IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

Weitere Magazine

Empfehlungen

Info

© Secorvo Security Consulting GmbHHeader gelten als Nutzlast des kapselnden IP-Pakets und werden bei der Zählung derHeader-Erweiterungen des kapselnden IP-Pakets nicht berücksichtigt.Header-Erweiterungen müssen in der Reihenfolge ausgewertet werden, in der sie im IP-Paket erscheinen – ein Node darf beispielsweise nicht nach bestimmten Erweiterungensuchen und diese zuerst auswerten. Erweiterungen, die von Routern ausgewertet werdensollen, müssen zuvorderst stehen. Es erscheint jedoch plausibel, dass ein Firewall-Routergegen diese Regel ignoriert, um effizienter zu einer Filterentscheidung zu kommen.IP-Pakete, deren Header durch exzessives Padding, die Nutzung unbekannter Optionenoder (ohnehin nicht standardkonforme 17 ) mehrfache Verwendung von Header-Erweiterungendie MTU überschreiten, oder die so ungünstig fragmentiert sind, dass die für eineFilterentscheidung notwendigen Informationen nicht im ersten Fragment enthalten sind,sollten daher verworfen werden.2.5 FragmentierungFragmentierung funktioniert bei IPv6 im Prinzip genauso wie bei IPv4. Die wesentlichenUnterschiede bestehen darin, dass die Informationen zur (De-)Fragmentierung in einereigenen Header-Erweiterung untergebracht sind und dass grundsätzlich nur der Absenderfragmentiert. Dies hat verschiedene Konsequenzen:· Überschreitet auf der Strecke von Absender zu Empfänger die Länge eines Pakets dieMTU auf einem Streckenabschnitt, dann wird – anders als bei IPv4 – grundsätzlich dasinkriminierte Paket verworfen und dem Empfänger eine entsprechende ICMP-Fehlermeldung zurückgeschickt. Das bedeutet, dass derartige Fehlermeldungen anFirewalls o. ä. nicht gefiltert werden dürfen, um nicht die Übertragungsfunktionalitätgrundlegend zu gefährden.· Da die Fragmentierung durch den Absender vorgenommen wird, findet keine mehrfacheFragmentierung statt, d. h. es gibt keinen legitimen Grund für mehr als eine FragmentHeader-Erweiterung pro Paket.2.6 ICMPv6ICMP hat unter IPv6 eine deutlich größere Bedeutung, als dies bei IPv4 der Fall war. So sinddie Funktionen von ARP und RARP in ICMPv6 aufgegangen, ein ARPv6 existiert nicht. Fürden praktischen Einsatz bedeutet dies, dass ICMPv6 nicht pauschal gefiltert werden kann,wie das etwa bei ICMPv4 üblich ist. Auch die Funktion von IGMP wurde in ICMPv6aufgenommen.2.6.1 Neighbor DiscoveryDie Aufgaben der Neighbor Discovery umfassen die folgenden Punkte:· Router Discovery· Prefix Discovery· Parameter Discovery· Automatische Adresskonfiguration· Adressauflösung (Neighbor Discovery und Inverse Neighbor Discovery)17 Mit Ausnahme der geschilderten zweifachen Verwendung des Destination Options Headers.Secorvo White Paper IPv6 Seite 26 von 67WP IPv6 11 Stand 08. Oktober 2013
© Secorvo Security Consulting GmbH· Bestimmung des Next-Hop· Neighbor Unreachability Detection (NUD)· Duplicate Address Detection (DAD)· RedirectDas Neighbor Discovery Protocol (NDP) wird in RFC 4861 beschrieben, Stateless AddressAutoconfiguration (SLAAC) wird in RFC 4862 beschrieben; Inverse Neighbor Discovery ist inRFC 3122 beschrieben.Für die Neighbor Discovery wurden ursprünglich fünf ICMPv6-Pakettypen definiert; für dieInverse Neighbor Discovery wurden zwei weitere Pakettypen definiert. Die entsprechendenICMPv6-Nachrichten dürfen am Link nicht gefiltert werden, andernfalls kann keineKommunikation über IPv6 stattfinden. Andererseits haben die entsprechenden Nachrichtennur link-local eine Bedeutung – Administratoren müssen also dafür sorgen, dass NDP-Nachrichten nicht geroutet werden. In RFC 4861 wurde zu diesem Zweck festgelegt, dassNDP-Nachrichten das maximale Hop Limit von 255 haben müssen; NDP-Nachrichten miteinem geringeren Hop Limit müssen verworfen werden. Damit wird sichergestellt, dass von„extern“ eingebrachte NDP-Nachrichten keinen Schaden anrichten können.BeispielszenarioIm Folgenden werden einige Beispiele zur Illustration verwendet. Auf den Nodes derBeispielszenarien ist ein Linux-Betriebssystem installiert. Die Interface-Adressen derbeteiligten Hosts sind in der nachstehenden Tabelle aufgeführt.Name MAC-Adresse IPv6-AdresseGondor 00:0c:29:51:ee:69 2001:db8:ca84:e2d5:16b1:d70d:6a2b:bdc6Arnor 00:0c:29:08:45:4b 2001:db8:ca84:e2d5:928a:701e:50b:3f2a2.6.2 Router DiscoveryRouter Discovery spielt eine Rolle bei der Bestimmung von Routern, bei der Verteilung vonPräfix-Information und bei der Bestimmung, ob eine Adresse on-link oder off-link ist. EinRouter kann die Hosts über ein Router Advertisement auch anweisen, Adresskonfigurationoder andere Konfigurationsparameter über DHCPv6 zu beziehen. Als Erweiterung derRouter Discovery schlägt RFC 6106 auch die Verbreitung von DNS-relevantenKonfigurationsparametern vor.Für die Router Discovery sendet ein Router in regelmäßigen Abständen ein sogenanntesRouter Advertisement aus. Diese Nachricht wird an die Link-Local All-Nodes Multicast-Adresse (ff02::1) gesendet.Will ein Host nicht auf ein Router Advertisement warten, dann sendet er eine sogenannteRouter Solicitation. Der Router kann darauf mit einer Multicast-Nachricht an alle oder miteiner Unicast-Nachricht an den fragenden Node antworten.Beispiel im DetailBeim Bootvorgang wird am Host Arnor das Interface eth1 initialisiert. Dazu wird zunächst dieDuplicate Address Detection (siehe unten) für die Link-Local-Adresse(fe80::20c:29ff:fe08:454b) durchlaufen. Nach erfolgreicher Initialisierung versendetder Host eine Router Solicitation wie in Abbildung 5 dargestellt.Secorvo White Paper IPv6 Seite 27 von 67WP IPv6 11 Stand 08. Oktober 2013
Seite 2 und 3: © Secorvo Security Consulting GmbH

IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?