IPv6

Version vom 20. April 2016, 11:39 Uhr von Kokel (Diskussion | Beiträge) (Alles zum Thema IPv6, technisches Grundwissen, FAQ, etc. Ausbaufähig. Hilft mit!)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Grundkurs/Glossar

Interface-Identifier (IID)

  • Hostanteil einer IPv6-Adresse
  • Netzwerk-Interface bezogen
  • _Immer_ 64-Bit lang
  • Zusammensetzung
    • EUI-64 Format auf Basis der Interface MAC-Adresse ( https://de.wikipedia.org/wiki/EUI-64 )
    • Zusätzlich kann es IIDs geben, die zufällig generiert und zyklisch geändert werden (z.B. Privacy Extensions)

IPv6 Prefix

  • Netzanteil
    • anhand dessen wird geroutet (z.B. fd56:b4dc:4b1e::/48 oder 2001:db8::/32)
    • Teil einer IPv6-Adresse, egal ob Autokonfiguration oder DHCPv6 oder statisch (dann aber immer mit einem /64 Prefix)

IPv6-Adresse

  • Zusammensetzung
    • <64-Bit Prefix> + <64-Bit Interface-Identifier>

IPv6 Subnetz

Ein Layer2-Netz, in dem auf Layer3 mit IPv6 addressiert wird - Bei IPv4 (CIDR) kann ein Subnetz theoretisch unterschiedlich groß sein, z.B. 10.0.0.0/8 oder 10.5.0.0/16 oder 192.168.178.0/24 oder 172.16.0.0/30 Bei IPv6 ist ein Subnetz _immer_ /64 groß! Es gibt keine variablen Subnetzgrößen mehr!

Link Local Adressen

  • IPv6-Adressen aus dem Bereich fe80::/10
  • Jedes Netzwerk-Interface hat automatisch eine Link Local Adresse nach dem Schema "fe80::<Interface-Identifier>"
  • Nur für die Kommunikation innerhalb einer Layer2 Domäne vorgesehen, werden also nicht geroutet.

Unique Local Unicast (ULA)

  • fc00::/7 (aktuell wird nur fd00::/8 benutzt)
  • "Privater" IPv6-Adressbereich, ähnlich zu sehen wie bei IPv4 z.B. die Adressbereiche 192.168.0.0/16, 172.16.0.0/12 und 10.0.0.0/8
  • werden nicht im Internet geroutet

Global Unicast

  • IPv6-Adressbereich 2000::/3
  • IPv6-Adressen, die im Internet geroutet werden

FAQ

Wie unterscheiden sich für den User IPv6 und IPv4?

Sowohl die Nodes als auch jeder Client der IPv6 unterstützt, ist aus dem IPv6 Internet erreichbar. Für IPv4 wird wie bisher die sogenannte Network Address Translation (NAT) durchgeführt. Dadurch werden alle Clients hinter wenigen IPv4-Adressen im Internet "versteckt"- IPv4 weiterhin NAT, IPv6 direkt weltweit sichtbare Adresse.

Kann ich mit einer weltweit eindeutigen IPv6-Adresse leichter ausgespäht werden? (Tracking)

Es gibt viele technische Methoden, Nutzerverhalten zu verfolgen / beobachten / auszuspähen (Tracking). Der Weg über die IPv6 Adresse ist aber der unzuverlässigste Weg ein Gerät zu tracken (einen Userbezug gibt es direkt auch nicht, können ja mehrere User sein, die das Gerät nutzen). Ein Gerät bewegt sich außerdem ständig in unterschiedlichen Netzen, sodass letztendlich nur ein Tracking mittels des Interface-Identifiers möglich wäre, der auf der MAC-Adresse basiert. Mit aktivierten Privacy Extensions (auf den meisten Geräten Standard) wird regelmäßig der Interface-Identifier geändert und dadurch ein solches Tracking so erschwert, dass es zu aufwendig und unzuverlässig für die großen Tracker ist. Egal ob IPv4 oder IPv6 - User Tracking erfolgt heutzutage mittels User Accounts/ Browser IDs/ Cookies/ versteckte Pixel/Bilder/ etc. Es ist wichtig, zu erinnern, dass es auf der anderen Seite viele weitere Methoden des Tracking gibt, die von der verwendeten IP-Version unabhängig funktionieren.

Kann mein Computer mit einer weltweit eindeutigen IPv6-Adresse leichter "angegriffen" werden?

Ein potentieller Angreifer kann einen Computer mit einer weltweit gültigen, einmaligen IPv6-Adresse leichter erreichen, als einen, der über NAT angebunden ist. Allerdings muss er die Adresse dafür kennen. Bei der riesigen Anzahl möglicher IPv6-Adressen ist es aktuell sehr (zeit-)aufwändig durch ausprobieren Adressen zu finden, die tatsächlich in Benutzung sind. Denkbar ist dies eher über die Beobachtung von Netzverkehr. Ein aktiver Angriff ist allerdings nur ein mögliches Angriffsszenario. Auch Computer hinter einem NAT sind auf vielfältige Weise angreifbar (z.B. über böse Web-Seiten oder E-Mail-Anhänge). Wichtig ist in beiden Fällen, im Hinblick auf Security-Patches, möglichst immer auf dem neuesten Stand zu sein, um das Ausnutzen von bekannten Sicherheitslücken zu verhindern. Darüber hinaus sollte man eine Personal Firewall auf dem Endgerät selbst zu nutzen, die eingehenden Internetverkehr blockiert. Viele Betriebssysteme bringen eine Firewall direkt mit, man muss keine Zusatztools installieren (z.B. Windows Firewall/ iptables/ netfilter/ etc.).