IPv6 2022

Die Lage

• Das Pool an IPv4 Adressen ist schon seit Jahre erschöpft.
• Manche Anbieter können keine öffentliche IPv4 anbieten.
• In Deutschland gibt es kaum noch Provider die nicht IPv6 anbieten.

IPv6 2022 Web Präsenzen

• Einige Firmen und Behörden haben deren Netz und Webpräsenzen immer noch nicht mit IPv6 versehen!
• IPv4 und IPv6 sind. daher, auf der Endgeräte unerlässlich.

Anforderungen an den Systeme

Die Systeme, die mit dem Internet verbunden sind müssen sowohl IPv4 wie IPv6 sprechen.

Dualstack

• Dualstack bedeutet, dass Endgeräte sowohl IPv4 wie IPv6 sprechen.
• Dualstack-Lite, der Internet Dienst weist keine öffentliche IPv4 Adresse zu, IPv4-NAT wird auf den Server des Anbieters vorgenommen.
  • Die Kundengeräte können nur über IPv6 Adressen, aus den öffentlichen Netz erreicht werden.

Routing im Internet

• Hinter jeder IP Adresse-Bereiche steht ein Provider oder Organisation
  • Provider und Organisationen erhalten IP-Bereiche
  • Durch Mangel an IPv4-Bereiche und IP-Adressen sind komplizierte Routingtabellen notwendig.
• Besser als, die mit IPv4 entstandene Segmentierung der IP-Bereiche, ist eine topologisch aufgebauten IPv6 Adressen-Vergabe.

Nachteile IPv4

• Das Routing, bei IPv4 bedarf komplizierte Tabellen:
  • Segmentierung der IPv4:
    • Die Endadressen sind nicht mehr eindeutig einem Anbieter zugeordnet.
• Im Heimbereich muss eine Portweiterleitung vorgenommen werden
  • Interne Dienste, beispielsweise FTP, WEB, SSH müssen unterschiedliche Ports zugewiesen werden.
• NAT (Network Address Translation) muss die CPE (Router) durchführen.

NAT ist, entgegen einige Aussage kein Sicherheitsmerkmal.

Vorteile IPv4

• Die Adressen sind leichter zu merken als eine IPv4 Adresse.

Nachteile IPv6

• Die Adressen bestehen aus 8 hexadezimale 4-stellige Blöcke und können kompliziert erscheinen.

Vorteile IPv6

• Routing ist für ISP einfacher, keine elend lange Tabellen
  • Die Topologie des Netzes wird berücksichtigt.
• Jede System ist prinzipiell erreichbar.
  • Eine Portfreigabe muss allerdings eingerichtet werden
• Sub-Netze können leichter administriert werden.

IP Vergabe

IP-Vergabe durch RIPE

• Nachstehende Tabelle zeigt die Allozierung von IPv4 und IPv6 Adressen für Deutschland.
  • IP-Vergabe durch RIPE
  • Die IPv4 Bereiche sind umfangreich.
  • Wenige IPv6 Bereiche sind zugewiesen

Aufbau eine IPv6

2001:db8:dead:beef:12ff:fe34:5678:9abc
                   -------------------
-------------------                    /64 End Kunden,
-----------------                      /56 End Kunden mit Präfixdelegation
---------------                        /48 End Kunden / ISP-LIR
--------                               /32 ISP-LIR
-------                                /29 ISP-LIR
---                                    /12 RIR (RIPE: 2a00:)
-                                      /3 IANA, (2000::/3)

IPv6 Adressenarten

MC            ff00::/8
ULA           fc00::/7
LL            fe80::/64  fe80::/10
Öffentlich    2xxx::/64

• MultiCast
• Unique Local Address eintspricht die lokale IPv4 Adressen wie 192.168.0.0/16.
• Link Local Für L2 Routing usw.

Daneben existieren die Loopback-Adresse ::1 sowie 2 Arten von Adressen die Verwendung fanden um IPv4 im IPv6 Adressenbereich zu mappen:
::i.p.v.4
::ffff.i.p.v.4
beispielsweise: ::ffff:192.168.0.1 oder ::ffff:c0a8:0001

Adressenvergabe an den Endgeräte

• SLAAC: Die Adressen werden aus der /64 Präfix und der Mac des Netzwerkgerät gebildet.
• DHCPv6:
  • CPE Adressen aus Bildung des /64 Präfixes und der Mac-Addresse
  • Ein eigene DHCPv6 Server kann auch Bereiche zuweisen (beispielsweise 2001:db8::/128 bis (2001:db8::ffff/128)
  • Systeme des Heimnetzwerk können auch eine Präfix Delegation von der CPE anfordern (Subnetze bilden)

Adressenvergabe und Betriebssystem

• Wie immer spielt Windows eine Sonderrolle, SLAAC geht nicht, und weitere Ungereimtheiten sind vorhanden.
• MacOS und Unixoiden (inklusive Linux) unterstützen alles (es sind auch Betriebssysteme und keine Krücke).

Adressenvergabe und Anonymität

• Meistens werden temporäre IPv6 Adressen den Clients zusätzlich vergeben, dies soll verhindern, dass die Systeme identifiziert werden.

Die Temporäre Adressen haben nur eine limitierte Gültigkeitszeit, sie ändern sich immer wieder.

Dies ist ein Ansatzpunkt der fragwürdig ist. Anhand der Browser Daten kann wohl ein Rückschluss auf das verwendete Gerät gezogen werden. Dafür ist das Angreifen über ein schlecht abgesicherten Dienst (z.b. FTP) schwieriger, da eine Portfreigabe sich auf der echte IPv6 Adresse beziehen würde.

Geräte Sicherheit

• Ein Firewall ist ein Muss, sofern mann sich nicht im gut administrierten Home-Netzwerk befindet.
• Kein angeblichen Schutz durch das problematischen NAT

Interne Routing (ISO Schicht 3)

Die einzelne Rechner sende periodisch neighbor solicitation Nachrichten, diese werden automatisch von den andere Teilnehmer im Subnetz beantwortet. Eine Konfiguration ist im Regelfall nicht notwendig, der Kernel ist dafür zuständig, es ist eine Basisfunktion von IPv6.

icmp (Internet Control Message Protocol) ist eigentlich das richtige Verfahren für die Verwaltung der Internet Kommunikation.

arp (Address Resolution Protocoll) ist weniger sicher als icmpv6 NDP (Neighbor Discovery Protocoll). Damals galt das Internet als Sicher es war nicht für die breite Masse verfügbar.

Konfiguration im Heimbereich

• ipconfig und route sollten nicht verwendet werden (Legacy Software)
• ip ist leistungsfähiger und bietet mehr Möglichkeiten.
• Meistens ist der Einsatz nicht notwendig (nur wenn das eigene Netzwerk eine sonder Funktionalität, Subnetze, …) aufweisen soll.

Konfiguration in größere Organisationen

• Meistens wird ein /48 Adressenbereich vorhanden sein, damit kann saubere Routing stattfinden.
• Für jeden Subnetz ist entweder Radvd (SLAAC) oder ein DHCPv6 Server vorzusehen, es ändert sich wenig vom Vorgehen bei IPv4).
  • DHCPv6 bietet eine größere Funktionalität als Radvd.
• Subnetze können untereinander kommunizieren (oder auch nicht) aufgrund der zugewiesenen Netzmasken.
• Ein oder mehrere DNS-Server sind vorzusehen.
• Für jeden Subnetz ist gegebenenfalls eine Firewall einsetzbar.

Hauptvorteil von DHCPv6 ist, dass mehr Konfigurationsdaten übermittelt werden können und, dass ein Update des DNS stattfinden kann (Nicht unter Windows).

Beispiel

---- ---- ---- --        Delegierte Präfix
2001:0db8:cafe:ab00::/48 Direktion
2001:0db8:cafe:ab01::/48 Vertrieb
2001:0db8:cafe:ab02::/62 Entwicklung
2001:0db8:cafe:ab03::/62 Rechungswesen
2001:0db8:cafe:ab04::/64 Fertigung
2001:0db8:cafe:ab05::/64 Küche,...
2001:0db8:cafe:ab06::/64 Zentrale Dienste
2001:0db8:cafe:a800::/48 Standort B
2001:0db8:cafe:a800::/48 Direktion Standort B
2001:0db8:cafe:a804::/64 Fertigung Standort B

Real sind natürlich /64 Adresse vorzusehen, /48, /62 und /64 sollen nur die erlaubten Routen im Firmennetzwerk aufzeigen.

Durch Firewall und Routing, kann erreicht werden, dass jede Abteilung unterschiedliche Zugriff-Möglichkeit erhält.

Die Fertigung, muss nicht unbedingt im Web surfen können, dafür auf Zentrale Dienste zurückgreifen können. Das Rechnungswesen muss auch nicht von allen einsehbar sein. Die Regeln können entsprechend Anforderungen festgelegt werden und können durch Regeln (Routing und Firewalling).

IPv6 und NAT

• NAT66 wurde nicht vorgesehen, es ist im Prinzip unnötig und vie NAT44 kein saubere Lösung.
• NAT66 wurde später eingeführt (2009,2011?).
  • Verwendung findet bei Proxy Server, oft als VPN deklariert
  • VPN, wenn das gesamte Traffic einen Remote Client den Weg über der eigener Server nehmen soll.

Links

• RIPE NCC: IPv6 Host Configuration
• Best Current Operational Practice for Operators: IPv6 prefix assignment for end-users - persistent vs non-persistent, and what size to choose
• IPv6 Address Allocation and Assignment Policy
• Wikipedia IPv6
• RIR IPv6 Bereiche