Firewalls und IPv6: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 9: | Zeile 9: | ||
*Es kamen auch Filtermechanismen zum Einsatz. | *Es kamen auch Filtermechanismen zum Einsatz. | ||
*Wie sich die Sache mit IPv6 entwickelt wird man sehen. | *Wie sich die Sache mit IPv6 entwickelt wird man sehen. | ||
| + | =ICMPv6= | ||
| + | *ICMPv6 spielt eine viel grössere Rollen als ICMPv4. | ||
| + | *Unter IPv4 war es möglich ICMP komplett abzuschalten. | ||
| + | *Das geht bei ICMPv6 nicht mehr. | ||
| + | *ARP wurde durch NDP ersetzt und muss zwingend freigeschaltet sein. | ||
| + | *Die Fragmentierung soll nun der Absender übernehmen. | ||
| + | *Darum sollten auch Nachrichten vom problematischen Router zum Absender gelangen. | ||
| + | =Einfacher Ansatz= | ||
| + | *Von Aussen nur das nötigste reinlassen. | ||
| + | *Alles von Innen nach Aussen lassen. | ||
Version vom 29. Februar 2024, 08:07 Uhr
Grundsätzliches
- IPv6 soll den ursprünglichen Ansatz der Ende zu Ende Verbindung wiederherstellen.
- Nat entfällt, da alle Adressen geroutet werden.
- Nat hat bei IPv4 für ein "gewisses" Mass an Sicherheit gesorgt.
- Dies muss jetzt durch ein Firewallregelwerk übernommen werden.
Proxymechanismus
- Ein weiterer Punkt ist der Proxymechanismus auf Applikationsebene.
- Dies hat nicht das Problem der begrennzten Anzahl an IP Adressen gelöst.
- Es kamen auch Filtermechanismen zum Einsatz.
- Wie sich die Sache mit IPv6 entwickelt wird man sehen.
ICMPv6
- ICMPv6 spielt eine viel grössere Rollen als ICMPv4.
- Unter IPv4 war es möglich ICMP komplett abzuschalten.
- Das geht bei ICMPv6 nicht mehr.
- ARP wurde durch NDP ersetzt und muss zwingend freigeschaltet sein.
- Die Fragmentierung soll nun der Absender übernehmen.
- Darum sollten auch Nachrichten vom problematischen Router zum Absender gelangen.
Einfacher Ansatz
- Von Aussen nur das nötigste reinlassen.
- Alles von Innen nach Aussen lassen.