ipv6 security - chancen und herausforderungen · ipv6 bringt verbesserungen, die sich auf die...
TRANSCRIPT
IPv6 Security - Chancen und Herausforderungen
Thomas Sche�erBettina Schnor
Fachbereich ElektrotechnikBeuth Hochschule Berlin
{sche�[email protected]}
Institut für InformatikUniversität Potsdam
Grundlagen
Übersicht
1 GrundlagenWarum IPv6?NetzwerksicherheitICMPv6 / Autocon�guration / Extension Header
2 Sicherheitsprobleme in IPv6Stateless Autocon�gurationSecure Neighbor DiscoverSource Routing in IPv6
3 Firewalls & Netzwerksicherheitip6tablesHost Security
4 Literatur
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 2 / 39
Grundlagen Warum IPv6?
Warum IPv6?
Quality of Service
Inhärente Sicherheit (native IPsec Unterstützung)
Mobilitätsunterstützung (Mobile IP)
Auto-con�guration (Plug-and-Play)
Erweiterbarkeit bzgl. zukünftiger Protokollanforderungen
Kleinere Routingtabellen
aber:
Bereits durch die weitere IPv4-Standardisierung abgedeckt!
Wichtigster Grund:
Genügend IP-Adressen!
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 3 / 39
Grundlagen Netzwerksicherheit
Netzwerksicherheit IPv6
IPv6 bringt Verbesserungen, die sich auf die Netzwerksicherheit positivauswirken können:
Inhärente IPsec Unterstützung
Gröÿere Subnetze
aber:
IPv6 bringt durch eine Reihe von Features auch neue Herausforderungenmit sich. Neue Implementierungen besitzen zum Teil noch nicht diegeforderte Produktreife.
Die potentiellen Problemfelder gilt es frühzeitig zu erkennen und geeigneteSchutzmaÿnahmen vorzuschlagen.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 4 / 39
Grundlagen Netzwerksicherheit
3 Phasen der Sicherheitsbetrachtung von IPv6
1 IPv6 ist ein sicheres Netzwerkprotokoll, es besitzt inhärentenIPsec-Support.
2 IPv6-Netze müssen genauso wie IPv4-Netze geschützt werden, eswerden identische Tools benötigt.
3 IPv6 besitzt neue Protokoll-Features (Routing Header,Autokon�guration, ...).Es sind neuartige Angri�e möglich.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 5 / 39
Grundlagen Netzwerksicherheit
Netzwerksicherheit IPv6 - Subnetzgröÿe
Subnetzgröÿe für IPv6 beträgt mindestens: 264(1, 8× 1018 Hosts) �Gröÿe durch die Interface ID abgesteckten Host-Anteils derIP-Adresse
Derzeitige Wurmattacken verwenden z.B. Hostscans, um möglicheAngri�sziele zu identi�zieren.
Hostscan in einem IPv6 Subnetz:
Bei angenommener Gleichverteilung von 10.000 Hosts in diesemAdressraum und 1 Million Anfragen pro Sekunde (400 Mbit/s) dauertes durchschnittlich 2,8 Jahre, bis der erste Host gefunden wird.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 6 / 39
Grundlagen Netzwerksicherheit
Netzwerksicherheit IPv6 - Subnetzgröÿe
Aber Angri�e werden erleichtert, falls:
Host-ID auf Basis MAC-Adresse
Manuell kon�gurierte Host-ID, die leicht zu erinnern ist (::10, ::20,eingebettete IPv4-Adresse usw.)
Namensau�ösung über DNS
Angri�e werden trivial, falls der Angreifer lokalen Zugri� hat:
IPv6 unterstützt well-known Multicast Adressen (RFC 2375):All-Nodes (FF02::1), All-Routers (FF05::2), All-DHCP Server(FF05::3)
Absetzen eines gefälschten Routing Advertisements und Sni�en derAnfragen zur Duplicate Address Detection (DAD)
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 7 / 39
Grundlagen Netzwerksicherheit
IPv6 Scoped Multicast-Adressen
1 1 1 1 1 1 1 1 GroupID
8 Bit Multicast ID 112 Bit Gruppen ID4 Bit 4 Bit
Flag Scope
Flag - 'well-known'/'transient' Adresse, u.a.Scope - Reichweite der Multicast Gruppe
0 32 64 96 127
F F 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 G G G G G G G GNode-Local Multicast
Link-Local Multicast
Site-Local Multicast
F F 0 2 0 0 0 0 0 0 0 0 0 0 0 0
0 0 0 0 0 0 0 0F F 0 5 0 0 0 0
0 0 0 0 0 0 0 0 G G G G G G G G
0 0 0 0 0 0 0 0 G G G G G G G G
F F 0 8 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 G G G G G G G GOrganisation-Local Multicast
Global Multicast F F 0 E 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 G G G G G G G G
0 32 64 96 127
F 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 G G G G G G G GIPv6 Address
Solicited Node Address F F 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 F F G G G G G
Prefix Host-ID
24 bit
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 8 / 39
Grundlagen ICMPv6 / Autocon�guration / Extension Header
ICMPv6
Das ICMPv6 Protokoll ist im Gegensatz zu ICMP(v4) ein zentralesProtokoll für den Einsatz von IPv6. Es stellt eine Vielzahl von Funktionenbereit, welche in IPv4 entweder nicht existierten oder durch andereProtokolle abgedeckt wurden:
Stateless Address Autocon�guration und Router Discovery
L2-Adressau�ösung mittels ICMPv6 Neighbour Discovery Protocol(NDP). IPv4 benutzt das ARP Protokoll auf Layer 2.
Ermittlung der Erreichbarkeit und der Parameter desÜbertragungspfades: Echo Request/Response, Path MTU Discovery.
Verwaltung der Multicast-Gruppenzugehörigkeit durch MulticastListener Discovery und Multicast Router Discovery. IPv4 benutzt dazudas IGMP Protokoll.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 9 / 39
Grundlagen ICMPv6 / Autocon�guration / Extension Header
1 Router Solicitation (Typ 133): Wenn ein Netzwerkinterface aktiviertwird, können Hosts eine Router Solicitation aussenden, um sofort einneues Router Advertisement anzufordern.
2 Router Advertisement (Typ 134): Router geben in regelmäÿigenAbständen ihre Anwesenheit im Netz bekannt und teilen damit denHosts verschiedene Link-und Internetparameter mit.Router Advertisements enthalten Pre�x-Information, welche für dieAdresskon�guration benutzt werden, vorgeschlagene MTU, etc.
3 Neighbor Solicitation (Typ 135): Werden durch einen Node versendet,um die Link-Layer Adresse eines Nachbarn zu ermitteln, bzw. um zuüberprüfen, ob der Nachbar noch unter unter dieser Adresse erreichbarist.Neighbor Solicitations werden auch benutzt, um mittels DuplicateAddress Detection die Einzigartigkeit der kon�gurierten Adressen zuüberprüfen.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 10 / 39
Grundlagen ICMPv6 / Autocon�guration / Extension Header
4 Neighbor Advertisement (Typ 136): Sind die Antwortnachrichten aufeine Neighbor Solicitation Nachricht. Ein Node kann aber auchselbständig Unsolicited Neighbor Advertisements versenden, um einegeänderte Link-Layer Adresse bekanntzugeben.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 11 / 39
Grundlagen ICMPv6 / Autocon�guration / Extension Header
Address Autokon�guration
Address Autocon�guration wird benutzt, um einem IPv6 Hostautomatisch IP-Adressen zuzuweisen. Dadurch wird sichergestellt,dass der Host im Netzwerk ohne explizite Kon�gurationkommunizieren kann.
Es gibt 2 Methoden der Autocon�guration, die zustandslose(stateless) Autokon�guration ist das Default-Verfahren:
Um eine gültige IP Adresse zu bilden, nutzt der Host verfügbarePre�x-Information (z.B. aus dem Router Discovery Prozess) und testetanschlieÿend die Adresse mittels Duplicate Address Detection (DAD)auf Einzigartigkeit.Als stateful-Mechanismus, bietet DHCPv6 zusätzliche Features derAutocon�guration. DHCPv6 steht aber nicht für alle Betriebssystemezur Verfügung.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 12 / 39
Grundlagen ICMPv6 / Autocon�guration / Extension Header
Stateless Address Autocon�guration
23 47
0 32 64 96 127
F 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 G G G G G G G GIPv6 Address Prefix Host-ID (EUI-64)
0 0 0 0 GOUI G G G G GNIC0
OUI NICF F F E
Bit 7 wird komplementär ersetzt
Ethernet MAC Address
EUI-64 Address
Link-Local Prefix F E 8 0 0 0 0 0 0 0 0 0 0 0 0 0
Jedes Interfaces muss mindestens eine Link-Local Unicast AdressebesitzenInterface Identi�er(letzten 64 Bit) der Endsysteme muss nur imTeilnetz eindeutig sein und wird meist aus der MAC Adresse desInterfaces erzeugt
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 13 / 39
Grundlagen ICMPv6 / Autocon�guration / Extension Header
Stateless Address Autocon�guration
Autokon�guration gilt nur für Hosts, nicht für Router.
IPv6 haben eines assoziierte Lebenszeit: Gültige Adressen sindpreferred. Adressen, die bald ablaufen werden auf den Zustanddeprecated gesetzt. Letztere dürfen in neuen Verbindungen nicht mehrbenutzt werden.
Duplicate Address Detection: Nachdem eine link-lokale Adresseerzeugt wurde, wird diese mit einer Neighbour Soliciting Messageverschickt, um ihre Eindeutigkeit zu testen.Falls die Adresse schon existiert, schickt der Besitzer der Adresse eineNeighbour Advertising Message mit dieser Info zurück und dieAutokon�guration wird abgebrochen.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 14 / 39
Grundlagen ICMPv6 / Autocon�guration / Extension Header
Stateless Address Autocon�guration
Duplicate Address Detection
Host AIP: A (tentative)
ICMP-Type: 135Src: 0 (::), Dest: Solicited Node A, Target: A
Host BIP: B
-
Wenn die IP-Adresse von Host A bereits auf diesem Link vergeben ist, kannsie nicht dem Interface zugewiesen werden.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 15 / 39
Grundlagen ICMPv6 / Autocon�guration / Extension Header
IPv6 Extension Header
IPv6 verfügt über einen �exiblen Mechanismus für die Erweiterung desProtokolls um zusätzliche Funktionalitäten. Dazu können weitereHeader (Extension Header) zwischen IP und L4-Header eingefügtwerden.
IPv6 RoutingHeader
FragmentHeader ICMPv6
43 44 58
IPv6 ICMPv658
Next Header
IPv6 TCP Data6
Next Header
IPv6 ESP50
Next Header
17UDP Data
Next Header
Next Header Next Header
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 16 / 39
Sicherheitsprobleme in IPv6
Übersicht
1 GrundlagenWarum IPv6?NetzwerksicherheitICMPv6 / Autocon�guration / Extension Header
2 Sicherheitsprobleme in IPv6Stateless Autocon�gurationSecure Neighbor DiscoverSource Routing in IPv6
3 Firewalls & Netzwerksicherheitip6tablesHost Security
4 Literatur
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 17 / 39
Sicherheitsprobleme in IPv6 Stateless Autocon�guration
Stateless Address Autocon�guration
Probleme:
Jeder kann sich am Netzwerk anmelden und erhält eine gültigeAdresse!
Duplicate Address Detection kann für DOS-Attacke ausgenutztwerden.
Router Advertisements und Neighbor Solicitation Nachrichten könnengefälscht werden (vgl. ARP-Spoo�ng in IPv4)
Abhilfe:
1 Authenti�zierte Neighbour Discovery Message (AH-Header gemäÿRFC 4302)
2 Verwendung des Secure Neighbor Discovery Protokolls (RFC 3971)
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 18 / 39
Sicherheitsprobleme in IPv6 Stateless Autocon�guration
Stateless Address Autocon�guration
DOS-Angri� auf Duplicate Address Detection
Host AIP: A (tentative)
AngreiferIP: B
ICMP-Type: 135Src: 0 (::), Dest: Solicited Node A, Target: IP A
-
ICMP-Type: 136Src: IP A, Dest: Multicast AllNodes, Target: A
�
Ein Angreifer antwortet wiederholt auf die DAD-Anfrage von Host A undverhindert somit, dass Host A eine gültige IPv6 Adresse kon�gurieren kann.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 19 / 39
Sicherheitsprobleme in IPv6 Stateless Autocon�guration
Probleme des Zusammenspiels vonICMPv6 und IPsec IKE
Die IPv6 Sicherheitsarchitektur sieht vor, dass alle IP Pakete mittelsIPsec gesichert werden können, auch ICMPv6 Nachrichten.Allerdings gibt es ein Bootstrap-Problem im Fall derAutokon�guration. Um ein IKE UDP zu versenden müsste zuerst eineNeighbour Solicitation Nachricht versendet werden. Diese wäre dannaber noch ungesichert...
IPsec kann Unicast und Multicast Verkehr sichern, allerdings kann IKESecurity Associations(SA) nur für Unicast Verkehr automatischaushandeln.Die folgenden ICMPv6 Nachrichten müssten deshalb manuellkon�gurierte SAs verwenden:Router und Neighbor Solicitation, Router und Neighbor Advertisement.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 20 / 39
Sicherheitsprobleme in IPv6 Secure Neighbor Discover
Sichere Neighbor Discovery mittels SEND
Die Spezi�kation des Neighbor Discovery Protokolls (RFC4861)emp�ehlt die Verwendung von IPsec zum Schutz von NDPNachrichten nur für kleinere Netze.
Das SEcure Neighbor Discovery (SEND) Protokoll wurde entworfenum mögliche Angri�e gegen NDP abzuwehren.Das Protokoll nutzt kryptographisch generierte Adressen, welche eineBindung der Adresse an den generierenden Node gestatten. DasVerfahren funktioniert auch für automatisch generierte IP-Adressen.
aber:
Betriebssystemunterstützung ist mangelhaft: Linux experimentell;WinXP und Vista keine; Cisco IOS 12.4 unterstützt SEND.
Keine Erfahrung im Betrieb, evtl. anfällig für Angri�e die Ressourcenbinden
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 21 / 39
Sicherheitsprobleme in IPv6 Secure Neighbor Discover
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 22 / 39
Sicherheitsprobleme in IPv6 Secure Neighbor Discover
Secure Neighbor Discovery
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 23 / 39
Sicherheitsprobleme in IPv6 Secure Neighbor Discover
Secure Neighbor Discovery
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 24 / 39
Sicherheitsprobleme in IPv6 Source Routing in IPv6
Source Routing
Der Absender eines Pakets kann über den IPv6-Routing Header RH0bestimmen, über welche Knoten ein Paket auf seinem Weg durch dasNetzwerk laufen soll.
Source-Routing in IPv6 per Standard RFC2640 verp�ichtend auch fürEndgeräte (IPv6-Nodes) vorgeschrieben
Besondere 'Liberalitätsanforderung' bei der Headerverarbeitung: "IPv6nodes must attempt to process extension headers in any order andoccurring any number of times in the same packet. . . "
RFC5095 hat den Routing Header RH0 als schädlich eingestuft undverworfen
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 25 / 39
Firewalls & Netzwerksicherheit
Übersicht
1 GrundlagenWarum IPv6?NetzwerksicherheitICMPv6 / Autocon�guration / Extension Header
2 Sicherheitsprobleme in IPv6Stateless Autocon�gurationSecure Neighbor DiscoverSource Routing in IPv6
3 Firewalls & Netzwerksicherheitip6tablesHost Security
4 Literatur
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 26 / 39
Firewalls & Netzwerksicherheit
Netzwerksicherheit: ICMPv6 und Firewalls
Sean Convery, Darrin Miller (CISCO): IPv6 and IPv4 Threat Comparison
and Best-Practice Evaluation:�Current best practice for IPv4 �rewalling of ICMP is sometimes debated,
but it is generally accepted that stringent ICMP �ltering is a best practice.�
Firewall verwirft alle ICMP-Nachrichten aus dem Internet, bis auf
ICMPv4: echo reply, echo request, destination unreachable, Timeexceeded, Fragmentation needed but don't-Fragment bit gesetzt,ggf. IGMP
ICMPv6: echo reply, echo request, no route to destination,ggf. multicast listener message, GGF. router solicitation, routeradvertisement, neighbor solicitation, neighbor advertisement
ICMPv6-Nachrichten, die die Firewall zum Ziel-Host durchlassensollte/muss: packet too big (Type 2 message), parameter problem (Typ 4message)
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 27 / 39
Firewalls & Netzwerksicherheit ip6tables
IPv6 Firewall mit ip6tables I
IPv6 Firewalls lassen sich unter Linux mit ip6tables verwalten.
Der Regelaufbau entspricht der Syntax von iptables für IPv4
Es existieren eine Reihe von Modulen die protokoll-spezi�scheFunktionen bereitstellen, z.B. für die Behandlung von ExtensionHeadern.
Firewall-Regel hinzufügen
ip6tables [-t table] -I chain [rulenum] rule-specification
[options]
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 28 / 39
Firewalls & Netzwerksicherheit ip6tables
IPv6 Firewall mit ip6tables II
IPv6-spezi�sche Module
ah - IPsec Authentication Header
esp - IPsec ESP Header
dst - Destination Header
hbh - Hop-by-Hop Header
rt - Routing Header
icmpv6 - ICMPv6
Module können auf 2 Arten geladen werden:
Implicit, wenn ein Protokoll mit -p oder �protocol spezi�ziert wird
Explizit mit der -m oder �match Option
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 29 / 39
Firewalls & Netzwerksicherheit Host Security
Filtern von ICMPv6 Nachrichten - Permit
ICMPv6 Typ Art Richtung Action
1 Destination Unreachable In Permit2 Packet Too Big In/Out Permit3 Time Exceeded In/Out Permit4 Parameter Problem In/Out Permit128 Echo Request Out Permit129 Echo Reply In Permit133, 134 Router Discovery In/Out Permit135, 136 Neighbor Discovery In/Out Permit130, 131, 132, 143 MLD Nachrichten In/Out Permit
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 30 / 39
Firewalls & Netzwerksicherheit Host Security
Filtern von ICMPv6 Nachrichten - Drop
ICMPv6 Typ Art Richtung Action
100, 101 Private Experimentation In/Out Drop200, 201 Private Experimentation In/Out Drop137 Redirect In/Out Drop138 Router Renumbering In/Out Drop139 ICMP Node Information Query In Drop140 ICMP Node Information Response Out Drop
nicht genutzte/zugewiesene ICMPNachrichten
In/Out Drop
http://www.iana.org/assignments/icmpv6-parameters
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 31 / 39
Firewalls & Netzwerksicherheit Host Security
Filtern des Routing Headers Typ 0
Laut RFC 5095 sollen Pakete mit Routing Header vom Typ 0 (SourceRouting) verworfen werden, da diese ein hohes Sicherheitsrisiko darstellen.
Firewall-Regel
ip6tables -A INPUT -m rt �rt-type 0 -j DROP
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 32 / 39
Firewalls & Netzwerksicherheit Host Security
Filtern von AutoConf Nachrichten
Wenn Address Autokon�guration verwendet wird, sind vielfältigeAngri�smöglichkeiten gegeben.Um 'nicht-lokale' Angri�e zu unterbinden, verarbeitet derIP-Netzwerkstack keine Nachrichten mit einem Hop-Count < 255Zusätzlich können diese ICMP-Nachrichten an den Netzgrenzenge�ltert werden.
Verwerfen von Nachrichten mit Hop Count < 255
ip6tables -I INPUT -p icmpv6 �icmpv6-type -m hl �hl-lt 255
-j DROP
Lokale ICMP-Nachrichten
RS: Type 133, RA: Type 134, NS: Type 135, NA: Type 136Redirect: Type 137, Inverse NS: Type 141, Inverse NA: Type 142Send Path Solicitation/Advertisement: Type 148 / 149
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 33 / 39
Firewalls & Netzwerksicherheit Host Security
Allgemeines zu IPv6 Firewalls
Es ist darauf zu achten, dass die Firewallregeln identische Policies fürIPv4 wie auch für IPv6 implementieren.
Nicht genutzte Protokolle und Addressbereiche sollten ge�ltert werden.
IPv6 fordert eine gesta�eltes Firwall-Deployment: Host + NetworkFirewalls sind sinnvoll
Die Erkennung von getunnelten IPv6 Datenverkehr ist z.T. schwierig.Im Bestreben um ein möglichst sauberes Netz sollte auch abgehenderIPv6 Verkehr ge�ltert werden (egress-Filtering).
Paket mit Source-Adressen, die nicht dem lokalen Netz entstammen.ICMP-Packete mit nicht zugeordneten Type-Nummern, Autoconf, etc.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 34 / 39
Firewalls & Netzwerksicherheit Host Security
Weitere potentielle Problemgebiete:
IPv6 Transitionsmechanismen (Automatisches Tunneling, 6to4, ...)
Fragmentation und IPv6 Extension-Header Mechanismen
Netzwerk-Renumbering
Mobile IPv6
...
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 35 / 39
Firewalls & Netzwerksicherheit Host Security
Fazit:
IPv6 ist ein neues, interessantes Kommunikationsprotokoll mit eigenenFeatures.Ein gutes Verständnis des Protokolls ist notwendig um sichere Netzezu bauen.
Erfahrung erwächst aus der aktiven praktischen Anwendung!
Toolsupport in den letzten Jahren stark verbessert. Es fehlen aberverlässliche, einfach zu bedienende Test-Tools.
Herausforderung
Neue Protokolle bringen neue Herausforderungen aber auch neue Chancenmit sich
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 36 / 39
Literatur
Übersicht
1 GrundlagenWarum IPv6?NetzwerksicherheitICMPv6 / Autocon�guration / Extension Header
2 Sicherheitsprobleme in IPv6Stateless Autocon�gurationSecure Neighbor DiscoverSource Routing in IPv6
3 Firewalls & Netzwerksicherheitip6tablesHost Security
4 Literatur
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 37 / 39
Literatur
J. Abley, P. Savola, and G. Neville-Neil.Deprecation of Type 0 Routing Headers in IPv6.RFC 5095 (Proposed Standard), December 2007.
Philippe Biondi and Arnaud Ebalard.IPv6 Routing Header Security.CanSecWest, 2007.
Sean Convery and Darrin Miller.IPv6 and IPv4 Threat Comparison and Best-Practice Evaluation(v1.0).Cisco Systems Technical Report, March 2004.
Scott Hogg and Eric Vyncke.IPv6 Security.Cisco Press, 2008.
Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 38 / 39
Fragen?