Beruflich Dokumente
Kultur Dokumente
Inhalt 1. Einleitung............................................................................................................................3 1.1. Begriffserluterungen .................................................................................................3 1.2. Historisches.................................................................................................................3 2. Neuheiten im IPv6 und Unterschiede zum IPv4.................................................................4 2.1. Der Adressraum ..........................................................................................................4 2.2. Aufteilung des Adressraums.......................................................................................5 2.2.1. Kompatibilittsadressen......................................................................................5 2.2.2. Unicast-Adressen ................................................................................................5 2.2.3. Unique local address (ULA, Unicast) .............................................................6 2.2.4. Multicast-Adressen .............................................................................................6 2.2.5. Anycast-Adressen ...............................................................................................7 2.2.6. Broadcast-Adressen ............................................................................................7 2.2.7. Zusammenfassung der Adressrume ..................................................................7 2.3. (Statuslose) Autokonfiguration ...............................................................................8 2.3.1. Grundlagen der Autokonfiguration.....................................................................8 2.3.2. Neighbor Discovery Protocol .............................................................................9 2.3.3. Mechanismen des Neighbor Discovery Protocol..............................................10 2.3.4. Eingriffe in die Autokonfiguration ...................................................................11 2.3.5. Umnummerierung, Re-Adressierung................................................................11 2.4. Header.......................................................................................................................11 2.4.1. Basisheader .......................................................................................................11 2.4.2. Erweiterungsheader ..........................................................................................12 2.5. Sicherheit ..................................................................................................................13 2.5.1. Authentifizierung der Daten .............................................................................14 2.5.2. Verschlsselung der Daten ...............................................................................14 2.5.3. Address Privacy ................................................................................................15 2.6. Mobile IPv6 ..............................................................................................................16 3. Glossar ..............................................................................................................................20 4. Quellennachweis...............................................................................................................22 Tabellen Tabelle 1 : Adressrume im IPv6 ...............................................................................................7 Tabelle 2 : Aufbau eines IPv6-Basis-Headers ..........................................................................12 Tabelle 3 : Felder eines IPv6-Basis-Headers............................................................................12 Tabelle 4 : IPv6-Erweiterungs-Header .....................................................................................13 Tabelle 5 : Transportmodus : IP-Datenpaket vor Einfgen eines Authentication Headers......14 Tabelle 6 : Transportmodus : IP-Datenpaket nach Einfgen eines Authentication Headers....14 Tabelle 7 : Tunnelmodus : IP-Datenpaket nach Einfgen eines Authentication Headers........14 Tabelle 8 : Transportmodus: IP-Datenpaket ohne Verschlsselung.........................................15 Tabelle 9 : Transportmodus: : IP-Datenpaket mit Verschlsselung .........................................15 Tabelle 10 : Tunnelmodus : IP-Datenpaket nach Einfgen eines Authentication Headers......15 Abbildungen Abbildung 1: Normaler Betrieb an der Home Address ............................................................17 Abbildung 2: Binding Update...................................................................................................17 Abbildung 3: Binding Acknowledgement ................................................................................18 Abbildung 4: Handover ............................................................................................................18 Abbildung 5: Folgender Datenverkehr .....................................................................................19
1. Einleitung
1.
Einleitung
Diese Arbeit soll die Hauptunterscheidungsmerkmale zwischen den Internetprotokollen der Version 4 und der Version 6 aufzeigen. Dabei wird hauptschlich auf die fr den Endanwender interessanten Merkmale eingegangen; tiefergehende technische Details werden bewusst nur am Rande genannt, da sie den Rahmen dieser Arbeit sprengen wrden.
1.1. Begriffserluterungen
Das Krzel IP steht fr Internet Protocol. Ein Protokoll im Sinne eines Netzwerkprotokolls ist eine Konvention zum Austausch von Daten zwischen Computern (oder auch anderen Gerten). Das IP tritt in der Regel zusammen mit dem Transmission Control Protocol TCP als TCP/IP auf. Das TCP ist dabei fr die OSI-Schicht 4 (Transport) zustndig und setzt auf das IP (OSI-Schicht 3 Vermittlung) auf. Ein weiteres wichtiges Protokoll fr den Netzwerkverkehr ist das Internet Control Message Protocol (ICMP), das zwar eigentlich in der OSI-Schicht 4 angesiedelt, jedoch im IP integriert ist. Dieses Protokoll dient zum Austausch von Kontroll-, Fehler- und Steuerdaten. Das einfachste Beispiel fr den Einsatz des ICMP ist der Ping-Befehl : eine ICMP-Nachricht Echo request wird mit einer ICMP-Nachricht Echo reply beantwortet. Alle Standards, die das Internet betreffen, sind in den sogenannten RFCs definiert. RFC steht fr Request for Comments. Hierbei handelt es sich um eine Dokumentensammlung, die von der Internet Engineering Task Force (IETF) und der Internet Engineering Steering Group (IESG) gefhrt wird.
1.2. Historisches
Der erste brauchbare Standard fr ein Internet-Protokoll war das IPv4 (v4 steht fr Version 4), das 1981 mit dem RFC 791 definiert wurde. (TCP : RFC 973, ebenfalls 1981). Es lste das DoD standard Internet Protocol (IPv3, RFC 760) von 1980 ab und verhalf nicht nur dem Internet zum Durchbruch, sondern ist derzeit auch DAS Netzwerkprotokoll berhaupt nicht nur fr das Internet, sondern auch fr Intranets. Es hat praktisch alle anderen Netzwerkprotokolle (z.B. IPX) weitgehend verdrngt. Der Erfolg des IPv4 war aber auch gleichzeitig dessen grtes Problem: die zunehmende Verbreitung und immer wichtiger werdende Sicherheitsanforderungen machten schon Anfang der 90er klar, dass ein neues Protokoll von Nten ist. Ab 1993 begann die IETF dann ernsthaft damit, ein neues Protokoll auszuarbeiten, bis schlielich 1998 das IPv6 (RFC 2460) verffentlicht wurde (v6 steht wer htts gedacht fr Version 6). Ein zwischenzeitlich
1. Einleitung
entworfenes IPv5 stellte sich als Totgeburt heraus, vor allem, weil die groen Soft- und Hardware-Hersteller aus Kostengrnden nicht bereit waren, diesen Standard zu untersttzen. Mittlerweile haben aber auch die Groen die Notwendigkeit eines neuen Standards eingesehen, so dass IPv6 langsam auf dem Vormarsch ist. Windows XP bietet die Umsetzung dieses neuen Protokolls beispielsweise ab dem Service Pack 2, Linux ab der Kernel-Version 2.6 und MacOS ab der Version 10.2.
2.
wiederum Adressrume an ihre Kunden weitergeben, welche ihr Netz dann in Subnetze unterteilen knnen Diese Adressen sind vergleichbar mit den normalen, nicht reservierten Adressen des IPv4. Weitere Unicast-Adresstypen sind die link local- und die site local-Adressen. Diese haben nur in ihrem eigenen Subnetz (link local), bzw. im eigenen Netz (site local) Gltigkeit und werden von Routern nicht auerhalb ihres Gltigkeitsbereiches verfgbar gemacht. Man kann sie mit den privaten Netzwerkadressen des IPv4 vergleichen (z.B. 192.168.x.x). Die site local-Adressen wurden mit RFC 3879 verworfen, da mit den Unique Local Addresses eine bessere Alternative definiert ist. 2.2.3. Unique local address (ULA, Unicast) Wie der Name schon andeutet sind ULAs Adressen, die zwar privat, also auf ein bestimmtes Netz beschrnkt, aber dennoch weltweit eindeutig sind. Die Idee dazu erwuchs im Wesentlichen aus Sicherheitsbedenken. Im IPv4 waren die privaten Adressen immer gleich (192.168.x.x oder 10.x.x.x), so dass diese Adressen fr Angriffe von auen relativ leicht zu erraten waren. Auerdem bestand die Gefahr der Verwechslung bei Verbindungen zwischen zwei oder mehreren privaten Netzen (bei Fehlkonfigurationen wre es mglich, dass beispielsweise unter der Adresse 192.168.0.3 mehr als ein Host angesprochen wird, da in jedem der privaten Netze dieser Host vorkommen knnte). Da die ULAs jedoch zustzlich eine eindeutige Netz-ID beinhalten bestehen diese Gefahren im IPv6 nicht mehr. Der Hauptunterschied zwischen den ULAs und den site local-Adressen ist also, dass ULAs von einer bergeordneten Stelle vergeben (und somit weltweit eindeutig) sind, site locals hingegen praktisch nach Belieben von Netzwerkadministratoren vergeben werden drfen. Aufgrund des privaten Charakters dieser Adressen lassen sie sich im IPv4 am ehesten mit den dortigen privaten Netzen (z.B. 192.168.x.x) vergleichen. 2.2.4. Multicast-Adressen Dieser Adresstyp fasst eine ganze Gruppe von Empfngern zusammen, so dass es mglich wird, Daten in einem Rutsch an mehr als einen Empfnger zu senden, z.B. fr Konferenzschaltungen, Bildbertragungen (Internet-TV) oder hnliches. Auch hier knnen wieder verschiedene Gltigkeitsbereiche unterschieden werden. Es existieren derer fnf: knotenlokal (auf den Knoten beschrnkt) linklokal (auf ein Subnetz beschrnkt) sitelokal (auf ein Netz beschrnkt) organisationslokal (auf eine bestimmbare Gruppe von Netzen beschrnkt) global (keine Beschrnkung, weltweiter Multicast)
2.2.5. Anycast-Adressen Whrend es Unicast- und Multicast-Adressen auch im IPv4 gibt, sind die so genannten Anycast-Adressen ein echtes Novum im IPv6. Mit derart adressierten Datenpaketen wird hnlich wie im Multicast zunchst einmal wieder eine ganze Gruppe von Empfngern angesprochen. Das besondere ist hier allerdings, dass sich nur einer der Empfnger tatschlich angesprochen fhlt nmlich derjenige, der als erster darauf reagiert. Prinzipiell ist daher eine Anycast-Adresse genauso aufgebaut wie eine Unicast-Adresse; nur ist diese Unicast-Adresse mehreren Gerten zugeordnet, von denen sich dann aber nur eines wirklich dafr interessiert. Ein Beispiel fr die Anwendungsmglichkeit von Anycast-Gruppen wren DNS- oder Webserver. 2.2.6. Broadcast-Adressen Die aus IPv4 bekannten Broadcast-Adressen gibt es im IPv6 nicht mehr. Zur Erinnerung: eine Broadcast-Adresse war im IPv4 die hchste verfgbare Adresse im lokalen Netz (z.B. 192.168.255.255/16) und war nicht einem einzigen Gert zugeordnet, sondern diente als Rundruf-Adresse an alle Netzwerkteilnehmer. 2.2.7. Zusammenfassung der Adressrume Die folgende Tabelle soll einen kurzen berblick ber die wichtigsten Adresstypen gem RFC 2373 geben. Wie man erkennen kann, ist bisher nur ein sehr kleiner Teil der mglichen Adressen spezifiziert (weniger als 15 %), so dass noch reichlich Mglichkeiten fr zuknftige Erweiterungen verfgbar sind. Verwendung Undefinierte Adresse Loopback, Local host Abbildung von IPv4-Adressen Abbildung von NSAP-Adressen Abbildung von IPX-Adressen Unicast : Unique global address Unicast : Link local adress Unicast : Site local adress (berholt, abgelst von ULA) Unicast : Unique Local Address, ULA Multicast Tabelle 1 : Adressrume im IPv6 Adressbereich 0000::0 0000::1 0000::FFFF: 0200: bis 03FF: 0400: bis 05FF: 2000: bis 3FFF: FE80: bis FEBF: FEC0: bis FEFF: FC00: FC01: FF01: Anzahl Adressen 1 1 4,3 x 109 2,6 x 1036 2,6 x 1036 4,3 x 1037 3,3 x 1035 3,3 x 1035 Anteil am Adressraum
DHCP funktioniert zwar auch mit IPv6, sollte aber zugunsten der Autokonfiguration zurcktreten. Nur wenn ein Netzwerkadministrator verstrkt auf die Adressvergabe Einfluss nehmen will, ist die Nutzung von DHCP auch im IPv6 sinnvoll, da die Einflussmglichkeiten im Rahmen der Autokonfiguration sehr beschrnkt sind. Eine weitere wichtige Neuerung im IPv6 ist die zeitlich begrenzte Gltigkeitsdauer von IPAdressen. Dadurch bedingt muss jeder Knoten die Autokonfiguration in bestimmten (definierbaren) Abstnden erneut durchlaufen. Damit werden nderungen an den Netzwerkparametern (z.B. Berechtigungen) sptestens nach diesem definierten Zeitraum fr alle Knoten wirksam. 2.3.2. Neighbor Discovery Protocol Die Spezifikationen fr die unter 2.3.1. aufgefhrten Funktionen der Autokonfiguration finden sich im Neighbor Discovery Protocol (NDP) gem RFC 2461. Es bernimmt Aufgaben, fr die im IPv4 noch mehrere Protokolle ntig waren: u.a. ARP (Address Resolution Protocol), DHCP (Dynamic Host Configuration Protocol), ICMP Router Discovery und ICMP Redirect. Das NDP definiert folgende Funktionen: Router Discovery: Verfahren zum Auffinden von Routern in einem Link. Prefix Discovery: Verfahren zur Ermittlung des Netzwerk-Prefix und zur Ermittlung von link-Lokalitt und site-Lokalitt Parameter Discovery: Verfahren zur Ermittlung von Netzwerkparametern (z.B. Hop Limits) Address Autoconfiguration: Verfahren zur Ermittlung der link-lokalen IP-Adresse aus der MAC-Adresse Address Resolution = Umkehr der Address Autoconfiguration: Verfahren zur Ermittlung der MAC-Adresse aus der link-lokalen IP-Adresse Next Hop Determination: Verfahren zur Ermittlung des jeweils nchsten Ziel-Knotens fr Datenpakete, die ber mehrere Hops laufen
Neighbor Unreachability Detection: Verfahren zur Erkennung nicht erreichbarer Knoten Duplicate Address Detection: Verfahren zum Ausschluss doppelter Adressvergabe. Redirect: Verfahren zur Optimierung von Hop-Routen
Fr die praktische Ausfhrung dieser Funktionen sind im NDP fnf ICMP-Pakettypen definiert:
10
Router Solicitation: Anforderung eines Router Advertisement Router Advertisement: Bereitstellung von Konfigurationsinformationen durch den Router, s. nchstes Kapitel Neighbor Solicitation: Anforderung eines Neighbor Advertisement, s. nchstes Kapitel Neighbor Advertisements: Antwort auf eine Neighbor Solicitation, s. nchstes Kapitel Redirect Message: Nachricht zur Durchfhrung eines Redirect, s. nchstes Kapitel
2.3.3. Mechanismen des Neighbor Discovery Protocol Router Solicitation / Router Advertisement (Aus dem Englischen : Solicitation = Bewerbung / Advertisement = Ankndigung) Router-Advertisement-Datenpakete werden in regelmigen Abstnden (i.d.R. alle 600 Sekunden) ausgesendet. Sie enthalten alle Daten, die die Knoten fr die Autokonfiguration bentigen (z.B. Hardware-Adresse des Routers, Prefix, Hop Limit, Lifetime...). Wenn ein Knoten keine Lust hat, im schlimmsten Fall bis zu 600 Sekunden auf das nchste Router Advertisement zu warten, so kann er eine Router Solicitation aussenden. Diese geht an die Multicast-Adresse FF02::2 und erreicht damit alle lokalen Router, die dann veranlasst werden, sofort ein Advertisement loszuschicken. Im Gegensatz zu den regelmigen Advertisements geht dieses aber direkt an den anfordernden Knoten und nicht an alle. Neighbor Solicitation / Neighbor Advertisement Die Neighbor Solicitation dient hauptschlich zur Ermittlung der MAC-Adresse eines anderen Knotens im selben Link. Sie wird aber auch genutzt, um die Erreichbarkeit eines bekannten Knotens zu berprfen oder fr die Ermittlung, ob eine IP-Adresse bereits vergeben ist. Die Antwort des angesprochenen Knotens erfolgt durch das Neighbor Advertisement (oder halt nicht, falls die Ziel-Adresse nicht vergeben oder nicht erreichbar ist). Redirect Messages Da kein Router auf die Idee kommen wrde, mglichst viel Datenverkehr an sich zu reien, gibt es im IPv6 einige Mechanismen, um Anfragen abzuwimmeln. Das einfachste Szenario wre die Reduktion von Traffic im eigenen Knoten. Ist ein Router vorhanden, so luft der Verkehr berlicherweise ber ihn. Sendet aber nun ein Knoten Daten an einen anderen Knoten desselben Links, so ist es natrlich Unsinn, diese Daten auch ber den Router zu leiten. Ein schlauer IPv6-Router merkt dies und teilt dem absendenden Knoten per Redirect Message mit, dass sein Ziel im eigenen Link liegt und liefert die MAC-Adresse gleich mit. So kann folgender Verkehr direkt zwischen den beiden betreffenden Knoten ablaufen.
11
Ein anderer Einsatz von Redirect Messages findet sich in Netzen mit mehreren Routern. Ist ein Router berlastet oder ein Umweg fr die ber ihn laufenden Datenpakete, so kann er den angeschlossenen Knoten Alternativ-Router zuweisen, um den Datenverkehr zu optimieren. 2.3.4. Eingriffe in die Autokonfiguration Die Autokonfiguration luft zwar wie man anhand des Namens annehmen sollte weitgehend automatisch ab, dennoch kann in gewissem Rahmen Einfluss genommen werden. Da die meisten Aufgaben der Autokonfiguration von den Routern bernommen werden, kann das Netzwerk dort durch Einstellung bestimmter Parameter angepasst werden. Dies betrifft z.B. die Einstellung der Frequenz der Router Advertisements, Prefixe, Adressrume usw. 2.3.5. Umnummerierung, Re-Adressierung Aus den oben beschriebenen Vorgngen bei der Autokonfiguration wird deutlich, dass eine komplette Re-Adressierung eines Netzes (z.B. bei Provider- oder Adressraumwechsel) unter IPv6 kein Problem mehr darstellt. War dies unter IPv4 noch eine sehr aufwndige Angelegenheit, bei der im schlimmsten Fall alle Adressen von Hand gendert werden mussten, so werden unter IPv6 einfach einige Parameter im zustndigen Router angepasst. Sptestens nach dem nchsten turnusmigen Durchlauf der Autokonfiguration (nach Ablauf der Gltigkeit einer IP-Adresse) ist das komplette Netz wieder auf dem aktuellen Stand.
2.4. Header
2.4.1. Basisheader IP-Datenpakete bestehen aus einem oder mehreren Headern (frei bersetzt Einleitungen) und dem Payload, den eigentlichen Daten. Wie diese Header im IPv6 auszusehen haben, ist im RFC 2460 definiert. Whrend es im IPv4 nur den Header gab, unterscheidet man bei IPv6 zwischen einem Basisheader und einem oder mehreren optionalen Erweiterungsheadern. Die Definition von neuen Headern war allein schon deshalb ntig, weil die neuen IPv6-Adressen in den alten IPv4-Headern nicht ohne weiteres unterzubringen waren. Der Basisheader muss jedem IPv6-Datenpaketes vorangehen, hat eine feste Gre und ist wie folgt aufgebaut:
12
4 Bit Version
4 Bit Class
4 Bit
4 Bit
4 Bit
4 Bit
4 Bit
Payload Length
Next Header
Hop Limit
Source Address
Destination Address
Tabelle 2 : Aufbau eines IPv6-Basis-Headers Dabei haben die einzelnen Felder folgende Bedeutungen: Version: Enthlt die Versionsnummer des Internet-Protokoll und ist 4 Bit lang (bei IPv6: 0110). Dieses Feld ermglicht die Unterscheidung und damit den parallelen Betrieb der verschiedenen Internet Protokolle wie IPv4 und IPv6. Ist ein 8 Bit langes Feld, welches die Prioritt des Datenpaketes enthlt. Die Prioritt wird vom Absender angegeben und dient den Routern des Transportweges dazu, Pakete je nach Netzauslastung auf unterschiedlichen Wegen zum Empfnger zu senden oder sogar zu verwerfen. Enthlt eine 20 Bit lange Identifikationsnummer, die dafr genutzt wird, um Pakete zu kennzeichnen, bei denen eine besondere (z.B. bevorzugte) Behandlung durch IPv6 Router gewnscht wird. Ein denkbarer Anwendungsfall liegt bei Verbindungen mit Echtzeitanforderung (z.B. fr Videokonferenzen) vor. Gibt die Gre des auf den Header folgenden Nutzdaten-Paketes in Octets an (16-Bit-Zahl, max. Gre: 65536 * 1 Byte = 64 kByte). 8-Bit-Wert. Identifiziert falls vorhanden - den Typ des ersten Erweiterungsheaders (s.u.). Ebenfalls ein 8-Bit-Wert. Legt fest, ber wie viele Zwischenstationen ein IP-Paket maximal laufen darf. Dieser Wert wird von jedem Router, den das Paket passiert um eins heruntergezhlt und ggf. verworfen, wenn er Null erreicht hat. Enthlt die 128 Bit lange Adresse des Absenders Enthlt die 128 Bit lange Adresse des Empfngers
Class:
Flow Label:
Tabelle 3 : Felder eines IPv6-Basis-Headers 2.4.2. Erweiterungsheader Zustzlich zum Basisheader knnen einem IPv6-Datenpaket ein oder mehrere Erweiterungsheader zugeordnet sein. Sie werden zum Transport zustzlicher Informationen
13
verwendet und zwischen dem Basisheader und dem Payload (Nutzdaten) eingefgt. Im IPv4 waren diese Zusatzinformationen noch im normalen (und einzigen) Header eingefgt, wodurch die Lnge eines IPv4-Headers variabel war und in einem Feld (Internet Header Length, IHL) definiert werden musste. Zur Zeit sind fr IPv6 sechs Erweiterungsheader definiert: Hop-by-Hop Options Header Enthlt Optionen die bei jeder Zwischenstation des Paketes auf dessen Weg durch das Netz abgearbeitet werden mssen. Routing Header Beeinflusst den Weg, den ein Datenpaket auf dem Weg vom Absender zum Empfnger durch das Netz nimmt ( Mobile IPv6, Kap. 2.6.). Fragment Header IPv6-Router drfen im Gegensatz zu IPv4-Routern Datenpakete nicht fragmentieren (aufsplitten). Die Pakete mssen stattdessen vom Absender selbst fragmentiert werden. Mit Hilfe der im Fragment-Header enthaltenen Informationen ist es dem Empfnger mglich, diese Datenpakete dann wieder richtig zusammenzusetzen.. Authentication Header Gibt dem Empfnger die Mglichkeit, festzustellen, ob ein Datenpaket tatschlich vom angegebenen Absender stammt, oder ob es unterwegs verndert wurde. Encapsulating Security Wird zur Verschlsselung des Pakets per IPSec bentigt. Payload Header Destination Options Header Enthlt Informationen, die nur vom Zielknoten ausgewertet werden. Tabelle 4 : IPv6-Erweiterungs-Header Sollten mehrere Erweiterungsheader bentigt werden, so mssen sie in der o.a. Reihenfolge angeordnet sein. Jeder Header enthlt dabei in einem Feld Next Header einen Verweis auf den nchsten Header, bzw. auf den Payload, falls keine weiteren Header folgen. Durch die Einfhrung von Erweiterungsheadern wird das IPv6 deutlich flexibler und skalierbarer als IPv4. Bedingt durch die Gre des IHL-Feldes des IPv4-Headers kann dieser maximal 15 x 4 = 60 Bytes gro werden. Im IPv6 hingegen gibt es keine Beschrnkung nach oben, da theoretisch beliebig viele Erweiterungsheader definiert und eingefgt werden knnen. Auch den gestiegenen Sicherheitsanforderungen wird mit dem neuen Header-Konzept Rechnung getragen, da wichtige Funktionen schon tief im Protokoll verankert sind.
2.5. Sicherheit
Beim Entwurf von IPv4 spielten Sicherheitsbetrachtungen keine wesentliche Rolle. Bei IPv6 hingegen wurde diese Problematik sehr ausgiebig diskutiert. Die Entwicklungen von Sicherheitserweiterungen fr IPv4 (IPSec) und die Implementierung von Sicherheitsstandards in IPv6 gingen nahezu parallel vonstatten, so dass sich beide Systeme sehr hnlich sind.
14
2.5.1. Authentifizierung der Daten Mit Hilfe des Authentication Headers (einer der Erweiterungsheader, definiert in RFC 2402) ist es mglich, die Echtheit eines Datenpaketes zu berprfen und sicherzustellen, dass das Paket whrend dem Transport nicht manipuliert wurde. Das Verfahren ist im Groen und Ganzen recht kompliziert, kurz gefasst kann man sagen, dass ber eine den Inhalt eines Datenpaketes eine Prfsumme gebildet wird, die vom Empfnger zurckgerechnet wird. Man unterscheidet bei der Authentisierung (wie auch spter bei der Verschlsselung) zwischen zwei Verfahren: dem Transportmodus und dem Tunnelmodus. Beim Transportmodus wird lediglich ein Datenpaket einer Verbindung gesichert (bzw. jedes Datenpaket einzeln). Der Authentication Header schtzt in diesem Modus alle Felder, die whrend des Transports nicht verndert werden drfen (das Hop Limit Feld z.B. darf natrlich verndert werden muss es sogar). BasisHeader ggf. andere ErweiterungsHeader Payload
Tabelle 5 : Transportmodus : IP-Datenpaket vor Einfgen eines Authentication Headers BasisHeader ggf. andere ErweiterungsHeader ggf. weitere Authentication ErweiterungsHeader Header Payload
Tabelle 6 : Transportmodus : IP-Datenpaket nach Einfgen eines Authentication Headers Beim Tunnelmodus wird die gesamte Verbindung abgesichert, indem eine sog. Punkt-zuPunkt (Point to Point, PPP) Verbindung eingerichtet wird. Dies wird in der Regel dann angewendet um zwei Punkte des Internets so zu verbinden, als befnden sich die beiden Rechner in einem Lokalen Netzwerk. Dazu wird das gesamte IP-Datenpaket in ein neues Datenpaket geschrieben, welches dann mit einem Authentication Header gesichert wird. ggf. weitere neue Erw.Header Neuer Payload Original ggf. Original Basis- ErweiterungsHeader Header Original Payload
Neuer BasisHeader
Tabelle 7 : Tunnelmodus : IP-Datenpaket nach Einfgen eines Authentication Headers 2.5.2. Verschlsselung der Daten Wenn man nicht nur sichergehen will, dass Daten unversehrt ankommen, sondern zustzlich auch verhindern mchte, dass Unbefugte in diesen Daten herumschnffeln, so ist eine Verschlsselung ntig. Im ursprnglichen IPv4-Protokoll ist eine Verschlsselung gar nicht vorgesehen, im Protokoll IPv6 hingegen schon (RFC 2406). Auch hierfr wird ein Erweiterungsheader verwendet. Dieser nennt sich Encapsulating Security Payload Header
15
oder kurz ESP, was auf Deutsch etwa soviel heit wie: Lasst uns sicherheitsrelevante Nutzlast einigeln. Die genauen Verfahren zur Durchfhrung der Verschlsselung und Authentifizierung sind nicht Bestandteil von IPv6 und - aus leicht einsichtigen Grnden - selbst ein ausgesprochen komplexes Thema. Daher soll an dieser Stelle nicht weiter darauf eingegangen werden. Es sei nur noch erwhnt, dass man auch bei der Verschlsselung zwischen einem Transport- und einem Tunnelmodus unterscheidet. Es gelten die gleichen Rahmenbedingungen wie bei der Authentifizierung der Daten. BasisHeader ggf. andere ErweiterungsHeader nicht verschlsselt Tabelle 8 : Transportmodus: IP-Datenpaket ohne Verschlsselung BasisHeader ggf. andere ErweiterungsHeader nicht verschlsselt ESP Header ggf. Destination Options-Header Payload Payload
verschlsselt
Tabelle 9 : Transportmodus: : IP-Datenpaket mit Verschlsselung Neuer Payload Neuer ggf. neue ggf. ESP Header Destination OptionsHeader Original BasisHeader ggf. Original Erweiterungs -Header Original Payload
nicht verschlsselt
verschlsselt
Tabelle 10 : Tunnelmodus : IP-Datenpaket nach Einfgen eines Authentication Headers 2.5.3. Address Privacy Ein weiteres Sicherheitsproblem - oder vielmehr ein Problem des Datenschutzes - bei IPv6 liegt in der automatischen Generierung von IPv6-Adressen aus der MAC-Adresse des Netzwerkgertes, wie in Kapitel 2.3. (Autokonfiguration) beschrieben. Kurze Erinnerung zum Thema MAC-Adresse: Die MAC-Adresse ist eine weltweit eindeutige Gerte-Identifikationsnummer fr Netzwerkgerte. Sie besteht aus 48 Bit, blicherweise gruppiert zu sechs jeweils 8-Bit langen Hexadezimalzahlen (z.B. 00-06-F4-06-9F-8E). Die ersten drei Gruppen geben dabei den Hersteller des Gertes an, die letzen drei Gruppen die
16
eigentliche Seriennummer. Ein Netzwerkgert mit der oben genannten MAC-Adresse wre daher als Gert der Firma Prime Electronics (Hersteller-Code 00-06-F4) zu identifizieren. Wenn ein Nutzer ber seinen Router eine Webseite anfordert, und der Router hat eine ausschlielich aus seiner MAC-Adresse generierte IP-Adresse, dann kann der Webseitenbetreiber mhelos feststellen, ber welche Hardware der Besucher auf seine Webseite gekommen ist. Damit das nicht passiert, wurden mit dem RFC 3041 die Privacy Extensions for Stateless Address Autoconfiguration in IPv6 eingefhrt kurz als IPv6 Address Privacy bezeichnet. Bei diesem Verfahren wird die IP-Adresse nicht ausschlielich aus der MAC-Adresse gebildet, sondern aus der MAC-Adresse und einer Pseudo-Zufallszahl. Dadurch wird die (sonst einfach zu errechnende) MAC-Adresse verschleiert. Im IPv4 gibt es derartige Sicherheitsprobleme nicht, da MAC-Adresse und IPv4-Adresse nicht voneinander abhngen, sondern quasi-beliebig von Routern, DHCP oder Administratoren zugeordnet werden knnen.
17
Verlsst der Knoten aber das Heimatnetz und wird anderswo ans Internet angekabelt (oder gewirelesst), dann wirds spannend. Auch im aktuellen, heimatfernen Netz erhlt der Knoten natrlich eine IP-Adresse. In diesem Fall wird sie als Care of Address (CoA) bezeichnet. Nun schickt der Knoten ein Binding Update-Datenpaket an den Heimatrouter, der normalerweise fr ihn zustndig wre. Dieses Datenpaket enthlt unter anderem die CoA.
18
Der Heimatrouter wird dadurch zum Home Agent befrdert und antwortet mit einem Binding Acknowledgement-Datenpaket. Dadurch teilt er dem mobilen Knoten mit, dass die Umleitung aktiviert und er nun wieder unter seiner Heimatadresse erreichbar ist.
Will nun ein anderer Knoten Daten an den mobilen Knoten senden, so werden diese Daten zunchst einmal vom Home-Agent-Router unter Verwendung eines RoutingErweiterungsheaders an die Care of Address weitergeleitet (sog. Handover).
Abbildung 4: Handover
19
Dabei wird die Adresse des Absenders mit durchgereicht, so dass der mobile Knoten fr den folgenden Datenverkehr direkt mit ihm in Verbindung treten kann und nicht mehr auf die Dienste des Home Agent zurckgreifen muss.
Jetzt wird auch deutlich, warum die Home Address eine Unique Address sein sollte. Wrde es sich um eine dynamische, temporre Adresse handeln, so wrde sie vom Router wieder gelscht und fr andere Nutzungen freigegeben werden, sobald der Knoten die Verbindung mit ihm verliert. Der Router knnte also ein Binding Update nicht zu einem lokalen Knoten zuordnen und wsste daher nicht welche Datenpakete er umleiten soll. Nicht vergessen darf man hier die Gefahr durch Angriffe von Hackern, die bei der Umleitung von Datenpaketen immer gegeben ist. Daher sind beim Einsatz von Mobile IPv6 einige Sicherheitsmechanismen (Header Sending Authentication, Data Integrety Protection, Replay Protection) unbedingt einzusetzen.
3. Glossar
20
3.
Glossar
Care Of Address, CoA : Momentane Nicht-Heimatadresse eines mobilen Gertes Handover : Weiterleitung von Daten an eine CoA Home Address : Heimatadresse eines mobilen Gertes Home Agent : Router, der Mobiliutts-Management bernimmt Hop : Weiterleitung eines Datenpaketes ber einen Router Hop Limit : Maximale Anzahl von Hops Host : ein Node, der nicht Router ist IANA : Internet Assigned Numbers Authority ICMP : Internet Control Message Protocol IETF : Internet Engineering Task Force IESG : Internet Engineering Steering Group IP : Internet Protocol IP-Adresse : Nummer zur Identifizierung eines Nodes im Internet-Verkehr IP-Header : Teile eines IP-Paketes mit Steuer- und Kontrollinformationen IP-Paket : Datenfolge aus IP-Header(n) und Payload IPSec : Internet Security Protocol Knoten : siehe Node Link : lokaler Zusammenschluss von Nodes ohne Verbindung zur Auenwelt Link local : auf den eigenen Link beschrnkt MAC-Adresse : Nummer, die die Hardware eines Nodes weltweit eindeutig identifiziert Neighbors : alle Nodes, die in einem Link zusammengeschlossen sind NetPrefix : Code fr die Unterteilung von IP-Adressen Netz : siehe Site Node : ein Netzwerkgert. Ein Knoten kann ein PC, ein Router, ein Terminal, ein Drucker, ein PDA oder irgendein anderes netzwerkfhiges Gert. Octet : Gruppee von 8 Bits; wurde eingefhrt, da nicht in allen Computersystemen 8 Bits = 1 Byte gilt OSI : Open Source Initiative OSI-Schichtenmodell : Modell fr die Organisation von Kommunikationstechnik
3. Glossar
21
Payload : Teil eines IP-Paketes mit den eigentlich zu bertragenden Nutzdaten Prefix : siehe NetPrefix Pseudozufallszahl : technische erzeugte Zahl, die nicht tatschlich rein zufllig ist, aber hnliche Eigenschaften hat RFC : Request for Comment Dokumentensammlung mit Internet-Standards Router : ein Gert, dass Datenpakete steuert, weiterleitet und weitere Management-Aufgaben bernimmt Site : lokaler Zusammenschluss von mehreren Links ohne Verbindung zur Auenwelt Site local : auf die eigene Site beschrnkt Subnetz : siehe Link TCP : Transfer Control Protocol
4. Quellennachweis
22
4.
Quellennachweis
Folgende Internet-Quellen wurden zur Erstellung dieser Arbeit herangezogen : http://www.ipv6-net.de/ http://de.wikipedia.org/ http://www.rfc-editor.org/ http://www.fh-fulda.de/~klingebiel/nbs-kolloquium/ipng1/ http://www.iana.org/ http://www.computerlexikon.com/
Folgende RFCs wurden zur Erstellung dieser Arbeit herangezogen : RFC 791 : Internet Protocol RFC 793 : Transmission Control Protocol RFC 1881 : IPv6 Address Allocation Management RFC 2373 : IP Version 6 Addressing Architecture RFC 2402 : IP Authentication Header RFC 2406 : IP Encapsulating Security Payload (ESP) RFC 2460 : Internet Protocol, Version 6 (IPv6) Specification RFC 2461 : Neighbor Discovery for IP Version 6 (IPv6) RFC 3041 : Privacy Extensions for Stateless Address Autoconfiguration in IPv6 RFC 3344 : IP Mobility Support for IPv4 RFC 3513 : Internet Protocol Version 6 (IPv6) Addressing Architecture RFC 3775 : Mobility Support in IPv6 RFC 3879 : Deprecating Site Local Addresses