IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

Weitere Magazine

Empfehlungen

Info

© Secorvo Security Consulting GmbHEin Fragment Header hat stets die Länge von 8 Bytes und belegt ein Wort.2.4.1.4 Destination Options HeaderDiese Header-Erweiterung kann im Gegensatz zu allen anderen Erweiterungen zweimalverwendet werden. Steht dieser Header vor dem Routing Header, dann ist er auch vonRoutern entlang des Wegs, den das Paket nimmt, auszuwerten, ansonsten nur vom Ziel-Node. Genau wie bei der Hop-by-Hop Header-Erweiterung sind die einzelnen Optionen indieser Header-Erweiterung variabel, die Codierung erfolgt auch hier nach dem TLV-Schema.Dieser Header wird beispielsweise zur Angabe der folgenden Optionen verwendet:Tunnel Encapsulation LimitWerden Tunnelmechanismen in einer Weise eingesetzt, bei der es zu verschachtelterTunnelung kommen kann, dann kann mit dieser Option die Schachtelungstiefe begrenztwerden [RFC 2473].Diese Option ist 3 Bytes lang und belegt ein Wort.Mobile IPv6 Home AddressIst ein mobiler Node nicht am Heimatort, dann wird diese Option dazu verwendet, um einenEmpfänger über die Home Address des absendenden mobilen Nodes zu informieren[RFC 6275].Diese Option ist 18 Bytes lang und belegt 3 Wörter.RFC 4302 und RFC 4303 definieren darüber hinaus noch die in den nachfolgendenAbschnitten beschriebenen, für IPsec relevanten Header-Erweiterungen.2.4.1.5 Authentication HeaderDiese Header-Erweiterung wird zur Authentisierung von IP-Paketen bei der Nutzung vonIPsec verwendet.Die Länge dieser Header-Erweiterung beträgt 12 Bytes plus Länge der verwendetenChecksumme. Üblich sind verkürzte Checksummen von 12 Bytes Länge, denkbar ist abereine Länge von 64 Bytes (etwa bei der unverkürzten Verwendung von HMAC-SHA-512), sodass in der Praxis eine Länge von maximal 76 Bytes, d. h 10 Wörtern anzunehmen ist.2.4.1.6 Encapsulating Security Payload HeaderDiese Header-Erweiterung wird zur Verschlüsselung und zur optionalen Authentisierung derNutzlast von IP-Paketen im Zusammenhang mit IPsec verwendet und unterscheidet sichinsofern von allen anderen Header-Erweiterungen, als dass diese Header-Erweiterungbereits die (verschlüsselte) Payload des IP-Pakets enthält.2.4.1.7 Mobility HeaderDer Moblity Header wurde im Zusammenhang mit Mobile IPv6 in RFC 6275 definiert. DieserHeader wird eingesetzt, um die Bindung zwischen sogenannter Care-Of-Adresse und Home-Adresse zu erzeugen und zu verwalten. Mobile IPv6 ist nicht Gegenstand dieses Artikels,daher wird auf die Details nicht weiter eingegangen. Je nach Typ und Packung der Optionenkann dieser Header bis zu 16 Wörter belegen.Secorvo White Paper IPv6 Seite 24 von 67WP IPv6 11 Stand 08. Oktober 2013
© Secorvo Security Consulting GmbH2.4.1.8 Verkettung mehrerer Header-ErweiterungenHeader-Erweiterungen werden miteinander verkettet. Jede Header-Erweiterung enthält einFeld Next Header (NH), das darüber Auskunft gibt, was nach dieser Erweiterung folgt. Wennkeine Erweiterung mehr kommt, dann folgt üblicherweise die Payload, also beispielsweiseein TCP-Paket, wie in Abbildung 4 für drei denkbare Fälle dargestellt. Als NH-Eintrag für dienachfolgende Payload wird in der letzen Header-Erweiterung die Protokoll-Nummer desverwendeten Upper Layer Protocols verwendet.IPv6-HeaderNH = 6 (TCP)TCP-Header und DatenIPv6-HeaderNH = 0 (Hop-By-Hop)Hop-by-HopNH = 6 (TCP)TCP-Header und DatenIPv6-HeaderNH = 0 (Hop-By-Hop)Hop-by-HopNH = 44 (Fragment)FragmentNH = 6 (TCP)TCP-Header und Daten(Fragment)Abbildung 4: Verkettung von Header-ErweiterungenJede Header-Erweiterung (mit Ausnahme des Destination Options Header) darf höchstenseinmal in einem IP-Paket verwendet werden. Header-Erweiterungen sind optional undwerden nur dann verwendet, wenn die darin enthaltenen Informationen übermittelt werdenmüssen. Wird mehr als eine Header-Erweiterung verwendet, dann sollte die folgendeReihenfolge eingehalten werden:· IPv6-Header· Hop-By-Hop-Options Header 15· Destination Options Header (für den Empfänger des IP-Pakets 16 )· Routing Header· Fragment Header· Authentication Header· Encapsulating Security Payload Header· Destination Options Header (für den finalen Empfänger des IP-Pakets 16 )· Mobility Header· Upper Layer Protocol-HeaderFür den Fall von Kapselung oder Tunnelung kann anstelle des Upper Layer Protocols auchein IPv6-Header kommen, dem seinerseits Header-Erweiterungen folgen können – diese15 Wenn der Hop-by-Hop Option Header verwendet wird, dann muss dieser zwingend an ersterStelle nach dem eingentlichen IPv6-Header kommen.16 Die Destination Options gelten für den Empfänger, dessen Adresse im Destination Address-Feld des IP Headers steht. Wenn ein Routing Header vorhanden ist, dann ist der finaleEmpfänger jedoch nicht identisch mit dem ursprünglichen Empfänger. Die Destination Optionsvor dem Routing Header gelten für jeden Node, dessen Adresse im Destination Address-Felddes IP Headers auftaucht; die Destination Options nach dem Routing Header gelten nur für denfinalen Empfänger.Secorvo White Paper IPv6 Seite 25 von 67WP IPv6 11 Stand 08. Oktober 2013
Seite 2 und 3: © Secorvo Security Consulting GmbH

IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?