Rumen Stainov IPnG Das Internet-Protokoll der nächsten Generation An International Thomson Publishing Company Bonn Albany Belmont Boston Gncinnati Detroit Johannesburg London Madrid Melbourne Mexico City New York Paris Singapore Tokyo THOMSON PUBLISHING
i 1. Internet-Grundlagen 11 1.1 1.2 1.3 1.3.1 1.3.2 1.3.3 1.3.4 1.3.5 1.3.6 1.4 1.4.1 1.4.2 1.4.3 1.4.4 1.5 1.5.1 1.5.2 1.5.3 1.5.4 1.6 1.6.1 1.7 1.7.1 1.7.2 1.7.3 1.7.4 1.7.5 Das Internetmodell Die Internet-Linkschicht Die Internetschicht Das IP-Protokoll IP-Adreßklassen Strukturierung eines Host-ID in Subnetze IP-Routing ICMP IGMP Die Transportschicht Ports und Multiplexing UDP TCP Beispiel einer TCP-Verbindung Sockets-API Initialisierungsphase Kommunikationsphase Namensfunktionen Windows-Sockets-API DNS Ein Beispiel mit DNS Der WWW-Dienst Adressierung von Objekten durch URL HTTP Verhandlung der Datenformate durch HTTP Sicherheitsaspekte bei HTTP WWW-Proxies 11 16 19 19 22 24 27 30 33 36 36 38 39 41 43 45 46 49 51 54 58 60 61 61 70 74 76 Literatur 79 2. Das neue Internetprotokoll IPv6 83 2.1 Hintergründe und Übersicht 83 2.2 IPv6-Adressierungskonzepte 85 2.2.1 Allgemeine Adreßform 87 2.2.2 Strukturierung der IPv6-Adressen 89 2.2.3 Anbieter-basierte Unicast-Adressen 91 2.2.4 Link-lokale und Standort-lokale Adressen 93
2.2.5 2.2.6 2.2.7 2.3 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.4.5 2.5 Multicast-Adressen Anycast-Adressen Zusammenfassung der IPv6-Adressierung einer Station oder eines Routers IPv6-Header Optionale Erweiterungs-Header statt Optionen Aufbau der Erweiterungs-Header Jumbo-Payload-Option Source Routing Fragmentierung Path MTU Discovery Naming in IPv6 Anhang 2.1: Die zugewiesenen Protokolltypen laut IANA Literatur 94 97 98 99 101 102 104 104 106 108 108 111 110 3. Interaktion mit anderen Internetprotokollen und -diensten 115 3.1 ICMPvö 115 3.1.1 Allgemeines Paketformat von ICMPvö 115 3.1.2 ICMPvö-Fehlermeldungen. 117 3.1.3 ICMP6-Informationsmeldungen 120 3.2 Auswirkung auf die oberen Protokoll-Schichten 122 3.2.1 TCP und UDP mit IPv6 122 3.2.2 Protokolle der Anwendungsschicht über IPv6 125 3.3 Übergang vom IPv4 zum IPv6 125 3.3.1 Duale IP-Stacks und Tunneling 126 3.3.2 Adressenermittlung und Übertragungsstrategie 1.30 3.3.3 Probleme mit der IPv6-Einkapselung in IPv4-Pakete 132 3.3.4 Fragmentierung bei Tunneling 133 3.3.5 Hop-Limit bei IPv6 vs. TTL bei IPv4 134 3.3.6 ICMP-Fehlermeldungen bei Tunneling - 134 Literatur 135 4. Autokonfiguration 1 37 4.1 Nachbarerkennung: Hilfsdienste zur Autokonfiguration 138 4.1.1 ICMP-Router-Solicitation-Nachricht 142 4.1.2 ICMP-Router-Advertisement-Nachricht 143 4.1.3 ICMP-Neighbor-Solicitation-Nachricht 144 4.1.4 i ICMP-Neighbor-Advertisement-Nachricht 146 4.1.5 ICMP-Redirect-Nachricht 147 4.1.6 Formate des Optionen-Feldes 149 4.1.7 Daten-Strukturen bei der Nachbarerkennung 151
4.2 Autokonfiguration auf der Link-Schicht 152 4.2.1 Generierung einer Link-lokalen IPv6-Adresse 152 4.2.2 Überprüfung der Einmaligkeit 153 4.3' Automatisches Konfigurieren der eigenen Standort-lokalen und globalen IPv6-Adresse 155 4.4 Statuslose Autokonfiguration 156 4.4.1 Das Prinzip 156 4.4.2 Lebensdauer der erstellten Adressen 157 4.4.3 Konsistenz der Parameter 158 4.4.4 Sicherheitsaspekte der statuslosen Konfiguration 158 4.5 Statusbehaftete Autokonfiguration 159 4.5.1 Herausfinden der Adressen einer oder mehrerer DHCP-Server 161 4.5.2 Abfragen von Konfigurationsparametern 164 4.5.3 Steuernachrichten bei DHCP 167 4.5.4 Erweiterungen im DHCPvö 169 4.5.5 Lebensdauer einer IPv6-Adresse 170 4.5.6 Adreß-Erweiterung mit einer DHCP-Anforderung 171 4.5.7 DNS-Erweiterung 171 4.5.8 Domain-Name-Erweiterung 172 4.5.9 Static-Route-Erweiterung 172 4.5.10 Herstellerspezifische Erweiterung 173 4.5.11 Class-Identifikator-Erweiterung 173 4.5.12 Multicast-Adressen-Erweiterung zur Rekonfiguration 173 4.5.13 Server-Adresse-Erweiterung zur Umadressierung 174 4.5.14 Client-Server-Authentifizierungs-Erweiterung 174 4.6 Mobilität 175 4.6.1 Allgemeines Szenario 175 4.6.2 Mobile-IPv6 '. 177 4.6.3 Handoff mit Mobile-IPv6 181 4.6.4 Binding-Update 182 4.6.5 Binding-Acknowledgement 185 4.6.6 Binding-Request 186 Literatur 187 5. IPv6 auf der Anwenderebene 189 5.1 Sockets-API für IPv6 189 5.1.1 Veränderungen im Sockets-API 190 5.1.2 IPv6-Adressierungsarten im Sockets-API 191 5.1.3 Beispiel mit IPv6-Sockets 193 5.1.4 Behandlung von Any-Adressen 194 5.1.5 IPv6-Loopback-Adresse 195 5.1.6 Multicast-Adressen mit IPv6-Adressen 196
5.1.7 5.1.8 5.1.9 5.1.10 5.2 5.2.1 5.2.2 5.2.3 5.3 Literatur 6. Sicherheit Umwandlung von Adressen Datenbankfunktionen des IPv6-Sockets Eingrenzen der Anzahl der Hops Umwandlung von Socket-Typen Übertragung multimedialer Ströme Reservierung Flußkontrolle während der Übertragung Prioritätssteuerung IPv6 und Intranet 6.1 Techniken der Eindringlinge in ein Netz und übliche Abwehrmaßnahmen 6.1.1 Techniken der Eindringlinge 6.1.2 Abwehrmaßnahmen 6.2 Sicherheitslücken im Internet 6.3 Netzwerkmönitoring auf der Link-Ebene 6.3.1 Prinzip 6.3.2 Erkennung 6.3.3 Bekämpfung 6.4 Sicherheitslücken bei den TCP/IP-Protokollen 6.4.1 IP-Spoofing, 6.4.2 Source-Routing-Attacken 6.4.3 RIP-Attacken 6.4.4 ICMP-Attacken 6.4.5 TCP-Sequenznummer-Attacken 6.4.6 TCP-SYN-Überflutung 6.4.7 Firewall-Attacken durch IP-Spoofing 6.4.8 UDP-Spoofing 6.5 Sicherheitslücken bei den Hintergrunddiensten 6.5.1 DNS-Attacken 6.5.2 RPC-Attacken 6.5.3 MIME-Attacken 6.6 Sicherheitslücken bei den Vordergrunddiensten 6.6.1 Sicherheitslücken mit der E-Mail 6.6.2 Sicherheitslücken im WWW 6.6.3 WWW-Spoofing 6.7 Zugriffsschutz 6.7.1 Zugangskontrolle 6.7.2 ' Paßwortwahl 6.7.3 Eine Strategie zum Erraten des Paßwortes 6.7.4 Schutz der Paßwörter ' 196 196 198 198 200 201 201 202 203 204 207 208 208 212 213 214 214 214 215 217 218 218 218 219 219 219 222 224 225 225 228 229 231 231 232 233 233
6.8 6.9 6.10 6.10.1 6.10.2 6.11 6.11.1 6.11.2 6.11.3 6.11.4 6.11.5 6.11.6 6.11.7 6.11.8 6.12 6.13 6.13.1 6.13.2 6.13.3 6.13.4 6.13.5 Literatur Funktionaler Zugriffsschutz Authentifizierung Firewalls Firewall-Konzept Proxy an der Firewall Kryptografische Verschlüsselung Symmetrische Kryptosysteme Data Encryption Standard (DES) Verwalten von geheimen Chiffrierschlüsseln mit Kerberos Öffentliche asymmetrische Schlüssel Asymmetrische Kryptosysteme RSA Zertifikate PGP Ein Beispiel mit digitalen Unterschriften über asymmetrische Schlüssel Sicherheitskonzepte des neuen Internet-Protokolls IPv6 Sicherheitsassoziationen IP-Authentication- Header Der verschlüsselte Hash-Code MD5 IP-Encapsulating Security Payload Verwendung mit Firewalls 234 235 237 237 239 242 243 243 248 250 251 252 255 256 257 260 260 262 264 266 268 269 Anhang Anhang Anhana A: Die beigelegte CD B: Abkürzungen und Glossar C: Stichwortverzeichnis 271 279 289