wenn man in einem Netz IPv4 und IPv6 hat und dort einen Pi Hole installiert (z.B. nach der Standard Konfig. gepaart mit Unbound (vgl. Fritz!Box (DE) - Pi-hole documentation), hat man da nicht ein Sicherheitsrisiko?
Sprich im Grunde "leake" ich ja mehr oder weniger meine IPv6 Adresse meines eigenen Unbound Resolvers (sprich die IPv6 meines Pi Hole) in die große weite Welt, oder liege ich da falsch?
Selbst bei wechselnden IPv6 Präfixes ist ja der hintere Teil der Adresse des Pi Hole immer gleich und macht einen damit "identifizierbar".
Bei IPv4 wird ja "nur" die direkte aktuelle IP meines Anschlusses gezeigt (da dynamisch wechselt diese ja auch immer wieder) und somit ist diese nicht immer gleich.
Wie seht ihr das? Nutzt Ihr aus diesem Grund deshalb kein Unbound? Oder habe ich bei mir einen Denkfehler und es ist gar nicht so schlimm, wie vermutet?
Das stellt zunächst kein erhöhtes Sicherheitsrisiko dar und hat nichts mit Pi-hole oder unbound zu tun.
Mit IPv6 hat grundsätzlich **jedes** IPv6-fähige Gerät in Deinem Heimnetz (mindestens) eine weltweit eindeutige IPv6-Adresse. (klicken für mehr)
Sobald ein solches Gerät einen Kontakt zu irgendeiner öffentlichen IPv6-Adresse im Internet aufnimmt, kennt der Server an dieser Adresse damit auch die IPv6 Deines Geräts.
Bei IPv4 würde der Server die IPv4-Adresse Deines Routers kennen.
In beiden Fällen ist die Kenntnis der IP-Adressen die Voraussetzung für das Zustandekommen der Kommunikation und damit auch regelmässig erwünscht, sofern die Verbindung auf Anforderung aus Deinem Netwerk heraus zu der jeweiligen Zieladresse erfolgt.
Die Filterung und Blockade eingehender Verbindungsanfragen ist Aufgabe des Routers. Ob der das ab Werk sowohl für IPv4 als auch für IPv6 adequat tut, hängt damit also direkt vom jeweiligem Router ab (und natürlich auch von dessen Konfiguration).
Es gibt im Zusammenhang mit IPv6 durchaus ein erhöhtes Datenschutzrisiko, da im Gegensatz zu IPv4 nun statt 'nur' der Router auch einzelne Geräte von Empfängern über die IPv6-Adresse identifiziert und getrackt werden können. Temporary Address Extensions nach RFC8981 (vormals Privacy Extensions) begegnen dem durch regelmässiges Wechseln des Interface Identifiers für IPv6-Adressen. Die Verwendung solcher Adressen ist jeweils client-seitg konfigurierbar.
In moderneren Betriebssytemen sind Privacy Extensions oft standardmässig aktiv.
Die Verwendung von unbound hat auf die vorgenannten Vorgänge keine Auswirkung.
DNS-Anfragen würden in jedem Fall von Deinem Pi-hole-Hostrechner aus an öffentliche DNS-Server gestellt werden, egal ob dies nun die autoritativen DNS-Server sind oder z.B. die von Quad9 oder Google.
Und sofern Du bei der Einrichtung von unbound unserem Guide gefolgt bist, wird unbound die autoritativen DNS-Server ohnehin nur über IPv4 kontaktieren.
Danke für das gesamte Feedback. Aber generell können man, wenn man do-ip6: yes aktiviert dann schon auf gewissen Seiten auslesen, wie die IPv6 des eigenen Pi Hole (sofern Unbound die aut. Server anfragt) ist.
Pi-hole, nslookup, apt, unbound...
Egal welches Stück Software das anstösst.: Jedes IPv6-Paket von Deinem Pi-hole-Hostrechner enthält dessen für die jeweilige Verbindung verwendete IPv6-Adresse.
Dein Pi-hole-Hostrechner hat also möglicherweise die Privacy Extensions nicht aktiviert?
Dann solltest Du das bei Bedarf im OS aktivieren.
Das wäre dann eine spezifische Frage für das vom jeweiligen Rechner verwendete OS.
Das sind eher grundlegende Fragen zur Funktionsweise von IPv6 als Fragen zu Pi-hole.
Eine Netzwerkschnittstelle kann mehrere IPv6-Adressen tragen.
Temporäre IPv6-Privacy Extension-Adressen verdrängen bestehende Adressen nicht - sie werden einfach zusätzlich erzeugt.
