Zum Hauptinhalt springen

10. Security Considerations (Sicherheitsüberlegungen)

10.1 Integrität des Paket-Headers

Der IPsec-Authentifizierungs-Header (Authentication Header, AH), definiert in [RFC4302], kann verwendet werden, um die Integrität der IPv6-Header-Felder des Pakets und der Erweiterungsheader sowie der Nutzlastdaten bereitzustellen.

10.2 Paketvertraulichkeit

Die IPsec-Encapsulating-Security-Payload (ESP), definiert in [RFC4303], kann verwendet werden, um die Vertraulichkeit der Paket-Nutzlastdaten und optional die Verkehrsfluss-Vertraulichkeit bereitzustellen.

Beachten Sie jedoch, dass die IPv6-Header-Felder und alle Erweiterungsheader, einschließlich des Routing-Headers, nicht durch ESP geschützt sind. Daher muss sich der Empfänger bewusst sein, dass die Werte dieser Felder während des Transports möglicherweise geändert wurden.

10.3 Verkehrsanalyse

Ein passiver Lauscher kann möglicherweise Informationen über den IPv6-Verkehr ableiten, indem er die unverschlüsselten Felder beobachtet, wie das Traffic-Class-Feld, das Flow-Label-Feld, die Quell- und Zieladressen, das Payload-Length-Feld und das Next-Header-Feld.

Die Verkehrsfluss-Vertraulichkeitsfunktion von ESP, wie in [RFC4303] beschrieben, kann verwendet werden, um eine solche Informationsoffenlegung zu mildern.

10.4 Routing-Header

Der Missbrauch des Routing-Headers kann zu Denial-of-Service-Angriffen (DoS) und anderen Sicherheitsproblemen führen. [RFC5095] macht die Verwendung von Routing-Header-Typ 0 obsolet und spezifiziert, dass IPv6-Knoten Pakete mit diesem Typ von Routing-Header nicht (MUST NOT) weiterleiten dürfen.

10.5 Fragmentierung

Fragmentierung kann die Quelle verschiedener Sicherheitsprobleme sein. Angreifer können versuchen, fragmentierte Pakete zu verwenden, um Firewalls und andere Sicherheitsmechanismen zu umgehen. Darüber hinaus erfordert die Wiederzusammensetzung von Fragmenten Speicherressourcen und kann für Denial-of-Service-Angriffe ausgenutzt werden.

Implementierer sollten (SHOULD) Schutzmaßnahmen gegen den in [RFC5722] beschriebenen Angriff mit sich überlappenden Fragmenten implementieren.

10.6 Länge der IPv6-Header-Kette

Sehr lange Erweiterungsheader-Ketten können Verarbeitungsressourcen verbrauchen und für Denial-of-Service-Angriffe ausgenutzt werden. Implementierer sollten (SHOULD) in Erwägung ziehen, Grenzen für die maximale Länge der Erweiterungsheader-Ketten zu setzen, die sie akzeptieren.

Letztes Update am