Rechnernetze

Sicherheit beim ICMPv6

Authentisierung und Verschlüsselung

ICMPv6-Nachrichten können mittels des Authentisierungsheaders identifiziert werden. Ein Knoten sollte eine ICMPv6-Nachricht authentisieren, wenn die Zieladresse eine entsprechende Assoziation vorschreibt. 

Datagramme mit falscher Authentisierung müssen verworfen werden. Der Administrator sollte die Möglichkeit erhalten, sämtliche nicht authentisierte ICMPv6-Nachrichten zu verwerfen.

Verschlüsselung von ICMPv6-Nachrichten wird zusammen mit der IP-Sicherheitsarchitektur RFC 2401 betrachtet.

ICMP-Angriffe

Es gibt verschiedene Möglichkeiten, ICMP anzugreifen. Hier werden einige Beispiel genannt und gezeigt, wie dagegen vorgegangen werden kann.

1. Ein Angreifer könnte die Absenderadresse einer ICMPv6-Nachricht verfälschen. 
   Dieser Angriff wird durch die Verwendung der Authentisiserung verhindert.
2. Ein Angreifer könnte das Ziel einer ICMPv6-Nachricht verfälschen. 
   Dieser Angriff wird z.B. durch geschützte Prüfsummen oder durch Verschlüsselung verhindert.
3. Ein Angreifer könnte die Daten einer ICMPv6-Nachricht verfälschen. 
   Dieser Angriff wird durch Authentisierung oder Verschlüsselung verhindert.
4. Ein Denial of Service-Angriff durch Senden fehlerhafter IP-Pakete.
   Dieser Angriff sollte dadurch verhindert werden, dass ICMPv6-Antworten nur gesendet werden, wenn genügend Bandbreitenressourcen zur Verfügung stehen.