IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen
IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen
IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
© Secorvo Security Consulting GmbHAnycastAnycast dient der Kommunikation zwischen zwei Interfaces. Anders als beim Unicast ist demInitiator der Kommunikation nicht so sehr daran gelegen, mit welcher Gegenstelle erkommuniziert, sondern welche Eigenschaft die Gegenstelle hat. So könnten beispielsweiseunterschiedliche DNS- oder NTP-Server ihre <strong>Die</strong>nste unter derselben, bekannten IP-Adresseanbieten; die Router in dem Netzwerk würden – dem Gr<strong>und</strong>gedanken nach – den Verkehrzum nächstgelegenen „passenden“ Server routen. Anycast-Adressen finden derzeit jedochnoch keine weite Verbreitung, hierzu wäre es erforderlich, Router regelmäßig über diePräsenz von <strong>Die</strong>nsten zu informieren. <strong>Die</strong> dafür erforderliche Protokollinfrastruktur existiertjedoch noch nicht.Jede Anycast-Adresse kann beliebig vielen Interfaces zugewiesen werden; eine Nachricht andie Anycast-Adresse wird an genau eines der entsprechenden Interfaces gesendet. Andersals Multicast-Adressen sind Anycast-Adressen von Unicast-Adressen nicht anhand ihresRouting-Präfix unterscheidbar.Eine typische Anycast-Adresse ist die Subnet-Router Anycast-Adresse, die den Routernzugewiesen wird, die das Subnet-Präfix über Router Advertisements verteilen. <strong>Die</strong>seAnycast-Adressen haben die Form präfix::/64 [RFC 3513].2.3.3 ScopesBei <strong>IPv6</strong>-Adressen wird zwischen verschiedenen „Scopes“, d. h. Gültigkeitsbereichen,innerhalb derer die betreffende Adresse routbar ist, unterschieden [RFC 4007]. <strong>Die</strong>s hatAuswirkungen auf Routing <strong>und</strong> Filterung.Global ScopeGlobal Scope Adressen sind global routbar. Bis auf spezielle Adressbereiche istgr<strong>und</strong>sätzlich der gesamte Block 2000::/3 global routbar. Der Bereich von 4000:: bisfc00:: ist zwar prinzipiell auch global routbar, wird von IANA aber derzeit reserviertgehalten <strong>und</strong> nicht vergeben.Site-Local Scope <strong>und</strong> Unique Local AdressenSite-Local Scope Adressen sind routbar, jedoch sollten diese Adressen an Border-Routerndes jeweiligen Standorts abgewiesen werden. <strong>Die</strong>se Adressen entsprechen somit den IPv4-Adressen für den privaten Gebrauch nach RFC 1918. Site-Local Scope Adressen sind anihrem Präfix zu erkennen. Zunächst wurde dafür das Routing-Präfix fec0::/10vorgesehen, Site-Local Scope Adressen wurden aber wegen konzeptioneller Schwierigkeitenwieder verworfen [RFC 3879] <strong>und</strong> sollten nicht verwendet werden.Stattdessen wurden Unique Local Adressen (ULAs) eingeführt [RFC 4193], die am Routing-Präfix fc00::/7 zu erkennen sind. Das Präfix einer ULA enthält ferner eine 40-Bit GlobalID. Um eine der Schwierigkeiten von Site-Local Scope Adressen zu vermeiden, muss für dieGlobal ID ein zufälliger Wert gewählt werden. Damit soll sichergestellt werden, dass es zukeinen Kollisionen zwischen ULA-Netzwerken kommt, etwa wenn mehrere Intranets zueinem übergreifenden Intranet vereinigt werden sollen, beispielsweise im Zuge einerUnternehmensfusion. 7Link-Local ScopeLink-Local Scope Adressen sind nicht routbar <strong>und</strong> haben nur an dem jeweiligen Netzwerk-7 <strong>Die</strong> Global ID 0 ist keine gute Wahl. <strong>Die</strong> Administratoren, die hierfür dennoch den Wert 0auswählen, dürfen sich zu der Mehrarbeit beglückwünschen, sobald zwischen den betroffenenNetzen geroutet werden soll. Glücklicherweise bietet der <strong>IPv6</strong>-Mechanismus zurUmnummerierung einen Ausweg, der die Mehrarbeit auf ein erträgliches Maß begrenzt.Secorvo White Paper <strong>IPv6</strong> Seite 12 von 67WP <strong>IPv6</strong> 11 Stand 08. Oktober 2013
Change language