Ab dem 6. Juni bieten zahlreiche Internet-Service-Provider ihre Dienste auch über IPv6 an
Stonesoft: Zehn Tipps für die sichere Implementierung von IPv6
Am 6. Juni 2012 ist World IPv6 Launch Day. Service-Provider, Netzwerkhersteller, Service-Anbieter und Web-Seitenanbieter wie Google oder Facebook bieten ihre Dienste dann dauerhaft auch über IPv6 an. Stonesoft hat zehn Tipps zusammengestellt, mit denen Verantwortliche von Unternehmen den Überblick behalten und Prioritäten für einen möglichen Wechsel richtig setzen können.
So funktioniert Firewall-Management
Managed Switches für KMU- und Enterprise-Einsatz
WLAN Access Point für Deckenmontage
Levelone stellt IPv6-fähige Netzwerkprodukte vor
Laut Torsten Jüngling, Country-Manager DACH von Stonesoft denken viele Anwender, dass es zwischen dem Schutz von IPv6- und IPv4-Traffic kaum Unterschiede gibt. Zudem haben die Unternehmen oft noch keinen exakten Plan für eine Umrüstung.
Zuerst ist die Vorbereitung der IPv4-Netzwerke auf IPv6 wichtig. Unternehmen sollten veraltete und überholte Features aus dem Netzwerk entfernen oder diese aktualisieren. Mit einem „aufgeräumten“ Netzwerk gestaltet sich die Implementierung von IPv6 einfacher, so Stonesoft.
Weiter sollten Unternehmen IPv6 in Etappen einführen, um sicherzustellen, dass das Protokoll in ihrer zuvor auf den Stand der Technik gebrachten IPv4-Infrastruktur auch funktioniert, und gleichzeitig ihr Budget besser im Blick zu behalten. Eine schrittweise Vorgehensweise hat sich bereits in verschiedenen Praxisprojekten bewährt.
Auch wenn ein Dual-Stack-Ansatz eventuell Router-Upgrades erfordert, bietet er zahlreiche Vorteile bei der IPv6-Implementierung. Ein Dual-Stack-Ansatz lässt sich einfach implementieren und ermöglicht es, Systemanwendungen parallel zu nutzen, die IPv6 noch nicht unterstützen. Er verhindert meist auch Tunnel, die sich unter Sicherheitsaspekten als bedenklich erwiesen haben.
Als Viertes raten die Experten von Stonesoft, Tunnel-Traffic mit Vorsicht zu behandeln. Sie beziehen sich auf den Leitfaden für die sichere Implementierung von IPv6 (Guidelines for the Secure Deployment of IPv6) des US-amerikanischen National Institute of Standards and Technology. Zunächst sollte man dabei jedes einzelne ein- und ausgehende Datenpaket des Tunnel-Traffics genau überprüfen. Dazu gehört die Analyse des gesamten IPv6-Traffics einschließlich der IPv6-Daten innerhalb von IPv4-Paketen. Der Leitfaden empfiehlt übliche Antiviren- und Intrusion-Detection-Tools, Netzwerk-Ingress- und Paketfilter sowie Anwendungsproxys. Unternehmen sollten die Tunnelendpunkte zudem durch weitere robuste Sicherheitsmaßnahmen schützen.
Da Hacker sich schneller auf IPv6 eingestellt haben als auf andere Neuentwicklungen zuvor, sollten Unternehmen die Gefahren durch Router Advertisements und Man-in-the-Middle-Angriffe stets im Hinterkopf behalten. Manche Attacken dringen bereits tief in das Netzwerk ein, bevor man sie überhaupt bemerkt. Oft steuern einfache Skripte derartige Angriffe.
Aussagen über die IPv6-Fähigkeit von Produkten sind kritisch zu hinterfragen. Herstellereigene Tests sind meist nicht hinreichend. Deshalb sollten Unternehmen Produkte mit Drittanbieterzertifizierung wählen. Denn unabhängige Institute wenden praxisnahe, allgemein anerkannte Test- und Bewertungsmethoden für die Beurteilung der Leistungsfähigkeit einer Sicherheitslösung an.
Eine leistungsfähige Authentifizierung ist heute wichtig, da sie die Gefahr eines unberechtigten Zugriffs verringert. Zudem ist sie einfach umzusetzen. Für den Zugang zum Internet durch die Nutzer empfiehlt Stonesoft, den Einsatz eines HTTP/HTTPS-Proxys zu prüfen.
Weiter sollten Unternehmen sich umfassend mit der IPv6-Syntax auseinandersetzen. Sie ist der IPv4-Syntax zwar ähnlich, weist aber einige Unterschiede in der Ausgestaltung auf. Genaue Kenntnisse der IPv6-Syntax ermöglichen eine schnelle Reaktion bei Sicherheitsvorfällen und die schnelle Implementierung der erforderlichen Gegenmaßnahmen.
Als Neuntes rät Stonesoft IPv6-Funktionen zu deaktivieren, die man nicht nutzt. Da eine Reihe von Programmen bereits für die Ausführung unter IPv6 konfiguriert wurde ist dies schwerer als es klingt. Die Experten raten, sicherzustellen, dass IPv6 nur dann aktiviert ist, wenn man es auch nutzt.
Dennoch ist die Gefahr nicht vollständig gebannt, wenn IPv6 in großen Teilen des Netzwerks deaktiviert ist. Um Eindringlinge unschädlich zu machen, bevor diese sich weiter ausbreiten, erweisen sich laut den Experten von Stonesoft Kenntnisse der IPv6-Syntax als wichtig – insbesondere über die Einrichtung effektiver Firewalls und Traffic-Filter. Durch die Einrichtung von Filtern lässt sich genau definieren, welche Datenpakete Zugang zum Netzwerk erhalten und welche nicht.
Auf diese Weise können Unternehmen sicherstellen, dass sie für den Einsatz von IPv6 bereit sind, so Stonesoft.
Weitere Informationen gibt es unter www.stonesoft.de.
Lesen Sie mehr zum Thema
