Im Rahmen der IPv6-Migration sind Tunnel-Techniken eine Möglichkeit, IPv6-Inseln über eine IPv4-Only-Infrastruktur miteinander zu verbinden. Sie stellen Übergangsmechanismen dar, die früher oder später durch die native IPv6-Kommunikation abgelöst werden sollen. Das Problem bei einigen Tunnel-Technologien ist, dass sie unter bestimmten Bedingungen automatisch aktiviert werden. Hierzu gehören insbesondere:
- 6to4: Eine Tunnel-Technologie, die für die Kommunikation von IPv6-Knoten über das IPv4-Internet gedacht ist.
- ISATAP: Das Intra-Site Automatic Tunnel Addressing Protocol wird insbesondere von Microsoft genutzt und dient vorwiegend zur Kommunikation von IPv6-Knoten über Intranet-Strukturen innerhalb eines Unternehmens.
- Teredo: Benannt nach dem Schiffsbohrwurm (biologisch eigentlich eine Muschel), ist Teredo darauf spezialisiert, über NAT-Strukturen kommunizieren zu können, die anderen Tunnel-Technologien Schwierigkeiten bereiten.
Allen Tunnel-Technologien dieser Art ist gemein, dass IPv6-Pakete in IPv4-Header eingepackt und anschließend als IPv4-Paket weitergeleitet werden (Bild 3). Damit ist es sehr leicht möglich, dass unerwünschter Traffic durch Firewalls und andere Sicherheitssysteme hindurchgelangt, die den Inhalt der IPv4-Pakete nicht korrekt überprüfen. Einige Tunnelmechanismen wie 6to4 und Teredo nutzen festgelegte Präfixe, und der Algorithmus zur Bildung der gesamten IPv6-Tunneladresse ist so ausgelegt, dass automatisch global eindeutige Adressen erstellt werden. Damit ist ein System, das Tunneladressen verwendet, unter Umständen auch von außen problemlos erreichbar.
Dabei können Sie IPv6-in-IPv4-Tunnelmechanismen durch die (IPv4-)Firewalls relativ leicht kontrollieren, indem das Protocol-Feld des IPv4-Headers überprüft wird: Es hat beim Transport eines IPv6-Pakets hier regelmäßig den Wert 41. Werden solche Pakete von der Firewall gefiltert, haben Tunnelmechanismen schon einmal grundsätzlich schlechte Karten. Damit blockieren Sie die folgenden Tunnelmechanismen:
- 6in4 und 6over4: Diese Mechanismen erfordern ohnehin manuelle Tunnelkonfiguration.
- 6rd: Aufbauend auf 6to4 nutzt 6rd kein festes Präfix und kann daher von Paketfiltern prinzipiell nur über das Protocol-Feld im IP-Header erkannt werden.
- 6to4: Neben dem Wert 41 im Protocol-Feld nutzt 6to4 das Präfix 2002::/16. Dieses Präfix kann von entsprechenden IPv6-Firewalls im Bereich der IPv6-Infrastruktur gefiltert werden. Effektiver ist aber oft die Filterung nach den 6to4-Relays im Internet, die die IPv4-Anycast-Adresse 192.88.99.1 nutzen. Auf den IPv4-Internet-Gateways kann demnach ausgehend nach dieser Zieladresse und eingehend nach dieser Absenderadresse gefiltert werden.
- ISATAP: Dieser Mechanismus nutzt kein Well-Known-Präfix und ist ohnehin dafür ausgerichtet, nur innerhalb eines Unternehmensnetzwerks (Intranet) zu kommunizieren. Nichtsdestotrotz ist eine Filterung auf Protokoll 41 hier ein effektiver Schutz.