Netzwerk Grundlagen – IPv6

So schafft IPv6 neue, flexible Strukturen zur All-IP-Vernetzung

28.07.2010 | Autor / Redakteur: Markus Nispel, Sarah König / Andreas Donner

Mit IPv6 werden nicht nur unzählige neue Adressen verfügbar, auch neue Sicherheits-Features halten Einzug in das Internet Protokoll
Mit IPv6 werden nicht nur unzählige neue Adressen verfügbar, auch neue Sicherheits-Features halten Einzug in das Internet Protokoll

Das Internet hat sich in den vergangenen Jahren von einem reinen Datennetzwerk zu einer Multi-Service-Plattform entwickelt. Neue Kommunikationsbeziehungen reichen von Multimedia-Anwendungen über Peer-to-Peer (P2P) bis hin zu mobilen, kabellosen Technologien. Daher rückt im Zeitalter persönlicher und mobiler Endgeräte mit dauerhafter Internetanbindung das Protokoll IPv6 wieder ins Interessenblickfeld von Anwendern und Anbietern.

Die neue Generation der aktuellen Internet-Protokoll-Version 4 soll den steigenden Anforderungen und dem rasanten Wachstum des Internets gerecht werden. Mit IPv6 sollen ganz neue, flexiblere Strukturen zur Verbindung der Knotenpunkte untereinander realisiert werden.

Die vorhandene Adressknappheit unter IPv4 wird mit IPv6 der Vergangenheit angehören. Die heute weit verbreitete Technologie Network Address Transalation (NAT) wird genauso verschwinden wie Classless Inter Domain Routing (CIDR). IPv6 baut auf 128 Bit Adressen auf. Damit sind IPv6-Adressen vier Mal so viel wie IPv4-Adressen. Das bedeutet, dass IPv6 in der Lage ist, die unvorstellbare Zahl von 665.570.793.348.866.943.898.599 Adressen pro Quadratmeter Erdoberfläche bereitzustellen.

Die Angst vor einem Mangel an Adressen ist nicht unbegründet. Denn der Adressraum des jetzigen Internetprotokolls (IPv4) ist höchst unterschiedlich verteilt. So besitzt etwa das Massachusetts Institute of Technology (MIT) in Cambridge/USA ein Netz, in dem sich mit rund 16 Millionen Rechnern mehr Adressen ansprechen lassen als in ganz China. Doch im Web sind gerade 90.000 vom MIT verwendete Adressen zu identifizieren. Bei linearer Fortschreitung der Vergabepraxis für die restlichen IP Adressen sind Engpässe daher in wenigen Jahren vorgezeichnet.

Wie bei der Einführung jeder neuen Technologie kommt auch hier die Frage nach mehr Sicherheit auf. War IPv4 ursprünglich nur zum einfachen Datenaustausch entwickelt worden, besitzt IPv6 von Anfang an Sicherheitsfunktionalitäten, die heutzutage elementar wichtig sind. Im Folgenden sollen diese näher beschrieben werden.

Sicherheitsfunktionalitäten unter IPv6

IPv6 wurde im Jahre 1994 als Standard verabschiedet. Es hat die Grundfunktionen von IPv4 beibehalten, aber zukunftssichere Neuerungen implementiert, um den gestiegenen Anforderungen gerecht zu werden. Um die grundsätzlichen Vorteile von IPv6 in Bezug auf Sicherheit zu verstehen, ist es wichtig, das Protokoll näher zu betrachten.

Erhöhter Adressraum im IPv6 Datagrammformat

Prinzipiell besteht ein IPv6-Datagramm aus dem Basis-Header gefolgt von den optionalen Zusatz-Headern und den Nutzdaten; siehe Abbildungen 1 und 2.

Der Ipv6 Basis-Header ist doppelt so groß wie der Ipv4-Header. Der Ipv6 Basis-Header enthält weniger Felder als der Ipv4-Header, dafür ist aber die Adressgröße für die Quell- und Zieladresse von bisher 32 Bit auf nunmehr 128 Bit erweitert worden.

Erweiterungsheader

Die wichtigste Erweiterung bei IPv6 im Vergleich zu IPv4 ist das Konzept der Erweiterungs-Header, um eine effiziente Datenübertragung und eine Erweiterung des Protokolls zu ermöglichen.

Der Basis-Header enthält nur Felder, die unbedingt für die Übermittlung eines Datagramms notwendig sind. Erfordert die Übertragung weitere Optionen, so können diese über einen Erweiterungs-Header angegeben werden. IPv6 sieht vor, dass einige Merkmale des Protokolls nur gezielt benutzt werden. Ein gutes Beispiel ist hier die Fragmentierung von Datagrammen. Obwohl viele Ipv4 Datengramme nicht fragmentiert werden müssen, enthält der Ipv4-Header Felder für die Fragmentierung.

IPv6 gliedert die Felder für die Fragmentierung in einen separaten Header aus, der wirklich nur dann verwendet wird, wenn das Datagramm tatsächlich fragmentiert werden muss. Dies ist bei IPv6 höchst selten, da hier in der Regel mittels Path MTU Discovery (RFC 1981) die maximale Paketgröße via ICMPv6 ausgehandelt wird. Daher sollte IPv6-Fragmentierung nur genutzt werden, wenn die Anwendungen ihre Paketgrößen nicht individuell adaptieren können.

Ein weiterer wesentlicher Vorteil des Konzepts der Erweiterungs-Header ist die Erweiterung des Protokolls um neue Funktionen. Es genügt, für das Feld Next Header einen neuen Typ und ein neues Header-Format zu definieren. IPv4 erfordert hierzu eine vollständige Änderung des Headers.

Derzeit sind sechs optionale Erweiterungs-Header definiert. Werden mehrere Erweiterungs-Header verwendet, so ist es erforderlich sie in einer festen Reihenfolge anzugeben; siehe Abbildung 3.

Nach Sicherheitsgesichtspunkten sind zwei Erweiterungs-Header interessant, die eine Integrität der Daten bereitstellen: Authentisierung und Verschlüsselte Sicherheitsdaten.

Authentisierung

Mit Hilfe des Authentication Headers ist es möglich, die Echtheit eines Paketes zu überprüfen sowie die Unversehrtheit der Daten während ihrer Übertragung zu garantieren. Mit Hilfe einer Sequenznummer kann sich der Empfänger vor Angriffen schützen, die aus einer mehrmaligen Wiederholung desselben Paketes hervorgehen können. Der Authentication Header (AH) ist dabei identisch mit dem von IPv4 unter der Nutzung von IPSec. Bei der Anwendung der Authentisierung wird zwischen zwei Verfahren unterschieden – dem Transportmodus und dem Tunnelmodus.

Verschlüsselte Sicherheitsdaten

Der Encapsulating Security Payload Header (ESP) wird verwendet, um vertrauliche Daten zu verschlüsseln und ihre Unversehrtheit zu garantieren. Außerdem bietet ESP einen wirksamen Schutz vor so genannten Data-Replay-Attacken. Wie auch bei der Authentisierung unterscheidet man bei der Anwendung der Verschlüsselung zwischen dem Transportmodus und dem Tunnelmodus. Die erste Variante wird bei der Kommunikation zwischen zwei Rechnern verwendet. Im Normalfall geht man hier davon aus, dass sich die Rechner nicht kennen bzw. keine gültigen Keys für eine Verbindung besitzen. Es muss daher von einem Trust Center von beiden Rechnern ein One Session Key angefordert werden, welcher dann für eine begrenzte Zeit Gültigkeit hat.

Der IP Header selbst bleibt beim Transportmodus unverschlüsselt, sodass Hacker Informationen darüber erhalten können, wohin ein Rechner Verbindungen aufbaut und wann er wie viele Daten sendet. Zur Verbindung von zwei Firmennetzen über öffentliche Leitungen bietet sich daher der Tunnelmodus an. Hier ist nach außen hin nur die Kommunikation der beiden Router sichtbar; weitere Informationen werden nicht nach außen bekannt.

Sollte bei der Übertragung der AH-Header ausschließlich genutzt werden, sind IPv6-fähige Firewalls sogar in der Lage, die höheren Schichten im Datenpaket zu überprüfen und somit Pakete zu sperren oder freizuschalten.

weiter mit: ICMPv6

Inhalt des Artikels:

  • Seite 1: So schafft IPv6 neue, flexible Strukturen zur All-IP-Vernetzung
  • Seite 2: ICMPv6

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046308 / Grundlagen)