Ralf Zimmermann SIEGNETZ.IT GmbH

IPv6

IPv6 Adressen

Zurück zum Seitenanfang | Publiziert am
IPv6 AdressbereichIPv6 Adress PrefixIPv4 Adress Equivalent
Unspecified Address::/1280.0.0.0
Loopback Address::1/128127.0.0.1
Unique Local Addressfc00::/710.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
Link Local Addressfe80::/10169.254.0.0/16
Global Unicast Address2000::/3n/a
Multicast Addressff00::/8224.0.0.0/8
IPv4 compatible Address::192.0.4.10/96192.0.4.10
IPv4 mapped Address::ffff:192.10.4.10/96192.0.4.10

IPv6 Multicast Adressen

Zurück zum Seitenanfang | Publiziert am
IPv6 AdresseScope/Destination
ff01::1Interface-local, all nodes
ff02::1Link-Local, all nodes
ff01::2Interface-local, all routers
ff02::2Link-local, all routers
ff05::2Site-local, all routers

IPv6 Node-Local Scope Multicast Addressen

Zurück zum Seitenanfang | Publiziert am
IPv6 AdresseBeschreibung
FF01:0:0:0:0:0:0:1All Nodes Address
FF01:0:0:0:0:0:0:2All Routers Address
FF01:0:0:0:0:0:0:Cvariable scope allocation
FF01:0:0:0:0:0:0:FBmDNSv6
FF01:0:0:0:0:0:0:FC-FF01:0:0:0:0:0:0:FDvariable scope allocation
FF01:0:0:0:0:0:0:100-FF01:0:0:0:0:0:0:152variable scope allocation
FF01:0:0:0:0:0:0:181-FF01:0:0:0:0:0:0:184variable scope allocation
FF01:0:0:0:0:0:0:18Cvariable scope allocation
FF01:0:0:0:0:0:0:201-FF01:0:0:0:0:0:0:202variable scope allocation
FF01:0:0:0:0:0:0:204-FF01:0:0:0:0:0:0:206variable scope allocation
FF01:0:0:0:0:0:0:300variable scope allocation
FF01:0:0:0:0:0:0:BAC0variable scope allocation
FF01::1:1000/118variable scope allocation
FF01:0:0:0:0:0:2:0000-FF01:0:0:0:0:0:2:FFFFvariable scope allocation
FF01::DB8:0:0/96variable scope allocation

IPv6 Link-Local Scope Multicast Adressen

Zurück zum Seitenanfang | Publiziert am
IPv6 AdresseBeschreibung
FF02:0:0:0:0:0:0:1All Nodes
FF02:0:0:0:0:0:0:2All Routers Address
FF02:0:0:0:0:0:0:3Unassigned
FF02:0:0:0:0:0:0:4DVMRP Routers
FF02:0:0:0:0:0:0:5OSPFIGP
FF02:0:0:0:0:0:0:6OSPFIGP Designated Routers
FF02:0:0:0:0:0:0:7ST Routers
FF02:0:0:0:0:0:0:8ST Hosts
FF02:0:0:0:0:0:0:9RIP Routers
FF02:0:0:0:0:0:0:AEIGRP Routers
FF02:0:0:0:0:0:0:BMobile-Agents
FF02:0:0:0:0:0:0:CSSDP
FF02:0:0:0:0:0:0:DAll PIM Routers
FF02:0:0:0:0:0:0:ERSVP-ENCAPSULATION
FF02:0:0:0:0:0:0:FUPnP
FF02:0:0:0:0:0:0:10All-BBF-Access-Nodes
FF02:0:0:0:0:0:0:12VRRP
FF02:0:0:0:0:0:0:16All MLDv2-capable routers
FF02:0:0:0:0:0:0:1Aall-RPL-nodes
FF02:0:0:0:0:0:0:6AAll-Snoopers
FF02:0:0:0:0:0:0:6BPTP-pdelay
FF02:0:0:0:0:0:0:6CSaratoga
FF02:0:0:0:0:0:0:6DLL-MANET-Routers
FF02:0:0:0:0:0:0:6EIGRS
FF02:0:0:0:0:0:0:6FiADT Discovery
FF02:0:0:0:0:0:0:FBmDNSv6
FF02:0:0:0:0:0:0:FC-FF02:0:0:0:0:0:0:FDvariable scope allocation
FF02:0:0:0:0:0:0:100-FF02:0:0:0:0:0:0:152variable scope allocation
FF02:0:0:0:0:0:0:181-FF02:0:0:0:0:0:0:184variable scope allocation
FF02:0:0:0:0:0:0:18Cvariable scope allocation
FF02:0:0:0:0:0:0:201-FF02:0:0:0:0:0:0:202variable scope allocation
FF02:0:0:0:0:0:0:204-FF02:0:0:0:0:0:0:206variable scope allocation
FF02:0:0:0:0:0:0:300variable scope allocation
FF02:0:0:0:0:0:0:BAC0variable scope allocation
FF02:0:0:0:0:0:1:1Link Name
FF02:0:0:0:0:0:1:2All-dhcp-agents
FF02:0:0:0:0:0:1:3Link-local Multicast Name Resolution
FF02:0:0:0:0:0:1:4DTCP Announcement
FF02:0:0:0:0:0:1:5afore_vdp
FF02:0:0:0:0:0:1:6Babel
FF02::1:1000/118variable scope allocation
FF02:0:0:0:0:0:2:0000-FF02:0:0:0:0:0:2:FFFFvariable scope allocation
FF02::1:FF00:0000/104Solicited-Node Address
FF02:0:0:0:0:2:FF00::/104Node Information Queries
FF02::DB8:0:0/96variable scope allocation

IPv6 Site-Local Scope Multicast Adressen

Zurück zum Seitenanfang | Publiziert am
IPv6 AdresseBeschreibung
FF05:0:0:0:0:0:0:2All Routers
FF05:0:0:0:0:0:0:Cvariable scope allocation
FF05:0:0:0:0:0:0:FBmDNSv6
FF05:0:0:0:0:0:0:FC-FF05:0:0:0:0:0:0:FDvariable scope allocation
FF05:0:0:0:0:0:0:100-FF05:0:0:0:0:0:0:152variable scope allocation
FF05:0:0:0:0:0:0:181-FF05:0:0:0:0:0:0:184variable scope allocation
FF05:0:0:0:0:0:0:18Cvariable scope allocation
FF05:0:0:0:0:0:0:201-FF05:0:0:0:0:0:0:202variable scope allocation
FF05:0:0:0:0:0:0:204-FF05:0:0:0:0:0:0:206variable scope allocation
FF05:0:0:0:0:0:0:300variable scope allocation
FF05:0:0:0:0:0:0:BAC0variable scope allocation
FF05:0:0:0:0:0:1:3All-dhcp-servers
FF05:0:0:0:0:0:1:4Deprecated (2003-03-12)
FF05:0:0:0:0:0:1:5SL-MANET-ROUTERS
FF05::1:1000/118variable scope allocation
FF05:0:0:0:0:0:2:0000-FF05:0:0:0:0:0:2:FFFFvariable scope allocation
FF05::DB8:0:0/96variable scope allocation

IPv6 Variable Scope Multicast Adressen

Zurück zum Seitenanfang | Publiziert am
IPv6 AdresseBeschreibung
FF0X:0:0:0:0:0:0:0Reserved Multicast
FF0X:0:0:0:0:0:0:CSSDP
FF0X:0:0:0:0:0:0:FBmDNSv6
FF0X:0:0:0:0:0:0:FCALL_MPL_FORWARDERS
FF0X:0:0:0:0:0:0:FDAll CoAP Nodes
FF0X:0:0:0:0:0:0:FE-FF0X:0:0:0:0:0:0:FFUnassigned
FF0X:0:0:0:0:0:0:100VMTP Managers Group
FF0X:0:0:0:0:0:0:101Network Time Protocol (NTP)
FF0X:0:0:0:0:0:0:102SGI-Dogfight
FF0X:0:0:0:0:0:0:103Rwhod
FF0X:0:0:0:0:0:0:104VNP
FF0X:0:0:0:0:0:0:105Artificial Horizons - Aviator
FF0X:0:0:0:0:0:0:106NSS - Name Service Server
FF0X:0:0:0:0:0:0:107AUDIONEWS - Audio News Multicast
FF0X:0:0:0:0:0:0:108SUN NIS+ Information Service
FF0X:0:0:0:0:0:0:109MTP Multicast Transport Protocol
FF0X:0:0:0:0:0:0:10AIETF-1-LOW-AUDIO
FF0X:0:0:0:0:0:0:10BIETF-1-AUDIO
FF0X:0:0:0:0:0:0:10CIETF-1-VIDEO
FF0X:0:0:0:0:0:0:10DIETF-2-LOW-AUDIO
FF0X:0:0:0:0:0:0:10EIETF-2-AUDIO
FF0X:0:0:0:0:0:0:10FIETF-2-VIDEO
FF0X:0:0:0:0:0:0:110MUSIC-SERVICE
FF0X:0:0:0:0:0:0:111SEANET-TELEMETRY
FF0X:0:0:0:0:0:0:112SEANET-IMAGE
FF0X:0:0:0:0:0:0:113MLOADD
FF0X:0:0:0:0:0:0:114any private experiment
FF0X:0:0:0:0:0:0:115DVMRP on MOSPF
FF0X:0:0:0:0:0:0:116SVRLOC
FF0X:0:0:0:0:0:0:117XINGTV
FF0X:0:0:0:0:0:0:118microsoft-ds
FF0X:0:0:0:0:0:0:119nbc-pro
FF0X:0:0:0:0:0:0:11Anbc-pfn
FF0X:0:0:0:0:0:0:11Blmsc-calren-1
FF0X:0:0:0:0:0:0:11Clmsc-calren-2
FF0X:0:0:0:0:0:0:11Dlmsc-calren-3
FF0X:0:0:0:0:0:0:11Elmsc-calren-4
FF0X:0:0:0:0:0:0:11Fampr-info
FF0X:0:0:0:0:0:0:120mtrace
FF0X:0:0:0:0:0:0:121RSVP-encap-1
FF0X:0:0:0:0:0:0:122RSVP-encap-2
FF0X:0:0:0:0:0:0:123SVRLOC-DA
FF0X:0:0:0:0:0:0:124rln-server
FF0X:0:0:0:0:0:0:125proshare-mc
FF0X:0:0:0:0:0:0:126dantz
FF0X:0:0:0:0:0:0:127cisco-rp-announce
FF0X:0:0:0:0:0:0:128cisco-rp-discovery
FF0X:0:0:0:0:0:0:129gatekeeper
FF0X:0:0:0:0:0:0:12Aiberiagames
FF0X:0:0:0:0:0:0:12BX Display
FF0X:0:0:0:0:0:0:12Coap-multicast
FF0X:0:0:0:0:0:0:12DDvbServDisc
FF0X:0:0:0:0:0:0:12ERicoh-device-ctrl
FF0X:0:0:0:0:0:0:12FRicoh-device-ctrl
FF0X:0:0:0:0:0:0:130UPnP
FF0X:0:0:0:0:0:0:131Systech Mcast
FF0X:0:0:0:0:0:0:132omasg
FF0X:0:0:0:0:0:0:133ASAP
FF0X:0:0:0:0:0:0:134unserding
FF0X:0:0:0:0:0:0:135PHILIPS-HEALTH
FF0X:0:0:0:0:0:0:136PHILIPS-HEALTH
FF0X:0:0:0:0:0:0:137Niagara
FF0X:0:0:0:0:0:0:138LXI-EVENT
FF0X:0:0:0:0:0:0:139LANCOM Discover
FF0X:0:0:0:0:0:0:13AAllJoyn
FF0X:0:0:0:0:0:0:13BGNUnet
FF0X:0:0:0:0:0:0:13Cfos4Xdevices
FF0X:0:0:0:0:0:0:13DUSNAMES-NET-MC
FF0X:0:0:0:0:0:0:13Ehp-msm-discover
FF0X:0:0:0:0:0:0:13F"SANYO DENKI CO.
FF0X:0:0:0:0:0:0:140-FF0X:0:0:0:0:0:0:14FEPSON-disc-set
FF0X:0:0:0:0:0:0:150an-adj-disc
FF0X:0:0:0:0:0:0:151Canon-Device-control
FF0X:0:0:0:0:0:0:152TinyMessage
FF0X:0:0:0:0:0:0:153-FF0X:0:0:0:0:0:0:180Unassigned
FF0X:0:0:0:0:0:0:181PTP-primary
FF0X:0:0:0:0:0:0:182PTP-alternate1
FF0X:0:0:0:0:0:0:183PTP-alternate2
FF0X:0:0:0:0:0:0:184PTP-alternate3
FF0X:0:0:0:0:0:0:185-FF0X:0:0:0:0:0:0:18BUnassigned
FF0X:0:0:0:0:0:0:18CAll ACs multicast address
FF0X:0:0:0:0:0:0:18D-FF0X:0:0:0:0:0:0:200Unassigned
FF0X:0:0:0:0:0:0:201"""rwho"" Group (BSD) (unofficial)"
FF0X:0:0:0:0:0:0:202SUN RPC PMAPPROC_CALLIT
FF0X:0:0:0:0:0:0:204All C1222 Nodes
FF0X:0:0:0:0:0:0:205Hexabus
FF0X:0:0:0:0:0:0:206multicast chat
FF0X:0:0:0:0:0:0:207-FF0X:0:0:0:0:0:0:2FFUnassigned
FF0X:0:0:0:0:0:0:300Mbus/Ipv6
FF0X:0:0:0:0:0:0:301-FF0X:0:0:0:0:0:0:BABUnassigned
FF0X:0:0:0:0:0:0:BAC0BACnet
FF0X::1:1000/118"Service Location
FF0X:0:0:0:0:0:2:0000-FF0X:0:0:0:0:0:2:7FFDMultimedia Conference Calls
FF0X:0:0:0:0:0:2:7FFESAPv1 Announcements
FF0X:0:0:0:0:0:2:7FFFSAPv0 Announcements (deprecated)
FF0X:0:0:0:0:0:2:8000-FF0X:0:0:0:0:0:2:FFFFSAP Dynamic Assignments
FF0X::DB8:0:0/96Documentation Addresses

IPv6 in IPv4-Only-Netzwerken

Zurück zum Seitenanfang | Publiziert am

Mittlerweile unterstützen sehr viele Systeme IPv6 nativ. Durch Mechanismen wie Autokonfiguration und automatische Tunnel können so IPv6 fähige Systeme Verbindungen über IPv4 Netze herstellen. Ein Dual-Homed Rechner kann so z.B. aus dem Internet erreichbar sein und einem Angreifer Zugang zum internen Netz ermöglichen.

Sicherheitslücken

Durch mangelnde IPv6 Unterstützung oder fehlende Konfiguration können sicherheitsrelevante Lücken im Netzwerk enstehen. Dazu können z.B. folgende Szenarien gehören.

  • Netzwerkbasierende Intrusion Detection Systeme (NIDS) die IPv6 Angriffe nicht erkennen
  • IPv4 Firewalls
  • Tunnel und NAT Verbindungen die z.B. Teredo Tunnelverbindungen erlauben
  • VPN Lösungen die IPv6 nicht unterstützen

Sicherheitsmassnahmen

Es gibt einige Massnahmen um die unkontrollierte Kommunikation von internen Systemen mit dem Internet zu unterbinden. Die eigentliche Schwierigkeit besteht aber darin das Problem zu erkennen bzw. zu lokalisieren.

  • IPv6 deaktivieren
  • IPv6 Firewall Filter Regeln
  • IPv6 auf Switchen abschalten
  • Protocol 41 in IPv4 Firewall blocken. Wird von 6to4 und ISATAP verwendet.
  • Das Präfix 2002::/16 auf IPv6 Firewall blocken. Wird von 6to4 Tunneln verwendet.
  • Die IPv4-Anycast Adresse 192.88.99.1 blocken. Wird von 6to4-Relays verwendet.
  • UDP Port 3544. Wird von Teredo Servern verwendet.
  • DNS Anfragen nach teredo.ipv6.microsoft.com überprüfen.
  • DNS Anfragen nach isatap.<localdomain> überprüfen.
  • IPv6 AAAA Records in IPv4-Only Netzwerken herausfiltern
  • UDP/TCP Port 3653 blocken. Wird vom Tunnel Setup Protocol (TSP) verwendet.
  • UDP/TCP Port 5072 blocken. Wird von der Tunneltechnologie AYIYA verwendet.
Seitenfang