6. Sicherheitsüberlegungen

Das Flow Label-Feld befindet sich in einem ungeschützten Teil des IPv6-Headers, was bedeutet, dass es von jedem Knoten entlang des Pfads ohne Erkennung geändert werden kann.

6.1. Verdeckter Kanal-Risiko

Das Flow Label-Feld könnte potenziell als verdeckter Kanal zur Übermittlung von Informationen verwendet werden. Netzwerkadministratoren können wählen, das Flow Label-Feld an Sicherheitsgrenzen zu löschen.

6.2. Diebstahl und Denial of Service

Wenn ein Angreifer den Flow Label-Wert erraten oder beobachten kann, könnte der Angreifer Pakete einschleusen oder Ressourcen stehlen. Quellknoten sollten eine Pseudozufallsfunktion verwenden, um Flow Label-Werte zu generieren.

6.3. IPsec- und Tunneling-Interaktionen

Im IPsec-Transportmodus ist das Flow Label nicht durch IPsec-Authentifizierung oder Verschlüsselung geschützt. Im IPsec-Tunnelmodus wird der ursprüngliche IPv6-Header (einschließlich Flow Label) in einem neuen IPv6-Header eingekapselt.

6.4. Sicherheitsfilter-Interaktionen

Firewalls, die zustandsbehaftete Paketfilterung durchführen, können das Flow Label als Teil ihres Flow-Identifikationsmechanismus verwenden. Firewalls dürfen sich jedoch nicht ausschließlich auf das Flow Label für Sicherheitsentscheidungen verlassen.

6.1. Verdeckter Kanal-Risiko​

6.2. Diebstahl und Denial of Service​

6.3. IPsec- und Tunneling-Interaktionen​

6.4. Sicherheitsfilter-Interaktionen​

6.1. Verdeckter Kanal-Risiko

6.2. Diebstahl und Denial of Service

6.3. IPsec- und Tunneling-Interaktionen

6.4. Sicherheitsfilter-Interaktionen