Ich habe die Erstellung eines kompletten Netzwerks auf mich genommen, von dem ein Teil eine Verbindung zwischen meinen beiden (redundanten Routern) und ihrem Gateway (außerhalb meines Bereichs) ist.
Hinter meinen Routern befinden sich einige LANs, die ebenfalls IPv6-Adressen haben. Jeder der beiden Router hat eine WAN-Verbindung, die ihr Uplink ist und mit dem dritten Router verbunden ist, der außerhalb meines Bereichs liegt. Dieses WAN-Netzwerk ist mit CARP redundant eingerichtet, sodass dieses Netzwerk 4 Adressen hat:
1 for the CARP 2 for physical addresses of the 2 routers 1 for the uplink
Ich habe zu diesem Zweck ein IPv6-Netzwerk mit dem Präfix /64 delegiert (sagen wir 2001:db8:0:0::/64).
Ich habe vor Kurzem an einer Reihe von IPv6-Sicherheitskursen teilgenommen und auch selbst viel gelesen. Dabei bin ich auf zwei wichtige Dinge gestoßen, die es hier zu berücksichtigen gilt.
- Direktverbindungen sollten grundsätzlich /127-Netzwerke verwenden (RFC6164)
- Adressen sollten möglichst zufällig sein, um das Scannen des Netzwerks zu erschweren. (RFC7721)
Nun möchte ich den 4 Schnittstellen aus dem /64-Netzwerk Adressen zuweisen. Ich sehe hier also zwei Möglichkeiten. Eine besteht darin, ein /126-Subnetz zu erstellen, das nur 4 verwendbare Adressen hat, und diese den 4 Schnittstellen zuzuweisen (2001:db8:0:0:11:22:33:4; 2001:db8:0:0:11:22:33:5; 2001:db8:0:0:11:22:33:6; 2001:db8:0:0:11:22:33:7). Die andere Möglichkeit wäre, den 4 Schnittstellen zufällige Adressen aus dem gesamten /64-Subnetz zuzuweisen (2001:db8:0:0:e2f:a9:7:3d6e; 3 andere zufällige Adressen).
Der erste Ansatz hilft, Spoofing-Probleme zu lindern, der zweite – Scan-Probleme.
Welcher Weg wäre in einer solchen Konfiguration zur Adressvergabe sinnvoller? Es ist zu beachten, dass es sich bei den Adressen um globale Unicast-Adressen handelt.