Security ist ein stets aktuelles Thema in der IT. Deshalb widmet sich das ADMIN-Magazin 04/2012 speziell Sicherheitsaspekten und gibt Antworten auf die Fragen: ... (mehr)

Transition Technologies

Im Folgenden sollen diese Tunnelmechanismen kurz beschrieben werden.

Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) wird von Microsoft-Betriebssystemen bevorzugt, wenn keine native IPv6-Konfiguration innerhalb des SLAAC-Prozesses ermittelt wurde. Eine wichtige Rolle spielt der ISATAP-Router, der im IPv4-Netz kontaktiert wird. Den wesentlichen Schritt bildet dabei die Auflösung des Host-Namens »isatap« in eine gültige IPv4 Router-Adresse. Danach werden über Router Solicitation und Router Advertisements die notwendigen IPv6-Initialisierungsschritte durchlaufen. Ein wichtiger Unterschied ist aber, dass diese IPv6-Initialisierung als IPv4-Unicast (IP-Protokoll 41) im Netzwerk übertragen wird. Danach sind ISATAP-Hosts adjazent (benachbart) zu allen nativen IPv6-Netzen.

Falls weder SLAAC noch ISATAP eine erfolgreiche IPv6-Konnektivität herstellen, wird 6to4 als Tunneltechnologie ausgewählt. Jeder Host eines Intranets mit offiziellen IPv4-Adressen (Class A/B/C) kann eine 6to4-Adresse generieren. Sie setzt sich zusammen aus dem Prefix 2002::/16 und der offiziellen IPv4-Adresse des Hosts. Damit sind alle Hosts in einem Intranet lokal adjazent und haben zudem über das IPv4-Protokoll 41 Zugriff auf das weltweite IPv6-Netz. Zentrale Sicherheitsmaßnahmen, wie zum Beispiel Firewalls, die den Transport dieses Protokolls nicht unterbinden, sind somit auch nicht in der Lage, die Sicherheit des Netzes in ausreichendem Maße zu gewährleisten. Welches zusätzliche Potenzial in diesem Mechanismus steckt, zeigt die Kombination aus Internet Connection Sharing (ICS) und 6to4: Aktiviert ein Windows Benutzer ICS, wird das System zum 6to4-Host-Router und verteilt im lokalen Netz Router Advertisements, wodurch dieses System zum aktiven IPv6 Router im lokalen Netz wird, der eine Verbindung zwischen Intranet und Internet herstellen kann.

Teredo und Miredo

Die Last Resort Transition Technology ist im RFC 4380 "Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)" [4] beschrieben. Als Open-Source-Lösung steht das Paket Miredo zur Verfügung. Ist explizit eine IPv6-Zieladresse spezifiziert, so werden mit externen Servern sogenannte Bubble-Packets ausgetauscht, die wiederum die notwendigen Portöffnungen in den NAT-Geräten verursachen. Damit sind die Hosts als IPv6-System erreichbar, und NAT ist keine Barriere mehr zwischen Internet und lokalem Netz. Die Übertragung im lokalen IPv4 Netz erfolgt als UDP-Datagram über Port 3544. Durch die in der Client-IPv6-Adresse kodierten IPv4-Informationen (IPv4-Adresse des Servers / NAT-Typ / Externer IPv4 Port / Externe IPv4-Adresse) kann der bidirektionale Verkehrsfluss mittels IPv4-UDP vom Client über ein Relay zum externen IPv6-Rechner ermöglicht werden. Kollaborative Filesharing-Protokolle können den Teredo-basierten Transfer nutzen.

Neben diesen Mechanismen bieten Tunnel Broker (SixXS, Hurricane Electric) weitere Möglichkeiten der IPv6-Anbindung. Die Übertragungsvarianten basieren oftmals auf UDP oder 6in4, um einen Relay des jeweiligen Anbieters zu erreichen. Innerhalb eines Unternehmensnetzwerks besteht die Gefahr, dass unbedarfte Anwender Verbindungen des lokalen Netzes zum weltweiten IPv6-Internet herstellen. Die Tunnel-Broker weisen in der Regel nach einer Registrierung dem Kunden großzügig IPv6-Prefixe zu. Diese können wiederum durch einen Rogue Router im lokalen Netz verteilt werden und mit den global gültigen Adressen lässt sich weltweit im IPv6-Netz kommunizieren.

Die Tunnelmechanismen zeigen deutlich, dass durch die Übertragung in IPv4 die Kommunikationsbeziehungen nur schwer zu analysieren sind. Punkt-zu-Punkt-Verbindungen sind auch im Regelwerk einer Firewall deshalb neu zu bewerten, da ungewollt weltweite Adjazenzen gebildet werden, die eine etablierte Sicherheitspolicy untergraben. Treffen verschiedene Bedingungen wie eine nicht adminis-trierte Namensauflösung, fehlkonfigurierte Hosts mit Windows ICS und eine nur auf IPv4 ausgerichtete Firewall-Policy aufeinander, können die Folgen gravierend sein. Einen Gipfelpunkt stellt dabei das Potenzial eines MitM-Angriffs durch ungewollte oder absichtliche Verkehrsumleitungen dar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020