IPv6 ist der direkte Nachfolger von IPv4 und Teil der Protokollfamilie TCP/IP. Seit Dezember 1998 steht IPv6 bereit und wurde hauptsächlich wegen der Adresssknappheit von IPv4 spezifiziert. Da weltweit immer mehr Menschen, Maschinen und Geräte an das Internet mit einer eindeutigen Adresse angeschlossen werden wollen, reichen 4 Milliarden IPv4-Adressen nicht aus. Doch IPv6 löst nicht nur die Adressknappheit, sondern bringt auch Erleichterungen bei der Konfiguration und im Betrieb mit. Die zustandslose Konfiguration und verbindungslokalen Adressen, die bereits nach dem Computerstart verfügbar sind, vereinfachen die Einrichtung eines lokalen Netzwerks.
Schlagwort: IPv6
Angriffsszenarien, die eine IPv6-Firewall abwehren muss
Eine Firewall für IPv4 filtert keinen IPv6-Verkehr. Und IPv6 ist nicht einfach nur ein IPv4 mit anderen Adressen. Die Erfahrungen aus der IPv4-Welt lassen sich nur bedingt auf IPv6 übertragen. Der Schutz eines LANs durch eine Firewall bedarf für IPv6 völlig neuer Regeln, die bei IPv4 bisher nicht notwendig waren.
- Umgehen der Filterregeln durch den kreativen Einsatz von Extension Header.
- IPv6-Datagramme mit vorgetäuschter Absender-Adresse aus dem internen Netz.
- Beliebige ICMPv6-Pakete
- Fluten der NDP-Table
- Überlasten der Firewall per TCP-Flooding
Es muss nicht immer zwangsläufig das Umgehen der Firewall sein. Einem Angreifer kann es schon genügen, wenn die Firewall überlastet wird und somit die Verbindung zum Internet gestört ist.
Umstieg von IPv4 auf IPv6
Für viele ist IPv6 einfach nur ein IPv4 mit anderen Adressen. Doch diese Ansicht ist völlig falsch. IPv6 ist ein Protokoll mit vielen neuen Funktionen. Die Erfahrungen die jemand aus der IPv4-Welt mitbringt, lassen sich nur bedingt auf IPv6 übertragen. Deshalb wird es Zeit, sich intensiv mit IPv6 zu beschäftigen.
Update: IPv6
- IPv6-Adressen
- Adressraum
- UNC-Pfade
- Adressvergabe und Autokonfiguration
Sicherheitslücke durch IPv6 in lokalen Netzwerken?
In vielen lokalen Netzwerken ist bereits IPv6 verfügbar, obwohl es dort offiziell noch gar nicht eingeführt wurde. Denn Teile der IT-Infrastruktur können bereits IPv6-fähig sein. Auch wenn das dem IT-Betreiber nicht bewusst ist.
So unterstützen Windows 7 und Mac OS X (ab 10.3) nicht nur IPv6, es ist auch noch standardmäßig aktiviert. Genauso bei einem iPhone oder iPad ab iOS 4 und Android-Smartphones seit 2011. Wer diese Betriebssysteme und Geräte in einem Netzwerk betreibt, der hat damit faktisch IPv6 eingeführt. Jetzt fehlen nur noch entsprechende Switche, Router und Firewalls und schon ist IPv6 durchgängig im lokalen Netzwerk verfügbar. Alle diese Endgeräte können dann über IPv6 kommunizieren, was sie zum Teil jetzt schon machen.
Gefährlich wird es, wenn ein Router IPv6-Verbindungen von und nach außen zulässt. Dann sind Geräte mit ihrer öffentlichen IPv6-Adresse aus dem Internet erreichbar.
Smartphones benutzen keine Privacy Extensions (IPv6)
Apples iPhones, iPads und iPods, sowie die meisten Android-Smartphones beherrschen IPv6. Die IPv6-Adressen dieser Geräte lassen jedoch Rückschlüsse auf das Gerät zu. Denn die Geräte bestimmen einen Teil ihrer IPv6-Adresse selbst. Dabei verwenden sie ihre weltweit eindeutige MAC-Adresse ihres WLAN-Moduls. Und damit übertragen diese Smartphones an IPv6-Server eine eindeutige identifizierbar Adresse.
Besonders problematisch ist das deshalb, weil diese Geräte in der Regel nur von einer Person genutzt werden. Die für jeden Server- oder Netzbetreiber zugängliche MAC-Adresse erlaubt es damit, diese Person wiederzuerkennen.
Dabei handelt es sich jedoch nicht um ein grundsätzliches IPv6-Problem. Denn jedes Smartphone könnte seine IPv6-Adresse zufällig erzeugen und regelmäßig ändern. Dieses Verfahren bezeichnet man als Privacy Extensions und ist zum Beispiel bei Windows defaultmäßig aktiv. In anderen Betriebssystemen lässt es sich zumindest aktivieren. Leider sind Smartphones nicht so einstellfreudig, obwohl die Privacy Extensions dort sehr wohl integriert sind.
Bei Heise kann man prüfen, ob man mit einer verräterischen IPv6-Adresse unterwegs ist. Der nur per IPv6 erreichbare Server http://www.six.heise.de/ip zeigt die eigene IPv6-Adresse an.
Hinweis: Wer mit einer IPv4-Adresse kommt, bekommt nur eine Fehlermeldung.
Update
Im iOS-Betriebssystem mit der Version 4.3 aktivierte Apple die „Privacy Extensions“, die statt einer festen Hardware-ID regelmäßig wechselnde Zufallszahlen benutzen.
Privacy Extensions (IPv6)
Mit der Einführung von IPv6 ist die Angst um den Verlust der Privatsphäre gestiegen. Dahinter steckt die Vermutung, dass es mit IPv6 so viele Adresse gibt, dass jedem Nutzer eine Adresse lebenslang zugewiesen werden kann und er somit jederzeit identifizierbar ist.
Privacy Extensions ist eine Erweiterung für IPv6, um IPv6-Adressen zu bilden, die keinen Rückschluss auf den Nutzer zulassen.
IP-Adressen sind alle
Das ging ja regelrecht fix. Es gibt jetzt keine IP-Adressen mehr. Sie sind jetzt alle vergeben. Sogar Dieter Nuhr war das ein spitzer Kommentar wert.
Vielleicht ist es jetzt langsam an der Zeit konsequent IPv6 einzuführen. Das bringt genug IP-Adressen mit. Und viele weitere Probleme werden gelöst.
Beiträge mit IPv6
Es ist anzunehmen, dass IPv6 das alte IPv4 langfristig ablösen wird. Da es im Elektronik-Kompendium in einigen Beiträgen im Bereich Netzwerktechnik sehr häufig um das Internet Protokoll (IP) geht, basieren viele Beschreibungen auf der Version 4 des Internet Protocol.
Da IPv6 an einigen Stellen doch tiefgreifende Änderungen hervorruft, sind hier natürlich einige Beschreibungen in ein paar Jahren falsch oder unvollständig. Um dem zuvorzukommen sind bereits jetzt einige Beiträge mit Hinweisen auf IPv6 erweitert. Hierzu eine Auswahl mit den wichtigsten Beiträgen:
PNRP – Peer Name Resolution Protocol
PNRP ist ein Protokoll von Microsoft für die Namensauflösung in IPv6-Netzwerken. So ist ein Netzwerk auf Basis von IPv6 und ohne Server-Infrastruktur möglich.