Grundsätzliches

• IPv6 soll den ursprünglichen Ansatz der Ende zu Ende Verbindung wiederherstellen.
• Nat entfällt, da alle Adressen geroutet werden.
• Nat hat bei IPv4 für ein "gewisses" Mass an Sicherheit gesorgt.
• Dies muss jetzt durch ein Firewallregelwerk übernommen werden.

Proxymechanismus

• Ein weiterer Punkt ist der Proxymechanismus auf Applikationsebene.
• Dies hat nicht das Problem der begrennzten Anzahl an IP Adressen gelöst.
• Es kamen auch Filtermechanismen zum Einsatz.
• Wie sich die Sache mit IPv6 entwickelt wird man sehen.

ICMPv6

• ICMPv6 spielt eine viel grössere Rollen als ICMPv4.
• Unter IPv4 war es möglich ICMP komplett abzuschalten.
• Das geht bei ICMPv6 nicht mehr.
• ARP wurde durch NDP ersetzt und muss zwingend freigeschaltet sein.
• Die Fragmentierung soll nun der Absender übernehmen.
• Darum sollten auch Nachrichten vom problematischen Router zum Absender gelangen.

Einfacher Ansatz

• Von Aussen nur das nötigste reinlassen.
• Alles von Innen nach Aussen lassen.

Welche ICMPv6 Pakete soll man wo wie reinlassen

Von Aussen nach Innen

• Echo Request (Typ 128) und Echo Reply (Typ 129):
• Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können.
• Destination Unreachable (Typ 1):
• Time Exceeded (Typ 3):

Von Innen nach Aussen

• Echo Request (Typ 128) und Echo Reply (Typ 129):
• Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können.
• Destination Unreachable (Typ 1):
• Time Exceeded (Typ 3):

Von der Firewall nach Aussen

• Alles darf raus

Von Aussen zur Firewall

• Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können.
• Destination Unreachable (Typ 1):
• Time Exceeded (Typ 3):