Eigen­schaften von IPv6

Das IPv6-Pro­­­tokoll ist eine Neu­ent­wicklung, wobei vor dem Hin­ter­grund der Erfah­rungen mit IPv4 „auf­ge­räumt“ wurde: Der IPv6-Header enthält neben den län­geren Adress­feldern z. B. keine Prüf­summe mehr, da man davon aus­gehen kann, dass eine Prüf­summe sowohl in der dar­­­unter- als auch in der dar­über­lie­genden Pro­to­koll­schicht vor­handen ist. Ein­ge­führt wurde die Option der Auto­kon­fi­gu­ration: Nach dem Ver­binden mit dem Netzwerk ist ein Rechner sofort für die Daten­kom­mu­ni­kation bereit, ohne dass weitere Ein­griffe not­wendig sind. Dies sind nur zwei Bei­spiele für die Vielzahl an Veränderungen.

Mit Fach­kenntnis im bis­he­rigen IPv4-Pro­­­tokoll kann man sich leicht in IPv6 ein­ar­beiten. Wichtige Ände­rungen sollte man aller­dings kennen, um die Mög­lich­keiten und Grenzen von IPv6 richtig ein­zu­schätzen. Eine kurze, über­sicht­liche Beschreibung von IPv6-Eigen­­schaften findet sich in dem BSI-Dokument „Leit­faden für eine sichere IPv6-Net­z­­wer­k­ar­chi­­tektur (ISi‑L)” auf der Seite Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) des Bun­desamtes für Sicherheit in der Informationstechnik.

Dieser Beitrag skiz­ziert kurz sicher­heits­re­le­vante Eigen­schaften von IPv6:

• Steuerung der Protokollmechanismen
• auto­ma­tische Adresskonfiguration
• … und natürlich die IPv6-Adressen

Steuerung von Protokollmechanismen

Der Einsatz von ICMPv6 (bekannt vom “ping”-Kommando) ist ein Bei­spiel dafür, wie das IPv6-Pro­­­tokoll logisch ver­ein­facht wurde. Bei IPv6 spielt das ICMP-Pro­­­tokoll eine größere Rolle zur Steuerung der Kom­mu­ni­kation als bei IPv4, u. a. bei der unten beschrie­benen Auto­kon­fi­gu­ration. Die Her­aus­for­de­rungen für die Netz­werk­si­cherheit liegen darin, dass das ICMP-Pro­­­tokoll im Netz für wichtige Ope­ra­tionen unbe­dingt erfor­derlich ist und nicht einfach von Fire­walls blo­ckiert werden darf, wie es teil­weise bei IPv4 der Ein­fachheit halber gemacht wurde. Daher muss der Betrieb von IPv6 gut ver­standen werden, um ihn feh­lerfrei und ohne Sicher­heits­lücken zu ermög­lichen. Im Bereich der Pro­to­koll­me­cha­nismen (zu erwähnen sind hier auch die Extension Header von IPv6, die fle­xible und effi­ziente Erwei­te­rungen des Pro­to­kolls erlauben) sind auf jeden Fall noch Her­aus­for­de­rungen für die Netz­werk­si­cherheit zu erwarten. Daher sollte man mit aktu­eller IPv6-Doku­­men­­tation arbeiten und im Auge behalten, dass sich einige Gebiete von IPv6 immer noch sub­stan­ziell weiterentwickeln.

Adresskonfiguration

Zuerst erfolgt eine auto­ma­tische Adress­kon­fi­gu­ration, die dafür sorgt, dass jedes End­system sofort eine IPv6-Adresse bekommt. Diese ist aller­dings nur im lokalen Netz­werk­segment gültig und wird dort zur wei­teren Kon­fi­gu­ration des End­systems genutzt. Mittels dieser Adresse werden Nach­bar­systeme und zuständige Router gefunden (Neighbor Dis­covery). Die auto­ma­tische Kon­fi­gu­ration bedeutet eine große Arbeits­er­leich­terung bei der Betreuung von Rechnern. Ebenso wird dadurch der Einsatz von netz­ba­sierten Kom­po­nenten in neuen Ein­satz­ge­bieten ermög­licht oder erleichtert, man denke bspw. an die groß­flä­chige Ver­teilung von Sen­soren, deren manuelle Kon­fi­gu­ration ent­fallen kann.

Bisher galt, dass eine IPv4-Adresse einem Gerät zuge­ordnet wird. Im Gegensatz dazu ist bei IPv6 die IP-Adresse einer Netz­werk­schnitt­stelle zuge­ordnet. Man geht davon aus, dass ein Gerät mehrere Schnitt­stellen haben kann und diese Schnitt­stellen können wie­derum mehrere IPv6-Adressen haben.

Nach dieser ersten Link-lokalen IPv6-Adresse kann also eine weitere IPv6-Adresse zuge­wiesen werden, die dann für die Kom­mu­ni­kation innerhalb von grö­ßeren lokalen Netzen oder zur direkten Kom­mu­ni­kation über das Internet genutzt werden kann. Diese Adressen können ent­weder lokal auf dem Rechner erzeugt werden (und sind dann trotzdem im Netz ein­deutig) oder werden über den schon bekannten Mecha­nismus DHCP bezogen. Da ein Rechner nor­ma­ler­weise noch weitere Infor­ma­tionen über ver­schiedene Dienste in der Infra­struktur benötigt (bspw. zur Namens­auf­lösung, Zeit­syn­chro­ni­sation, usw.), werden auch diese im Kontext der Auto­kon­fi­gu­ration übertragen.

Es ver­wirrt etwas, dass es gleich mehrere Mecha­nismen zur auto­ma­ti­schen Kon­fi­gu­ration gibt, die sich teil­weise sogar über­lappen. Konkret sollte in Fir­men­netzen trotz der Mög­lichkeit zur lokalen Adress­vergabe (Auto­kon­fi­gu­ration) wei­terhin die Adress­vergabe über zen­trale Mecha­nismen wie DHCP auf­grund der bes­seren Kon­troll­mög­lich­keiten und Über­sicht genutzt werden.

IPv6-Adressraum

Eine der bekann­testen Eigen­schaften ist die große Anzahl von mög­lichen Adressen, die IPv6 zur Ver­fügung stellt. IPv6-Adressen umfassen 128 Bits, damit stehen theo­re­tisch 2¹²⁸ Adressen zur Ver­fügung. Anders aus­ge­drückt: Der gesamte, welt­weite IPv4-Adressraum passt schon vielfach in den Adressraum, den ein ein­facher IPv6-Anwender von seinem Pro­vider zur Ver­fügung gestellt bekommt. Dieser Adressraum lädt geradezu dazu ein, ihn aus­giebig zu nutzen und struk­tu­riert zu vergeben.

Bei der Struk­tu­rierung des lokalen Netzes steht jetzt die logische Auf­teilung nach Gerä­te­klassen oder der Orts­bezug von Teil­netzen im Vor­der­grund, Beschrän­kungen auf­grund von Adres­sen­mangel gibt es nicht mehr. Es gibt keinen Grund mehr für eine sparsame Ver­wendung von IP-Adressen und so kann sich die Auf­teilung des lokalen Netzes unmit­telbar nach Funktion und Sicher­heits­bedarf von Teil­netzen richten. Dabei können gleiche Arbeits­platz­systeme und zukünftig auch Sen­soren in großen Teil­netzen zusam­men­ge­fasst werden, um den Über­blick zu behalten und die Zugriffs­steuerung zu ver­ein­fachen. Gleich­zeitig ist es möglich, in sicher­heits­kri­ti­schen Bereichen auch wei­terhin ganz kleine Netze zu bilden, um die Geräte gegen­ein­ander zu isolieren.

Bild:  © Baran Özdemir / istockphoto.com