Zum Hauptinhalt springen

13. Security Considerations (Sicherheitsüberlegungen)

Die Methode zur Ableitung von Schnittstellenidentifikatoren (Interface Identifiers) aus EUI-64-MAC-Adressen ist darauf ausgelegt, globale Eindeutigkeit zu wahren, wo immer möglich. Es gibt jedoch keinen Schutz gegen Duplikate durch versehentliche oder gefälschte Zuweisungen.

Die Nachbarschaftserkennung (Neighbor Discovery) in IEEE 802.15.4-Links kann anfällig für die in [RFC3756] beschriebenen Bedrohungen sein. Mesh-Routing wird in IEEE 802.15.4-Netzwerken als weit verbreitet erwartet. Dies bedeutet zusätzliche Bedrohungen durch Ad-hoc-Routing gemäß [KW03]. IEEE 802.15.4 bietet einige Fähigkeiten für die Verbindungsschicht-Sicherheit. Wenn möglich und praktikabel, wird Benutzern dringend empfohlen, solche Vorkehrungen zu nutzen. Dies würde die oben genannten Bedrohungen mindern.

Es wird erwartet, dass ein erheblicher Teil der IEEE 802.15.4-Geräte immer innerhalb ihres PAN kommunizieren wird (d. h. in IPv6-Terminologie innerhalb ihres Links). Als Reaktion auf Kosten- und Stromverbrauchsüberlegungen und in Übereinstimmung mit dem IEEE 802.15.4-Modell für „Geräte mit reduziertem Funktionsumfang" (Reduced Function Devices, RFDs) werden diese Geräte typischerweise den minimal notwendigen Funktionsumfang implementieren. Daher kann die Sicherheit solcher Geräte weitgehend auf den Mechanismen basieren, die IEEE 802.15.4 auf der Verbindungsschicht definiert. Letztere definieren jedoch nur AES-Modi (Advanced Encryption Standard, Erweiterter Verschlüsselungsstandard) zur Authentifizierung oder Verschlüsselung von IEEE 802.15.4-Rahmen, insbesondere ohne Angabe der Schlüsselverwaltung (möglicherweise gruppenorientiert). Weitere Probleme, die in realen Einsatzszenarien zu lösen sind, betreffen die sichere Konfiguration und Verwaltung. Obwohl die vollständige Situation außerhalb des Geltungsbereichs dieses Dokuments liegt, müssen solche Überlegungen beim Einsatz von IEEE 802.15.4-Netzwerken berücksichtigt werden. Natürlich wird auch erwartet, dass einige IEEE 802.15.4-Geräte (die sogenannten „Geräte mit vollem Funktionsumfang" oder „FFDs") Koordinations- oder Integrationsfunktionen implementieren. Diese können regelmäßig mit Off-Link-IPv6-Peers kommunizieren (zusätzlich zu den häufigeren On-Link-Austauschen). Solche IPv6-Geräte werden voraussichtlich gängige Mechanismen (z. B. IPsec, TLS usw.) verwenden, um ihre Ende-zu-Ende-Kommunikation zu schützen.

Letztes Update am