Aktive Systeme in IPv6-Netzen aufspüren

Im Klaren

Inés Atug

Die Annahme, der Suchraum eines klassischen IPv6-Subnetzes sei mit 264 möglichen Adressen zu groß zum Auffinden aktiver Systeme, hat RFC 7707 widerlegt. Denn das „neue“ Internetprotokoll hat einige zum Teil unbeabsichtigte Eigenschaften, die Hosts auffliegen lassen.

Eine Suche nach Systemen in IPv6-Netzen kann unterschiedliche Gründe haben. Ein Administrator prüft etwa eine Konfiguration, während ein Penetrationstester aktive Systeme auf Schwachstellen hin abklopft. IPv6 eignet sich zum Aufspüren von Systemen insbesondere dadurch, dass das Protokoll unter Windows inzwischen obligatorisch und das Deaktivieren nicht mehr empfehlenswert ist. In gängigen BSD- und Linux-Derivaten läuft IPv6 standardmäßig und einige Anwendungen setzen es bereits voraus. Dieser Artikel stellt einfache, überwiegend nicht invasiv wirkende Methoden und Werkzeuge zum Ermitteln von IPv6-Systemen vor.

Beispielhafter Aufbau einer IPv6-Adresse, die ein Internetprovider seinem Kunden zur Verfügung stellt (Abb. 1)

IPv6-Adressen bestehen aus einem Netzwerkpräfix und dem Interface Identifier, beide umfassen jeweils 64 Bit. Die Internet Assigned Numbers Authority (IANA) verwaltet die Adressen und verteilt sie an regionale Adressverwalter – in Europa das RIPE NCC – zur Weitergabe an deren Mitglieder. Einer Empfehlung in RFC 3177 zufolge gab es anfangs je 2⁸⁰ IPv6-Adressen als /48-Subnetz. Allerdings stellte sich bald heraus, dass dies den vorhandenen Adressraum unnötig einschränkt, da kaum jemand 2¹⁶ Teilnetze nutzen konnte. Daher empfiehlt RFC 6177 kleinere Adressräume, beispielsweise /56 (2⁷² IPv6-Adressen, siehe Abbildung 1).

Die IANA hat ihren regionalen Adressverwaltern bisher lediglich einen Teil der denkbaren IPv6-Adressen zugewiesen, was den Suchraum für aktive IPv6-Systeme deutlich einengt (zu Quellenangaben siehe „Alle Links“ am Ende des Artikels). Dennoch ist es keineswegs trivial, das gesamte IPv6-Internet zu durchsuchen. Wie man sogar ganz ohne aktive Suche an Adressdaten gelangt, hat die Schwachstellen-Suchmaschine Shodan gezeigt: Sie stellte einen Zeitgeberdienst über das NTP Pool Project zur Verfügung und sammelte dadurch IPv6-Adressen aktiver Systeme. Das fiel Anfang 2016 erst nach Monaten auf und die Server von Shodan flogen aus dem NTP-Pool-Cluster.

Automatische Adressvergabe

Neighbor Discovery Protocol und SLAAC

Ablauf der automatischen Adresskonfiguration mittels SLAAC (Abb. 2)

Das Neighbor Discovery Protocol (NDP) entspricht dem in IPv4 eingesetzten Address Resolution Protocol (ARP) und ermittelt die Adressen benachbarter Systeme. NDP umfasst einen Nachbar-Cache und informiert die Netzkomponenten über den Standardrouter und die Adresspräfixe. Die Neighbor Discovery arbeitet auch der automatischen und zustandslosen IPv6-Adresskonfiguration SLAAC zu. Sofern keine weiteren Einstellungen greifen, nutzen die meisten Systeme per SLAAC automatisiert generierte IPv6-Adressen (Abbildung 2).

Zunächst generiert das System aus der MAC-Adresse die lokale IPv6-Adresse und überprüft dann mittels Duplicate Address Detection (DAD), ob sie bereits existiert. Dazu sendet das System eine Neighbor-Solicitation-Nachricht (NS) mit der Quelladresse „:“ an die Solicited-Node-Multicast-Adresse (SNMA).

Die SNMA setzt sich zusammen aus dem Adresspräfix ff02::1:ff/104 und den letzten drei Bytes der MAC-Adresse. Hinzu kommt die vollständige MAC-Adresse, sodass ein System mit derselben SNMA prüfen kann, ob auch die MAC-Adresse übereinstimmt. Sollte ein System dieselbe MAC-Adresse wie das anfragende verwenden, meldet es sich mit einer Neighbor-Advertisement-Nachricht (NA), die alle Netzwerkkomponenten erhalten (Link-lokale Multicast-Adresse ff02::1). Das anfragende System muss das Prozedere in dem Fall wiederholen, während alle anderen Netzkomponenten den betreffenden Eintrag aus dem Nachbar-Cache löschen.

Normalerweise findet aber keine Adresskollision statt. Das System erfragt dann das im Subnetz verwendete Adresspräfix per Router-Solicitation-Nachricht (RS) bei allen Routern im Subnetz (Link-lokale Multicast-Adresse ff02::2). Der zuständige Router antwortet mit einer Router-Advertisement-Nachricht (RA) an alle Netzwerkkomponenten (Link-lokale Multicast-Adresse ff02::1). Im Anschluss daran kann das anfragende System seine globale IPv6-Adresse generieren (RFC 4862).

Die weiteren Betrachtungen betreffen den rechten Teil der IPv6-Adresse: den Interface Identifier. Bei automatisch mittels Stateless Address Autoconfiguration (SLAAC) vergebenen Adressen stammte er ursprünglich aus der eindeutigen MAC-Adresse der Netzwerkkarte. Ein Ziel von SLAAC besteht darin, Adressen ohne manuelles Konfigurieren oder zusätzliche Komponenten wie einen DHCP-Server zu verteilen. Über SLAAC generierte Adressen sind am Wort 0xfffe zwischen dem Organizationally Unique Identifier (OUI) und dem Rest der MAC-Adresse erkennbar. Aufgrund des eingefügten festen Wortes gibt es 2⁴⁶ mögliche IPv6-Adressen eines Teilnetzes einer Organisation, da 46 Bit der SLAAC-generierten Adressen variabel sind. Wer diese erkennt, kann den Suchbereich für weitere IPv6-Adressen in einem Subnetz entsprechend verkleinern.

Wer zudem den Hersteller der Netzhardware und somit deren möglichen MAC-Adressenbereich kennt, kann den Suchraum noch weiter einschränken. Die einem Hersteller zugeordneten OUIs sind öffentlich bekannt. Wer eine oder mehrere MAC-Adressen kennt, kann benachbarte mit hoher Erfolgswahrscheinlichkeit testen, da zumindest größere Organisationen oftmals beim selben Hersteller viele Hardwarekomponenten auf einmal bestellen. So kommen fortlaufende oder nahe gelegene MAC-Adressen in der IPv6-Umgebung vor (RFC 7707).

**Tabelle: Typische MAC-Adressen virtualisierter Clients**

Der mögliche MAC-Adressenbereich ist außerdem beim Einsatz von Virtualisierungssoftware oftmals bekannt: Wer die Umgebung kennt, kann sie recht zielsicher nach IPv6-Systemen abgrasen (Tabelle „Typische MAC-Adressen“).

Aufgrund der sich daraus ergebenden Eindeutigkeit und Unveränderbarkeit der IPv6-Adressen gab es rasch Datenschutzbedenken. Die daraufhin entwickelten Privacy Extensions sollen den SLAAC-generierten Adressen einen dynamischen Charakter verleihen. Temporäre IPv6-Adressen dienen der Kommunikation mit Dritten – allerdings gibt es die SLAAC-generierte Adresse weiterhin. Sie lässt sich auch von außen ansprechen, sofern keine lokale Firewall dagegen einschreitet (RFC 4941).

Manuelle Adressvergabe

Adressen lassen sich nicht nur automatisiert, sondern auch manuell vergeben. Das kann etwa bei Routern notwendig sein. Gewohnheit oder der Wunsch nach Vereinfachung können dazu führen, dass Administratoren dabei erkennbare Strukturen erzeugen (Tabelle „Nach durchschaubaren Regeln verteilte IPv6-Adressen“).

Die in der Tabelle genannten Muster treten auch kombiniert auf, etwa in Gestalt von Mischformen aus Low-Byte- und Wortadressen wie 2001:db8::cafe:21.

Da IPv6 zu IPv4 nicht rückwärtskompatibel ist, sind Tunnel- oder Übersetzungsmethoden in einem gemeinsamen Netz notwendig (siehe Tabelle „Tunnel- und Übersetzungsmechanismen“). Zu den Tunnelmethoden gehört das Intra-Site Automatic Tunneling Protocol (ISATAP). Es transportiert IPv6-Pakete über IPv4-Router. Die ISATAP-Adresse beginnt entweder mit einem globalen Netzwerkpräfix, einem 6to4-Präfix oder dem Link-lokalen Adresspräfix. Die letzten 64 Bit setzen sich aus 0000:5efe für lokale Adressen respektive 0200:5efe für globale Adressen und der IPv4-Adresse in hexadezimaler Form zusammen (RFC 5214).

Erkennen von Tunnel- und Übersetzungsmethoden

Anders als beim Tunneln übersetzt im Rahmen der Stateful Network Address Translation 64 (Stateful NAT64) ein NAT64-Gateway IPv4- in IPv6-Adressen und umgekehrt, was eine Kommunikation zwischen IPv4- und IPv6-Umgebungen ermöglicht. Das NAT64-Gateway arbeitet ähnlich wie NAT und merkt sich die einzelnen Kommunikationspartner in einer NAT64-Tabelle (RFC 6144). Das Format der NAT64-IPv6-Adressen entspricht den sogenannten IPv4-embedded-IPv6-Adressen. Die bestehen aus einem Adresspräfix und der IPv4-Adresse in hexadezimaler Schreibweise. Es folgt ein mit Nullen aufgefülltes Suffix. Das Adresspräfix darf 32, 40, 48, 56, 64 oder 96 Bit lang sein. Aufgrund des „u“-Byte sind an den Bit-Stellen 64 bis 71 Nullen eingefügt. Neben den allgemeinen Adresspräfixen des Netzwerks sind „Well-known-Adressen“ mit dem Präfix 64:ff9b::/96 verwendbar (RFC 6052).