Kommentar: IPv6-Sicherheit
IPv6: ebenfalls anfällig für Hacker
Unternehmen müssen sich mit den versteckten IPv6-Sicherheitslücken auseinandersetzen, selbst wenn diese noch nicht einmal die Einführung von IPv6 planen.
Trotz des IPv6-Days vor wenigen Tagen, fordern Experten weiterhin mehr Aufmerksamkeit für die Einführung des neuen Internet-Protokolls, IPv6,. Es sieht so aus, als würde der Übergang auf Ipv6 für viele Unternehmen turbulent. Ein reibungsloser Migrationspfad ist für die Experten derzeit nicht erkennbar. Nach wie vor unterstützen nur wenige Anwendungen sowohl das IPv4- als auch das IPv6-Protokoll und die verfügbaren Migrationsprodukte halten nicht immer ihre Versprechen.
Stellt ein Unternehmen die IPv6-Funktionen über eine Dual-Stack-Konfiguration bereit, ist dies nur der erste Schritt, weil im Bereich der Sicherheit auch die Bedrohungen durch den Einsatz von IPv6 berücksichtigt werden müssen. Auch das simple Abschalten der IPv6-Protokolle stellt keine dauerhafte Lösung dar. Die Bedrohung der Unternehmenssicherheit ist in der Tatsache begründet, dass in Unternehmensnetzwerken bereits eine Vielzahl von IPv6-fähigen Geräten installiert sind. Hierzu gehören beispielsweise alle Geräte, die auf den Betriebssystemen Windows-Vista, Windows 7, Mac OS/X oder Linux basieren.
Im Gegensatz zu DHCP für IPv4 ist bei IPv6 keine manuelle Konfiguration notwendig. Die so genannte Stateless-Autokonfiguration sorgt dafür, dass die IPv6-fähigen Geräte nur auf ein Router-Advertisement warten, um sich in das Netzwerk zu integrieren. Reine IPv4-Router und Switches reagieren nicht auf die IPv6-Router-Advertisements, aber bereits IPv4/IPv6-Geräte interpretieren diese Pakete und konfigurieren sich automatisch entsprechend der vom Router propagierten Information. Die Stateless-Autokonfiguration ermöglicht es einem IPv6-Gerät mit anderen IPv6-Geräte und Services im gleichen LAN automatisch zu kommunizieren. Dazu propagieren die IPv6-Geräte ihre Verfügbarkeit über das IPv6-Neighbor-Discovery-Protocol (NDP).
Nicht gemanagte IPv6-Links und nicht zielgerichtete NDP-Messages sind das Ziel von Angreifern. Die Experten beobachten inzwischen die Zunahme der Nutzung von IPv6 in Bot-Netzen. Die befallenen Geräte kommunizieren dabei über einen verdeckten IPv6-Kanal mit ihren Botmastern. Quasi in einer Verkleidung lässt sich via IPv6 die Malware in Form einer Nutzlast über eine oder mehrere IPv4-Nachrichten in die Netzwerke einschleusen. Ohne IPv6-spezifische Sicherheitsmaßnahmen, wie beispielsweise eine IPv6-Deep-Packet-Inspection, bleiben die gekapselten Schadprogramme von den reinen IPv4-Perimeter- und DMZ Abwehrmechanismen unentdeckt.
Der von der IETF entwickelte SEND- (Secure-Neighbor-Discovery-)Lösungsansatz arbeitet auf der Schicht 2 und soll gegen IPv6-Bedrohungen (falsche Router-Advertisements und NDP-Spoofing) schützen. Einige Hersteller unterstützen bereits die SEND-Funktionen, während andere (vor allem Microsoft und Apple) keine Anstrengungen unternehmen, diese Funktionen in ihre Geräte beziehungsweise ihre Betriebssysteme zu übernehmen.
Momentan sind Cisco und die IETF dabei, die notwendigen Prozesse zur Umsetzung der IPv6-Sicherheitsmechanismen festzulegen, damit auch IPv4 gegen die bekannten Bedrohungen zu schützen ist. Hierzu hat die IETF die Arbeitsgruppe SAVI (Source Address Validation) gegründet. Cisco realisiert die Implementierung für IOS in einem drei Phasenplan. Dieser wurde bereits im Jahr 2010 begonnen und soll, je nach Switch-Typ, im kommenden Jahr umgesetzt sein.
Häufig entstehen IPv6-Sicherheitslöcher jedoch durch ein oder mehrere falsch konfigurierte Endgeräte im Netzwerk. Diese Probleme lassen sich nur durch umfangreiches Wissen der Systemadministratoren lösen. Außerdem müssen sich die Netzverantwortlichen darüber im klaren sein, dass der IPv6-Datenverkehr mit den gleichen Schutzmaßnahmen wie das bisherige IPv4 ausgestattet werden muss.
- IPv6: ebenfalls anfällig für Hacker
- IPsec als Bestandteil von IPv6
Lesen Sie mehr zum Thema
