kentoh - Fotolia

Wann das Filtern von IPv6 Extension Headers notwendig ist

Durch IPv6 Extension Headers können Internetserver Pakete verlieren. Trotzdem ist das Filtern aus Sicherheitsgründen manchmal notwendig.

Eine aktuelle Studie der IETF zeigt, dass öffentliche Internet-Server zwischen zehn und 50 Prozent an IPv6-Paketen verlieren, wenn Erweiterungs-Headers zum Einsatz kommen. Dieses Filtern ist im allgemeinen unerwünscht, da es künftige Erweiterungen des IPv6-Protokolls sowie die Nutzung von Basisfunktionen, wie beispielsweise IPsec oder IPv6-Fragmentierung, verhindert. Obwohl es aus Anwendersicht wie gesagt nicht wünschenswert ist, so kann dieses Filtern dennoch ein pragmatischer Ansatz für die Security und die betrieblichen Auswirkungen dieser Headers sein. Darüber hinaus lässt sich dieser Ansatz für generelle Netzwerkgeräte und Setups verwenden.

Das rührt daher, dass es neben anderen Faktoren die Sicherheit und die betrieblichen Überlegungen gibt, die den Verlust von IPv6-Paketen mit IPv6 Extension Headers manchmal notwendig machen.

Auswirkungen der IPv6 Extension Headers auf die Security

Zusammenfassend kann man folgende Sicherheitsauswirkungen der IPv6 Erweiterungs-Headers anführen:

  • Umgehen von Sicherheitskontrollen
  • Denial-of-Service-Zustände, die von Implementationsfehlern herrühren
  • Denial-of-Service-Zustände, die von Verarbeitungsanforderungen herrühren
  • Spezifische Probleme jedes Extension Headers

Fehler in Security-Produkten sowie die Unfähigkeit mancher Produkte, IPv6 Extension Headers richtig zu verarbeiten, können zum Umgehen der Sicherheitskontrollen führen. Die Verarbeitung der Headers ist sehr komplex und kann darüber hinaus in Implementierungsfehlern resultieren, die wiederum für Denial-of-Service (DoS)-Attacken genutzt werden könnten.

Einige Router-Konfigurationen lassen zudem nur die Verarbeitung der Pakete mit Extension Headers auf dem langsamen Pfad zu. Deswegen können die Pakete für DoS-Attacken genutzt werden, da ihre Verarbeitungsanforderungen dies ermöglichen. Nicht zuletzt hat jeder einzelne IPv6 Extension Header seine Auswirkungen auf die Security. So kann beispielsweise der Fragment-Header für Attacken zur Ressourcenüberlastung genutzt werden, während andere Typen sich für andere Methoden der DoS-Attacken nutzen lassen.

Betriebliche Auswirkungen von IPv6 Extension Headers

Es könnte schwierig sein, die betrieblichen Auswirkungen von IPv6 Extension Headers mit bestehenden Implementierungen zu verhindern oder abzuschwächen. Hier können die Gründe für einen gewollten Paketverlust folgende sein:

  • Durchsetzen von Infrastructure Access Control Lists (ACLs)
  • DDoS-Management und Kunden verlangen das Filtern
  • Durchführen von ECMP-Routing (Equal-Cost Multipath) und Hash-basiertes Load-Sharing nicht möglich
  • Probleme der Engine beim Weiterleiten der Pakete

Infrastruktur-ACLs wurden so konzipiert, dass sie ungewünschte Pakete verlieren, die zu einem Teil der Provider-Infrastruktur gesendet wurden, wo sie nicht gebraucht und für eine Attacke gegen die Control Plane des Routers genutzt werden können. Kunden-DDoS-Schutzfilter agieren ähnlich wie der Infrastruktur-ACL-Schutz. Layer-4-ACLs müssen so nah wie möglich am Rand (Edge) des Netzwerks installiert sein.

Im Falle von ECMP-Load-Sharing muss der Router bestimmen, welche Links für herausgehende Pakete genutzt werden soll. Die weiterleitenden Engines erreichen dies mittels einer einfachen Hash-Funktion, die die Quelle und das Ziel der IPv6-Adresse sowie einige Layer-4-Informationen nutzt. Dazu gehören beispielsweise die Portnummern des Transportprotokolls von Ziel und Quelle. Der Einsatz von Extension Headers könnte aber dazu führen, dass die weiterleitende Engine die Transportprotokoll-Portnummern nicht erkennt.

Die meisten modernen Router nutzen dedizierte Hardware, um zu bestimmen, wie die Pakete innerhalb der internen Fabric weitergeleitet werden sollen. Solche Implementierungen können nur eine begrenzte Anzahl an Bytes erkennen – zum Beispiel nur 128 Bytes. Falls die Hardware-Engine des Routers die Entscheidung über die Paketweiterleitung nicht treffen kann, weil die Information nicht sichtbar ist, dann lässt der Router das Paket üblicherweise fallen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Erfahren Sie mehr über IP-Netzwerke

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close