Kommentar: IPv6-Sicherheit
IPv6: ebenfalls anfällig für Hacker
Fortsetzung des Artikels von Teil 1
IPsec als Bestandteil von IPv6
Die Auffassung ist weit verbreitet, dass IPv6 von Hause aus sicherer ist als IPv4. Als Begründung wird die generelle IPec-Unterstützung von IPv6 angeführt. Abgesehen von den praktischen Herausforderungen, die mit der breit angelegten Implementierung von IPsec verbunden sind, bleiben dadurch auch die Inhalte des in IPsec-gekapselten Verkehr für die Koppelkomponenten (Router, Switches, Firewalls) unsichtbar und wichtige Sicherheitsfunktionen werden behindert. Ein Deaktivieren von IPv6 als Lösungsansatz scheidet aus. Laut Microsoft gehört das Deaktivieren von IPv6 auf Windows zu den nicht unterstützten Konfigurationen. Wer IPv6 im Netzwerk deaktiviert, steckt seinen Kopf in den Sand. Diese Verweigerungsstrategie bringt im Betrieb nur Verzögerungen und kann dazu führen, dass sich dadurch die Sicherheitsrisiken im Unternehmensnetz noch vergrößern. Ob es die IT-Abteilung will oder nicht, die IPv6-fähigen Geräte werden früher oder später im Netzwerk auftauchen.
Jenseits der Sicherheitsbedrohungen gibt es inzwischen gewichtige Business-Anforderungen für IPv6, die sich nicht unter den Teppich kehren lassen. Banken und Online-Broker müssen ihre Kommunikation mit internationalen Kunden an deren Protokolle anpassen, wenn sie diese als Kunden nicht verlieren wollen.
Trotz aller Vorbehalte gegen IPv6 müssen sich die Unternehmen auf eine schrittweise Migration auf IPv6 vorbereiten. Ein umfassendes Upgrade aller Netzwerke auf IPv6 auf einen Schlag ist weder praktikabel noch effektiv. Die Unternehmen benötigen einen praktischen Lösungsansatz. Einige Hersteller haben in diesem Bereich bereits ihre Erfahrungen gemacht.
Beispielsweise bei Brocade wurde ein Teil der Netzwerke auf IPv6 umgestellt, dabei der bestehende Loadbalancer des IPv6-Translation-Mechanismus aktiviert. Dadurch konnten die über das Internet verfügbaren IPv6-Services genutzt werden und zu den internen Netzwerken hin blieb die IPv4-Konnektivität erhalten.
Mittelfristig stehen die Schnittstellen zwischen den internen und öffentlichen IP-Netzen im Fokus der IPv6-Migration. Für den Anfang sollte man ein kleineres Testprojekt aussuchen, mit dem man mit IPv6-Kunden/Ressourcen kommuniziert. Je nach Architekturansatz lässt sich eine solche Lösung bereits mit einem Dual-Stack-fähigen Gerät realisieren. Ein solches Testprojekt stellt keine hohen Investitionsanforderungen und bietet den Vorteil, dass das IT-Team parallel die notwendige IPv6-Kompetenz aufbauen kann.
Zwar kann niemand mit Sicherheit sagen, wie lange es dauern wird, bis alle IPv4-Adressen endgültig erschöpft sind. In den kommenden 18 Monaten werden jedoch auch die IPv4-Adressreste der Service-Provider erschöpft sein und bei neuen Projekten wird die IT nicht mehr um IPv6 herum kommen. Ohne einen durchdachten Plan für die IPv6-Migration werden sich die Netzverantwortlichen mit zunehmenden Sicherheitsbedrohungen und möglichen Verlusten der Kommunikationsfähigkeit auseinander setzen müssen.
- IPv6: ebenfalls anfällig für Hacker
- IPsec als Bestandteil von IPv6
Lesen Sie mehr zum Thema
