Skript/Netzwerk/IPv6

Einführung

IPv6 - Internetprotokoll Version 6

Beschreibung

Nachfolger von IPv4

• 1998 definiert

Header

IPv6/Header - Aufbau des Protokollkopfes von IPv6

Beschreibung

IPv6-Header hat eine feste Größe von 40 Byte (320 Bit)

• IPv4/Header hat eine variable Größe

Trotz vierfacher IPv6-Adresslänge (16 Byte) nur doppelte Headerlänge

IPv6 Header

IPv6/Header/Format

Header-Felder

Vereinfachung des Headers

Enthält nur grundlegende Forwarding-Information

Zusätzliche Informationen in Erweiterungs-Headern

• In "#Next Header" angegeben

Header im Vergleich

Entfallene Felder

Adressierung

IPv6/Adresse - IP/Adresse in einem IPv6-Netzwerk

Eigenschaften

Eigenschaften von IPv6-Adressen

ip -6 a

 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
 inet6 ::1/128 scope host noprefixroute
 valid_lft forever preferred_lft forever
 2: enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
 inet6 2001:470:6d:b25:8ad:9fd5:a987:ae27/64 scope global dynamic noprefixroute
 valid_lft 86281sec preferred_lft 14281sec
 inet6 fe80::2aa1:d9b5:c8a6:bcbb/64 scope link noprefixroute
 valid_lft forever preferred_lft forever

1

Localhost

4

Ethernet

IP-Adressierung

IP/Adresse - Adresse des Internet Protokolls

Beschreibung

Eine IP-Adresse ist eine Adresse in Computernetzen, die – wie das Internet – auf dem Internetprotokoll (IP) basieren

• Sie wird Geräten zugewiesen, die an das Netz angebunden sind, macht die Geräte so adressierbar und damit erreichbar
• Die IP-Adresse kann einen einzelnen Empfänger oder eine Gruppe von Empfängern (Multicast, Broadcast) bezeichnen
• Umgekehrt können einem Computer mehrere IP-Adressen zugeordnet sein

Die IP-Adresse wird vor allem verwendet, um Daten von ihrem Absender zum vorgesehenen Empfänger zu transportieren

• Ähnlich der Postanschrift auf einem Briefumschlag werden Datenpakete mit einer IP-Adresse versehen, die den Empfänger eindeutig identifiziert
• Aufgrund dieser Adresse können die „Poststellen“, die Router, entscheiden, in welche Richtung das Paket weitertransportiert werden soll
• Im Gegensatz zu Postadressen sind IP-Adressen nicht an einen bestimmten Ort gebunden

Notation

Die bekannteste Notation der heute geläufigen IPv4-Adressen besteht aus vier Zahlen, die Werte von 0 bis 255 annehmen können und mit einem Punkt getrennt werden, beispielsweise 192.0.2.42

• Technisch gesehen ist die Adresse eine 32-stellige (IPv4) oder 128-stellige (IPv6) Binärzahl

Beschreibung

Adresse in Computernetzen

• die - wie das Internet - auf dem Internetprotokoll (IP) basieren

Sie wird Geräten zugewiesen, die an das Netz angebunden sind, macht die Geräte so adressierbar und damit erreichbar

• Die IP-Adresse kann einen einzelnen Empfänger oder eine Gruppe von Empfängern bezeichnen (Multicast, Broadcast)
• Umgekehrt können einem Computer mehrere IP-Adressen zugeordnet sein

Die IP-Adresse wird vor allem verwendet, um Daten von ihrem Absender zum vorgesehenen Empfänger zu transportieren. Ähnlich der Postanschrift auf einem Briefumschlag werden Datenpakete mit einer IP-Adresse versehen, die den Empfänger eindeutig identifiziert

• Aufgrund dieser Adresse können die "Poststellen", die Router, entscheiden, in welche Richtung das Paket weitertransportiert werden soll
• Im Gegensatz zu Postadressen sind IP-Adressen nicht an einen bestimmten Ort gebunden

Die bekannteste Notation der heute geläufigen IPv4-Adressen besteht aus vier Zahlen, die Werte von 0 bis 255 annehmen können und mit einem Punkt getrennt werden, beispielsweise 192.0.2.42

• Technisch gesehen ist die Adresse eine 32-stellige (IPv4) oder 128-stellige (IPv6) Binärzahl

Notation

IPv6/Adresse/Notation - IPv6 Adresse Notifikation

Beschreibung

IPv6 Adressen sind 128 bit lang

Binär-Darstellung

00100000000000010000110110111000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001

Nibbles

0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0001

Byte

Darstellung

Solche Zahlen sind schwer zu merken

• IPv6 Adressdarstellung ist bitorientiert (wie bei IPv4)

Hexadezimale Darstellung

• Geeignetere Schreibweise
• 4 bit (nibble) werden durch ein Zeichen 0-9 und a-f (10-15) dargestellt
• Reduzierung der Darstellung auf 32 Zeichen

Diese Darstellung ist ebenfalls nicht sehr angenehm

• Mögliche Verwechslung oder Verlust einzelner hexadezimaler Ziffern
• sodass die IPv6 Designer das hexadezimale Format mit einem Doppelpunkt als Trennzeichen nach jedem 16 bit Block erweiterten
• Ferner wird das führende "0x" (ein in Programmiersprachen verwendetes Identifizierungsmerkmal für hexadezimale Werte) entfernt
• Führende Nullen jedes 16 bit-Blocks weggelassen werden

Eine Sequenz von 16 bit-Blöcken, die nur Nullen enthalten, kann durch ein "::" ersetzt werden

• Diese Komprimierung kann aber nicht öfter als einmal durchgeführt werden

Die höchstmögliche Reduktion sieht man bei der IPv6 Localhost Adresse:

::1

Adress-Notation

Binäre Darstellung

0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0001

Hexadezimale Darstellung

2001:0DB8:0000:0000:0000:0000:0000:0001

RFC 4291

RFC/4291 - IPv6-Adress-Notation

Beschreibung

Hexadezimale Darstellung

20010db885a308d313198a2e03707344

Acht Blöcke

• Je zwei Byte
• Durch Doppelpunkt getrennt

2001:0db8:85a3:08d3:1319:8a2e:0370:7344

Führende Nullen

• Führende Nullen dürfen ausgelassen werden

2001:0db8:0000:08d3:0000:8a2e:0070:7344

ist gleichbedeutend mit

2001:0db8:0:08d3:0:8a2e:70:7344

0-Blöcke ersetzen

• Aufeinander folgende 0-Blöcke werden durch :: ersetzt

2001:0db8:0:0:0:0:1428:57ab

ist gleichbedeutend mit

2001:db8::1428:57ab

Ersetzung darf nur einmal durchgeführt werden

Höchstens eine zusammenhängende Gruppe aus Null-Blöcken darf ersetzt werden

2001:0db8:0:0:8d3:0:0:0

darf gekürzt werden zu

2001:0db8::8d3:0:0:0

oder

2001:0db8:0:0:8d3::

Es empfiehlt sich, den Block mit den meisten Null-Blöcken zu kürzen

Wegen Mehrdeutigkeit unzulässig

2001:db8::8d3::

kann auch als

2001:db8:0:0:0:8d3:0:0

interpretiert werden

Einbettete IPv4-Adresse

Darstellung

Einbettung eines IPv4-Adressraums in den IPv6-Adressraum

2001:0db8:0:0:0:0:1428:57ab

Die letzten vier Byte können dezimal notiert werden

::ffff:127.0.0.1

ist eine alternative Schreibweise für

::ffff:7f00:1

Zulässige Schreibweisen

Zulässige Schreibweisen einer IPv6Adresse nach RFC 4291

2001:db8:0:0:1:0:0:1
2001:0db8:0000:0000:1:00:0:1
2001:db8::1:0:0:1
2001:db8::0:1:0:0:1
2001:0db8::0:1:0:0:1
2001:db8:0:0:1::1
2001:db8:0000:0:1::1
2001:DB8:0:0:1::1
…

Die Darstellung für und zwischen Menschen regelt RFC/5952

RFC 5952

RFC/5952 - Notation und Darstellung von IPv6-Adressen für und zwischen Menschen

Beschreibung

Notation für und zwischen Menschen

Problem nach RFC/4291

Zulässige Schreibweisen

2001:db8:0:0:1:0:0:1
2001:0db8:0000:0000:1:00:0:1
2001:db8::1:0:0:1
2001:db8::0:1:0:0:1
2001:0db8::0:1:0:0:1
2001:db8:0:0:1::1
2001:db8:0000:0:1::1
2001:DB8:0:0:1::1
…

Übersicht

Interface-Identifier

IPv6/Interface/Identifier - IPv6 Interface Identifier

Beschreibung

Aufbau und Erzeugung

Interface Identifier

Link Layer Adresse (OSI-Modell Schicht 2)

• 64 Bit
• MAC-Adresse der Schnittstelle

Dazu wird das 64 Bit lange, genormte IEEE EUI-64 Adressformat in einer leicht abgeänderten Form verwendet

• Durch Invertierung des u-Bits wird die Konfiguration von Hand erleichtert

Kanonische Sichtweise

ISO/OSI-Modell Schicht 2

Abbildung

EUI-64

IEEE EUI-64 Adresse (64 Bit) => IPv6-Interface ID Adresse (64 Bit)

• EUI-64 Adresse wird übernommen
• Das U-Bit wird invertiert

Beispiel

MAC-Adresse

IEEE 802.3 MAC-Adresse (48 Bit) => IPv6-Interface ID Adresse (64 Bit)

RFC 2464

Bei der Abbildung der 48 Bit langen IEEE 802.3 auf die 64 Bit langen IPv6-Interface ID Adresse, führt der Weg über die Abbildung auf eine IEEE EUI-64 Adresse RFC/2464

Beispiel

IEEE 802.3 MAC-Adresse (64 Bit) => IPv6-Interface ID Adresse (64 Bit)

EUI-64 (64-Bit Extended Unique Identifier)

Vom IEEE standardisiertes MAC-Adressformat zur Identifikation von Netzwerkgeräten

Eine EUI-64 Adresse ist 64 Bit lang und setzt sich aus zwei Teilen zusammen

Die ersten 24, 28 oder 36 Bit identifizieren den Hardwarehersteller

• siehe OUI
• Die restlichen Bit dienen der Geräteidentifikation

Eine Variante davon ist das sogenannte modifizierte EUI-64 Adressformat welches bei IPv6 zum Einsatz kommt

• Dieses unterscheidet sich darin, dass der Wert des siebten Bit (von links) einer EUI-64 Adresse, auch Universal/Local Bit genannt, invertiert wird

Typen

IPv6/Adresse/Typen - Unterteilung des IPv6-Adressraums

IPv6-Adressentypen

Eine IPv6/Adresse ist eine 128-Bit-Kennung der Netzwerkschicht für eine Netzwerkschnittstelle eines IPv6-fähigen Nodes

Haupttypen

Zu unterstützende Adressen

IPv6 Adressen, die IPv6 Geräte mindestens unterstützen müssen

Adressraum

Lehren aus IPv4

Vorteilhaft

Interfaces mit meherenen IP-Adresse

• je nach Bedarf und Zweck (aliases, multicast und weitere)
• Um in Zukunft flexibler bleiben zu können, geht man bei IPv6 weiter und erlaubt pro Interface mehr als eine zugewiesene IP-Adresse
• Derzeit sind durch die RFCs kein Limit gesetzt, wohl aber in der Implementierung des IPv6 Stacks (um DoS Attacken vorzubeugen)

Adress-Typen

Neben der großen Bit-Anzahl für Adressen definiert IPv6 basierend auf einigen vorangestellten Bit verschiedene Adress-Typen

• Diese werden hoffentlich in der Zukunft niemals aufgehoben (zum Unterschied zu IPv4 heute und die Entwicklung der class A, B und C Netze)

Zur Unterstützung einer automatischen Konfiguration wird die Bitanzahl in einen Netzwerk-Teil (vordere 64 Bits) und einen Hostteil (hintere 64 Bit)

Adressraum

IANA weist IPv6-Adressraum zu

Internet Assigned Numbers Authority (IANA)

Kleiner Teil zugewiesen

IANA stellt globale Unicast-Adressen bereit

• die mit den führenden Bit ganz links 001 beginnen
• Ein kleiner Teil der Adressen, die mit 000 und 111 beginnen, wird für spezielle Typen zugewiesen
• Alle anderen möglichen Adressen sind für die zukünftige Verwendung reserviert und werden derzeit nicht zugewiesen

Beispiele für globale Unicast-Adressen

2001:4::aac4:13a2
2001:0db6:87a3::2114:8f2e:0f70:1a11
2c0f:c20a:12::1

IANA vergibt nur Adressen, die mit den ersten 3 Bit 001 beginnen

• Derzeit beginnen in der Internet-IPv6-Routing-Tabelle alle Präfixe mit der hexadezimalen Ziffer 2 oder 3

Präfix

Netzteil der Adresse

Es wurden einige Adress-Typen definiert

• Zugleich blieb für zukünftige Anforderungen ausreichend Raum für weitere Definitionen
• In RFC/4291 IP Version 6 Addressing Architecture wird das aktuelle Adress-Schema definiert

Präfixe (Adress-Arten)

IPv6 Präfixe

Ohne Präfix

Adressen ohne speziellen Präfix

Localhost Adresse

Pakete mit dieser Quell- bzw. Ziel-Adresse sollten niemals den sendenden Host verlassen

• Loopback Interface
• 127.0.0.1 bei IPv4

::1

Unspezifische Adresse

Dies ist eine spezielle Adresse vergleichbar mit "any" oder "0.0.0.0" bei IPv4

Diese Adresse wird meistens in Routing-Tabellen und beim "socket binding" (zu jeder IPv6 Adresse) angewandt bzw. gesehen

Beachten

Die unspezifizierte Adresse kann nicht als Ziel-Adresse verwendet werden

Host-Teil

Adress-Typen (Host-Teil) In Hinblick auf Auto-Konfigurations- und Mobilitätsfragen wurde entschieden, die niedrigeren 64 bits als Host-Bestandteil zu nutzen

• Jedes einzelne Subnetz kann deshalb eine große Anzahl an Adressen enthalten

Der Host-Teil kann aus unterschiedlichen Blickwinkeln betrachtet werden:

Automatisch erstellte Adressen

Automatisch erstellte Adressen

• stateless

Auto-Konfiguration

Bei der Auto-Konfiguration wird der Hostteil der Adresse durch die Konvertierung der MAC-Adresse eines Interfaces (falls vorhanden) zu einer einmaligen IPv6 Adresse (mittels EUI-64 Methode) generiert

• Falls keine MAC-Adresse verfügbar ist (beispielsweise bei virtuellen Interfaces), wird anstelle dessen etwas anderes herangezogen (wie beispielsweise die IPv4 Adresse oder die MAC-Adresse eines physikalischen Interfaces)

Als Beispiel hat hier ein NIC folgende MAC-Adresse (48 bit)

• Diese wird gemäß demIEEE-Tutorial EUI-64 Design für EUI-48 Identifiers zum 64 bit Interface Identifier erweitert:
• Mit einem gegebenen Präfix wird daraus die schon oben gezeigte IPv6-Adresse:

Datenschutzproblem

Datenschutzproblem mit automatisch erstellten Adressen sowie eine Lösung

• Der "automatisch generierte" Hostteil ist weltweit einmalig
• mit Ausnahme, wenn der Hersteller einer NIC die gleiche MAC-Adresse bei mehr als einer NIC einsetzt
• Die Client-Verfolgung am Host wird dadurch möglich, solange kein Proxy verwendet wird

Dies ist ein bekanntes Problem und eine Lösung wurde dafür definiert

• Datenschutz-Erweiterung
• definiert in RFC/3041
• Privacy Extensions for Stateless Address Autoconfiguration in IPv6 (es gibt bereits ein neueres Draft: draft-ietf-ipv6-privacy-addrs-v2-*)
• Es wird sporadisch mittels eines statischen und eines Zufallswertes ein neues Suffix erstellt

Hinweis

Dies ist nur für ausgehende Client-Verbindungen sinnvoll und bei bekannten Servern nicht wirklich sinnvoll

Manuell festgelegte Adressen

Bei Servern ist es wahrscheinlich leichter, sich einfachere Adressen zu merken

• Dies kann beispielsweise mit der Zuweisung einer zusätzlichen IPv6 Adresse an ein Interface geschehen

Für das manuelle Suffix, wie "::1" im obigen Beispiel, muss das siebte höchstwertige Bit auf 0 gesetzt sein (das universale/local Bit des automatisch generierten Identifiers)

• Es sind auch noch andere (ansonsten nichtausgewählte) Bit-Kombinationen für Anycast-Adressen reserviert

Zusammenfassung

IPv6/Adresse/Typen - Unterteilung des IPv6-Adressraums

IPv6-Adressentypen

Eine IPv6/Adresse ist eine 128-Bit-Kennung der Netzwerkschicht für eine Netzwerkschnittstelle eines IPv6-fähigen Nodes

Haupttypen

Zu unterstützende Adressen

IPv6 Adressen, die IPv6 Geräte mindestens unterstützen müssen

Adressraum

Lehren aus IPv4

Vorteilhaft

Interfaces mit meherenen IP-Adresse

• je nach Bedarf und Zweck (aliases, multicast und weitere)
• Um in Zukunft flexibler bleiben zu können, geht man bei IPv6 weiter und erlaubt pro Interface mehr als eine zugewiesene IP-Adresse
• Derzeit sind durch die RFCs kein Limit gesetzt, wohl aber in der Implementierung des IPv6 Stacks (um DoS Attacken vorzubeugen)

Adress-Typen

Neben der großen Bit-Anzahl für Adressen definiert IPv6 basierend auf einigen vorangestellten Bit verschiedene Adress-Typen

• Diese werden hoffentlich in der Zukunft niemals aufgehoben (zum Unterschied zu IPv4 heute und die Entwicklung der class A, B und C Netze)

Zur Unterstützung einer automatischen Konfiguration wird die Bitanzahl in einen Netzwerk-Teil (vordere 64 Bits) und einen Hostteil (hintere 64 Bit)

Adressraum

IANA weist IPv6-Adressraum zu

Internet Assigned Numbers Authority (IANA)

Kleiner Teil zugewiesen

IANA stellt globale Unicast-Adressen bereit

• die mit den führenden Bit ganz links 001 beginnen
• Ein kleiner Teil der Adressen, die mit 000 und 111 beginnen, wird für spezielle Typen zugewiesen
• Alle anderen möglichen Adressen sind für die zukünftige Verwendung reserviert und werden derzeit nicht zugewiesen

Beispiele für globale Unicast-Adressen

2001:4::aac4:13a2
2001:0db6:87a3::2114:8f2e:0f70:1a11
2c0f:c20a:12::1

IANA vergibt nur Adressen, die mit den ersten 3 Bit 001 beginnen

• Derzeit beginnen in der Internet-IPv6-Routing-Tabelle alle Präfixe mit der hexadezimalen Ziffer 2 oder 3

Präfix

Netzteil der Adresse

Es wurden einige Adress-Typen definiert

• Zugleich blieb für zukünftige Anforderungen ausreichend Raum für weitere Definitionen
• In RFC/4291 IP Version 6 Addressing Architecture wird das aktuelle Adress-Schema definiert

Präfixe (Adress-Arten)

IPv6 Präfixe

Ohne Präfix

Adressen ohne speziellen Präfix

Localhost Adresse

Pakete mit dieser Quell- bzw. Ziel-Adresse sollten niemals den sendenden Host verlassen

• Loopback Interface
• 127.0.0.1 bei IPv4

::1

Unspezifische Adresse

Dies ist eine spezielle Adresse vergleichbar mit "any" oder "0.0.0.0" bei IPv4

Diese Adresse wird meistens in Routing-Tabellen und beim "socket binding" (zu jeder IPv6 Adresse) angewandt bzw. gesehen

Beachten

Die unspezifizierte Adresse kann nicht als Ziel-Adresse verwendet werden

Host-Teil

Adress-Typen (Host-Teil) In Hinblick auf Auto-Konfigurations- und Mobilitätsfragen wurde entschieden, die niedrigeren 64 bits als Host-Bestandteil zu nutzen

• Jedes einzelne Subnetz kann deshalb eine große Anzahl an Adressen enthalten

Der Host-Teil kann aus unterschiedlichen Blickwinkeln betrachtet werden:

Automatisch erstellte Adressen

Automatisch erstellte Adressen

• stateless

Auto-Konfiguration

Bei der Auto-Konfiguration wird der Hostteil der Adresse durch die Konvertierung der MAC-Adresse eines Interfaces (falls vorhanden) zu einer einmaligen IPv6 Adresse (mittels EUI-64 Methode) generiert

• Falls keine MAC-Adresse verfügbar ist (beispielsweise bei virtuellen Interfaces), wird anstelle dessen etwas anderes herangezogen (wie beispielsweise die IPv4 Adresse oder die MAC-Adresse eines physikalischen Interfaces)

Als Beispiel hat hier ein NIC folgende MAC-Adresse (48 bit)

• Diese wird gemäß demIEEE-Tutorial EUI-64 Design für EUI-48 Identifiers zum 64 bit Interface Identifier erweitert:
• Mit einem gegebenen Präfix wird daraus die schon oben gezeigte IPv6-Adresse:

Datenschutzproblem

Datenschutzproblem mit automatisch erstellten Adressen sowie eine Lösung

• Der "automatisch generierte" Hostteil ist weltweit einmalig
• mit Ausnahme, wenn der Hersteller einer NIC die gleiche MAC-Adresse bei mehr als einer NIC einsetzt
• Die Client-Verfolgung am Host wird dadurch möglich, solange kein Proxy verwendet wird

Dies ist ein bekanntes Problem und eine Lösung wurde dafür definiert

• Datenschutz-Erweiterung
• definiert in RFC/3041
• Privacy Extensions for Stateless Address Autoconfiguration in IPv6 (es gibt bereits ein neueres Draft: draft-ietf-ipv6-privacy-addrs-v2-*)
• Es wird sporadisch mittels eines statischen und eines Zufallswertes ein neues Suffix erstellt

Hinweis

Dies ist nur für ausgehende Client-Verbindungen sinnvoll und bei bekannten Servern nicht wirklich sinnvoll

Manuell festgelegte Adressen

Bei Servern ist es wahrscheinlich leichter, sich einfachere Adressen zu merken

• Dies kann beispielsweise mit der Zuweisung einer zusätzlichen IPv6 Adresse an ein Interface geschehen

Für das manuelle Suffix, wie "::1" im obigen Beispiel, muss das siebte höchstwertige Bit auf 0 gesetzt sein (das universale/local Bit des automatisch generierten Identifiers)

• Es sind auch noch andere (ansonsten nichtausgewählte) Bit-Kombinationen für Anycast-Adressen reserviert

Zusammenfassung

ICMPv6

IPv6/ICMPv6 - ICMPv6 (Internet Control Message Protocol in IPv6-Netzwerken

Beschreibung

Fehlererkennung und -meldung

Fehleranalyse

• Echo-Request und Echo-Reply für Ping-Operationen

Hilfsprotokoll für IPv6

OSI-Schicht 3

• nutzt das IPv6-Protokoll zum Versand von ICMP-Nachrichten
• Protokoll-Nummer 58 im Next-Header-Feld des IPv6-Headers

Austausch von Fehler- und Informationsmeldungen in IPv6-Netzwerken

Neighbor Discovery Protocol

• Nachfolger des Address Resolution Protocol mit IPv4

Aufgaben

• Adressauflösung
• Reichweiten-Ermittlung

Bedeutung von ICMPv6

ICMPv6 oft erforderlich

• Im Gegensatz zum ICMP bei IPv4 ist ICMPv6 zwingend für den Betrieb von IPv6 erforderlich
• Ein generelles Blockieren von ICMPv6 auf der Firewall führt dazu, dass IPv6 nicht funktioniert (vgl. RFC 4890)

Verarbeitung

Regeln für die Verarbeitung von ICMPv6-Nachrichten

Keine Antworten auf

Netz darf nicht mit ICMPv6-Fehlernachrichten geflutet werden

Auf folgende Pakete werden keine Fehlernachrichten versandt

• Fehlernachrichten
• Pakete an Multicast-, Link-Level-Multicast- oder Link-Level-Broadcast-Adressen mit folgenden

Ausnahmen

• Packet-Too-Big-Nachrichten
• Parameter-Problem-Nachrichten mit Code 2 - unbekannte IPv6-Option

IPv6/ICMPv6 Fuktionen

Upper Layer Protokolle

IPv6/Daemons - Hinweise zu IPv6 kompatiblen Daemons

Beschreibung

Änderungen in höheren Protokollschichten (Dual Stack)

Anpassungen in höheren Protokollschichten

• die durch die Einführung von IPv6 notwendig wurden
• insbesondere im Kontext der Dual-Stack-Implementierung

Anwendungen und Netzwerkprotokolle

• Die modifiziert wurden, um mit beiden IP-Versionen zu arbeiten

Herausforderungen, die sich aus der Notwendigkeit der gleichzeitigen Unterstützung ergeben

Software und Netzwerkausrüstungen anpassen

• um zwischen IPv4 zu IPv6 zu wechseln

Spezielle Anpassungen

Protokolle wie HTTP, SMTP und FTP

• erforderlich, um eine vollständige Funktionalität über beide Protokollversionen zu gewährleisten

Upper Layer Protokolle

Seit einiger Zeit ist dies meist einfach, suchen Sie einfach nach einer Kommandozeilen-Option oder einer Konfigurationsvariable, um das Lauschen an IPv6-Adressen zu aktivieren

• Schauen Sie dazu in den Manual-Seiten des Daemons oder in den entsprechenden FAQs nach
• Es kann allerdings sein, daß sich der Daemon nur an die IPv6-"any"-Adresse (::) binden läßt und kein dediziertes Binden an eine spezielle IPv6-Adresse möglich ist (das hängt von der Unterstützung des Programmierers ab)

Sicherheit

Skript/IPv6/Zusammenfassung - Sicherheit von IPv6-Knoten

Beschreibung

QoS

IPv6/QoS - Quality of Service mit IPv6

Beschreibung

IPv6 unterstützt QoS durch die Anwendung von

• Flow Labels
• Traffic Classes

Router

Skript/IPv6/Zusammenfassung

Beschreibung

Migration

Skript/IPv6/Zusammenfassung - Umstieg von IPv4 auf IPv6

Beschreibung

IPv4 und IPv6 können auf derselben Infrastruktur parallel betreiben werden

Betriebssystem

Geeignete Betriebssysteme benötigen keine neuen

• Leitungen
• Netzwerkkarten
• Geräte

Unterstützung

IPv6 sollte von aktuellen Betriebssystemen angemessen unterstützt werden

Fehlende Unterstützung

• ...

Mechanismen für einen Übergang von IPv4 zu IPv6

• Für Geräte, die ausschließlich über IPv4 oder IPv6 angebunden werden können
• IPv6 wird dabei in der Regel hinzugeschaltet und bevorzugt
• Ohne IPv4 abzuschalten

Mechanismen

Parallelbetrieb

IPv6/Parallelbetrieb

Tunnel

IPv6/Tunnel

Übersetzung

IPv6/Translation

Zusammenfassung

IPv6-Übergangsmechanismen

Firewall

IPv6/Firewall

Beschreibung

• Protokolle
• Netze

ICMP

Internet Control Message Protocol (ICMP) ist Kernbestandteil der Internetprotokollfamilie

• Austausch von Fehlermeldungen und Informationsnachrichten

IPv4

Bei IPv4 ist es gängige Praxis, ICMP an der Firewall zu blockieren

Bedeutung von ICMPv6

Für wichtige Mechanismen unerlässlich

• z.B.pMTUd

Eine undifferenzierte Filterung von ICMPv6 kann Erreichbarkeitsprobleme mit sich bringen

Daher sollte bei IPv6 keine generelle Sperrung von ICMPv6 erfolgen

Folgende ICMPv6-Typen sollten zumindest teilweise zugelassen werden (vgl. auch RFC/4890)

• Nicht genannte Typen sollten gesperrt werden

• Die Bezeichnungen „vom Internet“ und „zum Internet“ beziehen sich jeweils auf das System, das die Verbindung aufbaut oder deren Endpunkt darstellt (in der Regel ein ALG)

Legende

• 1 = von der Management-Station aus
• 2 = zur Management-Station hin
• 3 = ohne Forwarding
• 4 = ausgehend vom Router

Quelle

• https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_057.pdf?__blob=publicationFile&v=1

OPNsense

iptables

Regeln Client

* mangle
 : PREROUTING ACCEPT [ : ]
 : INPUT ACCEPT [ : ]
 : FORWARD ACCEPT [ : ]
 : OUTPUT ACCEPT [ : ]
 : POSTROUTING ACCEPT [ : ]
 COMMIT
 #
 * filter
 : INPUT DROP [ : ]
 : FORWARD DROP [ : ]
 : OUTPUT ACCEPT [ : ]
 : ndp-slaac - [ : ]
 : trashlog - [ : ]
 -A INPUT -i lo -j ACCEPT
 -A INPUT -m conntrack -- ctstate INVALID -j trashlog
 -A INPUT -m conntrack -- ctstate RELATED , ESTABLISHED -j ACCEPT
 -A INPUT -p ipv6-icmp -j ndp-slaac
 -A INPUT -s fe80::/1 -d fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -m conntrack -- ctstate NEW -j ACCEPT
 -A INPUT -s fe80::/1 -p tcp -m tcp -- dport 22 -m conntrack -- ctstate NEW -j ACCEPT
 -A OUTPUT -o lo -j ACCEPT
 -A ndp-slaac -p ipv6-icmp -m icmp6 --icmpv6-type 133 -m hl --hl-eq 255 -j ACCEPT
 -A ndp-slaac -p ipv6-icmp -m icmp6 --icmpv6-type 134 -m hl --hl-eq 255 -j ACCEPT
 -A ndp-slaac -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
 -A ndp-slaac -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT
 -A ndp-slaac -p ipv6-icmp -m icmp6 --icmpv6-type 137 -m hl --hl-eq 255 -j ACCEPT
 -A ndp-slaac -p ipv6-icmp -m icmp6 --icmpv6-type 130 -m hl --hl-eq   1 -j ACCEPT
 -A ndp-slaac -p ipv6-icmp -m icmp6 --icmpv6-type 131 -m hl --hl-eq   1 -j ACCEPT
 -A ndp-slaac -p ipv6-icmp -m icmp6 --icmpv6-type 132 -m hl --hl-eq   1 -j ACCEPT
 -A ndp-slaac -p ipv6-icmp -m icmp6 --icmpv6-type 143 -m hl --hl-eq   1 -j ACCEPT
 -A trashlog -j LOG -- log - prefix " TRASHLOG : " --log - level 5
 -A trashlog -j DROP
 COMMIT

Regeln Router

* mangle
: PREROUTING ACCEPT [ : ]
: INPUT ACCEPT [ : ]
: FORWARD ACCEPT [ : ]
: OUTPUT ACCEPT [ : ]
: POSTROUTING ACCEPT [ : ]
COMMIT
#
* filter
: INPUT DROP [ : ]
: FORWARD DROP [ : ]
: OUTPUT ACCEPT [ : ]
: bad - eh - [ : ]
: icmpv6-filter - [ : ]
: ndp-minimal - [ : ]
: trashlog - [ : ]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack -- ctstate RELATED , ESTABLISHED -j ACCEPT
-A INPUT -m conntrack -- ctstate INVALID -j trashlog
-A INPUT -p ipv6-icmp -j ndp-minimal
-A INPUT -i eth1 -p ipv6-icmp -m icmp6 --icmpv6-type 133 -m hl --hl-eq 255 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp -- dport 53 -m conntrack -- ctstate NEW -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp -- dport 53 -m conntrack -- ctstate NEW -j ACCEPT
-A FORWARD -m conntrack -- ctstate RELATED , ESTABLISHED -j ACCEPT
-A FORWARD -p ipv6-icmp -j icmpv6-filter
-A FORWARD -i eth1 -o sixxs -m conntrack -- ctstate NEW -j ACCEPT
-A FORWARD -i eth1 -o nat64 -m conntrack -- ctstate NEW -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A bad - eh -m rt --rt - type --rt - segsleft -j DROP
-A icmpv6-filter -s fe80::/1 -j DROP
-A icmpv6-filter -d fe80::/1 -j DROP
-A icmpv6-filter -s 2a01:198:200:8a23::/64 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -m conntrack -- ctstate NEW -j ACCEPT
-A icmpv6-filter -d 2a01:198:200:8a23:200:ff:fe60:d1e/128 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -m conntrack -- ctstate NEW -j ACCEPT
-A icmpv6-filter -d ff00::/8 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j DROP
-A icmpv6-filter -s 2a01:198:200:8a23::/64 -p ipv6-icmp -m icmp6 --icmpv6-type 2   -j ACCEPT
-A icmpv6-filter -s 2a01:198:200:8a23::/64 -p ipv6-icmp -m icmp6 --icmpv6-type 3/1 -j ACCEPT
-A icmpv6-filter -s 2a01:198:200:8a23::/64 -p ipv6-icmp -m icmp6 --icmpv6-type 4/0 -j ACCEPT
-A icmpv6-filter -s 2a01:198:200:8a23::/64 -p ipv6-icmp -m icmp6 --icmpv6-type 4/1 -j ACCEPT
-A icmpv6-filter -s 2a01:198:200:8a23::/64 -p ipv6-icmp -m icmp6 --icmpv6-type 4/2 -j ACCEPT
-A icmpv6-filter -s 2a01:198:200:8a23::/64 -p ipv6-icmp -m icmp6 --icmpv6-type 1   -j ACCEPT
-A icmpv6-filter -s 2a01:198:200:8a23::/64 -p ipv6-icmp -m icmp6 --icmpv6-type 3/0 -j ACCEPT
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 133 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 137 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 130 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 131 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 132 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 143 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 147 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 139 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 140 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 144 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 145 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 146 -j DROP
-A icmpv6-filter -p ipv6-icmp -m icmp6 --icmpv6-type 147 -j DROP
-A icmpv6-filter -j DROP
-A ndp-minimal -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
-A ndp-minimal -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT
-A ndp-minimal -p ipv6-icmp -m icmp6 --icmpv6-type 137 -m hl --hl-eq 255 -j ACCEPT
-A ndp-minimal -p ipv6-icmp -m icmp6 --icmpv6-type 130 -m hl --hl-eq   1 -j ACCEPT
-A ndp-minimal -p ipv6-icmp -m icmp6 --icmpv6-type 131 -m hl --hl-eq   1 -j ACCEPT
-A ndp-minimal -p ipv6-icmp -m icmp6 --icmpv6-type 132 -m hl --hl-eq   1 -j ACCEPT
-A ndp-minimal -p ipv6-icmp -m icmp6 --icmpv6-type 143 -m hl --hl-eq   1 -j ACCEPT
-A trashlog -j LOG -- log - prefix " TRASHLOG : " --log - level 5
-A trashlog -j DROP
COMMIT

Tunnel

Skript/IPv6/Zusammenfassung

Beschreibung

Verfahren

Anhang

Siehe auch

Dokumentation

RFC

Links

Weblinks

</noinclude>

Subnetting

IPv6/Subnetting - IPv6-Adressen mit Subnetzmasken in Netz- und Host-Teil unterteilen

Beschreibung

Wie bei IPv4 können IPv6-Adressen mittels Subnetzmasken (subnet masks) in einen Netz- und einen Host-Teil unterteilt werden

Präfixlängen für das Routing

Um eine maximale Reduktion an Routing-Tabellen zu erzielen, war in der frühen Design-Phase noch ein vollkommen hierarchischer Routing-Ansatz vorgesehen

• Die Überlegungen hinter diesem Ansatz waren die gegenwärtigen IPv4 Routing-Einträge in den Haupt-Routern (mit über 400.000 Einträgen im Jahr 2013) sowie die Reduktion des Speicherbedarfs für die Routing-Tabellen bei Hardware-Routern (ASIC "Application Specified Integrated Circuit", speziell konstuierter Chip) sowie ein daraus resultierender Geschwindigkeitszuwachs (weniger Einträge ergeben hoffentlich schnellere Abfragen)

Heutiger Standpunkt ist, dass das Routing für Netzwerke mit nur einem Service Provider hauptsächlich mit einem hierarchischen Design realisiert wird

• Eine solche Vorgehensweise ist nicht möglich, wenn mehr als eine ISP-Verbindung besteht
• Diese Problematik wird unter dem Thema multi-homing diskutiert (Infos zu multi-homing: drafts-ietf-multi6-*,IPv6 Multihoming Solutions)

Präfixlängen (netmasks)

Vergleichbar zu IPv4, handelt es sich hierbei um den routbaren Netzwerkpfad für das stattfindende Routing

• Da die Standard-Notierung der Netzmaske von 128 bit nicht sehr fein aussieht, verwenden die Designer das aus IPv4 bekannte Classless Inter Domain Routing Schema (CIDR, RFC 1519 / Classless Inter-Domain Routing)
• Mit Hilfe des CIDR wird die Bitanzahl der IP Adresse festgelegt, welche für das Routing verwendet werden
• Diese Methode wird auch als "Slash"-Notation genannt

Beispiel

Diese Notation wird erweitert zu

• Netzwerk
• Netzmaske

Zutreffende Routen

Im Normalfall (ohne QoS) ergibt eine Suche in der Routing-Tabelle eine Route mit der signifikantesten Adress-Bit-Anzahl, d. h. jene Route mit der größten Präfix-Länge wird zuerst herangezogen

Wenn beispielsweise eine Routing-Tabelle folgende Einträge zeigt (Liste ist nicht komplett)

Die gezeigten Zieladressen der IPv6 Pakete werden über die entsprechenden Geräte geroutet