Computernetzwerke

Präfix 2003:0::/19, womit die ersten 19 Bit festliegen, gefolgt von 37 Bit, die dem Benutzer bei der Einwahl zugewiesen werden, und weiteren 8 Bit, die der Kunde beliebig vergeben kann, um sein lokales Netz weiter unterteilen zu können. Weil prinzipiell vom darauffolgenden HostTeil eine eindeutige Identifizierung von Clients möglich ist, wurde aufgrund von Datenschutzbedenken ein Mechanismus mit der Bezeichnung Privacy Extension (RFC 4941) eingeführt.
    Der Client erzeugt bei aktivierter Privacy Extension einen zufälligen Interface Identifier, prüft, ob dieser noch nicht anderweitig benutzt wird, und setzt diesen dann eine bestimmte Zeit für das jeweilige Interface ein. Windows 7 verwendet eine solche Adresse standardmäßig nur einen Tag lang, kann jedoch noch bis zu sieben Tage mit den älteren zuvor zugewiesenen IPv6-Adressen arbeiten. Deshalb gibt es nicht nur eine einzige Cli-ent-IP-Adresse - Interface Identifier -, sondern gleich mehrere, was eine Identifizierung einzelner Clients unmöglich machen soll. Zumindest Windows 7 schaltet den Privacy Extension-Mechanismus standardmäßig ein, andere Betriebssysteme nicht unbedingt, sodass dies sicherheitshalber kontrolliert werden sollte.
    Exkurs
    Einem eingeschalteten IPv6-Interface wird ohne Zutun des Anwenders automatisch eine Adresse zugewiesen. Um eine Identifizierung von bestimmten Netzen, einzelnen Clients und Usern zu verhindern, sollte - nach Möglichkeit - die Option Privacy Extension eingeschaltet werden.
    Sicherheitstechnisch durchaus problematisch ist die Tatsache, dass es Systeme mit IPv6-Unterstützung gibt, beispielsweise iPad und iPhone ab iOS-Version 4 sowie Smartphones und Tablets mit Android, bei denen IPv6 automatisch arbeitet und es keine Möglichkeit gibt, diese Funktion abzuschalten oder den Privacy Extension-Mechanismus einzuschalten. Vom aus der MAC-Adresse abgeleiteten Interface Identifier können der Hersteller, der Gerätetyp und letztendlich auch der Benutzer identifiziert werden, weil es sich meist um persönliche Geräte handelt. Die Möglichkeit, daraus Anwenderprofile anfertigen zu können, erweckt zumindest bei Datenschützern schlimme Befürchtungen.
    Neben den 128-Bit-Adressen bietet IPv6 zusätzliche Sicherheitsfunktionen (Authentifi-cation & Privacy), neue Routing-Mechanismen, eine flexiblere Klassenteilung und einen Quality of Service. Vom QoS, was man sich vereinfacht als eine garantierte Bandbreiten-
    Zuteilung für eine Übertragung vorstellen kann, sollen insbesondere Real-Time-Applika-tionen wie für Audio und Video profitieren.
    Diese neuen Funktionen bedürfen eines neuen IP-Header-Formates, wobei bei dieser Gelegenheit gewissermaßen gleich das IPv4-Header-Format etwas »aufgeräumt« wurde. Im Laufe der Zeit hat sich nämlich herausgestellt, dass einige Header-Felder (vgl. Abbildung 6.4) gar nicht oder nur sehr selten zur Anwendung kommen. Dieses Vorgehen hat zur Folge, dass sich trotz des viermal längeren Adressfeldes von IPv6 der neue Header (Abbildung 6.7) nur als doppelt so lang darstellt wie der »alte« IPv4-Header.
0
4
12
16
24 31
Version
Priorität (Traffic Class)
Flow Label
Payload Length
Next Header
Hop Limit
IP Source Address (128 Bit)
IP Destination Address (128 Bit)
    Abbildung 6.7: Der Aufbau des IPv6-Headers
    Das Versionsfeld spezifiziert mit einer Sechs als Inhalt das Protokoll IPv6 und mit einer Vier den Vorgänger IPv4, wodurch eine entsprechende Kompatibilität gegeben ist und sich somit beide Versionen parallel verwenden lassen.
    Das Feld Prio (Priorität) kennzeichnet bevorzugt zu behandelnde Pakete, wie etwa ein FTP mit der Nr. 4 oder ein Telnet-Paket mit der Nr.6. Flow Label (24 Bit Länge) ist für die Kennzeichnung von Paketen zuständig, die einer gesonderten Verarbeitung bedürfen, wie etwa eines mit Ton- und Video-Inhalten (Realtime, QoS).
    Mit Payload Length wird die Länge des folgenden Datenpaketes definiert, und Next Header identifiziert, welches höhere Protokoll als nächstes dem IPv6-Hader folgt, wie etwa ICMP (1), TCP (6) oder auch UDP (17 dezimal).
    Die verbleibende Lebensdauer (TTL) eines Paketes wird mit Hop Limit gekennzeichnet, und wenn dieser Wert zu null wird, wird das Paket verworfen, weil es über zu viele Netze (Router) »hüpfen« musste. Wie beim IPv4 folgen die Adressen der Einheit, die das Paket erzeugt hat (IP Source Address), und derjenigen, für die das Paket bestimmt ist (IP Destination Address), allerdings sind dies 128- statt 32-Bit-Adressen.
    Bisher hat