Open Source im professionellen Einsatz

DNS-Einträge per Stateful DHCP

Schließlich existieren auch Setups, in denen der DNS-Server die Hostnamen der Systeme nach deren Boot automatisch in sein Verzeichnis aufnehmen soll, wie das für Active-Directory-Landschaften typisch ist. Linux-Systeme tun sich damit traditionell schwerer, weshalb viele Administratoren bei IPv4 einen Umweg nehmen und den DHCP-Server berechtigen, die Informationen in der DNS-Zone dynamisch zu ändern.

Mit IPv6 kann der Administrator aber nicht die Autokonfiguration und das zustandslose DHCP nutzen, da der DHCP-Server die IPv6-Adresse des Clients kennen muss, um sie einzutragen. Ein Stateful-DHCP-Server muss her, der IPv6-Adressen aus einem Pool vergibt (Abbildung 4). Windows-Clients unterstützen das automatisch, wenn das Router Advertisement das »ManagedFlag« enthält. Für Linux-Systeme muss der Administrator entsprechende DHCP-Clients nachrüsten und konfigurieren. Redundanz ist hier geboten, denn ein Ausfall des DHCP-Servers hat in diesem Setup wieder die bekannten Auswirkungen aufs lokale Netz.

Abbildung 4: An der betagten IP-Ausgabe per DHCP führt trotz IPv6-Autokonfiguration selten ein Weg vorbei.

Es hat sich ausgesmurft

IPv6 hat den Broadcast abgeschafft – und das ist auch gut so. Einfache Amplification Attacks wie die SMURF-Attacke [15] sind jetzt nicht mehr möglich, auch Broadcast-Stürme gehören der Vergangenheit an. Das Neighbor-Discovery-Protokoll nutzt zwar ebenfalls Multicast-Adressen, um die MAC-Adresse des Kommunikationspartners zu ermitteln. Die Multicast-Gruppen sind jedoch so intelligent gewählt, dass die Kommunikation in vielen Fällen nur mit dem einen Rechner stattfindet, dessen MAC-Adresse ermittelt werden soll.

Auch viele andere Dienste, die in der Vergangenheit auf Broadcast-Kommunikation setzten, verwenden jetzt Multicast, DHCPv6 zum Beispiel die beiden well known Adressen »ff02::1:2« und »ff05::1:3« . Die erste ist eine Link-Local-Multicast-Adresse (»ff02« ), die für alle DHCP-Agenten (Server und Relays) reserviert ist. Die zweite Adresse ist als Site-Local-Multicast-Adresse (»ff05« ) DHCP-Servern vorbehalten.

Dank dieser Aufteilung schafft es IPv6, dass in den meisten Fällen nur noch die beteiligten Systeme die Pakete im IP-Stack bearbeiten. Für die IP-Adressen gelten dann auch entsprechende Multicast-MAC-Adressen. Im Vergleich zur Broadcast-Kommunikation unter IPv4 ergibt sich so eine deutlich geringerer Netzwerklast.

IPv6 unterstützt verpflichtend die IPsec-Protokollfamilie. Aber das verbessert nicht automatisch die Sicherheit: Ohne eine Konfiguration durch den Administrator findet nämlich keine Verschlüsselung des Datenverkehrs gemäß der IPsec-Protokolle statt. Deren bloße Anwesenheit erhöht die Sicherheit nicht, der Administrator spart sich lediglich die Software-Installation, die bei IPv4 meist zusätzlich notwendig war. Probleme bei der Interoperabilität und Fehler in der Konfiguration – wie sie [2] schildert – werden auch weiterhin auftreten.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Als digitales Abo

Als PDF im Abo bestellen

comments powered by Disqus

Ausgabe 07/2013

Preis € 6,40

Insecurity Bulletin

Insecurity Bulletin

Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...

Linux-Magazin auf Facebook