agsandrew - Fotolia

Das Filtern von IPv6 bedroht die Wirksamkeit des neuen Protokolls

IPv6 mit Extension Headers werden im öffentlich zugänglichen Internet häufig gefiltert. Das könnte negative Auswirkungen auf das Protokoll haben.

Eine sehr bekannte Funktion von IPv6 ist, dass es eine theoretisch unbegrenzte Anzahl an IPv6-Optionen zulässt. Genau genommen sind das zusätzliche Informationen über die Pakete oder wie diese verarbeitet werden sollen. In den kommenden Jahren wird man diese Erweiterbarkeit von IPv6 ausgiebig nutzen.

Aktuelle Studien haben aber gezeigt, dass IPv6-Pakete mit solchen zusätzlichen Optionen häufig gefiltert werden. In diesem Beitrag sprechen wir grob über das Filtern von IPv6-Paketen im öffentlich zugänglichen Internet, die mit einem erweiterten Header ausgestattet sind. Weiterhin analysieren wir die Auswirkungen dieses IPv6-Filterns.

IPv6-Pakete verfolgen eine sogenannte Daisy-Chain-Struktur. Dem zwingend erforderlichen IPv6 Header folgen möglicherweise mehrere Extension Headers, in denen sich diverse IPv6-Optionen befinden, IPSec implementiert ist oder Fragmentierung der IPv6-Pakete betrieben wird. Solche IPv6 Extension Headers werden zwischen dem notwendigen IPv6 Header und dem Upper-Layer-Protokoll-Header eingespeist.

Jeder IPv6 Extension Header spezifiziert die Art an Header, die danach folgt. Das geschieht über das Feld Next Header. Weiterhin hat er seine eigene Länge, solange keine feste Länge vorgegeben ist. Aus diesem Grund kann IPv6 theoretisch eine unlimitierte Anzahl an Optionen in sich tragen. Bei IPv4 war das hingegen nur eine begrenzte Anzahl.

Das nachfolgende Diagramm illustriert die Struktur eines IPv6-Pakets, das zwei Extension Header besitzt.

Abbildung 1: Ein typisches IPv6-Paket mit Extension Headers.

Das Filtern von IPv6-Paketen mit Extension Headers

IPv6-Pakete werden also laut der Studie umfangreich gefiltert, wenn sie diese IPv6 Extension Headers im öffentlich zugänglichen Internet verwenden. Abbildung 2 illustriert die Raten der verworfenen Pakete, wenn verschiedene Typen an IPv6 Extension Headers enthalten sind (Ziel-Optionen von 8 Byte Größe, Hop-by-Hop-Optionen mit 8 Byte und IPv6-Fragmente von 256 Byte). Diese Pakete haben mit Webservern, Mailservern und Name-Servern kommuniziert. Es gilt für die eine Million am besten besuchten Websites, die von Alexa Internet als solche angegeben sind.

Abbildung 2: Die Raten der verworfenen Pakete, die aus Gründen von IPv6 Extension Headers gefiltert wurden.

Abbildung 3 zeigt, welcher Prozentsatz der verworfenen Pakete in autonomen Systemen und nicht am Ziel direkt stattgefunden hat. Verworfene Pakete am Ziel könnte man in gewisser Weise erwarten, da es hier Richtlinien gibt, die durchgesetzt werden müssen.

Es unterliegt aber nicht der Kontrolle es Zielservers, wenn die Pakete bei einer Zwischenstation verworfen werden. Dort sollten eigentlich keine Richtlinien durchgesetzt werden, die ein Zielserver an sich vorschreibt.

Abbildung 3: Prozentsatz der an einem autonomen System verworfenen Pakete und nicht am Ziel selbst.

Auswirkungen der umfangreichen Filterung von IPv6-Paketen mit Extension Headers

Unterm Strich lässt sich sagen, dass IPv6-Pakete mit Extension Headers im öffentlichen Internet aller Voraussicht nach keine Zukunft haben.

Die Auswirkungen einer so umfangreichen Filterung variieren. Es kommt auf den Extension Header an. Außerdem hängt es davon ab, an welcher Stelle im Netzwerk so ein Filtern stattfindet. Ein Beispiel:

  • Das Filtern von IPv6-Paketen mit Extension Headers an Zwischensystemen verhindert künftige Erweiterungen des IPv6-Protokolls. Die verworfenen Pakete werden in diesem Fall nicht von den miteinander kommunizierenden Endgeräten kontrolliert.
  • Werden Pakete an den Zwischensystemen verworfen, könnte sich das negativ auf das Internet mit IPv6 auswirken. Möglicherweise verhindert es die Verwendung von IPSec zwischen den IPv6-Knotenpunkten, weil es zu Kompatibilitätsproblemen bei Anwendungen kommen kann, die auf IPv6-Fragmentierung setzen. Das Domain Name System wäre so ein Fall. Auch andere Probleme könnten auftreten.
  • Werden Pakete am Ziel verworfen, gilt das in der Regel als weniger dramatisch. An dieser Stelle kommt es aber darauf an, ob dies durch eine gewollte IPv6-Filter-Richtlinie am Zielsystem ausgelöst wurde oder ob es sich um eine nicht korrekte Konfiguration der Router oder Filtergeräte handelt. An diesem Punkt sind die Gründe der gemessenen verworfenen Pakete noch nicht bekannt.

Das Filtern von IPv6-Paketen mit Extension Headers könnte den Betrieb und die Evolution des Internets mit IPv6 sehr wohl negativ beeinflussen. Im Moment gibt es diverse Bestrebungen, auf diese Situation aufmerksam zu machen. Ebenso gibt es Ratschläge in Bezug auf das Filtern von IPv6-Paketen mit Extension Headers. Man erhofft sich dadurch, dass die notwendigen Schritte eingeleitet werden, um dieses wichtige Problem angemessen adressieren zu können.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Oktober 2015 aktualisiert

Erfahren Sie mehr über IP-Netzwerke

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close