Anforderungen an IPv6-ICT-AusrĂĽstung
Seite 6: Anforderungen im Bereich "Network Security"
Anforderungen fĂĽr AusrĂĽstung im Bereich "Network Security"
Die Anforderungen sind in drei Bereiche aufgeteilt:
- Firewall (FW)
- Intrusion Prevention System (IPS)
- Application Firewall (APFW)
In Klammern am Ende jeder Zeile ist der Bereich angegeben, fĂĽr den die Pflichtanforderung gilt.
Pflichtanforderungen
- IPv6 Basic specification (RFC 2460) (FW, IPS, APFW)
- IPv6 Addressing Architecture basic (RFC 4291) (FW, IPS, APFW)
- Default Address Selection (RFC 3484) (FW, IPS, APFW)
- ICMPv6 (RFC 4443) (FW, IPS, APFW)
- SLAAC (RFC 4862) (FW, IPS)
- Router-Alert option (RFC 2711) (FW, IPS)
- Path MTU Discovery (RFC 1981) (FW, IPS, APWF)
- Neighbour Discovery (RFC 4861) (FW, IPS, APFW)
- Sollte BGP4 gefordert sein, mĂĽssen RFC 4271, RFC 1772, RFC 4760 und
- RFC 2545 unterstĂĽtzt werden (FW, IPS, APFW)
- Sollte ein internes Routing Protokoll erforderlich sein, müssen RIPng (RFC 2080), OSPF-v3 (RFC 5340) or IS-IS (RFC 5308) unterstützt werden. Der Anbieter wählt das Protokoll, das zum Einsatz kommen soll. (FW, IPS, APFW)
- Wenn OSPF-v3 genutzt werden soll, muss "Authentication/Confidentiality for OSPFv3" (RFC 4552) unterstĂĽtzt werden. (FW, IPS, APFW)
- Support for QoS (RFC 2474, RFC 3140) (FW APFW)
- Basic Transition Mechanisms for IPv6 Hosts and Routers (RFC 4213) (FW)
- Using IPsec to Secure IPv6-in-IPv4 Tunnels (RFC 4891) (FW)
- Funktionen, die unter IPv4 unterstützt werden, sollten in vergleichbarer Weise auch unter IPv6 zur Verfügung stehen. Wenn z. B. ein Intrusion Prevention System mit IPv4 sowohl auf Layer 2 als auch auf Layer 3 arbeitet, sollten diese Möglichkeiten auch mit IPv6 vorhanden sein. Wenn eine Firewall als Cluster betrieben werden kann, sollte die Synchronisierung der Sessions zwischen den Clusterpartnern mit IPv4 und IPv6 funktionieren.
Optionale Anforderungen
- Revised ICMPv6 (RFC 5095)
- DHCPv6 client / server (RFC 3315)
- Extended ICMP for Multipart Messages (RFC 4884)
- SEND (RFC 3971)
- SLAAC Privacy Extensions (RFC 4941)
- Stateless DHCPv6 (RFC 3736)
- DHCPv6 PD (RFC 3633)
- BGP Communities Attribute (RFC 1997)
- BGP Capabilities Advertisement WITH-4 (RFC 3392)
- (QOS), Assured Forwarding (RFC 2597)
- (QOS) Expedited Forwarding (RFC 3246)
- Unique Local IPv6 Unicast Addresses (ULA) (RFC 4193)
- Cryptographically Generated Addresses (RFC 3972)
- IPsec-v3 (RFC 4301, RFC 4303, RFC 4302)
- OSPF-v3 (RFC 5340)
- Authentication / Confidentiality for OSPF-v3 (RFC 4552)
- Generic Packet Tunneling and IPv6 (RFC 2473)
- IPsec-v2 (RFC 2401, RFC 2406, RFC 2402)
- IKE version 2 (IKEv2) (RFC 4306, RFC 4718)
- SNMP protocol (RFC 3411)
- SNMP capabilities (RFC 3412, RFC 3413, RFC 3414)
- DNS protocol extensions for incorporating IPv6 DNS resource records (RFC 3596)
- DNS message extension mechanism (RFC 2671)
- DNS message size requirements (RFC 3226)
- Using IPSec to Secure IPv6-in-IPv4 Tunnels (RFC 4891)
- Multicast Listener Discovery version 2 (RFC 3810)
- MLDv2 snooping (RFC 4541) (im L2- oder Passthrough-Modus)
- Packetization Layer Path MTU Discovery (RFC 4821)
