Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Wo bin ich eigentlich?

Der Mobile Node muss möglichst schnell erkennen, dass er sich nicht mehr in seinem Netz aufhält, um eine neue Verbindung initiieren zu können. Für diesen Vorgang namens Movement Detection gibt es einen Prozess namens Neighbour Unreachability Detection. Er existiert im Rahmen der Neighbour Discovery auch im normalen IPv6-Standard. Dabei überprüft der Mobile Node die Erreichbarkeit seines Standard-Gateways. Ist es nicht mehr erreichbar, versucht er einen neuen Default-Router zu entdecken. Dieser wird ihm mittels Router Advertisement mitgeteilt. In diesem Rahmen wird auch das Präfix und damit die aktuelle Care-of-Address festgelegt. Kommt der Mobile Node wieder nach Hause in seinen Home Link, erfolgt eine Home Registration. Dabei wird unter anderem das H-Bit (Home Registration) und die Lifetime auf 0 gesetzt. Der Home Agent weiß dann, dass er die Pakete nicht mehr durch den Tunnel schicken muss.

Und was ist mit der Sicherheit?

Die Kommunikation zwischen dem Mobile Node und dem Correspondent Node ist anfällig für verschiedene Angriffe wie zum Beispiel Man-in-the-Middle-Attacken, Session-Hijacking, Denial-of-Service und so weiter. Eine grundlegende Sicherheitsmaßnahme ist der Schutz der Verbindung durch einen IPSec-Tunnel mit ESP zwischen dem MN und dem HA. Damit sind alle Nachrichten zwischen Mobile Node und Home Agent geschützt wie zum Beispiel Binding-Updates und -Acks, Home-Test-Nachrichten und ICMPv6-Nachrichten. Die Binding-Updates zwischen Mobile Node und Correspondent Node werden nicht per IPSec, sondern durch den Return-Routability-Prozess geschützt. Allerdings existieren auch bestimmte Erweiterungen, wie etwa die Binding-Authorization-Data-Option, um die Kommunikation zu schützen.

Da für Mobile IPv6 leicht veränderte Regeln gelten, existieren darüber hinaus verschiedene RFCs, die Anpassungen von IPSec für den Einsatz in MIPv6 enthalten, so zum Beispiel RFC 4555 und 4621, die sich mit dem Einsatz von IKEv2 in diesen Szenarien beschäftigen, und RFC 3776 mit dem Titel "Using IPsec to Protect Mobile IPv6 Signaling between Mobile Nodes and Home Agents". Auch für spezielle Netzwerke existieren Schutzansätze in Form von RFCs. Eine vollständige Abhandlung sämtlicher Security-Bereiche würde hier allerdings den Rahmen sprengen.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019