IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

Weitere Magazine

Empfehlungen

Info

© Secorvo Security Consulting GmbHWeitere Beispiele sind in RFC 2375 zu finden, die jeweils aktuelle und vollständige Liste istbei IANA abrufbar. 112.3.8 Der AdressraumEiner der deutlichsten Unterschiede zwischen IPv6 und IPv4 ist wie bereits mehrfacherwähnt die Länge einer Adresse und somit die Größe des Adressraumes. Mit 128 Biterreicht der IPv6-Adressraum eine unvorstellbare Größe. In der Literatur finden sichzahlreiche mehr oder weniger blumige Vergleiche zur Verdeutlichung der Adressfülle, etwa,dass jedem Quadratzentimeter der Erde oder jedem Sandkorn mehrere IPv6-Adressenzugewiesen werden können. Abgesehen von der schwachen Aussagekraft des Vergleichs(wer kann sich schon alle Sandkörner vorstellen) und der inhaltlichen Fragwürdigkeit derAussage (die Vergabe einzelner IPv6-Adressen ist so nicht vorgesehen) werden dietatsächlichen Dimensionen nicht deutlich. Andere Vergleiche stellen dar, wie viele IP-Adressen jedem Erdbewohner zur Verfügung stünden; obwohl dieser Vergleich nicht wenigerkrude ist, kommt er der IPv6-Vergabephilosophie schon deutlich näher.Würde der gesamte IPv6-Adressraum gleichmäßig auf alle derzeit etwa 7,1 MilliardenErdenbürger verteilt, dann bekäme jeder Mensch grob 10 29 Adressen, das entspricht in etwa39644 /48-Subnetzen. Würde ab heute jeder Erdenbürger zu seinen Lebzeiten stattdessenlediglich ein /48-Subnetz mit jeweils etwa 10 24 Adressen erhalten, dann wäre der IPv6-Adressraum (ohne Berücksichtigung der bereits vergebenen Präfixe) bei einer jährlichenBevölkerungszunahme von konstant 1.2% (siehe http://www.prb.org/) erst etwa im Jahr 2900erschöpft. Selbst wenn man sich lediglich aus dem Pool bedienen würde, den IANA derzeitzur Vergabe freigegeben hat (2000::/3), dann wäre dieser Pool erst etwa im Jahr 2725erschöpft. Eine Vergabe von /40- Präfixen (also 256 /48-Präfixe) an jeden Menschen nur ausdiesem Pool wäre immerhin noch 248 Jahre lang möglich. Diese Rechenbeispiele zeigennicht nur die Dimension des IPv6-Adressraums, sondern auch, dass die Vergabe von /48-Präfixen an End-Sites (d. h. auch an Privathaushalte) durchaus gerechtfertigt ist.Eine andere Darstellung der Adressfülle ergibt sich durch einen Vergleich mit IPv4, konkretdurch den Vergleich der Abschätzungen für die konzeptionell maximale Anzahl von Sites inbeiden Fällen. Bei IPv4 mit 32 Bit-Adressen stehen nach Abzug aller Sonderadressen etwa3,67 x 10 9 global routbare Adressen zur Verfügung. Würde für jede dieser Adressenkonsequent NAT von und auf Adressen nach RFC 1918 durchgeführt werden, so dass jederSite lediglich eine einzige global routbare Adresse zugewiesen würde, dann entsprächediese Zahl von 3,67 x 10 9 zugleich der maximalen Anzahl aller Sites im Internet4.Würde im Vergleich dazu jeder Site konsequent ein /48-Präfix aus dem Block 2000::/3zugewiesen (wie durch RFC 3177 empfohlen), dann ergäbe sich die Zahl von etwa 35 x 10 12Sites im Internet6. Somit wäre das Internet6 in Bezug auf die maximale Anzahl der Sitesetwa das 9600-fache des Internet4. Allerdings werden bei dieser Gegenüberstellung Erbsenmit Kürbissen verglichen, denn zum einen erhielte jede Site dadurch bei IPv6 65536 globalroutbare Netze, während eine Site bei IPv4 nur eine einzelne global routbare Adressebekäme. Zum anderen stehen bei IPv6 noch wenigstens fünf weitere Blöcke derselbenGröße zur Verfügung, aus denen derzeit jedoch keine Adressen vergeben werden. Undschließlich entspricht die dem Vergleich zu Grunde gelegte hypothetische Vergabepraxis fürIPv4 nicht der Realität, denn tatsächlich belegen sehr viele Sites im Internet4 ein Class-C-Netz oder größer.11 IANA IPv6 Multicast Address Space RegistrySecorvo White Paper IPv6 Seite 16 von 67WP IPv6 11 Stand 08. Oktober 2013
© Secorvo Security Consulting GmbHDie Empfehlung zur konsequenten Vergabe von /48-Präfixen an End-Sites wurde mitRFC 6177 verworfen. Ausgehend von einer konsequenten Vergabe von /56-Präfixen imInternet6 aus dem Block 2000::/3 im Vergleich zu einer konsequenten Vergabe von Class-C-Netzen im Internet4 ergibt sich ein Größenverhältnis von etwa 625 Millionen zu 1; bei einerVergabe aus dem gesamten IPv6-Unicast-Bereich 2000::/3 bis fc00::/7 beträgt dasVerhältnis etwa 4,36 Milliarden zu 1. Dies entspricht in etwa auch dem Verhältnis 2 32 zu 1.Damit entspricht der IPv6-Adressraum aus Sicht der Vergabepraxis einer Erweiterung von 32Bits (IPv4-Adressen) auf 64 Bits (IPv6-Präfixe). Aus praktischer Sicht ist das sehr viel – auskonzeptioneller Sicht stellt sich die Frage, wieso eine viermal längere Adresse „nur“ einen so„kleinen“ Gewinn an Adressraum bringt, d. h. es stellt sich die Frage, was mit den restlichen64 Bits passiert. Die Antwort liegt in der Struktur von IPv6-Adressen, genaugenommen in derStruktur der Unicast-Adressen. Die 128 Bits einer Unicast-Adresse werden aufgeteilt in ein64-Bit-Präfix und eine 64-Bit-Interface-ID (siehe Abbildung 1). Diese Aufteilung ist fest unddarf nicht verändert werden. Das Präfix teilt sich nochmals auf in das Routing-Präfix und dieSubnet-ID. Das Routing-Präfix wird der End-Site vom ISP zugewiesen, die Zuweisung derSubnet-ID liegt in der Verantwortung der End-Site. Ein Subnetz bezeichnet hier ein /64-Subnetz, denn dies ist die kleinste Subnetz für Unicast-Adressen. Es ist zu beachten, dass/64-Subnetze nicht weiter unterteilt werden dürfen!Warum IPv6-Adressen 128 Bits habenUrsprünglich waren nur 64 Bits für IPv6-Adressen vorgesehen. Im Vergleich zu IPv4-Adressen führt dies bereits zu einer so große Erweiterung, dass man auf absehbare Zeiteigentlich genügend Adressen zur Verfügung gehabt hätte. Warum also 128 Bits?Der Grund liegt darin, dass die Adressen genügend Raum bieten sollen, um topologischeInformationen unterzubringen. 12 Dies ist notwendig, um das Routing einfach und dieRoutingtabellen übersichtlich zu halten. Zu Beginn dieses Abschnitts wurde dasGedankenexperiment gemacht, jedem Erdenbürger ein /48-Netz zu geben. Einesequenzielle Vergabe ist jedoch routingtechnisch sehr ungünstig. Man stelle sichentsprechend vor, die in Deutschland üblichen Adressen mit Postleitzahl, Ortsname,Straßenname und Hausnummer würden durch eine Art Seriennummer ersetzt werden, dielandesweit sequenziell nach Einrichtungszeitpunkt einer Adresse vergeben würden.Adressen in einem derartigen Schema wären zum Auffinden eines Ortes völlig ungeeignet.In Netzwerken verhält es sich genauso – eine ungeordnete Vergabe von Adressen (oderPräfixen) macht Routing praktisch unmöglich (und aus diesem Grund können Link-Layer-Adressen nicht zum Routing verwendet werden).Um das Routing effizient zu gestalten, müssen Adressen hierarchisch strukturiert vergebenwerden. Dazu ist es jedoch notwendig, für Informationen der verschiedenen Ebenen derHierarchie (globale Region – Land – Provider usw.) genügen Raum in der Adresse (d. h. imPräfix) zu lassen. Darüber hinaus soll durch eine spärliche Vergabe von Präfixen Raum fürzukünftige Entwicklungen vorgesehen werden. Dies wirkt zwar zunächst verschwenderisch,macht aber langfristig Erweiterungen möglich, ohne später größere Netzbereicheumnummerieren zu müssen.12 Ein gute Darstellung dieses Sachverhalts sowie zur Vorgeschichte von IPv6 ist unterhttp://oversteer.bl.echidna.id.au/IPv6/misc/jaubert-ipv6.html zu findenSecorvo White Paper IPv6 Seite 17 von 67WP IPv6 11 Stand 08. Oktober 2013
Seite 2 und 3: © Secorvo Security Consulting GmbH
Seite 66 und 67:
© Secorvo Security Consulting GmbH
Alle anzeigen

IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?