Mit dem Heftschwerpunkt 'IT-Support & Troubleshooting' startet IT-Administrator ins neue Jahr. Dabei zeigen wir Ihnen, auf welchem Weg Sie Ihr eigenes ... (mehr)

Unerwünschter Tunnel-Traffic

Im Rahmen der IPv6-Migration sind Tunnel-Techniken eine Möglichkeit, IPv6-Inseln über eine IPv4-Only-Infrastruktur miteinander zu verbinden. Sie stellen Übergangsmechanismen dar, die früher oder später durch die native IPv6-Kommunikation abgelöst werden sollen. Das Problem bei einigen Tunnel-Technologien ist, dass sie unter bestimmten Bedingungen automatisch aktiviert werden. Hierzu gehören insbesondere:

- 6to4: Eine Tunnel-Technologie, die für die Kommunikation von IPv6-Knoten über das IPv4-Internet gedacht ist.

- ISATAP: Das Intra-Site Automatic Tunnel Addressing Protocol wird insbesondere von Microsoft genutzt und dient vorwiegend zur Kommunikation von IPv6-Knoten über Intranet-Strukturen innerhalb eines Unternehmens.

- Teredo: Benannt nach dem Schiffsbohrwurm (biologisch eigentlich eine Muschel), ist Teredo darauf spezialisiert, über NAT-Strukturen kommunizieren zu können, die anderen Tunnel-Technologien Schwierigkeiten bereiten.

Allen Tunnel-Technologien dieser Art ist gemein, dass IPv6-Pakete in IPv4-Header eingepackt und anschließend als IPv4-Paket weitergeleitet werden (Bild 3). Damit ist es sehr leicht möglich, dass unerwünschter Traffic durch Firewalls und andere Sicherheitssysteme hindurchgelangt, die den Inhalt der IPv4-Pakete nicht korrekt überprüfen. Einige Tunnelmechanismen wie 6to4 und Teredo nutzen festgelegte Präfixe, und der Algorithmus zur Bildung der gesamten IPv6-Tunneladresse ist so ausgelegt, dass automatisch global eindeutige Adressen erstellt werden. Damit ist ein System, das Tunneladressen verwendet, unter Umständen auch von außen problemlos erreichbar.

Tunnel-Traffic durch das Protocol-Feld filtern

Dabei können Sie IPv6-in-IPv4-Tunnelmechanismen durch die (IPv4-)Firewalls relativ leicht kontrollieren, indem das Protocol-Feld des IPv4-Headers überprüft wird: Es hat beim Transport eines IPv6-Pakets hier regelmäßig den Wert 41. Werden solche Pakete von der Firewall gefiltert, haben Tunnelmechanismen schon einmal grundsätzlich schlechte Karten. Damit blockieren Sie die folgenden Tunnelmechanismen:

- 6in4 und 6over4: Diese Mechanismen erfordern ohnehin manuelle Tunnelkonfiguration.

- 6rd: Aufbauend auf 6to4 nutzt 6rd kein festes Präfix und kann daher von Paketfiltern prinzipiell nur über das Protocol-Feld im IP-Header erkannt werden.

- 6to4: Neben dem Wert 41 im Protocol-Feld nutzt 6to4 das Präfix 2002::/16. Dieses Präfix kann von entsprechenden IPv6-Firewalls im Bereich der IPv6-Infrastruktur gefiltert werden. Effektiver ist aber oft die Filterung nach den 6to4-Relays im Internet, die die IPv4-Anycast-Adresse 192.88.99.1 nutzen. Auf den IPv4-Internet-Gateways kann demnach ausgehend nach dieser Zieladresse und eingehend nach dieser Absenderadresse gefiltert werden.

- ISATAP: Dieser Mechanismus nutzt kein Well-Known-Präfix und ist ohnehin dafür ausgerichtet, nur innerhalb eines Unternehmensnetzwerks (Intranet) zu kommunizieren. Nichtsdestotrotz ist eine Filterung auf Protokoll 41 hier ein effektiver Schutz.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023