Autokonfiguration

Eine sehr angenehme Eigenschaft des IPv6-Protokolls ist die zustandslose, automatische Konfiguration der IPv6-Adresse durch die einzelnen Systeme (Stateless Automatic Autoconfiguration, SLAAC, [9]). Welch Freude: Der Admin muss keinen DHCP-Server mehr aufsetzen, ein weiterer Single Point of Failure ist eliminiert. Wie oben erwähnt, erzeugen die Systeme aus ihrer MAC-Adresse einen Identifier. Mit ihm generieren sie zunächst eine Link-Local-Adresse, indem sie den Identifier an das Netz »fe80/64« anhängen (Abbildung 2). Schon mit der Adresse können Hosts im lokalen Netz kommunizieren, so wie das unter IPv4 mit APIPA (Windows, [10]) oder Avahi (bei Linux, [11]) unter dem Namen "Verbindungslokale IP-Adresse" via Zeroconf Networking [12] möglich war.

Abbildung 2: Die Link-Local-Adresse kann der Rechner selbst und ohne zusätzliche Hilfe erzeugen.

Anschließend senden Hosts via ICMPv6 Router-Solicitation-Nachrichten [1] aus, welche die Router mit ICMPv6-Router-Advertisements beantworten, die ein globales Präfix enthalten. Das System errechnet sich daraus eine globale IP-Adresse, indem es den Identifier an das globale Präfix anhängt (Abbildung 3). Antworten mehrere Router oder enthält das Advertisement mehrere Präfixe, erzeugt sich das System aber auch mehrere IPv6-Adressen.

Abbildung 3: Mit der Link-Local-Adresse kommuniziert der Client mit allen Routern im Netz über die Multicast-Adresse ff02::2.

Der Teufel steckt im Detail

Damit die Autokonfiguration funktioniert, müssen die Firewallregeln natürlich auch diese ICMPv6-Nachrichten zulassen. Diese Meldungen lassen sich aber nicht zustandsorientiert filtern, weil der Konfigurationsserver sie per Multicast verschickt hat. Dummerweise sind die Router-Solicitation- und -Advertisement-Nachrichten auch nicht authentifizierbar. Ein Angreifer kann also ebenfalls derartige Router-Advertisement-Nachrichten verschicken und damit Router erfolgreich spoofen. Die passenden Werkzeuge dafür existieren ebenfalls [13].

In der Praxis ist die zustandslose Autokonfiguration für moderne Netze ohnehin nicht wirklich geeignet. Die Entwickler haben es vor 15 Jahren versäumt, in der Autokonfiguration auch die Verteilung von DNS-Servern und weiteren Informationen zu berücksichtigen. Das RFC 5006 [14] rüstet dies für DNS-Server nach, wird aber leider noch nicht von allen Betriebssystemen unterstützt. Administratoren sind es aber ohnehin gewöhnt, über DHCP Informationen wie die DNS-Domäne, NTP-Server oder den PXE-Bootserver zu verteilen.

Unter IPv6 kommt der Admin somit um DHCP meist nicht herum, zumindest um dessen zustandslose Variante. Hier nutzt das Betriebssystem die Autokonfiguration, um selbst die IPv6-Adresse zu ermitteln, und erfragt über DHCP nur zusätzliche Informationen wie den DNS-Server und die DNS-Domäne. Windows Vista und 7 nutzen das automatisch, wenn im Router Advertisement das »OtherConfig« -Flag gesetzt ist.