IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen
IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen
IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
© Secorvo Security Consulting GmbHdass eventuell vorhandene Daten im Neighbor Cache durch dieses Neighbor Advertisementaktualisiert werden sollen (O = 1).Der Neighbor Cache enthält nach der Anfrage die Adresse des Ziel-Nodes:arnor ~ # ip -6 neigh showfe80::20c:29ff:fe51:ee69 dev eth1 lladdr 00:0c:29:51:ee:69 router STALE2001:db8:ca84:e2d5:16b1:d70d:6a2b:bdc6 dev eth1 lladdr 00:0c:29:51:ee:69 routerREACHABLE2.6.6 Bestimmung des Next Hop<strong>Die</strong> Bestimmung des geeigneten Next Hop über Redirect-Nachrichten ist im Wesentlichendann relevant, wenn sich mehrere Router in einem Netz mit Endgeräten befinden. Wenn einHost ein Paket an einen anderen Node senden möchte, der off-link ist, dann muss das Paketüber einen Router verschickt werden. Aber über welchen? Wenn der Host das Paket aneinen bestimmten Router verschickt, während tatsächlich ein anderer Router für Pakete andie betreffende Zieladresse geeigneter wäre, dann informiert der zunächst verwendeteRouter den Host darüber, dass für Pakete an diese Zieladresse der andere Router zuständigist. <strong>Die</strong>se Information erfolgt über eine entsprechende ICMP-Redirect-Nachricht an densendenden Host. <strong>Die</strong>ser Vorgang ist prinzipiell auch Bestandteil der IPv4-Spezifikation,wurde aber praktisch nie für legitime Zwecke genutzt, zumal Redirect-Nachrichtenprädestiniert für Man-in-the-Middle-Angriffe sind. Es wird sich noch zeigen, wie sich diepraktische Relevanz <strong>und</strong> die Nutzung von Redirects bei <strong>IPv6</strong> entwickelt. Da <strong>IPv6</strong>-RedirectsTeil der Neighbor Discovery sind <strong>und</strong> als solche nur link-local wirken, muss ein Angreiferzumindest Zugang zu dem entsprechenden LAN haben.2.6.7 Neighbor Unreachability Detection (NUD)Neighbor Unreachability Detection ist ein Mechanismus, um festzustellen, ob dieKommunikation zu einem Interface an einem Nachbar-Node funktioniert. Damit sollvermieden werden, dass Pakete an ein nicht erreichbares Interface gesendet werden. <strong>Die</strong>skann beispielsweise passieren, wenn der Nachbar-Node oder dessen Interface ausfällt. DerZustand, ob ein Nachbar erreichbar ist, wird mit dem entsprechenden Eintrag im NeighborCache 19 abgelegt. Eine kurze Erläuterung der möglichen Zustände von Einträgen imNeighbor Cache ist nachstehend gegeben, die genauen Details finden sich in Abschnitt 7.3sowie Anhang C aus RFC 4861.IncompleteIn diesem Zustand wird gerade eine Adressauflösung durchgeführt: eine NeighborSolicitation wurde gesendet, aber das dazugehörige Neighbor Advertisement wurde nochnicht empfangen. Wird die Antwort empfangen, dann geht der Eintrag in den ZustandReachable über, andernfalls wird eine ICMP-Fehlermeldung (Destination Unreachable)zurückgegeben.Reachable<strong>Die</strong> Erreichbarkeit des entsprechenden Nodes wurde bestätigt. Erfolgt innerhalb einerbestimmten Zeitspanne seit der letzten Bestätigung der Erreichbarkeit des Nodes keineerneute Bestätigung, dann geht der Eintrag in den Zustand Stale über. <strong>Die</strong> Bestätigung derErreichbarkeit kann entweder über Neighbor Discovery erfolgen, oder über Hinweise ausdem Upper Layer Protocol, dass eine Verbindung aktiv ist.Stale<strong>Die</strong> Erreichbarkeitsbestätigung ist abgelaufen. Der Eintrag verbleibt in diesem Zustand, bis19 Der Neighbor Cache ist das <strong>IPv6</strong>-Äquivalent zu dem ARP-Cache bei IPv4.Secorvo White Paper <strong>IPv6</strong> Seite 30 von 67WP <strong>IPv6</strong> 11 Stand 08. Oktober 2013
Change language