Privacy Extensions und Adressierung in der Firewall

[rrr]

Gibt es mittlerweile die Möglichkeit in der IPv6-Firewall einzelne/mehrere Stationen - trotz am Client eingeschalteter Privacy Extensions - zu adressieren?

Ich würde gerne, wie bei IPv4, einzelnen Stationen den Zugriff aufs Internet beschränken. Bei IPv4 kann ich die Station problemlos via MAC oder IP-Adresse angeben.
Warum kann ich nicht zumindest in der IPv6-Firewall die MAC-Adresse verwenden? Diese ist dem LANCOM-Router ja bekannt...

[GrandDixence]

MAC-Adressen sind leicht fälschbar. Die Google-Suche liefert genügend Anleitungen dazu. Deshalb sollten für sicherheitsrelevante Anwendungen, wie Firewall, keine MAC-Adressangaben verwendet werden. Für den Netzwerkzutritt und die Zutrittsregelung (Internetzugang ja/nein) sollte 802.1x in Verbindung mit VLAN/ARF verwendet werden. Siehe auch:
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98556

https://www.msxfaq.de/windows/sicherheit/8021x.htm

[rrr]

Das MAC-Adressen fälschbar sind ist mir bekannt. Hier geht es aber vorwiegend um kleinere (iOT) Devices. Da bekomme ich in der Regel keine Zertifikate drauf installiert.
Bisher unter IPv4 funktionierte es prima den Internetzugriff für ein VLAN generell zu sperren und nur einzelnen MAC-Adressen speziellere Firewallregeln zu verpassen. So sollte es eigentlich auch unter IPv6 funktionieren...

[GrandDixence]

Unterstützt ein Netzwerkteilnehmer kein 802.1x, so ist dieser Netzwerkteilnehmer mit einem eigenen VLAN und/oder eigener WLAN-SSID vom restlichen Netzwerk zu isolieren.
viewtopic.php?f=41&t=16109&p=90529&hili ... ise#p90529

viewtopic.php?f=15&t=17569&p=99671#p99671

[rrr]

Das mag für einzelne Geräte mit wenig Traffic auch gehen. Aber ich brauche eine Lösung, ohne alle Teilnehmer in einzelne VLANs zu verfrachten.

Bspw. sollen einzelne Teilnehmer mit tendentiell hohem Traffic, bei Ausfall der Internetverbindung, nicht die Backupleitung belasten.
Die betreffenden TN kann ich nicht in ein separates VLAN packen, da sie bereits intern eine hohe Datenlast zu anderen internen Teilnehmern haben. Dann wäre der LANCOM-Router nur noch mit Inter-VLAN Routing beschäftigt.

Gibt es keine simple Möglichkeit, wie bei IPv4, einen Teilnehmer via MAC-Adresse in der IPv6-Firewall zu adressieren?

[roell.f]

Welchen Netzwerkverkehr soll die IPv6-Firewall filtern (eingehenden, ausgehenden, beides)?
Zu welchem Zweck soll der Filter geöffnet / geschlossen sein für die jeweilige Station / den Stationstyp?

[rrr]

Es geht dabei nur um ausgehenden Datenverkehr. Überwiegend für die SSH & HTTP/HTTPS-Ports, aber durchaus auch für andere Ports.
Der Filter soll nur aktiv sein, wenn auch die Backupverbindung aktiv ist, damit diese nicht von den Clients mit extrem hohem Traffic ausgelastet ist.

[roell.f]

Für den Fall ,dass die Forderung nach aktivierten Privacy Extensions (PEs) aufrecht erhalten werden soll, finde ich keine Möglichkeit die betroffenen Stationen der IPv6-Firewall bekannt zu geben.

Falls sich in den IoT-Stationen die PEs überhaupt abschalten lassen, wäre abzuwägen was den größeren Nutzen bringt: die PEs oder die mit deaktivierten PEs einrichtbaren Firewall-Regeln. Bei deaktivierten PEs kann ein Server leichter einen Benutzer tracken. Aber in Ihrem Fall wird der Netzwerkverkehr von IoT-Stationen erzeugt, d.h. selbst im schlechtesten Fall nur mittelbar von einem Benutzer geprägt. Deshalb tendiere ich zum Abschalten der PEs.