IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

Weitere Magazine

Empfehlungen

Info

© Secorvo Security Consulting GmbHEin Node ist ein Gerät, das über ein oder mehrere Interfaces an ein oder mehrere Netzwerkeangeschlossen ist. Ein Router ist ein Node, der Pakete weiterleitet, die nicht an ihn selbstgerichtet sind. Ein Host ist ein Node, der kein Router ist.Ein Interface ist die Einrichtung eines Nodes, über das der Node an ein Netzwerkangeschlossen werden kann. Das Netzwerk wird in IPv6-Terminologie auch als Linkbezeichnet. Aus der Sicht eines spezifischen Nodes, der an einen Link angeschlossen ist,werden alle weiteren Nodes, die an denselben Link angeschlossen sind, als on-linkbezeichnet; diese Nodes werden auch als Nachbarn (Neighbors) bezeichnet. Nodes, dienicht on-link sind und nur über wenigstens einen Router erreichbar sind, werden auch als offlinkbezeichnet.Netze und die daran angeschlossenen Nodes formen eine Site, wenn sie – in einemgeeigneten Sinn – einer gemeinsamen und zusammenhängenden Verwaltung unterstelltsind.2 Motivation und grundlegende Eigenschaften von IPv6In diesem Abschnitt werden die für diesen Artikel relevanten Konzepte von IPv6 in Kurzformvorgestellt. Detaillierte Beschreibungen finden sich in den einschlägigen RFCs. Eine relativaktuelle und breite Darstellung der IPv6-Konzepte wurden von Silvia Hagen [Hagen 2009]sowie durch NIST [NIST SP800-119] gegeben; für Praktiker ist vor allem das Buch vonBenedikt Stockebrand [Stockebrand 2010] von Nutzen.2.1 Die IPv4-ProblematikDie Entwicklung von IPv6 wurde durch verschiedene Probleme und Erfahrungen mit IPv4motiviert:Aufzehrung des AdressraumsDer offensichtlichste Mangel von IPv4 besteht in der Knappheit an global routbaren Unicast-Adressen 4 . Diese Knappheit ist teilweise dem anfänglich kaum vorhersehbaren Wachstumdes Internet und teilweise der unbedachten Vergabepraxis in den Anfangsjahren geschuldet,in denen großzügig Class-A und -B-Netze vergeben wurden. Viele dieser Zuweisungenhaben sich im Nachhinein als sachlich nicht gerechtfertigt gezeigt. Die Architektur von IPv4lässt keine einfachen Auswege aus dieser Situation zu: Eine Rückgabe ungenutzterNetzbereiche führt zu starker Fragmentierung des Adressraums (s. u.); ein Austausch vongroßen Netzblöcken gegen kleinere Netzblöcke führt zu signifikanten Ausfallzeiten, da diebetroffenen Systeme neu adressiert (d. h. umnummeriert) werden müssen.Dem steht eine zunehmende Zahl von Endgeräten gegenüber, die vernetzt werden sollen,angefangen von zahlreichen mobilen Geräten (Smartphones, Tablets usw.) einerwachsenden Nutzerbasis bis hin zum sprichwörtlichen Kühlschrank mit IP-Adresse undanderen integrierten Steuersystemen. Als Folge dessen wurde NAT dazu verwendet, um denknapper werdenden, verbleibenden Adressraum besser auf ein stark wachsendes Internet zuverteilen.Network Address Translation (NAT)NAT ist ein Netzwerkmechanismus, bei dem zunächst IP-Adressen auf andere IP-Adressenabgebildet werden. Hierbei sind verschiedene Formen möglich, auf die hier nicht nähereingegangen werden soll; hierfür wird auf RFC 3489 für eine Beschreibung verwiesen.4 Landläufig auch als „öffentliche IP-Adressen“ bekannt.Secorvo White Paper IPv6 Seite 6 von 67WP IPv6 11 Stand 08. Oktober 2013
© Secorvo Security Consulting GmbHUm das Internet einer breiten Nutzerbasis zugänglich zu machen, wird eine Form dessogenannten Restricted Cone NAT [RFC 3489] verwendet, um ganze Netzwerke –typischerweise private Netzwerke nach RFC 1918 – auf eine einzelne (global routbare) IP-Adresse abzubilden. NAT wird dabei typischerweise auf Firewalls durchgeführt, was zu der(falschen) Annahme verleiten kann, dass NAT originär ein Sicherheitsmechanismus wäre.Aus Sicht der Sicherheit hat Cone NAT die interessante Eigenschaft, dass ein Angreifer deninternen Zustand der NAT-Engine nicht kennt und daher nicht weiß, welche Ports zu welcheninternen Systemen führen. Die Entscheidung darüber, ob eine Anfrage weitergeleitet oderverworfen wird, ist jedoch streng betrachtet eine Leistung der Firewall und nicht der NAT-Engine.Bei jeder Form von NAT werden am NAT-Gateway die Adressen in den IP-Headernumgeschrieben. Bei der hier relevanten Form von NAT wird bei ausgehenden Paketen dieAbsendeadresse am NAT-Gateway auf die IP-Adresse des NAT-Gateways umgeschrieben.Bei eingehenden Paketen wird die Zieladresse auf eine Adresse im „internen“ Netzumgeschrieben, hierbei kann es sich um eine statisch konfigurierte Weiterleitung handeln,oder um eine dynamisch im Rahmen einer ausgehenden Verbindung eingerichteteWeiterleitung. Im letzteren Fall muss das NAT-Gateway Buch über die aktiven Verbindungenführen, wodurch das NAT-Gateway zum Flaschenhals oder gar zum Single Point of Failurewerden kann.Die verschiedenen Vor- und Nachteile von NAT werden beispielsweise in RFC 2993diskutiert. Die sichtbarste Nebenwirkung von NAT ist die Aufgabe des Ende-zu-Ende-Prinzips. Eine weitere Nebenwirkung, die im praktischen Betrieb zu Schwierigkeiten führenkann, ist die Tatsache, dass die Adressen im IP-Header umgeschrieben werden. Dadurchscheitern Mechanismen wie IPsec, sobald die Integrität des IP-Headers überprüft wird, undauch Internet-Telefonie mit einer Signalisierung auf Grundlage von SIP oder H.323 schlägtan dieser Stelle zunächst fehl. Um beispielsweise SIP unter diesen Bedingungen nochbetreiben zu können, müssen zusätzliche Gateways betrieben werden, welche die SIP-Pakete in geeigneter Weise modifizieren.Andererseits sind die Systeme im per NAT abgebildeten Netzwerk von außen nicht mehranhand der IP-Adresse voneinander zu unterscheiden, was einen gewissen Grad anPrivatsphäre einbringt, siehe Abschnitt 3.5 für eine Diskussion von NAT im Zusammenhangmit Privatsphäre.Aufgabe des Ende-zu-Ende-PrinzipsEines der wesentlichen Designprinzipien des Internets liegt im Ende-zu-Ende-Prinzip, nachdem jeder Node im Internet unmittelbar Kontakt mit jedem anderen Node im Internetaufnehmen kann. NAT macht dieses Prinzip zunichte. Infolgedessen funktionieren Protokollewie SIP, H.323 oder IPsec nicht ohne Hilfskonstruktionen, welche die Komplexität und dieFehleranfälligkeit davon abhängiger Systeme und Anwendungen noch weiter ansteigenlassen.Fragmentierung des AdressraumsEin weiteres Problem, das den Endnutzern eher verborgen bleibt, ist die starkeFragmentierung des IPv4-Adressraums. Auch dies ist der unbedachten Vergabe von IP-Adressblöcken in der Anfangszeit des Internet geschuldet. Eine Folge besteht darin, dass dieRoutingtabellen in der sogenannten Default Free Zone 5 mittlerweile eine Größe von grob500.000 Einträgen haben. Für jedes einzelne IP-Paket und jedes Providernetz auf dem Wegvom Absender zum Empfänger muss der entsprechende Eintrag in der Routingtabelle5 Landläufig auch als „Internet-Backbone“ bekannt.Secorvo White Paper IPv6 Seite 7 von 67WP IPv6 11 Stand 08. Oktober 2013
Seite 2 und 3: © Secorvo Security Consulting GmbH
Seite 56 und 57:
© Secorvo Security Consulting GmbH
Seite 58 und 59:
Seite 60 und 61:
Seite 62 und 63:
Seite 64 und 65:
Seite 66 und 67:
Alle anzeigen

IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?