DNS-Einträge per Stateful DHCP
Schließlich existieren auch Setups, in denen der DNS-Server die Hostnamen der Systeme nach deren Boot automatisch in sein Verzeichnis aufnehmen soll, wie das für Active-Directory-Landschaften typisch ist. Linux-Systeme tun sich damit traditionell schwerer, weshalb viele Administratoren bei IPv4 einen Umweg nehmen und den DHCP-Server berechtigen, die Informationen in der DNS-Zone dynamisch zu ändern.
Mit IPv6 kann der Administrator aber nicht die Autokonfiguration und das zustandslose DHCP nutzen, da der DHCP-Server die IPv6-Adresse des Clients kennen muss, um sie einzutragen. Ein Stateful-DHCP-Server muss her, der IPv6-Adressen aus einem Pool vergibt (Abbildung 4). Windows-Clients unterstützen das automatisch, wenn das Router Advertisement das »ManagedFlag«
enthält. Für Linux-Systeme muss der Administrator entsprechende DHCP-Clients nachrüsten und konfigurieren. Redundanz ist hier geboten, denn ein Ausfall des DHCP-Servers hat in diesem Setup wieder die bekannten Auswirkungen aufs lokale Netz.
Abbildung 4: An der betagten IP-Ausgabe per DHCP führt trotz IPv6-Autokonfiguration selten ein Weg vorbei.
Es hat sich ausgesmurft
IPv6 hat den Broadcast abgeschafft – und das ist auch gut so. Einfache Amplification Attacks wie die SMURF-Attacke [15] sind jetzt nicht mehr möglich, auch Broadcast-Stürme gehören der Vergangenheit an. Das Neighbor-Discovery-Protokoll nutzt zwar ebenfalls Multicast-Adressen, um die MAC-Adresse des Kommunikationspartners zu ermitteln. Die Multicast-Gruppen sind jedoch so intelligent gewählt, dass die Kommunikation in vielen Fällen nur mit dem einen Rechner stattfindet, dessen MAC-Adresse ermittelt werden soll.
Auch viele andere Dienste, die in der Vergangenheit auf Broadcast-Kommunikation setzten, verwenden jetzt Multicast, DHCPv6 zum Beispiel die beiden well known Adressen »ff02::1:2«
und »ff05::1:3«
. Die erste ist eine Link-Local-Multicast-Adresse (»ff02«
), die für alle DHCP-Agenten (Server und Relays) reserviert ist. Die zweite Adresse ist als Site-Local-Multicast-Adresse (»ff05«
) DHCP-Servern vorbehalten.
Dank dieser Aufteilung schafft es IPv6, dass in den meisten Fällen nur noch die beteiligten Systeme die Pakete im IP-Stack bearbeiten. Für die IP-Adressen gelten dann auch entsprechende Multicast-MAC-Adressen. Im Vergleich zur Broadcast-Kommunikation unter IPv4 ergibt sich so eine deutlich geringerer Netzwerklast.
IPv6 unterstützt verpflichtend die IPsec-Protokollfamilie. Aber das verbessert nicht automatisch die Sicherheit: Ohne eine Konfiguration durch den Administrator findet nämlich keine Verschlüsselung des Datenverkehrs gemäß der IPsec-Protokolle statt. Deren bloße Anwesenheit erhöht die Sicherheit nicht, der Administrator spart sich lediglich die Software-Installation, die bei IPv4 meist zusätzlich notwendig war. Probleme bei der Interoperabilität und Fehler in der Konfiguration – wie sie [2] schildert – werden auch weiterhin auftreten.
Diesen Artikel als PDF kaufen
Express-Kauf als PDF
Umfang: 5 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...