http://www.tobru.ch/fileadmin/media/...iasBrunner.pdf

Mein "Lieblingsstreitthema" zu IPv6 ist NAT (bzw genauer Source NAT im Sinne von PNAT, also nicht DNAT im Sinne von NAT64).

Jedes IPv6-Urgestein rümpft die Nase und sagt, dafür gibt es doch IPv6, dass man Adressen nicht mehr NATen muss. Meine Antwort: Ja muss nicht, aber kann/sollte man nicht trotzdem? Heutzutage wird im Heimnetz quasi blind darauf vertraut, dass interne Systeme aus dem Internet nicht erreichbar (im Sinne von adressierbar) sind. Wer doch eingehende Verbindungen möchte muß sich schon rudimentär mit der Materie auskennen und ein Port-Forwarding auf seinem Router einrichten. Das ist bei IPv6 nicht mehr nötig, theoretisch könnte jeder LAN-Host dann direkt aus dem Internet erreichbar sein. Nur der DSL-Router wird dies (hoffentlich) mit Hilfe einer Firewall verhindern. Ob er das auch wirklich (effektiv und langfristig, wenn es nach 6-18 Monaten evtl kein Update mehr für die nächste Sicherheitsschwachstelle gibt) macht bleibt abzuwarten...

Hintergrund: Die Entwicklung von IPv6 startete 1995 und viele von den Problemen und auch Lösungen die sich in IPv4 seitdem gefunden haben sind nicht zwangsläufig in IPv6 angekommen.

Anderes promintes Beispiel: DHCP vs. Autoconfiguration (vs. DHCPv6 stateless vs DHCPv6 stateful)

Wie Du schon sagst ist ein grßer Vorteil von IPv6 dass man kein Nat (PAT) benötigt. NAT ist kein Sicherheitsfeature und darum kann man bei IPv6 darauf verzichten.
Wichtig ist eine gute Firewall. Das mit den Homeroutern und Security Updates hast Du gut erkannt.
Ich habe hierfür eine Cisco ASA 5505 im Einsatz.

Ich plane mit dem Bezug meines Umbaus im nächsten Jahr auch auf IPv6 umzusteigen

Danke für die Empfehlungen, werde mich mal damit auseinandersetzen

Das kann man gar nicht stark genug betonen... dieser gern geglaubte 'Vorteil' macht bei weitem nicht die Probleme wett, die man sich mit solcher Addressmanipulation einfängt... und kaskadierte NATs, wie sie derzeit schon teilweise in Handynetzen notwendig werden, da einfach nicht mehr genügend IPv4 Adressen da sind, berauben Dich als Anwender dann final jeglicher Kontrolle.

Ja, eine Firewall ist Pflicht, der Regelsatz dafür nun wirklich nicht so schwer (oft eine einzige Zeile), jede Stateful Firewall kann das (z.B. iptables, Linux ist ja schon mal eine breite Basis für sehr viel Broadbandequipment). Und dass die eingerichtete Firewall auch tatsächlich tut was sie soll, kann man z.B. hiermit überprüfen:

ipv6.chappell-family.com - Online IPv6 Ping and Port Scanner

luigi
...der über einen kleinen zusätzlichen OpenWRT Router im Netz, mit einem Tunnel von Sixxs.net zu NetCologne, volle IPv6 Verbindung für alle Geräte hat ohne auf die Telekom (meinen DSL Provider) warten zu müssen.

Das mag in der Theorie so sein, aber in der Praxis in der 99,99% der DSL-Nutzer mit Speedport, Netgear, D-Link, AVM und Konsorten unterwegs sind, ist NAT so ziemlich der einzige Grund warum Sicherheitslücken in Routern nicht regelmäßig bis zwangsläufig zum totalen Daten/Kontrollverlust führen.
Ich sage jetzt nicht, das man NAT (als Sicherheitsfeature) braucht, aber das Abbauen von NAT ohne die Seiteneffekte zu bedenken ist sehr gefährlich. In diesem Zusammenhang waren die Probleme die letztendlich zur Einführung von IPv6 Privacy Extensions geführt sicher nur die Spitze des Eisberges was uns noch erwartet...

Eingehende Verbindungen die nicht vom lokalem Netzwerk iniziert wurden werden durch NAT verhindert. NAT wird gebraucht damit private IP-Adressen (192.168.x.x;172.16-31.x.x; 10.x.x.x) Verbindungen in öffentliche Netze aufbauen können. Die privaten IP-Adressen werden im Internet nicht geroutet. VPN Verbindungen muß ich aus dem NAT ausschliessen.
NAT filtert und analysiert keine Datenpakete.
Dafür brauche ich eine Firewall. Ein NAT Router ist keine Firewall (es gibt natürlich Router mit Firewallfunktionalität). Zur Paketfilterung werden da Accesslisten eingesetzt.

Aber zurück zu Thema!!
Bei IPv6 kann ich gut und gerne auf NAT verzichten. Macht auch vieles einfacher (Konfiguration, Fehlersuche)
Verzichten kann ich aber nicht auf eine Firewall, egal ob IPv4 oder IPv6.