Was hat ICMP mit NDP zutun?
NDP (Neighbor Discovery Protokoll) ist ein Bestandteil von ICMPv6 und enthält Nachrichten wie der nächste Router oder die Hops. Wenn die Informationen in ein anderes Netz gelangen, wäre die Folge davon fatal. NDP enthält auch die Adressauflösung AR (Address Resolution) und ND (Neighbour Discovery). Spätestens jetzt sollten die Alarmglocken angehen. Diese Informationen enthalten für einen Hacker alles was er brauch, um in ein System zu gelangen.
Ist ICMpv6 sicherer als sein Vorgänger ICMPv4?
Es ist auf jeden Fall abgespeckt worden. Bei ICMPv4 wird die MAC Adresse über ARP und RARP zugeordnet was ein großer Kritikpunkt bei ICMPv4 ist/war. Aber bei der Version v6 wird alles besser, ist dem so? Jetzt muss auf das OSI Referenzmodell zurückgegriffen werden. Es geht um die MAC Teilschicht und die LLC Teilschicht. Beide sind der Physical Layer übergeordnet. Bei ICMPv6 wird die physikalische MAC (Media Access Control) der LLC (Logical Link Control) weitergeleitet. Zum Verständnis beide Schichten liegen noch unterhalb von dem IP Protokoll. Es muss eigentlich nur ein ECHO Request simuliert werden um ein Auslesen der 16 BIT Prüfsumme generiert werden. Fehlermeldung 137 bedeutet ein redirect der Daten. Das kann ein internes Problem sein, muss es aber nicht. Bislang hört es sich nicht danach an das ICMPv6 sicherer wäre.
Das hochgelobte SLAAC
Das SLAAC (Stateless Address Autoconfiguration) soll den Schaden beheben. Der 64 Bit Interface Identifier besteht aus Teilen der Mac Adresse sowie aus der Herstellerkennung. Jeder Teil setzt sich aus 24 Bit zusammen, ergibt 48 Bit. Der Rest besteht aus einem 64 Bit Network Präfix und Suffix. Die MAC Adresse wird eingefügt und das zweite Bit der ersten zwei Bytes wird gedreht (aus 0 wird 1 oder aus 1 wird 0). Das Problem liegt an den gleichen MAC Adressen, die identifizierbar sind. Das kommt eindeutig durch die Menge (Handys, Tablets usw.), die gleich MAC Adressen haben.
Hash Wert als Lösung für SLAAC
Insider wissen über dieses Problem mit der MAC Adresse. Hash Tabellen sollen erzeugt werden die zu einer eindeutigen MAC Adresse führen. Diese generierten Hash Tabellen oder geografische CGN´s können dieses Problem verhindern. Des Weiteren kann dies nur ICMPv6 nicht ICMPv4, wobei wir schon beim nächsten Problem sind. ICMPv6 ist noch nicht flächendeckend eingeführt! Schauen Sie auf unserer Website!