IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen
Teilen Einbetten Melden
ePaper herunterladen

IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

secorvo.de
13.07.2015 Aufrufe

© Secorvo Security Consulting GmbHwenigstens einmal ermittelt werden. Dieser Flaschenhals droht die Expansion des Internetsmit einer rasant ansteigenden Zahl von angebundenen Geräten zu bremsen.Weitere AspekteDaneben haben sich im Zuge der intensiven Nutzung von IPv4 weitere Probleme oderVerbesserungsmöglichkeiten herauskristallisiert, die nicht oder nicht ohne Weiteres zubeheben bzw. umzusetzen sind. So hat sich Broadcast-Übertragung im Wesentlichen fürAngreifer als interessant und nützlich erwiesen, während legitime Nutzungsmöglichkeiteneher selten sind. Multicast dagegen ist genau wie Dienstgüte in den Ansätzen steckengeblieben, und Mobile IP wurde für IPv4 zwar spezifiziert, doch die IPv4-Adressarchitekturverhindert einen praktikablen Einsatz.2.2 Unterschiede zwischen IPv6 und IPv4In diesem Abschnitt werden die wesentlichen Unterschiede zwischen IPv6 und IPv4beschrieben. Wie sich zeigt ist IPv6 weit mehr als nur IPv4 mit längeren Adressen – IPv6bringt in vielen Punkten eine andere Architektur mit. Um IPv6 sicher zu betreiben, muss manals Administrator auch in den Kategorien von IPv6 denken – viele Rezepte aus der IPv4-Welttaugen unter IPv6 nicht mehr. Im Folgenden sind die wichtigsten Neuerungen von IPv6 imVergleich zu IPv4 aufgeführt. Einzelne Punkte werden im Anschluss daran im Detail erklärt.Größerer AdressraumDer wohl am deutlichsten sichtbare Unterschied zu IPv4 ist die Größe des IPv6-Adressraums. Mit 128 Bit erlaubt IPv6 die Adressierung von deutlich mehr Nodes und Sites,als dies bei IPv4 mit 32 Bits der Fall war, siehe Abschnitt 2.3.8.Einfachere AdressstrukturUnicast-Subnetze sind bei IPv6 grundsätzlich einheitlich groß, nämlich /64-Netze; eineweitere Segmentierung dieser Subnetze ist nicht vorgesehen, da dies verschiedenenArchitekturmerkmalen von IPv6 widerspricht. Aufgrund der einfachen Adressstruktur entfälltdie Konfiguration von Netzmasken.Einfache AdresskonfigurationIPv6 bietet neben einer manuellen Konfiguration oder einer Konfiguration über DHCPv6 mitder Stateless Address Autoconfiguration (SLAAC) einen weiteren Mechanismus zur Vergabevon IPv6-Adressen an. Dieser Mechanismus beruht darauf, dass die MAC-Adressen der aneinem Link angeschlossenen Systeme eindeutig sein müssen. Auf Grundlage der MAC-Adresse wird dann eine IPv6-Adresse gebildet, die zumindest an dem betreffenden Linkebenfalls eindeutig ist. Der Vorteil dieser Lösung besteht darin, dass unmittelbar auf IP-Layerkommuniziert werden kann, ohne dass Dienste wie DHCP zur Verfügung stehen müssen.DHCPv6Der Einsatz von DHCP ist dennoch möglich, sei es, um IPv6-Adressen wie bei IPv4 zuvergeben, und/oder um zusätzliche Konfigurationsinformation zu verteilen, wiebeispielsweise die IP-Adresse eines DNS- oder NTP-Servers.DNSIPv6-Adressen werden im DNS durch AAAA-Einträge („Quad-A“) abgebildet; die Rückwärtsauflösungvon IPv6-Adressen erfolgt mit Hilfe der Pseudo-Domain .ipv6.arpa. [RFC 3596].Mehrere IPv6-Adressen pro InterfaceKonzeptionell sieht IPv4 nur eine IP-Adresse pro Interface vor. Diese Beschränkung kannzwar in der Praxis über virtuelle Interfaces umgangen werden. Unter IPv6 wurde dieBeschränkung aber nicht nur aufgehoben, hier ist es nun üblich, dass ein Interface mehrereIPv6-Adressen hat, nämlich wenigstens eine Link-Local-Adresse sowie eine oder mehrereandere Unicast-Adressen.Secorvo White Paper IPv6 Seite 8 von 67WP IPv6 11 Stand 08. Oktober 2013

© Secorvo Security Consulting GmbHEinfachere UmnummerierungDie Möglichkeit, dass einem einzelnen Interface mehrere IPv6-Adressen zugewiesen werdenkönnen, und die vereinfachte Adressstruktur ermöglicht es, Netze bei Bedarf im laufendenBetrieb relativ einfach und ohne direkten Eingriff an den betroffenen Systemenumzunummerieren. Die entsprechende Funktionalität wurde in ICMPv6 integriert.Routenaggregation und effizientere RoutingtabellenBei der Festlegung der Vergabestrategie für IPv6-Adressbereiche wurde darauf geachtet,dass IPv6-Adressen von vornherein so vergeben werden, dass topologisch benachbarteAdressbereiche routingtechnisch zusammengefasst werden können. Damit soll die Größeder Routingtabellen in der Default Free Zone trotz des enormen Adressraums übersichtlicherbleiben, als dies heute bei IPv4 der Fall ist. Dazu trägt bei, dass Netze mit relativ wenigAufwand (im Vergleich zu IPv4) umnummeriert werden können, und dass die Vergabe vonsogenannten Provider-Independent Adressen noch strikter gehandhabt wird als bei IPv4.Schlankere Routingtabellen ermöglichen u. a. ein effizienteres Routing, was beispielsweiseauch die Dienstgüte (Quality of Service, QoS) begünstigt. Darüber hinaus könnenFilterregeln viel einfacher formuliert werden. So erfordern beispielsweise länderspezifischeFilterregeln mit IPv6 nur wenige Einträge im Vergleich zu IPv4, wo dies praktisch nur unterRückgriff auf Geolocation-Dienste möglich ist. 6Einheitliches SteuerprotokollMit IPv6 wurde auch ICMPv6 gegenüber dem ICMP von IPv4 stark erweitert. So wurden dieSteuerfunktionen von ARP und RARP sowie von IGMP in Form von Neighbor Discoverybzw. Inverse Neighbor Discovery sowie Multicast Listener Discovery in ICMPv6 integriert.Die entsprechenden Funktionen wurden darüber hinaus weiter ausgebaut. NeueSteuerfunktionen, wie Router Discovery und Router Renumbering wurden ebenfalls inICMPv6 integriert.Einfacheres Header-FormatDer IPv6-Header ist im Vergleich zum IPv4-Header vereinfacht worden. Am auffälligsten istdie feste Header-Länge von 40 Bytes. Informationen zur Fragmentierung, die Checksummeoder Optionen (d. h. Felder für optionale Informationen) wurden aus dem Header entfernt.Der Grundgedanke hier war, eine effizientere Verarbeitung in Routern zu ermöglichen, waswiederum beispielsweise die Dienstgüte verbessert.Extension HeaderOptionen werden nun nicht mehr direkt im Header sondern in sogenannten Header-Erweiterungen (Extension Headers) untergebracht. Dadurch werden die von IPv4 herbekannten Größenbeschränkungen für Optionen beseitigt – solange das IP-Paket dafür Platzlässt, können Optionen im Prinzip deutlich länger und in beliebiger Zahl vorhanden sein.Darüber hinaus ermöglicht es die neue Architektur, auf einfache Weise neue Optioneneinzuführen, ohne das Protokoll selbst zu verändern. Optionen werden von Routern nur nochselektiv ausgewertet, was einer effizienteren Verarbeitung zugute kommt.Verbessertes Multicast und Abschaffung von BroadcastDie Multicast-Funktionalität von IPv6 wurde stark ausgebaut und erweitert. Im Zuge dessenwurde bei IPv6 Broadcast abgeschafft; die Funktion einer Broadcast-Übertragung wird nundurch geeignetes Multicast erbracht.Fragmentierung nur an der QuelleAnders als bei IPv4 fragmentieren Router zu große Pakete bei IPv6 nicht mehr. Stattdessenwird grundsätzlich eine ICMPv6-Fehlermeldung an den Absender des Pakets6 Siehe beispielsweise http://ipinfodb.com/Secorvo White Paper IPv6 Seite 9 von 67WP IPv6 11 Stand 08. Oktober 2013

© Secorvo Security Consulting GmbHwenigstens einmal ermittelt werden. <strong>Die</strong>ser Flaschenhals droht die Expansion des Internetsmit einer rasant ansteigenden Zahl von angeb<strong>und</strong>enen Geräten zu bremsen.Weitere AspekteDaneben haben sich im Zuge der intensiven Nutzung von IPv4 weitere Probleme oderVerbesserungsmöglichkeiten herauskristallisiert, die nicht oder nicht ohne Weiteres zubeheben bzw. umzusetzen sind. So hat sich Broadcast-Übertragung im Wesentlichen fürAngreifer als interessant <strong>und</strong> nützlich erwiesen, während legitime Nutzungsmöglichkeiteneher selten sind. Multicast dagegen ist genau wie <strong>Die</strong>nstgüte in den Ansätzen steckengeblieben, <strong>und</strong> Mobile IP wurde für IPv4 zwar spezifiziert, doch die IPv4-Adressarchitekturverhindert einen praktikablen Einsatz.2.2 Unterschiede zwischen <strong>IPv6</strong> <strong>und</strong> IPv4In diesem Abschnitt werden die wesentlichen Unterschiede zwischen <strong>IPv6</strong> <strong>und</strong> IPv4beschrieben. Wie sich zeigt ist <strong>IPv6</strong> weit mehr als nur IPv4 mit längeren Adressen – <strong>IPv6</strong>bringt in vielen Punkten eine andere Architektur mit. Um <strong>IPv6</strong> sicher zu betreiben, muss manals Administrator auch in den Kategorien von <strong>IPv6</strong> denken – viele Rezepte aus der IPv4-Welttaugen unter <strong>IPv6</strong> nicht mehr. Im Folgenden sind die wichtigsten Neuerungen von <strong>IPv6</strong> imVergleich zu IPv4 aufgeführt. Einzelne Punkte werden im Anschluss daran im Detail erklärt.Größerer AdressraumDer wohl am deutlichsten sichtbare Unterschied zu IPv4 ist die Größe des <strong>IPv6</strong>-Adressraums. Mit 128 Bit erlaubt <strong>IPv6</strong> die Adressierung von deutlich mehr Nodes <strong>und</strong> Sites,als dies bei IPv4 mit 32 Bits der Fall war, siehe Abschnitt 2.3.8.Einfachere AdressstrukturUnicast-Subnetze sind bei <strong>IPv6</strong> gr<strong>und</strong>sätzlich einheitlich groß, nämlich /64-Netze; eineweitere Segmentierung dieser Subnetze ist nicht vorgesehen, da dies verschiedenenArchitekturmerkmalen von <strong>IPv6</strong> widerspricht. Aufgr<strong>und</strong> der einfachen Adressstruktur entfälltdie Konfiguration von Netzmasken.Einfache Adresskonfiguration<strong>IPv6</strong> bietet neben einer manuellen Konfiguration oder einer Konfiguration über DHCPv6 mitder Stateless Address Autoconfiguration (SLAAC) einen weiteren Mechanismus zur Vergabevon <strong>IPv6</strong>-Adressen an. <strong>Die</strong>ser Mechanismus beruht darauf, dass die MAC-Adressen der aneinem Link angeschlossenen Systeme eindeutig sein müssen. Auf Gr<strong>und</strong>lage der MAC-Adresse wird dann eine <strong>IPv6</strong>-Adresse gebildet, die zumindest an dem betreffenden Linkebenfalls eindeutig ist. Der Vorteil dieser Lösung besteht darin, dass unmittelbar auf IP-Layerkommuniziert werden kann, ohne dass <strong>Die</strong>nste wie DHCP zur Verfügung stehen müssen.DHCPv6Der Einsatz von DHCP ist dennoch möglich, sei es, um <strong>IPv6</strong>-Adressen wie bei IPv4 zuvergeben, <strong>und</strong>/oder um zusätzliche Konfigurationsinformation zu verteilen, wiebeispielsweise die IP-Adresse eines DNS- oder NTP-Servers.DNS<strong>IPv6</strong>-Adressen werden im DNS durch AAAA-Einträge („Quad-A“) abgebildet; die Rückwärtsauflösungvon <strong>IPv6</strong>-Adressen erfolgt mit Hilfe der Pseudo-Domain .ipv6.arpa. [RFC 3596].Mehrere <strong>IPv6</strong>-Adressen pro InterfaceKonzeptionell sieht IPv4 nur eine IP-Adresse pro Interface vor. <strong>Die</strong>se Beschränkung kannzwar in der Praxis über virtuelle Interfaces umgangen werden. Unter <strong>IPv6</strong> wurde dieBeschränkung aber nicht nur aufgehoben, hier ist es nun üblich, dass ein Interface mehrere<strong>IPv6</strong>-Adressen hat, nämlich wenigstens eine Link-Local-Adresse sowie eine oder mehrereandere Unicast-Adressen.Secorvo White Paper <strong>IPv6</strong> Seite 8 von 67WP <strong>IPv6</strong> 11 Stand 08. Oktober 2013

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!