Dirk Jarzyna
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar.
ISBN 978-3-8266-9554-4
1. Auflage 2013
www.mitp.de
E-Mail: kundenbetreuung@hjr-verlag.de
Telefon: +49 6221 / 489 -555
Telefax: +49 6221 / 489 -410
© 2013 mitp, eine Marke der Verlagsgruppe Hüthig Jehle Rehm GmbH Heidelberg, München, Landsberg, Frechen, Hamburg
Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Lektorat: Ernst Heinrich Pröfener
Sprachkorrektorat: Jürgen Dubau
electronic publication: III-satz, Husby, www.drei-satz.de
Dieses Ebook verwendet das ePub-Format und ist optimiert für die Nutzung mit dem iBooks-reader auf dem iPad von Apple. Bei der Verwendung anderer Reader kann es zu Darstellungsproblemen kommen.
Der Verlag räumt Ihnen mit dem Kauf des ebooks das Recht ein, die Inhalte im Rahmen des geltenden Urheberrechts zu nutzen. Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheherrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung und Verarbeitung in elektronischen Systemen.
Der Verlag schützt seine ebooks vor Missbrauch des Urheberrechts durch ein digitales Rechtemanagement. Bei Kauf im Webshop des Verlages werden die ebooks mit einem nicht sichtbaren digitalen Wasserzeichen individuell pro Nutzer signiert.
Bei Kauf in anderen ebook-Webshops erfolgt die Signatur durch die Shopbetreiber. Angaben zu diesem DRM finden Sie auf den Seiten der jeweiligen Anbieter.
Der Vollständigkeit halber zeigt dieser Anhang den IPv6-Header und erklärt kurz die darin enthaltenen Felder.
Anders als der IPv4-Header (Protokolltyp 4) hat der IPv6-Header (Protokolltyp 41) eine feste Länge von 320 Bits oder 40 Bytes. Seltener benutzte optionale Informationen sind bei IPv6 ausgelagert in Extension-Header, die zwischen dem IPv6-Header und der Nutzlast (Payload) geschoben werden.
Der Header eines IPv6-Pakets sieht folgendermaßen aus:
Abb. B.1: Der IPv6-Header
Die Felder haben folgende Bedeutung:
|
Feldbezeichnung |
Länge (Bit) |
Bedeutung |
|---|---|---|
|
Version |
4 |
Die IP-Versionsnummer. |
|
Traffic-Class |
8 |
Ein für Quality of Service (QoS) genutzter Wert. |
|
Flow-Label |
20 |
Für QoS oder Echtzeitanwendungen genutzter Wert. Pakete mit identischem Flow-Label werden gleich behandelt. |
|
Payload-Length |
16 |
Die Länge des IPv6-Paketinhalts in Byte ohne Header, aber mit Extension-Header. |
|
Next Header |
8 |
Identifiziert den Typ des nächsten Header-Bereichs. Dies kann ein Extension-Header oder ein Protokoll einer höheren Schicht sein, z. B. TCP (Typ 6) oder UDP (Typ 17). |
|
Hop-Limit |
8 |
Maximale Anzahl der Hops über Router, die ein Paket zurücklegen darf. Das Feld entspricht der TTL von IPv4. |
|
Source-Adress |
128 |
Die Quelladresse des Senders. |
|
Destination-Address |
128 |
Die Zieladresse des Empfängers. |
Tabelle B.1: Felder im IPv6-Header
Im Feld Next-Header lassen sich neben den Protokollen höherer Schichten sechs Extension-Header und ein Platzhalter referenzieren. Folgende Extension-Header sind definiert:
|
Name |
Typ |
Größe |
Beschreibung |
RFCs |
|---|---|---|---|---|
|
Hop-By-Hop-Options |
0 |
variabel |
Enthält Optionen, die von allen IPv6-Geräten, die das Paket durchläuft, beachtet werden müssen. Wird z. B. für Jumbograms benutzt. |
RFC 2460, RFC 2675 |
|
Routing |
43 |
variabel |
Durch diesen Header kann der Weg des Pakets durch das Netzwerk beeinflusst werden, er wird unter anderem für Mobile-IPv6 verwendet. |
RFC 2460, RFC 3775, RFC 5095 |
|
Fragment |
44 |
64 Bit |
In diesem Header können die Parameter der Fragmentierung festgelegt werden. |
RFC 2460 |
|
Authentication-Header (AH) |
51 |
variabel |
Enthält Daten, welche die Vertraulichkeit des Pakets sicherstellen können (siehe IPsec). |
RFC 4302 |
|
Encapsulating Security Payload (ESP) |
50 |
variabel |
Enthält Daten zur Verschlüsselung des Pakets (siehe IPsec). |
RFC 4303 |
|
Destination Options |
60 |
variabel |
Enthält Optionen, die nur vom Zielrechner des Pakets beachtet werden müssen. |
RFC 2460 |
|
No Next Header |
59 |
leer |
Dies ist nur ein Platzhalter, um das Ende eines Header-Stapels anzuzeigen. |
RFC 2460 |
Tabelle B.2: IPv6-Extension-Header
C. TCP und UDP sind Protokolle der OSI-Schicht 4, der Transportschicht.
E. Die Datengruppe einschließlich der Ethernet- und/oder PPP-Header und -Trailer auf Ebene der Netzzugangsschicht nennt man Frame. Auf Ebene der Internetschicht spricht man von einem Paket, und die Transportschicht überträgt Segmente.
F. IP ist ein Protokoll der TCP/IP-Internetschicht.
B. Die Darstellungsschicht des OSI-Modells definiert die Standards für die Datendarstellung und Verschlüsselung.
A. Die TCP/IP-Internetschicht entspricht der OSI-Schicht 3, der Vermittlungsschicht.
B. Die Internetschicht des TCP/IP-Modells definiert logische Adressen und Routing.
A und C. Die OSI-Schicht 3, die Vermittlungsschicht, definiert die logische Adressierung und das Routing.
B. Das Dynamic Host Configuration Protocol (DHCP) dient zur automatischen Zuweisung von IP-Adressen und weiterer Konfigurationsinformationen wie Subnetzmasken, Default-Gateway-Adressen und DNS-Server-Adressen.
D. Gültige Werte für das erste Oktett einer Klasse-A-IP-Adresse liegen im Bereich von 1 bis 126. 127 ist für die Verwendung als Loopback-Adresse reserviert.
B. Falls sich die Ziel-IP-Adresse nicht im selben Subnetz befindet wie der sendende Host, sendet der Host das Paket zu seinem Default- oder Standard-Gateway.
D. Ein Router trifft seine Routing-Entscheidung, indem er die Ziel-IP-Adresse mit den Einträgen in seiner Routing-Tabelle vergleicht.
C und D.
C. Multiplexing mithilfe von Port-Nummern. Alle anderen Funktionen sind keine Funktionen von UDP.
B und D.
C. Routing ist eine Aufgabe eines Schicht-3-Protokolls, beispielsweise IP.
D. Maximum Transmission Unit.
C. Segmentierung.
B. 80 ist die well-known Port-Nummer für Webserver, 1023 die letzte der reservierten well-known Port-Nummern, bleibt 1025 übrig. Port-Nummern ab 1024 stehen frei zur Verfügung.
B und C.
C. /18 entspricht der Maske 255.255.192.0.
C. Um in einem Klasse-B-Netzwerk 165 Subnetze und 150 Hosts pro Subnetz zu unterstützen, benötigen wir eine Maske, die acht Host-Bits und acht Subnetz-Bits enthält. Diese Anforderung erfüllt nur die Maske 255.255.255.0.
C. 190.4.80.80/20 befindet sich in Subnetz 180.4.80.0 mit der Broadcast-Adresse 180.4.95.255 und einem Bereich gültiger IP-Adressen von 180.4.80.1 bis 190.4.95.254.
C. Die Subnetznummern beginnen bei 180.1.1.0 und erhöhen sich jeweils um 1 im dritten Oktett bis hinauf zu 180.1.255.0 (Broadcast-Subnetz).
A. RIP Version 1 unterstützt kein VLSM und damit auch keine manuelle Routenzusammenfassung.
A. Nur 10.5.0.0 255.255.240 überlappt nicht.
C. Von den aufgelisteten Routing-Protokollen nutzt nur OSPF Link-State-Logik.
C. RIPv1 ist ein klassenbezogenes Routing-Protokoll. Die anderen aufgelisteten Protokolle sind klassenlose Routing-Protokolle.
B, C und D.
D. Das Unternehmen wendet sich an einen ISP, der seinerseits Adressblöcke von einer regionalen Registratur bezieht, die ihre Adressblöcke von der ICANN zugewiesen bekommt. Die ICANN ist die Nachfolgeorganisation der IANA.
B. Unique-Local-Unicast-Adressen beginnen stets mit hexadezimal FD (FD00::/8). Die folgenden 40 Bits für die Site-ID wählt eine Organisation beliebig, ebenso die sich anschließenden 16 Bits für die Subnetz-ID. Es bleiben 64 Bits für Hosts.
C. In dieser Abkürzung wird der doppelte Doppelpunkt (::), der mehrere aufeinanderfolgende Quartetts, die ausschließlich binäre Nullen enthalten, repräsentiert, zwei Mal verwendet, was nicht erlaubt ist. Die zwei allein stehenden Doppelpunkte unter D. sehen zwar etwas merkwürdig aus, tatsächlich handelt es sich aber um eine spezielle IPv6-Adresse, die stellvertretend für eine unbekannte Adresse steht.
B. FF02::2. Alle anderen Adressen sind aber ebenfalls Multicast-Adressen.
A und C. Während bei stateful DHCPv6 sowohl eine IPv6-Adresse als auch weitere Konfigurationsinformationen, darunter die Adressen von DNS-Servern, übermittelt werden, vergibt stateless DHCP keine IPv6-Adresse, liefert aber weitere Konfigurationsinformationen. Stateless DHCPv6 wird meist in Verbindung mit stateless Autokonfiguration eingesetzt.
D. Die Link-Local-Adressse lautet FE80::0224:11FF:FF11:2222. Link-Local-Adressen entstammen dem Präfix FE80::/10. Die Interface-ID einer solchen Adresse wird gebildet, indem die MAC-Adresse der Schnittstelle in zwei gleich große Teile unterteilt wird, zwischen die FFFE geschoben wird. Schließlich wird das erste Bit im ersten Byte auf binär Eins gesetzt.
C. Seine IPv6-Adresse hat der Host mittels stateless Autokonfiguration erhalten. Er ruft aufgrund des gesetzten O-Bits weitere Konfigurationsinformationen (z. B. die Adressen von DNS-Servern) von einem DHCPv6-Server ab.
Dieses Kapitel beschreibt, wie es mit der Sicherheit von Netzwerkumgebungen aussieht, die IPv6 ganz oder teilweise eingeführt haben. Jeder Netzwerkadministrator sollte wissen, wie IPv6 die Sicherheit seines Netzwerks ändert und was er tun kann, um sein Netzwerk so sicher wie möglich zu machen.
Die folgenden Abschnitte beschreiben die Sicherheitsbedrohungen, denen ein IPv6-Netzwerk ausgesetzt ist.
Ein Angreifer beginnt in der Regel seine Aktivität damit, sich Informationen über das Netzwerk, die darin enthaltenen Hosts und Dienste zu beschaffen. Dazu bedient er sich normalerweise einer ausgefeilten Scanning-Methode. Die beschafften Informationen dienen ihm als Grundlage für den später folgenden, eigentlichen Angriff. IPv6 bietet von vornherein einen gewissen Schutz vor Scanning, indem die riesige Anzahl potenzieller Hosts in einem typischen LAN ein Port-Scanning relativ schwierig macht. Ein umfassender Scan eines /64-Subnetzes ist extrem zeitaufwendig, und viele Angreifer werden sich einfachere Ziele suchen. Selbstverständlich ist dies kein hundertprozentiger Schutz, aber immerhin eine wirkungsvolle Abschreckung.
Leider gibt es einige Punkte, die ein Scanning vereinfachen und wichtige Systeme einer Gefahr aussetzen. Diese Punkte zu kennen, ermöglicht Administratoren aber auch, Maßnahmen zu ergreifen:
Vorhersehbare Adressierungsschemas: Viele Administratoren nutzen spezifische und damit relativ leicht vorhersehbare Adressierungsschemas für bestimmte Systeme, beispielsweise Server und Router. Administratoren sollten ihre Adressierungsmuster sorgfältig auswählen und vielleicht sogar wichtige Systeme ohne besonderes Schema nummerieren, selbst wenn dies das Adressmanagement etwas schwieriger macht.
Das EUI-64-Adressformat: Zweifellos erleichtert EUI-64 die Autokonfiguration und Adressierung von Hosts. Allerdings ist auch Angreifern bekannt, wie EUI-64 und Autokonfiguration funktioniert. So wissen natürlich auch Angreifer, dass zur Erzeugung der letzten 64 Bits der Adresse die MAC-Adresse genutzt wird, in die automatisch das Muster 0xFFFE eingefügt wird. Dies reduziert den zu scannenden Adressbereich. Nochmals einfacher wird es für einen Angreifer, wenn er weiß oder zumindest ahnen kann, von welchem Hersteller die im Netzwerk genutzten Netzwerkkarten stammen. Denn wenn er dies weiß, kennt er bereits die Hälfte der MAC-Adresse.
Ungeeignete Filterung eingehender Nachrichten: Damit IPv6 korrekt funktioniert, müssen bestimmte ICMPv6-Nachrichten im geschützten Netzwerk erlaubt sein. Diese Nachrichten können für die Informationsbeschaffung genutzt werden. Administratoren müssen Filter so einstellen, dass sie wirklich nur die notwendigen Nachrichten erlauben.
Ungeeignete Filterung von Multicasts: Einige IPv6-Multicast-Adressen adressieren eine Gruppe von Geräten gleichen Typs, beispielsweise alle Router. Kann ein Angreifer auf solche Adressen zugreifen, könnte er Zugriff auf diese Geräte erlangen und sie angreifen (DoS). Entsprechend eingestellte Filter verhindern, dass solche Adressen über die Grenzen des Netzwerks hinaus angekündigt werden.
Wie bei IPv4 sollten nicht benötigte Dienste an den Zugangspunkten des Netzwerks gefiltert werden.
Die Autorisierung, wer auf ein Computersystem zugreifen darf, ist eine Richtlinienentscheidung. Eine solche Richtlinie kann in TCP/IP auf Schicht 3 oder 4 durchgesetzt werden. In diesem Fall wird die Entscheidung normalerweise in Firewalls getroffen. Das ist auch bei IPv6 noch so.
Die Filterung von Paketen, deren Quelladressen niemals in Internet-Routing-Tabellen auftauchen sollten, ist eine Minimalanforderung an jede Firewall. Bei IPv4 ist es einfacher, Pakete mit solchen Adressen abzulehnen (deny), bei IPv6 ist es leichter, legitime Pakete zuzulassen.
Die Zugriffssteuerung kann natürlich auch unterhalb der Netzwerkschicht erfolgen, beispielsweise mit einem auf Ports basierenden Authentifikationsmechanismus wie 802.1x. Eine 802.1x-Infrastruktur unterstützt sowohl verdrahtete und wireless Segmente des Netzwerks.
Denial-of-Service-(DoS-)Angriffe mit gefälschten oder gespooften Quelladressen bereiten große Schwierigkeiten. Zur Verhinderung von DoS-Angriffen mit gefälschten IP-Adressen empfiehlt RFC 2827 eine einfache, aber wirksame Methode zur Nutzung von Ingress-Traffic-Filtering. Diese Methode kann das Spoofing von Quelladressen verhindern. Außerdem ermöglicht sie eine Rückverfolgung des Urhebers bis zur Quelle, denn der Angreifer muss eine gültige, erreichbare Quelladresse verwenden.
Ingress-Filterung wird normalerweise in den Edge-Routern des ISPs implementiert, entweder durch Firewall-Filter oder durch einen Unicast-Reverse-Path-Forwarding-Check (uRPF).
Die Endbenutzer eines ISPs könne eine ähnliche Technik (Egress-Filterung) nutzen, um das Senden von Paketen zu verhindern, die nicht zu ihren Netzwerken gehören.
Diese Techniken lassen sich auch in IPv6 implementieren, wobei IPv6 die Ingress-Filterung noch erleichtert, da lediglich ein Präfix für den Ingress-Filter zu konfigurieren ist.
In IPv4-Netzwerken lassen sich relativ einfach Angriffe gegen das ARP-Protokoll durchführen, da Hosts nicht beweisen können, dass sie Eigentümer ihrer MAC-Adresse sind. Daher ist es beispielsweise einfach, den Default-Router des Subnetzes zu kapern. Das Netzwerk lässt sich dagegen schützen, indem man einen Switch so konfiguriert, dass er für alle Frames, die er über einen spezifischen Port empfängt, nur eine spezifische Zahl MAC-Adressen zulässt. Cisco-Switches bieten diesen Schutz mit ihrem Port-Security genannten Feature.
Falls DHCP für die Initialisierung der Hosts genutzt wird, können Angreifer auf dem Link verschiedene Angriffe gegen den DHCP-Server unternehmen. Sie können einen falschen DHCP-Server betreiben und DHCP-Nachrichten schneller als der legitime DHCP-Server liefern, sie können den DHCP-Server erschöpfen, indem sie ihn mit einer riesigen Anzahl von Requests bombardieren, sie können den vom DHCP-Server zur Verfügung gestellten IP-Adressbereich erschöpfen, indem sie zu viele IP-Adressen anfordern ... Vor solchen Angriffen schützen kann man sich durch eine Kombination aus Port-Security, DHCP-Snooping und Beschränkung der DHCP-Nachrichtenrate. Port-Security verhindert den Betrieb falscher DHCP-Server. DHCP-Snooping filtert nicht vertrauenswürdige DHCP-Nachrichten und erzeugt eine DHCP-Snooping-Binding-Tabelle. Diese Tabelle wird genutzt, um IP-Spoofing zu verhindern.
Die Hosts in einem IPv6-Netzwerk können ähnlich wie ARP angegriffen werden, beispielsweise durch Senden falscher Neighbor-Advertisement-Nachrichten, durch einen DoS-Angriff auf die Prozedur, die doppelte Adressen erkennt, oder durch Senden falscher Router-Advertisements. Zum Schutz vor Angriffen auf die Neighbor-Discovery-Prozedur kann man Secure Neighbor Discovery (SEND) implementieren (RFC 3971).
In der Vergangenheit wurden viele Broadcast-Storm-Angiffe gegen IPv4-Netzwerke unternommen, der berühmteste davon war dem smurf-Angriff. Dieser Angriff wurde durch zwei Umstände ermöglicht:
Ingress-Filterung war nicht implementiert, wodurch das Spoofing der Quelladresse des Angriffspakets ermöglicht wurde.
Die Hosts antworteten auf Nachrichten, die an eine Broadcast-Adresse gerichtet waren.
Ein solcher Angriff ist in einer IPv6-Umgebung kaum vorstellbar, denn:
In einer IPv6-Umgebung gibt es keine Broadcast-Adressen. Dies stoppt Angriffe, die ICMP-Pakete an eine Broadcast-Adresse senden. Für Gruppen von Geräten existieren allerdings globale Multicast-Adressen (Link-Local-Adressen, Site-Local-Adressen und Site-Local-Router).
Die IPv6-Spezifikation erlaubt keine Antworten auf Nachrichten, die für globale Multicast-Adressen bestimmt sind. Dabei gibt es allerdings zwei Ausnahmen: die Packet-Too-Big-Nachricht und die Parameter-Problem-Nachricht.
Der Zweck eines IP-Routing-Angriffs ist die Störung oder Zerstörung des Router-Peerings oder der Routing-Informationen mit dem Ziel, einen weiteren Angriff nachzuschieben, beispielsweise einen DoS-Angriff. Auch Administratoren eines IPv6-Netzwerkes müssen mit Angriffen auf ihre Routing-Infrastruktur rechnen.
BGP, IS-IS und EIGRP nutzen bei IPv4 und IPv6 denselben Sicherheitsalgorithmen: keyed MD5-Digest. In diesen Fällen sind die Routing-Protokolle bei IPv6 so zu schützen, wie es bei IPv4 getan wird.
OSPFv3 und RIPng nutzen indes IPsec. Wer also eines dieser beiden Routing-Protokolle verwendet, der sollte IPSec zum Schutz dieser Protokolle konfigurieren.
Die weiteren Angriffstypen gegen die Router-Infrastruktur gleichen denen, die bei IPv4 genutzt werden. Hier sollten also ähnliche Gegenmaßnahmen ergriffen werden wie bei IPv4, beispielsweise Zugriffsbeschränkungen für Router, SSH-Authentifikation etc.
Das Einfangen ungeschützter Daten in einer IPv6-Umgebung gleicht dem Sniffing in IPv4-Umgebungen. Wireshark (ehemals Ethereal) ist ein von Netzwerkadministratoren sehr häufig eingesetztes Tool zum Einfangen und Auswerten von Paketen, das natürlich auch jedem Angreifer zur Verfügung steht.
Die obligatorische Unterstützung von IPSec in IPv6-Umgebungen kann dieses Problem abschwächen.
Ohne IPSec werden diese Angriffe bei IPv6 ebenso zum Erfolg führen wie bei IPv4. IPv6 ist mit IPSec zwar eng verknüpft, aber es ist noch nicht alltäglich, dass Netzwerkadministratoren IPSec auch wirklich nutzen. Zertifikate können die nötige End-to-End-Authentifikation auf Anwendungsebene bieten. Ohne einen solchen Mechanismus sind Man-in-the-Middle-Angriffe möglich.
Heute haben die meisten Angriffe auf Computersysteme die Anwendungsschicht zum Ziel. Solche Angriffe erlangen Zugriff auf Systemressourcen, indem sie Pufferüberläufe in den Anwendungen ausnutzen oder sich durch Ausführung von Code höhere Privilegien aneignen.
Diese Angriffstypen sind nicht mit dem zugrunde liegenden Netzwerkprotokoll verknüpft. Aus diesem Grund ist nach einer Migration zu IPv6 keine Änderung zu erwarten. Die Administratoren müssen die Probleme kennen und ihre Systeme permanent aktualisieren, um solche Angriffe zu verhindern.
Flooding-Angriffe sind bei IPv4 und IPv6 identisch. Sie zu verhindern, wird also auch bei IPv6 eine Aufgabe sein. Dafür benötigen Administratoren wirksame DoS-Erkennungswerkzeuge, die IPv6-Kommunikationsflüsse analysieren können, um DoS-Flüsse zu finden. Falls die Kommunikation durch IPSec authentifiziert wird, erreichen die DoS-Pakete die Anwendung zwar nicht, aber der Kommunikationskanal könnte immer noch überflutet werden, womit der Angriff im Endeffekt doch noch erfolgreich wäre.
IPSec (Internet Protocol Security) ist ein von der IETF entwickeltes Framework offener Standards, die die Übertragung von Informationen über ungeschützte Netzwerke (wie das Internet) schützt. IPSec arbeitet auf der Netzwerkschicht und schützt und authentifiziert IP-Pakete zwischen den teilnehmenden IPSec-Geräten, beispielsweise Router. IPSec offeriert folgende Sicherheitsdienste:
Datenvertraulichkeit: Der IPSec-Sender kann Pakete verschlüsseln, bevor er sie über ein Netzwerk sendet.
Datenintegrität: Der IPSec-Empfänger kann von einem IPSec-Sender gesendete Pakete authentifizieren, um sicherzustellen, dass sie während der Übertragung nicht verändert wurden.
Datenquellenauthentizität: Der IPSec-Empfänger kann die Quelle authentifizieren, welche die Pakete gesendet hat.
Anti-Replay: Der IPSec-Empfänger kann wiedergegebene Pakete entdecken und ablehnen.
Die Dienste sind optional. Die lokale Sicherheitsrichtlinie schreibt normalerweise vor, welche Dienste genutzt werden und wie sie genutzt werden.
Die Funktionalität von IPSec ist bei IPv4 und IPv6 generell identisch. Bei IPv6 kann sie jedoch End-to-End genutzt werden – Daten lassen sich also auf dem gesamten Pfad zwischen Quelle und Ziel verschlüsseln. IPv6 implementiert IPSec unter Verwendung der Authentication-Extension-Header und der ESP-Extension-Header. Der Authentication-Header offeriert Integrität und Authentizität der Quelle. Er schützt die Integrität der meisten Felder des IP-Headers und authentifiziert die Quelle durch einen Signaturalgorithmus. Der ESP-Header offeriert Vertraulichkeit, die Authentizität der Quelle, verbindungslose Integrität des inneren Pakets, Anti-Replay und Verkehrsflussvertraulichkeit (eingeschränkt).
Die stateless Adressautokonfiguration von IPv6 erzeugt die globale Unicast-Adresse eines Knotens aus dem Präfix (vom Router erhalten) und dem EUI-64-Identifier. Da der EUI-64-Identifier aus der MAC-Adresse generiert wird, ist es sehr einfach, die IP-Adresse mit einer MAC-Adresse zu verknüpfen. Nur MAC-Adressen und L2-Port-Mapping sollten implementiert werden. Die Nutzung von EUI-64-Identifiers als Teil der IPv6-Adresse zu erzwingen, kann mit einer Firewall erledigt werden. Einige Firewalls erlauben bereits die Prüfung der MAC-Adressen/EUI-64-Adressen-Konsistenz ausgehender Pakete. So lässt sich eine Art Integrität der ausgehenden Kommunikation herstellen.
Adressen dieses Typs wurden entwickelt, weil es Bedenken gab, ein und denselben Schnittstellen-Identifier in mehrfachen Kommunikationskontexten zu benutzen. Man könnte den Identifier ja nutzen, um scheinbar unabhängige Aktivitäten miteinander in Beziehung zu setzen. Diese Privacy-Extension-Adressen verhindern das zwar, sie bringen aber auch ein paar Probleme mit sich: Sie machen das Troubleshooting komplizierter, erfordern häufige Updates von Reverse-DNS-Einträgen, erlauben einfacheres Adress-Spoofing, verhindern die Unterscheidung temporärer und gefälschter Adressen und verbessern dabei die Präfix-Privacy kein Stück.
Möglicherweise ist es besser, statt solcher Adressen ein neueres IPv6-Feature zu nutzen: Cryptographically Generated Addresses (CGA), RFC 3972. Dieses Feature generiert einen zufälligen Schnittstellen-Identifier basierend auf dem öffentlichen Schlüssel (public key) des Knotens. CGA beweist das Eigentum einer Adresse und verhindert das Spoofing und den Diebstahl existierender IPv6-Adressen.
DHCP kann ein Gerät mit einer Adresse und anderen Konfigurationsinformationen ausstatten. DHCPv6-Server nutzen DCHP-Unique-Identifier (DUIDs), um Clients für die Auswahl von Konfigurationsparametern zu identifizieren. DHCP-Clients nutzen DUID, um einen Server zu identifizieren.
Ein DUID kann aus verschiedenen Quellen generiert werden:
Basierend auf der Link-Layer-Address-Plus-Time (DUID-LLT)
Basierend auf der Enterprise-Number (DUID-EN)
Basierend auf der Link-Layer-Adresse (DUID-LL)
Bei DUID-LLT und DUID-LL existiert eine Verknüpfung zwischen der IPv6-Adresse und der Link-Layer-Adresse (normalerweise eine MAC-Adresse) in den Statusinformationen des DHCPv6-Servers. Bei DUID-EN ist es Aufgabe des Administrators, eine solche Verknüpfung herzustellen.
Werden die Adressen aus einem gut identifizierbaren Teil in /64 zugewiesen, dann können die Firewalls dafür sorgen, dass nur Hosts, die DHCPv6 für die Adresskonfiguration verwenden, sich mit Zielen außerhalb des geschützten Netzwerks verbinden können.
Die statische Adresskonfiguration gleicht der statischen Konfiguration bei IPv4. Hier gibt es also auch die gleichen Probleme wie bei IPv4.
Router-Advertisements sind einer der großen Unterschiede zwischen IPv6 und IPv4. IPv4 stellt die Adresse eines Gateways üblicherweise per DHCP oder durch statische Konfiguration zur Verfügung. Bei IPv6 können Router, die am selben Link angeschlossen sind, das Neighbor-Discovery-Protocol für verschiedene Zwecke verwenden. Sie können damit beispielsweise die Präsenz anderer Router entdecken, deren Link-Layer-Adressen herausfinden, Parameter lernen etc. Ein solcher Mechanismus bringt aber auch ein gewisses Risiko mit sich. Die Anzahl der Angriffe, die möglich sind, sobald man an die Stelle des Default-Gateways getreten ist, ist beängstigend.
Router betrachten die Informationen, die sie in Router-Advertisements von anderen Routern erhalten, als bindend, selbst wenn diese Informationen nicht digital signiert oder verschlüsselt sind. Router ändern also betroffene Konfigurationseinstellungen ohne Verifikation. Bösartige Knoten können in den optionalen Feldern des ICMPv6-Extension-Headers fehlerhafte Werte eintragen, beispielsweise ein falsches Präfix oder eine falsche Link-Layer-Adresse. Da legitime Router-Advertisements nicht notwendigerweise Werte für sämtliche Optionen enthalten, stehen die Chancen nicht schlecht, dass die fehlerhaften Werte nicht durch ein nachfolgendes legitimes Router-Advertisement korrigiert werden.
Administratoren sollten sich dieser Situation bewusst sein und Konfigurationen vermeiden, wo solche Advertisements standardmäßig konfiguriert sind. DHCPv6-Systeme können möglicherweise dabei helfen, solche falschen Konfigurationen zu verhindern.
Beginnt ein falscher Router damit, Verkehr umzuleiten, dann wird er wahrscheinlich als „böser Proxy” den Inhalt ausgehender Pakete modifizieren oder als Endknoten in einem Kommunikationsfluss agieren. Diese zwei Formen eines Angriffs lassen sich mit IPSec verhindern. IPSec ist aber keine Option, wenn ein Ende der Kommunikation nicht von vornherein bekannt ist, es sehr viele Peers gibt oder sie sich unterschiedlichen Managementdomänen befinden. Auch hier kann DHCPv6 helfen.