IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen
IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen
IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
© Secorvo Security Consulting GmbHAdresse gültig. Eine gültige Adresse kann als Absenderadresse verwendet werden, <strong>und</strong>Pakete mit gültiger Zieladresse müssen vom Empfänger verarbeitet werden. Eine gültigeAdresse kann entweder bevorzugt oder abgelaufen sein, siehe nachstehend.Preferred (bevorzugt)Eine Adresse ist solange bevorzugt, wie dies durch die entsprechende Gültigkeitsdauer(preferred lifetime) angezeigt wird. Eine bevorzugte Adresse kann uneingeschränktverwendet werden.Deprecated (abgelaufen)Nach Ablauf der Gültigkeitsdauer als bevorzugte Adresse kann die Adresse nach wie vorgültig sein, beispielsweise für bestehende Verbindungen. <strong>Die</strong>ser Zustand bleibt solangeerhalten, bis auch die Gesamtgültigkeitsdauer (valid lifetime) abgelaufen ist.Invalid (ungültig)Nach Ablauf ihrer Gesamtgültigkeitsdauer wird eine Adresse ungültig <strong>und</strong> darf nicht mehrverwendet werden, d. h. sie darf weder als Absenderadresse verwendet werden, noch dürfenPakete mit dieser Zieladresse verarbeitet werden.<strong>Die</strong> Zuweisung der Gültigkeitsdauern kann manuell erfolgen, wie nachstehendes Beispielzeigt:arnor ~ # ip -6 addr add 2001:db8::cafe/64 dev eth1 valid_lft 20 preferred_lft 10arnor ~ # ip -6 addr show dev eth13: eth1: mtu 1500 qlen 1000inet6 2001:db8::cafe/64 scope global dynamicvalid_lft 16sec preferred_lft 6secinet6 fe80::20c:29ff:fe08:454b/64 scope linkvalid_lft forever preferred_lft forever<strong>und</strong> etwas späterarnor ~ # ip -6 addr show dev eth13: eth1: mtu 1500 qlen 1000inet6 2001:db8::cafe/64 scope global deprecated dynamicvalid_lft 8sec preferred_lft 0secinet6 fe80::20c:29ff:fe08:454b/64 scope linkvalid_lft forever preferred_lft foreverDer übliche Fall im praktischen Betrieb wird aber sein, dass Adressen <strong>und</strong> Gültigkeitsdauernautomatisch im Rahmen eines Router Advertisements zugewiesen werden. <strong>Die</strong> Parameterfür die preferred lifetime <strong>und</strong> die valid lifetime sind für jedes Präfix separat im RouterAdvertisement enthalten. In dem Beispiel aus Abbildung 6 in Abschnitt 2.6.2 wird für diepreferred <strong>und</strong> die valid lifetime ein Wert von 4 bzw. 24 St<strong>und</strong>en gewählt.<strong>Die</strong> valid lifetime ist im Rahmen einer Umnummerierung eines Netzwerks kritisch. Es ist zwarmöglich, den Wert auf „forever“ zu setzen (Link-Local-Adressen haben üblicherweise eineunbegrenzte Gültigkeit, wie aus dem vorstehenden Beispiel ersichtlich ist), somit bleibt einPräfix (mitsamt allen daraus gebildeten Adressen) bis auf Weiteres unbegrenzt gültig, davonwird jedoch abgeraten, da dies im Zusammenhang mit Umnummerierung zu Problemenführen kann [RFC 4861, Abschnitt 12].2.4 Der <strong>IPv6</strong>-Header <strong>und</strong> seine ErweiterungenIn der <strong>IPv6</strong>-Architektur ändert sich im Vergleich zu IPv4 ein wichtiges Element, nämlich der<strong>IPv6</strong>-Header mit seinen Erweiterungen. <strong>Die</strong>ses Element erweist sich durchaus alssicherheitsrelevant. Eine detaillierte Darstellung des <strong>IPv6</strong>-Headers ist in RFC 2460 oder inder Literatur [Hagen 2009] gegeben. Der <strong>IPv6</strong>-Header ist im Vergleich zum IPv4-Headervereinfacht worden. <strong>Die</strong> wesentlichen Änderungen betreffen optionale Informationen:Optionen wurden aus dem Header gestrichen, diese finden sich nun in gesonderten Header-Secorvo White Paper <strong>IPv6</strong> Seite 20 von 67WP <strong>IPv6</strong> 11 Stand 08. Oktober 2013
Change language