IPv6 - a security analysis of tomorrow's communication protocol

Abstract

Mit der Einführung eines neuen Protokolls zur Regelung der Kommunikation zwischen Computern und Netzwerken ergibt sich die Notwendigkeit, die zugrundeliegenden Konzepte und deren Umsetzung zu analysieren. IPv6 wies ursprünglich eine große Zahl an Veränderungen im Vergleich zu IPv4 auf, zum Beispiel wurde IPSec verpflichtend für alle Umsetzungen vorgeschrieben. Einige dieser Änderungen konnten sich jedoch nicht durchsetzen. Diese Diplomarbeit evaluiert den aktuellen Stand der Technik im Hinblick auf Werkzeuge zur Überprüfung von Systemen auf Sicherheit im Bereich IPv6 und wendet diese Werkzeuge dann auf aktuelle Umsetzungen von IPv6 Kommunikationsschnittstellen an. Zu diesem Zweck wurde ein Versuchsnetzwerk aufgebaut. Die gewonnenen Daten wurden ausgewertet und geben wertvolle Hinweise zum aktuellen Entwicklungsstand von IPv6. Die Arbeit schließt mit dem Ergebnis, dass IPv6, obwohl noch einiges an Arbeit in diesem Feld vonnöten ist, vom Sicherheitsstandpunkt aus einsatzbereit ist. Zukünftige Forschung in diesem Bereich sollte eine Ergründung der Ursachen der gefundenen Schwachstellen und das Durchführen von Tests in komplexeren Umgebungen umfassen.

The introduction of a new basis for addressing and handling communication between networking nodes necessitates the analysis of these concepts and protocols. IPv6 was initially constructed with a huge amount of conceptual changes from IPv4, including the mandatory addition of IPSec. Some of these changes have made it to implementation level, while others have been dropped. This thesis evaluates the current state of the testing software available for IPv6 security analysis and proceeds by performing tests on the network stacks of current operating systems. This work will be facilitated by a laboratory setup specifically for this purpose. Evaluation of the data gained through this approach provides valuable information concerning the current state of IPv6. The thesis ends with the conclusion that, although there is still work to be done, IPv6 is ready to be deployed from an endpoint security point of view. Possible fields of future work include precise analysis of the reasons for discovered vulnerabilities, for example through source code review, and testing in contexts offering a higher level of complexity.