Update 20.12.2023: Wir haben heute eBlockerOS 3 mit IPv6 Unterstützung veröffentlicht. Der nachstehende Artikel ist damit obsolet.
In diesem Blog-Beitrag beleuchten wir den aktuellen Fortschritt der IPv6-Implementierung für eBlockerOS, Stand Anfang März 2023. Wir möchten dabei insbesondere für Transparenz sorgen. Vor allem möchten wir auch darlegen, warum IPv6 nur für sehr wenige Nutzer relevant ist.
Hintergrund zu IPv4 und IPv6
Heutige Heimnetze werden zumeist auf Basis des Internet Protokolls v4 (IPv4) betrieben, dem Standard, auf dem das gesamte Internet entstanden ist. Der Nachteil von IPv4 ist der begrenzte Adressraum, der es nicht erlaubt, dass jedes einzelne Internet-Gerät eine eigene, öffentliche IP-Adresse erhält. Diesem Problem wird jedoch durch NAT (Network Adress Translation) effektiv begegnet, indem nicht jedes einzelne Gerät, sondern nur jedes Heimnetzwerk eine öffentliche IP-Adresse erhält. Diese IP-Adresse ist zudem nicht fest und dauerhaft, sondern wird aus einem Pool von Adressen wechselnd dynamisch vom Provider vergeben.
Die Geräte innerhalb des Heimnetzes erhalten private IP-Adressen, die nicht aus dem Internet erreichbar sind bzw. geroutet werden. Der Heimnetzrouter sorgt mittels NAT für die Übersetzung der privaten IP-Adressen zu der öffentlichen IP-Adresse des Routers. Damit erscheinen sämtliche Geräte eines Heimnetzes mit derselben öffentlichen IP-Adresse. Der Vorteil für die Privatsphäre: Es ist unmöglich, anhand der öffentlichen IP-Adresse – beispielsweise aus einer Protokolldatei eines Webservers – festzustellen, von welchem Gerät (und damit von welcher Person) innerhalb eines Heimnetzes der Abruf erfolgt ist.
Die neue Version 6 des Internet Protokolls
Die nächste Generation des Internet Protokolls ist IPv6, bei der mehr Adressen zur Verfügung stehen. So kann jedes Gerät eine eigene öffentliche IP-Adresse erhalten. Der Nachteil für die Privatsphäre: Jeder Zugriff auf einem Webserver kann eindeutig einem Gerät bzw. einer Person zugeordnet werden.
Die sogenannten Privacy Extensions für IPv6 sorgen dafür, dass diese Zuordnung nur einige Stunden besteht. Dennoch kann laut einer Studie ein einziges Gerät ohne Privacy Extensions im Heimnetz dazu führen, dass die vom Provider vergebene IPv6-Adresse langfristig von großen Diensteanbietern verfolgt werden kann.
Warum eBlockerOS IPv6-Unterstützung erhält
Moderne Betriebssysteme und Router nutzen teilweise bereits das neue IPv6 Protokoll. Bisher unterstützt eBlockerOS jedoch nur IPv4 und kann IPv6 Pakete nicht analysieren und blockieren. Der eBlocker Schutz entfaltet sich daher nur für Geräte, die ausschließlich IPv4 nutzen. Daher ist es derzeit noch notwendig, IPv6 auf dem Router oder dem zu schützenden Gerät zu deaktivieren.
Damit man dies zukünftig nicht mehr tun muss und eBlocker auch IPv6 Netze nativ unterstützen kann, implementieren wir die IPv6-Unterstützung. Dies ist insbesondere für neue eBlockerOS Nutzer wichtig, deren Router nur eingeschränkt konfigurierbar sind und die ein Abschalten von IPv6 nicht ermöglichen.
Bisherige eBlockerOS Nutzer, die IPv6 im Router bereits abgeschaltet haben, erfahren keinen Vorteil durch IPv6.
Im Gegenteil: Wie oben beschrieben ist jedes Heimnetzgerät von außen identifizierbar, wenn nicht permanent Tor oder ein VPN zum Einsatz kommt.
Status der IPv6 Implementierung bei eBlockerOS
Die IPv6 Implementierung ist sehr umfangreich, da praktisch alle Dienste von eBlockerOS angepasst werden müssen. Dabei ist es mit einem einfachen Austausch von Programmier-Bibliotheken nicht getan, denn IPv6 hat sehr viele Besonderheiten, die sowohl beim Routing als auch an der Nutzeroberfläche von eBlockerOS angepasst werden müssen. De facto muss dabei praktisch der gesamte eBlockerOS Programmiercode analysiert, ergänzt bzw. angepasst und getestet werden. Ein gigantisches Projekt, das sich nun aber bald dem Ende nähert.
Was bereits umgestellt ist
Wir setzen die Implementierung sukzessive je einzelnem eBlocker Feature bzw. dem entsprechenden Programmiercode um. Folgende Features funktionieren bereits mit IPv6:
Routing & Automatische Konfiguration
eBlockerOS macht sich selbst als Gateway im Heimnetz bekannt, so dass alle Geräte die IP-Pakete zum eBlocker schicken. Anders als bei IPv4 nutzen wir hierzu keine “Hacker Methoden” wie IP-Spoofing, sondern setzen ausschließlich auf IPv6 Standards. Inwieweit diese Standard-Methoden in jedem Einzelfall, mit jedem Router und mit jeder Netzwerk-Topologie funktionieren, können wir erst nach einem Test mit sehr vielen Nutzern beurteilen. In unserem Testszenario funktioniert dies reibungslos.
Tracker- & Ad-Blocking
Folgende Basisfunktionen funktionieren nach ersten Tests reibungslos:
- Domain Blocker
- Pattern Blocker
- DNS Firewall
Beim DNS Server können derzeit noch keine individuellen / privaten Domainnamen eingetragen werden, die auf eine IPv6 Adresse zeigen.
IP-Anonymisierung über VPN
IPv6 über VPN funktioniert, wenn der VPN Provider IPv6 unterstützt.
Falls der VPN Provider kein IPv6 unterstützt, blockiert der eBlocker Verbindungen zu Servern über IPv6. Der Browser bzw. das Betriebssystem des Gerätes wird dann automatisch versuchen, den jeweiligen Server über IPv4 anzusprechen. Dieses Verhalten haben wir erfolgreich mit Android, iOS und macOS getestet. Unter Windows kommt es zu dem Problem, dass das Betriebssystem nach einigen Verbindungsversuchen den IPv6-Verkehr direkt zum Router anstatt zum eBlocker sendet. Damit wäre der IPv6-Verkehr nicht mehr durch das VPN geschützt. Windows-Nutzer müssen daher entweder IPv6 in den Systemeinstellungen abschalten oder einen VPN-Provider verwenden, der IPv6 unterstützt.
IP-Anonymisierung über Tor
Die vom eBlocker aktuell verwendete Tor-Version unterstützt IPv6 noch nicht. Daher muss der eBlocker Verbindungen von Geräten, die Tor nutzen sollen, zu Servern über IPv6 blockieren. Hierbei kommt es wieder zu dem oben beschriebenen Problem auf Windows.
eBlocker Mobile
IPv6 ist noch nicht implementiert. Das Heimnetzwerk kann nur mit IPv4 erreicht werden.
IPv6 Spezifika
eBlockerOS unterstützt bereits sogenannte Privacy Extensions von IPv6 (s. oben). Damit wird verhindert, dass ein Heimnetzgerät dauerhaft dieselbe IP-Adresse erhält und so anhand der IP-Adresse permanent getrackt werden kann.
Todos und Bugs
Es gibt noch diverse Stellen im Programmiercode, die noch nicht auf IPv6 umgestellt sind und genauer analysiert sowie angepasst werden müssen. Diese zeigen derzeit noch Fehlermeldungen und können so leicht identifiziert werden. Die Beseitigung dieser Fehler hat aktuell Priorität.
Abschließend müssen noch alle Nutzeroberflächen angepasst werden, so dass neben IPv4 auch IPv6 Adressen angezeigt bzw. konfiguriert werden können.
Vor der ersten Veröffentlichung sind dann die Nutzer-Dokumentation, die Installationsanleitung sowie eventuelle neue Hilfetexte innerhalb von eBlockerOS noch zu ergänzen.
Nächste Schritte
Sobald der restliche Programmiercode umgestellt ist, planen wir eine erste Version im Kreis der eBlocker Supporter zu testen. Abhängig von den dabei auftretenden Bugs werden wir erst abschätzen können, wann mit einer finalen Version gerechnet werden kann. Inwieweit auch in der finalen Version mit Einschränkungen z.B. hinsichtlich Tor oder eBlocker Mobile zu rechnen ist, können wir dann erst abschließend genauer sagen.
Die Sicherheit unserer Nutzer hat für uns neben der Stabilität von eBlockerOS die höchste Priorität. Wir bitten um Verständnis, dass wir daher keinen “Schnellschuss” machen werden und eBlockerOS 3 mit IPv6 erst dann herausgeben, wenn alle Tests positiv verlaufen sind.
Danksagung für Unterstützung
An dieser Stelle möchten wir uns nochmals sehr für die Förderung der DEVK-Versicherungen bedanken, die sich für mehr Sicherheit und die Privatspäre aller Internetnutzer einsetzen. Ohne deren finanzielle Unterstützung hätten wir das IPv6 Mammut-Projekt niemals angehen können. Denn alleine mit ehrenamtlicher Arbeit steht einfach nicht genug Arbeitskraft für ein derart aufwändiges Unterfangen zur Verfügung. Wir haben die DEVK-Mittel daher insbesondere zur Finanzierung der Entwicklung eingesetzt. Jedoch sind diese Mittel nunmehr aufgebraucht und der Fortschritt geht dementsprechend langsamer voran.
Wenn du dir mehr Geschwindigkeit bei der IPv6-Implementierung wünschst, freuen wir und über deine Spende oder Mitwirkung im Team.
Ergänzungen zum Status
Dieser Beitrag hat den Stand 08.03.2023. Wir werden ihn im Laufe der nächsten Wochen abhängig vom Fortschritt weiter ergänzen und aktualisieren.
Update vom 26.04.2023: Abschnitte IP-Anonymisierung über VPN/Tor aktualisiert.
