Anzeige
SicherheitWindows

Vorsicht: Norton VPN schützt nur mit IPv6-Deaktivierung

Norton liefert in den Security-Suiten mittlerweile auch VPN mit - tolles Feature, umverschämt umgesetzt.

Security Suiten öffnet man wohl nicht sehr häufig – daher war ich nach einem Jahr Abstinenz auch überrascht, dass plötzlich ein VPN-Button auftauchte. Man kann die gewünschte IP-Region frei wählen, die Performance ist gut, die Verbindung baut sich super schnell auf, alles nur einen Klick entfernt – Danke Norton! Und dann die Enttäuschung: Ja, die IPv4-Adresse ändert sich – die IPv6-Adresse bleibt unangetastet. Und damit ist der Schutz kurz über Null! Die eigentliche Frechheit: Kein Wort dazu von Norton, kein Hinweis, wie man IPv6-Leaks verhindert. Ganz schwach Symantec.

Anzeige

Das Problem

IPv4-Adressen sind die bekannten Dinger wie 192.168.178.100, wie Ihr sie vermutlich auch aus dem LAN kennt. IPv6-Adressen in der Form 2a0a:a543:c3cd::8558:b9a1:cbdd:32ea bekommt Ihr eher selten zu sehen. Da aber die IPv4-Adressen knapp werden, wird das Netz langsam an vielen Stellen umgebaut. So unterstützt zum Beispiel auch der hiesige Kabelanbieter Netcologne IPv6, ebenso wie die omnipräsente Fritzbox. Und in dieser Kombination ist das ein Problem, denn IPv6 läuft standardmäßig, ohne dass man etwas dafür tun müsste. Und die Wahrscheinlichkeit, dass das bei Euch auch der Fall ist, ist ziemlich groß – auch bei anderen Anbietern und Routern.

Bei aktiviertem VPN bekommt Ihr dann eine neue IPv4-Adresse – besucht Ihr eine Website, sieht diese eben die vorgeschobene Norton-VPN-Adresse. Und Eure originale IPv6-Adresse, die Euch genau so gut (eigentlich besser …) identifizieren kann. Das ist kein Bug, das ist bei Norton seit mindestens einem Jahr bekannt, wie man in den Support-Foren sieht, das ist einfach nur ein Witz. Vorgegaugelte Sicherheit ist schlimmer als gar keine.

Die IPv6-Info hätte genau hier an diese Stelle gehört

Die Lösung

Sofern Ihr nicht durch irgendwelche Szenarien auf IPv6 angewiesen seid, könnt Ihr es beispielsweise direkt im Router deaktivieren, in der Fritzbox einfach unter Internet/Zugangsdaten/IPv6 das Häkchen entfernen. (IPv6 könnt Ihr auch im Betriebssystem deaktivieren, aber via Router gilt es dann gleich für alle Geräte im Netz.)

Meist werdet Ihr das deaktivierte IPv6 gar nicht bemerken.

Testen könnt Ihr das Ganze zum Beispiel unter dein-ip-check.de, (sorry für das Durchgestrichene – das ist nur ein blöder Wordpress-Mist-Bug …) das eine sehr übersichtliche Ausgabe samt Karte liefert.

Anzeige
Bei deaktiviertem IPv6 ini der Fritzbox bleibt der Bereich einfach leer.

Unfug

Man möge mir verzeihen, dass ich mich über so einen alten Hut aufrege, aber das ist einfach nur ein schlechter Scherz. Dass IPv6 außen vor bleibt ist schon schwach, aber Norton kann ja auf so viele sinnvolle Features verzichten, wie sie wollen. Das nicht zu erwähnen, und zwar an Ort und Stelle, direkt am VPN-Button, ist eine Unverschämtheit. Gut, das Erste was ich mache, wenn ich VPNs aktiviere: Testen. Aber wer macht das noch? Otto Normalverbraucher kaum. Und selbst wenn: Viele IP-Anzeige-Seiten zeigen eh nur die IPv4-Adresse an und dazu noch eine Karte mit dem Ort des Servers. Und was sieht Otto dann? Geänderte IP in einem anderen Ort – also alles okidoki. Die nach Textsalat aussehende IPv6 geht dabei garantiert unter.

Und selbst wenn es jemand erkennen sollte: Ist das ein Problem? Muss man das lösen? Kann man das lösen? WIE löst man das? Die normalen Norton-Suiten sind für ganz normale Anwender gedacht und die werden aus meiner Sicht an der Stelle völlig hintergangen. Nicht schlimm genug, dass die Norton-GUI schlicht sagt, die Verbindung sei jetzt sicher. Nein, auch per Suche in der integrierten Hilfe ist nichts zu finden – nun, fast nichts: Man findet tatsächlich eine Seite mit IPv6-kompatiblen Norton-Produkten und da ist VPN nicht aufgeführt. Da kann man wahrlich nicht davon sprechen, dass Norton seine Nutzer informieren würde.

Ich sagte oben es sei kein Bug – aber es ist ein Bug: Sicherheit heißt nicht einfach nur Tool XY installieren. Sicherheit heißt auch, Tool XY richtig zu nutzen, Sicherheit ist ein Prozess – und da wäre Norton in der Pflicht.

Nachtrag: Auf Twitter wurde mir sehr schnell nahegelegt, dass das Abschalten von IPv6 ziemlicher Bullshit sei – ganz falsch ist das nicht. Es hat etwas von Immer-noch-Windows-XP-nutzen, Zukunftsverweigerung. Besser wäre in der Tat: Norton VPN nicht nutzen. Aber ich bleibe dabei: Wenn es kostenlos nachgereicht wird, werden Norton-Suite-Nutzer auch das VPN nutzen wollen. Und dann doch lieber ohne IPv6. Nennen wir es eine Notlösung.

Mehr zum Thema Sicherheit, mehr über VPN. Übrigens: „Echte“ VPN-Anbieter können diesem Problem durchaus begegnen, NordVPN-Nutzer haben das Problem zum Beispiel nicht.

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Do NOT follow this link or you will be banned from the site!