Angriffsszenarien, die eine IPv6-Firewall abwehren muss

Eine Firewall für IPv4 filtert keinen IPv6-Verkehr. Und IPv6 ist nicht einfach nur ein IPv4 mit anderen Adressen. Die Erfahrungen aus der IPv4-Welt lassen sich nur bedingt auf IPv6 übertragen. Der Schutz eines LANs durch eine Firewall bedarf für IPv6 völlig neuer Regeln, die bei IPv4 bisher nicht notwendig waren.

  • Umgehen der Filterregeln durch den kreativen Einsatz von Extension Header.
  • IPv6-Datagramme mit vorgetäuschter Absender-Adresse aus dem internen Netz.
  • Beliebige ICMPv6-Pakete
  • Fluten der NDP-Table
  • Überlasten der Firewall per TCP-Flooding

Es muss nicht immer zwangsläufig das Umgehen der Firewall sein. Einem Angreifer kann es schon genügen, wenn die Firewall überlastet wird und somit die Verbindung zum Internet gestört ist.