Am Donnerstag, 5. Juni 2003 09:06 schrieb [EMAIL PROTECTED]: > Hallo, > > fuer eine Vorlesung (Thema Netzwerksicherheit) braeuchte ich mal paar > Informationen: > > Viele IPv4 Angriffe funktionieren ja auch bei IPv6 (z.B. "Man in the > middle attack" eines lokalen Nutzers mit hilfe von icmp-redirect, DoS > Attacken mit Hilfe von Broadcast-pings und gespooften src Adressen ect.) > > Sind inzwischen spezielle Angriffe gegen IPv6 bekannt, die bei IPv4 nicht > funktionieren ?
Hm, interessante Frage. Wir koennen ja mal sammeln. Also an echten Angriffen faellt mir nichts neues ein. Du hast aber bei IPv6 neue Mechanismen, die Schwaechen aufweisen koennen. Als ersten faellt mir da Neighbor Discovery und stateless Autoconfiguration ein. Wenn man erst mal einen Host in einem Subnetz hat, ist es z.B. ein leichtes so zu tun, als sei man ein Exit-Router. Ebenso einfach ist es eine IP zu bekommen. An den ND Unzulaenglichkeiten wird aber schon seit laengerem gearbeitet (http://www.ietf.org/html.charters/send-charter.html). Vergleicht man ein offenes IPv6-Netz mit einem IPv4-NAT-Netz kann man vielleicht auch noch auf einiges kommen. Zunaechst mal faellt der Pseudo-NAT-Schutz weg. Das aber auch nur, weil der NAT-Filter wegfaellt (fuer ein sicheres Netz braucht man eh eine Firewall), nicht etwa, weil das dahinterliegende Netz unsichtbarer waere. Bei der Masse an IPv6-Adressen faellt es schwer von aussen einen unbekannten Host zu finden. Hm, mir faellt da doch noch was ein. Bei IPv6 gibt es fuer die Transition auf fast jeder Layer zT Massen von Relays (6to4, TCP-Relay, etc.) um den Uebergang zwischen v4 und v6 zu realisieren. Relays sind von ihrer Natur her extrem anfaellig gegenueber Missbrauch, weil sie mithin selber Packete generieren. Man kann sie zB leicht verwenden um mit gespooften Adressen (sowohl von v4 als auch v6 aus) gegen das Relay selber, oder ueber das Relay einen verschleierten DoS-Angriff auf Dritte zu reiten. Ansonsten: im 6NET haben wir uns mal mit Sicherheit der Transitions-Tools beschaeftigt, schau doch mal ins 6NET Deliverable 6.2.2 (http://www.6net.org/publications/deliverables/D6.2.2.pdf), da kann man bestimmt noch eine Menge draus ableiten. Christian -- JOIN - IP Version 6 in the WiN Christian Schild A DFN project Westfaelische Wilhelms-Universitaet Muenster http://www.join.uni-muenster.de Zentrum fuer Informationsverarbeitung Team: [EMAIL PROTECTED] Roentgenstrasse 9-13 Priv: [EMAIL PROTECTED] D-48149 Muenster / Germany GPG-/PGP-Key-ID: 6EBFA081 Fon: +49 251 83 31638, fax: +49 251 83 31653 _______________________________________________ ipv6 mailing list [EMAIL PROTECTED] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
