IPv6 Overview for different Topologies
Introduction / Einführung
IPv6 Protocol Security Concerns Basic IPv6 Protocol:
Sicherheitsaspekte des IPv6-Protokolls Grundlegendes zum IPv6-Protokoll:
Discussion on the security concerns related to the basic IPv6 protocol, including the basic header, extension headers, and addressing. IPv6-Associated Protocols:
Diskussion über die Sicherheitsbedenken im Zusammenhang mit dem grundlegenden IPv6-Protokoll, einschließlich des Basis-Headers, der Erweiterungs-Header und der Adressierung. IPv6-assoziierte Protokolle:
ICMPv6, NDP, MLD, DNS, and DHCPv6 are highlighted as associated protocols with IPv6. These protocols introduce new security threats compared to IPv4, and the related solutions are still under discussion. Specific vulnerabilities in NDP are mentioned, and potential solutions, such as the use of IPsec and SEcure Neighbor Discovery (SEND), are discussed. Internet-wide IPv6 Security:
ICMPv6, NDP, MLD, DNS und DHCPv6 werden als mit IPv6 verbundene Protokolle hervorgehoben. Diese Protokolle stellen im Vergleich zu IPv4 neue Sicherheitsbedrohungen dar, und die entsprechenden Lösungen werden noch diskutiert. Spezifische Schwachstellen in NDP werden erwähnt, und mögliche Lösungen, wie die Verwendung von IPsec und SEcure Neighbor Discovery (SEND), werden diskutiert. Internetweite IPv6-Sicherheit:
Addresses broader security concerns, including filtering, Distributed Denial of Service (DDoS), and the security implications of transition mechanisms. Mentions that security solutions for new IPv6-associated protocols are still under discussion. IPv6 Extension Headers and Fragmentation IPv6 Extension Headers:
Behandelt breitere Sicherheitsbedenken, einschließlich Filterung, Distributed Denial of Service (DDoS) und die Sicherheitsimplikationen von Übergangsmechanismen. Es wird erwähnt, dass Sicherheitslösungen für neue IPv6-assoziierte Protokolle noch in der Diskussion sind. IPv6-Erweiterungs-Header und Fragmentierung IPv6-Erweiterungs-Header:
Extension headers in IPv6 provide flexibility but also add complexity. Security mechanisms may require processing the full chain of headers. Firewalls may require filtering based on extension headers. Some security threats are introduced, and defense mechanisms are necessary. IPv6 Extension Header Processing:
Erweiterungsheader in IPv6 bieten Flexibilität, erhöhen aber auch die Komplexität. Sicherheitsmechanismen können die Verarbeitung der gesamten Kette von Headern erfordern. Firewalls können eine Filterung auf der Grundlage von Erweiterungsheadern erfordern. Einige Sicherheitsbedrohungen werden eingeführt, und es sind Abwehrmechanismen erforderlich. IPv6-Erweiterungsheader-Verarbeitung:
Provides guidance on the processing procedures of IPv6 extension headers. Mentions the deprecation of the original IPv6 Routing Header type 0 (RH0) due to security concerns. IPv6 Fragmentation:
Bietet eine Anleitung für die Verarbeitung von IPv6-Erweiterungsheadern. Erwähnt die Abschaffung des ursprünglichen IPv6 Routing Header Typ 0 (RH0) aufgrund von Sicherheitsbedenken. IPv6-Fragmentierung:
Discusses threats related to IPv6 fragmentation, including overlapping fragments, resource consumption, and atomic fragments. Highlights measures to mitigate fragmentation-related threats.
Erörtert die Bedrohungen im Zusammenhang mit der IPv6-Fragmentierung, einschließlich überlappender Fragmente, Ressourcenverbrauch und atomarer Fragmente. Hervorhebung von Maßnahmen zur Entschärfung fragmentierungsbedingter Bedrohungen.
Affirms that the document has no impact on the security properties of specific IPv6 protocols or transition tools.
Beteuert, dass das Dokument keine Auswirkungen auf die Sicherheitseigenschaften bestimmter IPv6-Protokolle oder Umstellungswerkzeuge hat.
The provided text discusses various aspects of IPv6 adoption and identifies challenges associated with the transition from IPv4 to IPv6. Here is a summary of the key points:
Der bereitgestellte Text erörtert verschiedene Aspekte der IPv6-Einführung und zeigt die mit dem Übergang von IPv4 zu IPv6 verbundenen Herausforderungen auf. Hier ist eine Zusammenfassung der wichtigsten Punkte:
IPv4-to-IPv6 Transition Stages: IPv4-as-a-Service (IPv4aaS):
IPv4-zu-IPv6-Übergangsphasen: IPv4-as-a-Service (IPv4aaS):
IPv4aaS ensures IPv4 support, with deployment considerations based on economic factors, policies, and regulations. Different transition solutions are compared, such as 464XLAT, DS-Lite, Lightweight 4over6, MAP-E, and MAP-T. IPv4aaS leverages IPv6-only infrastructure, offering Dual-Stack services to users and allowing ISPs to run IPv6-only in the network. IPv6-Only:
IPv4aaS stellt die IPv4-Unterstützung sicher, wobei der Einsatz von wirtschaftlichen Faktoren, Richtlinien und Vorschriften abhängt. Es werden verschiedene Übergangslösungen verglichen, z. B. 464XLAT, DS-Lite, Lightweight 4over6, MAP-E und MAP-T. IPv4aaS nutzt eine reine IPv6-Infrastruktur, die den Nutzern Dual-Stack-Dienste anbietet und es ISPs ermöglicht, im Netzwerk nur IPv6 zu betreiben. Ausschließlich IPv6:
The final stage where the entire network, end-to-end, operates without IPv4. Adoption of IPv6-only networks takes time, and overlay services become exclusively IPv6. Common IPv6 Challenges: Transition Choices:
Die letzte Stufe, in der das gesamte Netz von Anfang bis Ende ohne IPv4 betrieben wird. Die Einführung von reinen IPv6-Netzen braucht Zeit, und Overlay-Dienste werden ausschließlich mit IPv6 betrieben. Gemeinsame IPv6-Herausforderungen: Entscheidungen für den Übergang:
Service providers, enterprises, and CSPs face challenges in selecting the appropriate IPv6 transition method. Mobile and fixed operators may adopt Dual-Stack, CGN, or IPv4aaS based on factors like IPv4 address scarcity and cost considerations. Enterprises:
Dienstanbieter, Unternehmen und CSPs stehen bei der Auswahl der geeigneten IPv6-Umstellungsmethode vor Herausforderungen. Mobilfunk- und Festnetzbetreiber können sich aufgrund von Faktoren wie IPv4-Adressenknappheit und Kostenerwägungen für Dual-Stack, CGN oder IPv4aaS entscheiden. Unternehmen:
IPv6 adoption for enterprises depends on upstream providers, business justifications, and the need to transition for government compliance. Many enterprises, especially smaller ones, are late in adopting IPv6 due to perceived complexity and budget constraints. Industrial Internet:
Die Einführung von IPv6 in Unternehmen hängt von vorgelagerten Anbietern, geschäftlichen Gründen und der Notwendigkeit der Umstellung im Hinblick auf die Einhaltung gesetzlicher Vorschriften ab. Viele Unternehmen, vor allem kleinere, führen IPv6 erst spät ein, weil sie es für zu kompliziert halten und ihr Budget zu knapp bemessen ist. Industrielles Internet:
IPv6 adoption in industrial environments (Industry 4.0, IoT) is slower than expected, facing obstacles like incomplete tool support and poor IPv6 protocol knowledge. Content and Cloud Service Providers:
Die Einführung von IPv6 in industriellen Umgebungen (Industrie 4.0, IoT) verläuft langsamer als erwartet und stößt auf Hindernisse wie unvollständige Tool-Unterstützung und unzureichende IPv6-Protokollkenntnisse. Anbieter von Inhalten und Cloud-Diensten:
CSPs adopt IPv6 in Data Center infrastructure, and major players may have already transitioned to IPv6-only. Challenges involve the continuous support of IPv4 while meeting business needs in a predominantly IPv6 environment.
CSPs übernehmen IPv6 in der Rechenzentrumsinfrastruktur, und wichtige Akteure haben möglicherweise bereits auf IPv6-only umgestellt. Zu den Herausforderungen gehört die kontinuierliche Unterstützung von IPv4 bei gleichzeitiger Erfüllung der Geschäftsanforderungen in einer überwiegend IPv6-Umgebung.
Docker Hub starts IPv6 23 August 2023
Docker Hub startet IPv6 am 23. August 2023
Github still IPv4 only Application.
Github weiterhin nur IPv4-Anwendung
CPEs and User Devices:
CPEs und Benutzergeräte:
Challenges in ensuring that customer premises equipment (CPEs) fully support IPv6, pushing incentives for IPv4aaS over Dual-Stack. Software Applications:
Herausforderungen bei der Sicherstellung, dass Kundengeräte (CPEs) IPv6 vollständig unterstützen, wodurch Anreize für IPv4aaS gegenüber Dual-Stack geschaffen werden. Software-Anwendungen:
Transition to IPv6 requires adapting application software, with mechanisms like 464XLAT essential for supporting IPv4-only applications during the transition. IPv6 Challenges and Considerationsare Network Management and Operations:
Die Umstellung auf IPv6 erfordert eine Anpassung der Anwendungssoftware, wobei Mechanismen wie 464XLAT für die Unterstützung von IPv4-only-Anwendungen während der Umstellung unerlässlich sind. IPv6-Herausforderungen und Erwägungen: Netzwerkmanagement und -betrieb:
IPv6-related solutions for Operations, Administration, and Maintenance (OAM) are less mature compared to IPv4. Training network operations staff is crucial for successful IPv6 deployment. Performance:
IPv6-bezogene Lösungen für Betrieb, Verwaltung und Wartung (OAM) sind im Vergleich zu IPv4 weniger ausgereift. Die Schulung des Netzbetriebspersonals ist entscheidend für eine erfolgreiche IPv6-Einführung. Leistung:
IPv6 performance compared to IPv4 is subjective, depending on specific use cases and applications. Metrics like packet loss and latency show improvements in IPv6 but with variations across regions and operators. IPv6 Security and Privacy:
Die Leistung von IPv6 im Vergleich zu IPv4 ist subjektiv und hängt von den jeweiligen Anwendungsfällen und Anwendungen ab. Metriken wie Paketverluste und Latenzzeiten zeigen Verbesserungen bei IPv6, die jedoch je nach Region und Betreiber variieren. IPv6-Sicherheit und Datenschutz:
IPv6 introduces new security concerns related to the protocol itself, associated protocols (ICMPv6, NDP, MLD), and Internet-wide security. Extension headers, fragmentation, and specific security protocols (IPsec) are discussed in the context of IPv6 security. Conclusion: IPv6 adoption faces challenges across various sectors, including service providers, enterprises, industrial environments, content providers, and end-user devices. The document emphasizes the importance of addressing security concerns, privacy considerations, and the need for effective transition strategies.
IPv6 bringt neue Sicherheitsprobleme mit sich, die mit dem Protokoll selbst, den zugehörigen Protokollen (ICMPv6, NDP, MLD) und der internetweiten Sicherheit zusammenhängen. Erweiterungsheader, Fragmentierung und spezielle Sicherheitsprotokolle (IPsec) werden im Zusammenhang mit der IPv6-Sicherheit diskutiert. Schlussfolgerung: Die Einführung von IPv6 stellt verschiedene Sektoren vor Herausforderungen, darunter Dienstanbieter, Unternehmen, industrielle Umgebungen, Anbieter von Inhalten und Endbenutzergeräte. Das Dokument unterstreicht, wie wichtig es ist, Sicherheitsbedenken und Überlegungen zum Schutz der Privatsphäre zu berücksichtigen und effektive Übergangsstrategien zu entwickeln.
- Terminology / Terminologie
This section defines the terminology regarding the usage of IPv6-only expressions within this document. The term IPv6-only is defined in relation to the specific scope it is referring to. In this regard, it may happen that only part of a service, a network, or even a node is in an IPv6-only scope, and the rest is not. The most used terms in relation to the different scopes are listed below:
In diesem Abschnitt wird die Terminologie für die Verwendung von reinen IPv6 Ausdrücke in diesem Dokument. Der Begriff “IPv6-only” ist definiert in Bezug auf den spezifischen Anwendungsbereich definiert, auf den er sich bezieht. Diesbezüglich kann es vorkommen, dass nur ein Teil eines Dienstes, eines Netzes oder sogar eines Knotens in einem IPv6-only-Bereich liegt, der Rest aber nicht. Die am häufigsten verwendeten Begriffe in Bezug auf die verschiedenen Geltungsbereiche sind im Folgenden aufgeführt:
IPv6-only interface: The interface of a node is configured to forward only IPv6. This denotes that just part of the node can be IPv6-only since the rest of the interfaces of the same node may work with IPv4 as well. A Dual-Stack interface is not an IPv6-only interface.
Nur-IPv6-Schnittstelle: Die Schnittstelle eines Knotens ist so konfiguriert, dass sie nur IPv6 weiterleitet. Diese bedeutet, dass nur ein Teil des Knotens IPv6-only sein kann, da der Rest Schnittstellen desselben Knotens auch mit IPv4 arbeiten können. Eine Dual-Stack-Schnittstelle ist keine reine IPv6-Schnittstelle.
IPv6-only node: The node uses only IPv6. All interfaces of the host only have IPv6 addresses.
IPv6-only-Knoten: Der Knoten verwendet nur IPv6. Alle Schnittstellen des Hosts haben nur IPv6-Adressen.
IPv6-only service: It is used if, between the host’s interface and the interface of the content server, all packet headers of the service session are IPv6.
IPv6-only-Dienst: Er wird verwendet, wenn zwischen der Schnittstelle des Hosts und der Schnittstelle des Content-Servers alle Paket-Header der Dienstsitzung aus IPv6 sind.
IPv6-only overlay: It is used if, between the end points of the tunnels, all inner packet headers of the tunnels are IPv6. For example, IPv6-only overlay in a fixed network means that the encapsulation is only IPv6 between the interfaces of the Provider Edge (PE) nodes or between the Customer Provider Edge (CPE) node and the Broadband Network Gateway (BNG).
IPv6-Only-Overlay: Wird verwendet, wenn zwischen den Endpunkten des Tunnels alle inneren Paketköpfe der Tunnel IPv6 sind. Zum Beispiel bedeutet IPv6-only Overlay in einem Festnetz bedeutet, dass die Verkapselung nur IPv6 zwischen den Schnittstellen der Provider Edge (PE)-Knoten oder zwischen dem Kunden-Provider-Edge-Knoten (CPE) und dem Broadband Netzwerk-Gateway (BNG).
IPv6-only underlay: It is used if the data plane and control plane are IPv6, but this is not necessarily true for the management plane. For example, IPv6-only underlay in a fixed network means that the underlay network protocol is only IPv6 between any PE nodes, but they can be Dual-Stack in overlay. Segment Routing over IPv6 (SRv6) is an example of IPv6-only underlay.
IPv6-only underlay: Es wird verwendet, wenn die Datenebene und die Steuerebene IPv6 sind, aber dies gilt nicht unbedingt für die Verwaltungsebene. Ein Beispiel, IPv6-only underlay in einem Festnetz bedeutet, dass das Underlay Netzwerkprotokoll nur IPv6 zwischen allen PE-Knoten ist, aber sie können Dual-Stack im Overlay sein. Segment Routing over IPv6 (SRv6) ist ein Beispiel für ein reines IPv6-Underlay.
IPv6-only network: It is used if every node in this network is IPv6-only. IPv4 should not exist in an IPv6-only network. In particular, an IPv6-only network’s data plane, control plane, and management plane must be IPv6. All PEs must be IPv6-only. Therefore, if tunnels exist among PEs, both inner and outer headers must be IPv6. For example, an IPv6-only access network means that every node in this access network must be IPv6-only, and similarly, an IPv6-only backbone network means that every node in this backbone network must be IPv6-only.
Ein reines IPv6-Netz: Es wird verwendet, wenn jeder Knoten in diesem Netzwerk nur IPv6 nutzt. IPv4 sollte in einem reinen IPv6-Netz nicht existieren. Insbesondere muss ein reines IPv6-Netz müssen die Datenebene, die Steuerungsebene und die Ebene müssen IPv6 sein. Alle PEs müssen IPv6-only sein. Wenn also Tunnel zwischen PEs existieren, müssen sowohl die inneren als auch die äußeren Header IPv6 sein. Ein IPv6-only-Zugangsnetz bedeutet zum Beispiel, dass jeder Knoten in diesem Zugangsnetz IPv6-only sein muss, und in ähnlicher Weise muss ein IPv6-only Backbone-Netz bedeutet, dass jeder Knoten in diesem Backbone-Netz Backbone-Netzes ein reines IPv6-Netz sein muss.
IPv4-as-a-Service (IPv4aaS): IPv4 service support is provided by means of a transition mechanism; therefore, there is a combination of encapsulation/ translation + IPv6-only underlay + decapsulation/translation. For an IPv6-only network, connectivity to legacy IPv4 is either non- existent or provided by IPv4aaS mechanisms.
IPv4-as-a-Service (IPv4aaS): Die Unterstützung von IPv4-Diensten wird durch einen Übergangsmechanismus bereitgestellt. Übergangsmechanismus bereitgestellt; daher gibt es eine Kombination aus Verkapselung/ Übersetzung + IPv6-Only-Unterschicht + Entkapselung/Übersetzung. Für einem reinen IPv6-Netz ist die Konnektivität zu altem IPv4 entweder nicht vorhanden oder wird durch IPv4aaS-Mechanismen bereitgestellt.
Note that IPv6-only definitions are also discussed in IPv6-ONLY-DEF.
Beachten Sie, dass IPv6-only-Definitionen auch diskutiert werden in IPv6-ONLY-DEF.
Quellen / Sources:
AIPOST