft! - Nein, es ist schon lange da und es ist da, um zu bleiben! Weil wir sonst die Flut an Geräten (Telefone, IoT-Gadgets, SmartHome usw.) nicht in den Griff bekommen oder uns mit unnötig komplizierten Setups herumschlagen müssen. IPv6 macht da vieles einfach deutlich unkomplizierter. Viele Grüße! Sven
Jürgen F. schrieb: > Du meinst, wenn der Provider nur eine IPv6 ausgibt? Dann muss im > Firmennetz zumindest IPv6 mit ausgerollt werden. IPv4 darf aber weiter > bestehen - darüber gehts aber nicht ins Internet. Die Aussage ist so nicht richtig! Dem Unternehmen steht es frei sich einfach einen NAT-Gateway aufzubauen und NAT6to4 zu machen. Das merkt aus Anwendersicht niemand. Die Firma kann dann gerne bei IPv4-only bleiben... Viele Grüße! Sven
W. schrieb: > Wir hatten auf Arbeit IPv4 und IPv6 parallel betrieben. Wenn man sich > verkonfiguriert, kann es zu Ausfällen kommen, die man tückischerweise > nicht sofort bemerkt. Für zu Hause ist mir der Mehraufwand nicht wert. IPv6 ist ja eben gerade kein Mehraufwand?? Einfach nur einen Haken setzen und IPv6 sollte auf Deinem Plasterouter aktiv sein und moderne Betriebssysteme (Windows, Linux, Android, iOS usw.) funktionieren einfach mit IPv6. - Keine Angst: Die Stateful-Firewall macht Dein Plasterouter schon... Die obige Aussage kann ich so nicht stehen lassen: Klar kann man sein Netzwerk verkonfigurieren. Das schöne an DualStack ist eben, dass es zwei völlig unabhängige Netzwerkstacks sind, die einzeln auch ohne den anderen funktionieren. - Wenn Probleme auftreten, dann liegt es meistens daran, dass irgendeine Komponente nicht richtig mitspielt (DNS, DHCP etc.). Viele Grüße! Sven
100Ω W. schrieb: > Meisten wird ein Firmen IPv6 als erstes deaktiviert und als Teufelszeug > definiert. Da hat Jemand etwas nicht Verkehrtes aus einem IT-Sicherheitsworkshop mitgenommen und richtige Schlüsse daraus gezogen. Entweder das Zubehör beschaffen (sofern die Leitung das Geld für Investition herausrückt) oder deaktivieren.
Torben S. schrieb: > dass IPv4 irgendwann vollständig von IPv6 abgelöst werden soll Ich schätze, viele hier im Forum werden diesen Zeitpunkt nicht mehr erleben. Besonders nicht firmenintern.
:
Bearbeitet durch User
100Ω W. schrieb: > Bei den Plastikkisten (von AVM zumindest) ist IPv6 normalerweise an > (wenn man es nicht deaktivert) und recht unproblematisch. Probleme kanns schon gegen, weil die Bugs im Fritz erst einmal gefunden werden müssen. Und VPNs sind nicht die starke Seite von AVM, wenn IPv6 ins Spiel kommt.
:
Bearbeitet durch User
Dieter schrieb: > 100Ω W. schrieb: >> Meisten wird ein Firmen IPv6 als erstes deaktiviert und als Teufelszeug >> definiert. > > Da hat Jemand etwas nicht Verkehrtes aus einem IT-Sicherheitsworkshop > mitgenommen und richtige Schlüsse daraus gezogen. Entweder das Zubehör > beschaffen (sofern die Leitung das Geld für Investition herausrückt) > oder deaktivieren. IPv6 vs. IPv4 hat gar nichts mit Sicherheit zu tun! Wann erkennen diverse Leute eigentlich, dass es nicht richtiger wird, selbst wenn man es 1000x wiederholt? Ich sage es mal so: Sämtliche Netzwerkhardware und auch -software der letzten 15 Jahre sollte IPv6 nativ unterstützen können, gerade im professionellen Bereich. Wer in den letzten 10 Jahren nicht die Zeit gefunden hat sich als IT-Leiter oder Admin mit IPv6 zu beschäftigen, der sitzt eindeutig am falschen Platz! Wer das Thema durchdringt und versteht, der versteht auch, dass Sicherheit gar nichts mit dem Netzwerkstack zu tun hat oder der Version des Internet Protocols. Sicherheit wird an anderen Stellen und durch andere Mechanismen erreicht, die im großen und Ganzen für IPv4 und IPv6 die gleichen sind, weshalb das eine (IPv4) nicht sicherer ist als das andere (IPv6). Immer noch sind es kaputte Webseiten, geleakte Passwörter oder einfach zu erratende Passwörter, fehlende Mehrfaktor-Authentifizierung, XSS, Buffer overflows etc., was die meisten Sicherheitsprobleme verursacht, nicht der Einsatz von IPv6. Nicht ohne Grund laufen heute auch hochverfügbare Netze der Carrier problemlos mit IPv6, das sogar IPv6-only teilweise. Die, die es nicht kapieren wollen, werden irgendwann mit ihren 4 Zahlen und 3 Punkten alleine sein und mit niemandem mehr reden können, weil niemand mehr IPv4 nutzen wird. - Das passiert freilich nicht heute und nicht morgen, aber innerhalb der nächsten 20 Jahre ganz bestimmt! Das Problem ist eher verhunzte Software so hinzubiegen, dass sie auch mit IPv6 klar kommt: Ich habe kürzlich den PSoC Creator von Cypress installiert, mit dabei ist der Keil-Compiler für den PSoC3, den man aber getrennt auf der Keil-Webseite lizenzieren muss (kostenfrei). - Das entsprechende Formular fluchs ausgefüllt und nach dem Absenden kam vom Backend eine Fehlermeldung, dass meine IP-Adresse, welche das Script ungefragt mit in den POST-Request gepackt hat, nicht gültig wäre, weil 2001:4342:.....::2 keine gültige IP-Adresse wäre. Hier sieht man die Probleme in der Praxis: Gängige Software hat mit IPv6 gar kein Problem, ja nicht einmal der Webserver...ja sogar einen AAAA-Eintrag im DNS gibt es für die Keil-Webseite, aber letztendlich scheitert es an einem Script, in dem der Programmierer händisch überprüfen muss, ob da eine gültige IP-Adresse drinnen steht oder nicht. Das gibt es mittlerweile in fast jedem Framework IPv4/IPv6-aware Funktionen für! Und wegen solcher Bananen-^W Gurkensoftware werden viele nicht allzu helle IT-Menschen an den 4 Zahlen mit 3 Punkten festhalten, so lange es geht! ;) Viele Grüße! Sven
Sven L. schrieb: > Ja, man > sieht dann extern nur noch die IPv6-Adresse des NAT-Gateways anstatt > irgendeine zufällige aus dem zugewiesenen IPv6-Präfix, aber Security by > Obscurity bringt auch nicht wirklich etwas. Das ist so nicht richtig. Wenn man IPv6 abschaltet, dann gibt es erst einmal keine direkte Verbindung zu den Rechnern hinterm NAT bzw. Router. Also muss die Firewall am NAT bzw. Router nicht zwingend so eingestellt werden, das bestimmte Dienste bzw. deren Ports, die auf den Rechnern hinter dem NAT für den Zugriff von Außen gesperrt werden. Denn mit IPv4 gibt es auf diese von außen, wenn keine Portweiterleitung eingerichtet wurde, keinen Zugriff. IPv6 abzuschalten ist also so ne Art Sicherheit für Faule. Mit IPv6 musst du nämlich zwingend die Firewall im Router richtig konfigurieren. Natürlich sollte man heutzutage auch sein Netzwerk von Innen absichern, aber das machen nur die wenigstens. > Auch ohne NAT6 lässt sich eine Stateful Firewall auf dem Router > realisieren, die sämtlichen Netzwerkverkehr vom Internet in's lokale > Netzwerk unterbindet, sofern vorher keine ausgehende Verbindung > vorhanden war. AFAIK machen das alle Providerboxen so, egal ob DSL oder > Kabel oder oder... IPv6 ohne gut eingerichtete Firewall auf dem Router wäre grob fahrlässig. Das ist aber noch nicht alles, warum manche IPv6 abschalten. IPv6 hat noch ein anderes Problem nämlich bei der Privatsphäre. > Es gibt aber einige Stimmen (die Ewiggestrigen), die einfach nicht damit > klar kommen, dass eine Adresse eben nicht mehr 4 Zahlen mit 3 Punkten > sind, sondern jetzt etwas komplexer sind Komplexer ist gut. So ne IPv6 Adresse sieht mehr als kryptisch aus. Die Abkürzungen muss man zudem auch kennen. Ne IPv4 Adresse ist da schon wesentlich verständlicher. Das ist so, es ist einfach Fakt. Das hat daher auch nichts mit Ewiggestrigen zu tun. > Diese Sorte Anwender und auch > Admins sind mir schon oft begegnet und oftmals ist es einfach nur > fehlendes Verständnis/Unwissen bzgl. IPv6, warum sie es nicht einsetzen > oder zu bequem oder zu faul sind. Ne, es ist eher so, dass IPv4 für die meisten noch gut genug funktioniert. Von dem IP Adressen Limit sind viele gar nicht betroffen, da die meisten Provider bei uns einen ausreichend großen IPv4 Adressraum haben und man somit immer eine IPv4 Adresse zugewiesen bekommt. In anderen Ländern mag das anders sein, da hätte man dann als Nutzer einen echten Grund auf IPv6 umzustellen. > > IPv6 ist nicht die Zukunft! - Nein, es ist schon lange da und es ist da, > um zu bleiben! Weil wir sonst die Flut an Geräten (Telefone, > IoT-Gadgets, SmartHome usw.) nicht in den Griff bekommen oder uns mit > unnötig komplizierten Setups herumschlagen müssen. Die vielen Geräte hinters LAN zu packen und die Adressvergabe per DHCP den Router zu machen ist kein Aufwand. Es ist vor allem einfacher als eine sichere Firewall, die nicht zu restriktiv ist, für die Geräte hinterm LAN einzurichten. Und deswegen wird IPv4 noch lange bleiben. Um das zu ändern müsste man es wirklich so machen, wie in dem oben verlinkten Aprilscherz. Ein kalter Entzug.
Sven L. schrieb: > IPv6 vs. IPv4 hat gar nichts mit Sicherheit zu tun! Wann erkennen > diverse Leute eigentlich, dass es nicht richtiger wird, selbst wenn man > es 1000x wiederholt? Ein Rechner der von außen nicht erreichbar ist, ist für gezielte Angriffe von außen sicher. Du musst also erkennen, das deine Aussage falsch ist. Siehe oben, da habe ich es erläutert. Ja, die Sicherheit kommt eigentlich von der FW, bzw sollte von ihr kommen, aber dadurch das durch NAT die Rechner von außen nicht erreichbar sind, sind die eben auch sicher. IPv4 + NAT ist wie eine Pistole ohne Munition die offen auf dem Nachttisch liegt. Weil die Munition fehlt, kann praktisch nichts passieren. Die FW entspräche dem Waffenschrank, wo die Pistole eigentlich hingehört. Anmerkung: Bitte die Waffe sicher im Waffenschrank aufbewahren, nach deutschen Recht wäre die Aufbewahrung auf dem Nachttisch ein klarer Verstoß gegen das WaffenG und hätte den Entzug der Waffen zur Folge. Und bitte vor den Waffenbehörden nicht die Behauptung aufstellen, dass eine ungeladene Pistole die offen rumliegt, eine sichere Verwahrung wäre. Mir ging es jetzt nur um eine Analogie zur Veranschaulichung eines Sachverhalts im IT Bereich. > Immer noch sind es kaputte Webseiten, geleakte Passwörter oder einfach > zu erratende Passwörter, fehlende Mehrfaktor-Authentifizierung, XSS, > Buffer overflows etc., was die meisten Sicherheitsprobleme verursacht, > nicht der Einsatz von IPv6. Es sind genug Drucker vom Internet aus erreichbar. Sogar ein Ausdruck ist möglich. Und warum? Weil die Drucker hinterm Router oft nicht abgesichert sind oder weil die FW, wenn sie es denn gibt, fehlkonfiguriert ist. > Die, die es nicht kapieren wollen, werden irgendwann mit ihren 4 > Zahlen und 3 Punkten alleine sein und mit niemandem mehr reden können, > weil niemand mehr IPv4 nutzen wird. - Das passiert freilich nicht heute > und nicht morgen, aber innerhalb der nächsten 20 Jahre ganz bestimmt! Solange man vom Provider IPv4 Adressen zugewiesen bekommt, wird sich hier nichts ändern.
Nano schrieb: > Ein Rechner der von außen nicht erreichbar ist, ist für gezielte > Angriffe von außen sicher. Die unzähligen Security-Vorfälle, die nach wie vor alle bestens über IPv4 fungieren, zeigen, wie falsch diese Aussage ist. Dabei ist es auch ziemlich unerheblich, dass diese Angriffe in deiner Terminologie wahrscheinlich nicht unter "gezielt" fallen (im Sinne von: auf eine von außen irgendwie vorher festgelegte IPv4-Adresse).
Jörg W. schrieb: > Nano schrieb: >> Ein Rechner der von außen nicht erreichbar ist, ist für gezielte >> Angriffe von außen sicher. > > Die unzähligen Security-Vorfälle, die nach wie vor alle bestens über > IPv4 fungieren, zeigen, wie falsch diese Aussage ist. Die Aussage ist richtig. Du beziehst dich auf Fälle, die von Innen angestoßen werden. Das ist etwas anderes.
Nano schrieb: > Jörg W. schrieb: >> Nano schrieb: >>> Ein Rechner der von außen nicht erreichbar ist, ist für gezielte >>> Angriffe von außen sicher. >> >> Die unzähligen Security-Vorfälle, die nach wie vor alle bestens über >> IPv4 fungieren, zeigen, wie falsch diese Aussage ist. > > Die Aussage ist richtig. Du beziehst dich auf Fälle, die von Innen > angestoßen werden. Das ist etwas anderes. Ergänzung: Und natürlich ist meine obige Aussage im Kontext zu betrachten. Ich dachte das wäre klar.
Dass man meistens den Übergang mittels dual-stack-Konfiguration macht, wurde ja schon mehrfach herausgepunktet. Das kann, insbesondere für Endgeräte, sehr einfach und problemlos funktionieren. Als Serberbetreiber kann man schon etwas mehr Aufwand haben: * Woher bekomme ich Reputation Lists und gute Geo-Daten zu IPv6-Adressen? * Access-Listen werden aufwendiger mu * Log- und Configscripts müssen u.U. an das andere Adressformat angepasst werden. Je nach Anwendung kann es unvermutete Komplikationen geben. Ein Beispiel, das mich vor vielen Jahren mal gebissen hat: Ein Mailserver, der eine Nachricht relayt, muss im DNS nach MX und ggf. A-Record zur Empfängerdomain suchen - nun auch AAAA. Dann muss er die MXen (wenn vorhanden) alle abklappern, um die Nachriht loszuwerden - aber was, wenn einer davon z.B. auf IPv4 nicht erreichbar ist - aber auch eine AAAA-Adresse hat? Muss man die auch probieren? Im Netzwerkbereich kann die Sache richtig haarig werden. Meine Lieblingsfrage an Verkäufer lautet: Wie schaut es mit Feature Parity aus? Und das mit voller Line Speed? Die tollen ASICs in den Komponenten können viele Features oft "leider noch nicht" IPv6 in Hardware und das steht auf der Roadmap (seit Jahren unverändert). Dazu kommt, und jetzt beginnt's in den Security-Aspekt reinzuspielen, dass die Options in IPv6 sehr kompliziert implementiert sind. Da gibt's Möglichkeiten, Schweinereien mit Filtern zu spielen, die IPv4 nicht kennt. Du fragst nach DHCP. Das ist mit IPv6 auf den ersten Blick nicht mehr nötig: IPv6 bringt sein Discovery-Protokoll mit. Die Idee, bei Ethernit die unteren 64 Bit der IP-Adresse ("Identifier") aus der (eindeutigen) MAC-Adresse zu generieren (EUI-64), ist beinahe genial und löst ein Problem, das man hatte, als Anfang der 90er-Jahre IPv6 designed wurde: Netze und IP-Adressen kann man leicht umnumerieren, ohne alle Geräte anrühren zu müssen. Inzwischen hat man zwar DHCP für sowas, aber what shall's. Im Gegenzug öffnet dieses Verfahren Raum für Paranoia. Wenn ich mit meinem Laptop in die Arbeit fahre, dann hätte ich dort, wenn auch mit anderem Prefix, den gleichen Identifier wie zu Hause, im Hotel, etc... Damit könnte man mich ja tracken! (Als ob das Fakebook, Google et al. nicht mit anderen Werkzeugen ohnehin täten). Deswegen hat man die IPv6 Privacy Extensions erfunden. Damit wirft man die Eleganz von EUI-64 über Bord und jede Kiste generiert z.B. täglich einen neuen Identifier und hofft, dass keine Collisions entstehen (die allerdings erkannt werden). Die alten Identifier werden, wenn noch Connections existieren, weiterverwendet. So kann eine Kiste im LAN locker mal mit 3 oder 4 Adressen gleichzeitig aufscheinen. Das ist ein Alptraum für Sicherheitsmaßnahmen: * Port security * Identifizieren von Geräten, die zeichen von Schadsoftware im Netz erkennen lassen * Adressenbasierte ACLs. Damit ist der Privacy m.M. mehr geschadet als gedient. Deswegen versuche ich, DHCPv6 zu promoten, wo immer es funktionabel erscheint (auch hier: seufz!) Ein Wort noch zur Sicherheit von NAT in IPv4. Tatsächlich fungieren NAT-Devices also stateful packet filter mit Diodenfunktion, was unzweifelhaft als Sicherheitswerkzeug gelten kann. Die Zusatzfunktion "Adressenverwurstung" hingegen ist kein Sicherheitsfaktor, aber oft die Motivation, sich so ein Kisterl hinzustellen. Bei IPv6 besteht keine Adressenknappheit, damit fällt Adressensparen als Motivation weg - aber die Notwendigkeit wenigstens eines Packet Filters ist hoffentlich inzwischen Allgemeingut. Mein Fazit: IPv6 wurde vor 30 Jahren designed, um Probleme zu lösen, die heute nicht mehr so brennend sind: Leichteres Umnummerieren von Netzen für leichteres Aggregieren von Routen im Internet, um die explosionsartig wachsenden Routing Tables in den Griff zu bekommen. Die Knappheit der IPv4-Adressen kam kurz danach und wird tatsächlich gelöst. Das alles kommt aber um den Preis eines fürchterlich gebloateten Protokolls das hinsichtlich seiner Security-Konzepte mit der Bedrohungslage von heute nicht mehr gut zusammenpasst. Das alles lässt sich mit domptieren. Je nach Konstellation liegt der Aufwand dafür zwischen "einfach nicht abdrehen und IPv6 geht wie geschmiert" und "Hölle auf Erden."
Jürgen F. schrieb: > Du meinst, wenn der Provider nur eine IPv6 ausgibt? > Mir ist aber kein Provider bekannt, der das macht. Ich glaube verstanden zu haben, dass das in Asien keine Seltenheit ist, habe aber keine eigene Erfahrung dazu.
Nano schrieb: > Sven L. schrieb: >> IPv6 vs. IPv4 hat gar nichts mit Sicherheit zu tun! Wann erkennen >> diverse Leute eigentlich, dass es nicht richtiger wird, selbst wenn man >> es 1000x wiederholt? > > Ein Rechner der von außen nicht erreichbar ist, ist für gezielte > Angriffe von außen sicher. Was hat die Erreichbarkeit von Außen mit der IP-Version zu tun? > Solange man vom Provider IPv4 Adressen zugewiesen bekommt, wird sich > hier nichts ändern. Man bekommt ja durchaus auch IPv6-Adressen zugewiesen und/oder nur "interne" IPv4. Da ist IPv6 schon ein netter Anreiz.
Nano schrieb: > Die Aussage ist richtig. Du beziehst dich auf Fälle, die von Innen > angestoßen werden. Das ist etwas anderes. Das macht aber alle wesentlichen Security-Probleme, die wir aktuell haben, aus. Da die Clients sich bei IPv4 hinter NAT verstecken, sind direkte (und erfolgreiche) Angriffe ohnehin unsinnig, daher passieren sie auch kaum, von paar unsinnigen ssh- und Webserver-Attacken abgesehen – aber auch da gibt's keinen wirklichen Unterschied zwischen den IP-Versionen: wenn du einen aus den Weiten des Netzes erreichbaren Server betreibst, dann ist er potenziell Ziel von Angriffen und muss entsprechend geschützt sein. Auch für IPv6 propagiert doch niemand, dass du nun jeden WindowsXP-Rechner einfach so direkt hinter einem Router (im ursprünglichen Sinne, also der 1:1 alles durchleitet) platzierst. Ankommende Verbindungen wirst du also bei IPv6 standardmäßig genauso nur kontrolliert durchlassen, wie das bei IPv4 auch schon der Fall war. (Ein sicherer Server bräuchte das nicht unbedingt, und selbst Windows hat da mittlerweile einiges dazu gelernt, aber es wird natürlich trotzdem nach wie vor so gemacht, auch bei IPv6.)
:
Bearbeitet durch Moderator
Bedenke bei IPv6 eine große Herausforderung: Das Renumbering beim Providerwechsel. Daraus gehen auch Probleme beim Failover hervor. Deshalb wird wahrscheinlich in vielen Firmen NPt mit ULA eingesetzt werden. Die Alternative einer eigenen ASN mit PI Adressbereich und Multihomed BGP wird für die meisten Firmen zu aufwendig sein.
Jupp schrieb: > Bedenke bei IPv6 eine große Herausforderung: Das Renumbering beim > Providerwechsel. Wo ist da die Herausforderung? Alle SLAAC-Kisten bekommen das automatisch übergebügelt. Für die Server muss man beim Providerwechsel immer Hand anlegen. Aber das macht man ja auch nicht aller 6 Monate, insofern halte ich das für eher nebensächlich.
Reinhard S. schrieb: > Nano schrieb: >> Sven L. schrieb: >>> IPv6 vs. IPv4 hat gar nichts mit Sicherheit zu tun! Wann erkennen >>> diverse Leute eigentlich, dass es nicht richtiger wird, selbst wenn man >>> es 1000x wiederholt? >> >> Ein Rechner der von außen nicht erreichbar ist, ist für gezielte >> Angriffe von außen sicher. > > Was hat die Erreichbarkeit von Außen mit der IP-Version zu tun? Wie viele IPv4 Adressen kriegst du denn von deinem Provider als normaler Konsument? In der Regel eine, die reicht für deinen Router, aber in deinem LAN hast du noch ein paar mehr Rechner. Die brauchen jetzt eine private IPv4 Adresse und im Router NAT. Und mit den privaten IPv4 Adressen sind sie nicht mehr von außen erreichbar. Ganz einfach. Willst du einen Service aus dem LAN erreichbar machen, dann musst du aktiv werden und im Router bzw. NAT Port Forwarding einrichten, erst dann wird dieser Service von außen erreichbar sein. >> Solange man vom Provider IPv4 Adressen zugewiesen bekommt, wird sich >> hier nichts ändern. > > Man bekommt ja durchaus auch IPv6-Adressen zugewiesen und/oder nur > "interne" IPv4. Da ist IPv6 schon ein netter Anreiz. Ja, DSL Light und so. Aber wer will, der kriegt heute noch Anschlüsse mit "vollwertigen" IPv4 Adressen.
Jörg W. schrieb: > Nano schrieb: >> Die Aussage ist richtig. Du beziehst dich auf Fälle, die von Innen >> angestoßen werden. Das ist etwas anderes. > > Das macht aber alle wesentlichen Security-Probleme, die wir aktuell > haben, aus. Ja, ist hier aber nicht das Thema und nicht der Kontext. > Da die Clients sich bei IPv4 hinter NAT verstecken, sind direkte (und > erfolgreiche) Angriffe ohnehin unsinnig, Sie sind nicht nur unsinnig, sie sind auf diesem Wege nicht möglich. Dienste die per Port Forwarding weitergereicht wurden oder schon auf bestehende Verbindungen aufbauen sind davon natürlich ausgenommen. > wenn du > einen aus den Weiten des Netzes erreichbaren Server betreibst, dann ist > er potenziell Ziel von Angriffen und muss entsprechend geschützt sein. Klar, ich behaupte nichts Gegenteiliges. > Auch für IPv6 propagiert doch niemand, dass du nun jeden > WindowsXP-Rechner einfach so direkt hinter einem Router (im > ursprünglichen Sinne, also der 1:1 alles durchleitet) platzierst. Das Problem bei IPv6 ist, dass der WinXP Rechner automatisch erreichbar ist, denn die IPv6 Adresse, die der Windows XP Rechner bekommt, ist öffentlich. Und es daher zutun benötigt, damit er das nicht mehr ist. Also eine FW mit entsprechenden Filterregeln eingerichtet wird. So und daran scheitern viele Privatkonsumenten. Vor allem wenn die Router keine brauchbare Voreinstellung bezüglich der FW Regeln haben. Der Router selbst wird noch per Regeln geschützt, der Rest wird dem Nutzer ganz alleine überlassen. Also macht man IPv6 aus, nutzt IPv4 und der WindowsXP Rechner im LAN ist vor solchen Angriffen von außen geschützt. Man hat also die Wahl zwischen: 1. Umfangreiche Firewall Regel aufsetzen. oder 2. Häkchen setzen bei "kein IPv6 benutzen". Variante zwei ist viel einfacher und deswegen wird das so auch oft gemacht.
Nano schrieb: > Und es daher zutun benötigt, damit er das nicht mehr ist Ich kenne keine für Privatanwender übliche Anbindungslösung, die "freiwillig" irgendwelche Dinge von außen nach innen weiterleitet – IPv4 hin, IPv6 her. Insofern ist da nach wie vor nur Zutun nötig, wenn man etwas durchgeleitet bekommen möchte. Dafür wiederum braucht man bei IPv6 schon erstmal eine permanente Adresse. Im Zeitalter von privacy extensions keineswegs selbstverständlich. Ansonsten: "port probes" kann man bei IPv6 vergessen, also Testen von Port 22 oder 80 oder sowas auf allen IPv6-Adressen eines Netzes. Schon das Scannen eines /64 Netzes dauert da etwa 5 Milliarden Jahre, wenn man sich an jeder Adresse nur 10 ms aufhält.
Jörg W. schrieb: > Wo ist da die Herausforderung? Alle SLAAC-Kisten bekommen das > automatisch übergebügelt. Für die Server muss man beim Providerwechsel > immer Hand anlegen. Mit v6 sind es aber plötzlich viel mehr Server. Dort kommen jetzt auch die Server dazu, die vorher in einem RFC1819 Space standen. Außerdem musst du immer noch sämtliche Router, Firewalls, Switches und vielleicht APs anpassen. Der Trend geht zu v6only Netzen. Beim Change unbedingt die richtige Reihenfolge einhalten, sonst ist es schnell vorbei. Das Multi-WAN Thema hast du ebenfalls noch nicht gelöst. Alles Probleme, die es in 10.0.0.0/8 mit NAT so früher nicht gab. Sicher nicht unmöglich, muss aber frühzeitig bedacht werden.
Jupp schrieb: > Alles Probleme, die es in 10.0.0.0/8 mit NAT so früher nicht gab. Dafür gab es andere. Spätestens, wenn der via VPN angebundene Partner sich auch „ganz zufällig“ 10.0/8 rausgesucht hatte … dann konntest du gottsonstwelche Krücken zimmern, um ihn trotzdem noch zu erreichen.
Jörg W. schrieb: > Nano schrieb: >> Die Aussage ist richtig. Du beziehst dich auf Fälle, die von Innen >> angestoßen werden. Das ist etwas anderes. > > Das macht aber alle wesentlichen Security-Probleme, die wir aktuell > haben, aus. Das sollte etwas differenziert werden. Zum einen gibt es die ganze Klasse der UDP Reflection / Amplification Attacks (insbesondere offene rekursive Nameserver und timeserver mit peerlist/monlist, aber auch portmapper, chargen, memcached, neuerdings sogar der UDP-Port von RDP...), mittels derer sogar fette ISPs in die Knie gezwungen werden und die dann richtig großen Erpressungsforderungen gegenüberstehen. Da reden wir nicht von Kinderkram, den man mit einer Waschmaschine à la arbor abfackelt. Es gibt auch immer wieder gehackte Home-Router, die dann plötzlich durch seltsames Verhalten wie brute-force-Attacken auffallen. Vor etwa zwei Jahren hatten wir sehr viel Spass mit einem bestimmten Modell von Netgear-Routern. Wenn nach erfolgreichem Phishing ein Account missbraucht wird, geht es auch um Verbindungen von außen (die allerdings willentlich offen sind) und die vielen ungewarteten Heim-SANs/Home-Cloud-Dingens die hinter einer Firewall mit Port-Forwarding hängen und einem das Gruseln beibringen, werden auch von außen angesprochen. Auch ohne Phishing erleben wir immer noch (aber es wird schon selten) Glanzleistungen von Leuten, die mal testweise eine Maschine mit Root-Passwort 123456 aufsetzen und damit im Nullkommanix hochgenommen werden. All das hat relativ wenig mit IPv4 vs. IPv6 zu tun, mit der Ausnahme, dass vulnerable Devices im v6-Adressraum schwerlich per portscan zu finden sind. Was im User-Bereich vor allem weh tut, sind die Fälle von Ransomware. Die kommen immer noch mehrheitlich per E-Mail daher und da, soweit hast Du schon recht, geht die Verbindung von User nach Mailserver in der Regel von "Inside" nach "Outside". Aber auch hier wird's spannend, wenn man lateral movement auch von Wald- und Wiesenmalware in Betracht zieht: Da passiert dann doch wieder einiges über 445 etc.
Earlyadopter schrieb: > All das hat relativ wenig mit IPv4 vs. IPv6 zu tun Eben. Insofern ist das hier eher off-topic. Was bleibt, ist die offensichtlich bei vielen vorhandene unterschwellige Angst: "Kennen wir nicht, wissen wir nicht, machen wir nicht." Die Scheunentore bleiben dann trotzdem offen (auch wenn Emotet wohl nun glücklicherweise erledigt worden ist), müssen aber für die mentale Ablehnung von IPv6 herhalten.
Zunächst: Das Renumbering für IPv6 war vor allem gedacht, um die Full Routing Tables durch Aggregation von Routen in den Griff bekommen zu können - was dann in IPv4 mittels CIDR weitgehend eingefangen wurde. > die Server dazu, die vorher in einem RFC1819 Space standen. Außerdem > musst du immer noch sämtliche Router, Firewalls, Switches und vielleicht > APs anpassen. Der Trend geht zu v6only Netzen. Beim Change unbedingt die Wenn du aus betrieblichen Erwägungen heraus NAT für sinnvoll erachtest, kannst du das mit IPv6 natürlich machen. Ich gebe aber zu bedenken, dass das solche Akrobatik in komplexen Setups die Problemsuche ziemlich erschwert. Complexity kills.
Jörg W. schrieb: > Was bleibt, ist die offensichtlich bei vielen vorhandene unterschwellige > Angst: "Kennen wir nicht, wissen wir nicht, machen wir nicht." Die > Scheunentore bleiben dann trotzdem offen (auch wenn Emotet wohl nun > glücklicherweise erledigt worden ist), müssen aber für die mentale > Ablehnung von IPv6 herhalten. Und warum seid ihr noch nicht via IPv6 erreichbar? Jürgen F hat's auch schon erwähnt: Jürgen F. schrieb: > Viele Server im Internet (leider noch nicht > mikrocontroller.net) haben bereits eine IPv4 und eine IPv6. Und wenn man's testet, gibt's keine IPv6 Adresse von euch.
Jörg W. schrieb: > Was bleibt, ist die offensichtlich bei vielen vorhandene unterschwellige > Angst: "Kennen wir nicht, wissen wir nicht, machen wir nicht." Die Wenn ich nachlegen darf: IPv6 ist Realität, wenn auch noch marginal. Ich glaube, dass langfristig kein Weg an IPv6 vorbeiführt. Es gibt keine v4-Adressen bei den RIRs mehr und auch bei den LIRs sind nicht mehr viele gebunkert. Neue Netze bekommen v4 nur mehr sehr begrenzt und mit Klimmzügen - aber massenhaft IPv6-Space. Die werden dorthin ausweichen müssen. Alternativen? Ich sehe in der IETF keine Anzeichen für ein IPvn (mit n > 6). Um meine Aussage "marginal" zu konkretisieren: Verhältnis IPv4:IPv6 bei uns in den letzten 24h (akademischer Bereich, IPv6 in Produktion seit rund 20 Jahren, experimentell seit späten 90er-Jahren) http(s): 55 : 1 (Volumen) - 58 : 1 (Flows) smtp: 32 : 1 (Volumen) - 53 : 1 (Flows (*) ) imap: 5 : 1 (Volumen) - 17 : 1 (Flows) dns/udp (**): 7 : 1 (Volumen) - 8 : 1 (Flows) dns/tcp (**): 3 : 1 (Volumen) - 4 : 1 (Flows) (*) Mögliche Ungenauigkeit weil nur 0,3 Flows/s bei smtp/v6 (**) Großer Anteil authoritative Nameserver Anm.: Der hohe IPv6-Anteil bei IMAP hat mich überrascht; ein offensichtiches Übergewicht durch irgendwelche Mail-Einsammeldienste kann ich nicht erkennen.
Nano schrieb: > Wie viele IPv4 Adressen kriegst du denn von deinem Provider als normaler > Konsument? > In der Regel eine, die reicht für deinen Router, aber in deinem LAN hast > du noch ein paar mehr Rechner. Tendenziell eher weniger als eine, weil DS lite.
:
Bearbeitet durch User
Jörg W. schrieb: > Dafür gab es andere. Spätestens, wenn der via VPN angebundene Partner > sich auch „ganz zufällig“ 10.0/8 rausgesucht hatte … dann konntest du > gottsonstwelche Krücken zimmern, um ihn trotzdem noch zu erreichen. Das stimmt. Hatte erst gestern wieder einen Fall mit zwei gleichen IP Bereichen in einem Site2Site Tunnel zwischen Kunde und Dienstleister. Das Problem kannst du übrigens auch noch mit v6 haben, wenn irgendwelche Clowns meinen, dass sie einfach den ersten Block aus dem ULA Bereich nehmen können. Earlyadopter schrieb: > Wenn du aus betrieblichen Erwägungen heraus NAT für sinnvoll erachtest, > kannst du das mit IPv6 natürlich machen. Keine Sorge. Tue ICH nicht. Aber ich habe gerade einen Change des IPv6 Bereichs im gesamten Netzwerk an mehreren Standorten auf PI Space hinter mir. Das willst du maximal einmal machen. Nimmst du also PI Space und bist glücklich. Das macht aber eben Arbeit, kostet Geld und ist auch wieder eine Zusätzliche Fehlerquelle. Ich kann mir gut vorstellen, dass viele Firmen den Aufwand nicht haben wollen aber dennoch irgendwann auf v6 müssen. Da wird es einfach zu diesen Krücken kommen. Denn PA Space kann nunmal niemand mitnehmen. Ob eine ASN + PI jetzt aber eine Lösung ist, weiß ich auch nicht. Denn der Vorteil kleiner globaler routing Tabellen geht ohne PA Nutzung verloren.
Jupp schrieb: > Das Problem kannst du übrigens auch noch mit v6 haben, wenn irgendwelche > Clowns meinen, dass sie einfach den ersten Block aus dem ULA Bereich > nehmen können. Den können sie auch nehmen, denn dafür sind die ULAs gedacht. Im WAN sind die eigentlich nicht erreichbar, da sie geblockt werden. Wenn du nun mit VPN zum anderen Rechner tunnelst, dann musst du das eben manuell machen. Siehe auch: "Its purpose in IPv6 is analogous to IPv4 private network addressing. Unique local addresses **may be used freely**, without centralized registration, inside a single site or organization or spanning a limited number of sites or organizations. They are routable only within the scope of such private networks, but not in the global IPv6 Internet. " https://en.wikipedia.org/wiki/Unique_local_address
Nano schrieb: > Den können sie auch nehmen, denn dafür sind die ULAs gedacht. > Im WAN sind die eigentlich nicht erreichbar, da sie geblockt werden. > Wenn du nun mit VPN zum anderen Rechner tunnelst, dann musst du das eben > manuell machen. Können sie. Sollten sie aber nicht. Denn ULA heißt nicht umsonst UniqueLocalAddress. Wir können Kollisionen bei Site2Site Tunneln oder späteren Zusammenlegungen von Firmen mit ULA einigermaßen vermeiden. Also sollten wir das auch machen. Dazu gehört aber eben ein vernünftig ausgewähltes Präfix.
Nano schrieb: > Jörg W. schrieb: >> Was bleibt, ist die offensichtlich bei vielen vorhandene unterschwellige >> Angst: "Kennen wir nicht, wissen wir nicht, machen wir nicht." Die >> Scheunentore bleiben dann trotzdem offen (auch wenn Emotet wohl nun >> glücklicherweise erledigt worden ist), müssen aber für die mentale >> Ablehnung von IPv6 herhalten. > > Und warum seid ihr noch nicht via IPv6 erreichbar? Meinst du unseren Webserver? Dürfte eine Frage des Webhosters sein, aber gute Idee, da kann man nochmal nachfragen. Falls du das Firmennetz selbst meinst: das ist. Heißt natürlich nicht, dass du trotz Nichtvorhandensein von NAT nun zu meinem Arbeitsplatzrechner direkt durchdringen könntest. Jupp schrieb: > Das Problem kannst du übrigens auch noch mit v6 haben, wenn irgendwelche > Clowns meinen, dass sie einfach den ersten Block aus dem ULA Bereich > nehmen können. Denen ist dann nicht zu helfen.
Sven L. schrieb: > Torben S. schrieb: >> Ich habe sinngemäß aus dem Unterricht mitgenommen, dass IPv4 irgendwann >> vollständig von IPv6 abgelöst werden soll und dass eine schrittweise >> Umstellung aller Netzwerke erfolgen soll. > > Nicht soll, das wird seit geraumer Zeit so gemacht. Diese Zeit ist inzwischen sehr geraum - IPv6 ist vor 23 Jahren standardisiert worden. Das ist eigentlich Technologie aus dem letzten Jahrtausend ;-)
:
Bearbeitet durch User
Die spannende Frage ist aber, ob die allerletzte IPv4-Adresse schon in diesem Jahrhundert verschwindet, oder erst im nächsten. ;-)
Jupp schrieb: > Nano schrieb: >> Den können sie auch nehmen, denn dafür sind die ULAs gedacht. >> Im WAN sind die eigentlich nicht erreichbar, da sie geblockt werden. >> Wenn du nun mit VPN zum anderen Rechner tunnelst, dann musst du das eben >> manuell machen. > > Können sie. Sollten sie aber nicht. Denn ULA heißt nicht umsonst > UniqueLocalAddress. Wir können Kollisionen bei Site2Site Tunneln oder > späteren Zusammenlegungen von Firmen mit ULA einigermaßen vermeiden. > Also sollten wir das auch machen. Dazu gehört aber eben ein vernünftig > ausgewähltes Präfix. Ja, wenn du via VPN Site2Site Tunnel machst musst du das natürlich berücksichtigen. In Firmen gehe ich mal davon aus, dass die Admins das auch machen. Wenn es Heimnutzer nicht gemacht haben, liegt das schlichtweg daran, dass von denen keiner erwartet hat, dass er mal mit seinem ULA in ein anderes Netz kommt und dort einen Konflikt auslöst. Aber wenn der Arbeitgeber alles richtig macht, dann wird der Rechner vom Unternehmen gestellt und der ist dann von den Admins hoffentlich richtig vorkonfiguriert.
Jörg W. schrieb: > Nano schrieb: >> Und warum seid ihr noch nicht via IPv6 erreichbar? > > Meinst du unseren Webserver? Dürfte eine Frage des Webhosters sein, aber > gute Idee, da kann man nochmal nachfragen. > > Falls du das Firmennetz selbst meinst: das ist. Heißt natürlich nicht, > dass du trotz Nichtvorhandensein von NAT nun zu meinem > Arbeitsplatzrechner direkt durchdringen könntest. Ne, ich meinte euren Webserver. Bezüglich letzterem gehe ich natürlich davon aus, dass euer Admin die FW richtig konfiguriert hat.
Nano schrieb: > Ne, ich meinte euren Webserver. Ja, wie gesagt, der ist irgendwo JWD. Keine Ahnung, ob der Hoster IPv6 hat, sieht aber so aus, als hätten die so „neumodischen Krams“ eher nicht.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.