Nicht a priori sicher

Bereits vor 13 Jahren (im Dezember 1998) hat die IETF den RFC 2460 „Internet Protocol, Version 6 Specification“ veröffentlicht. Im Vergleich zu IPv4 bietet IPv6 eine praktisch unbegrenzt scheinende Anzahl von IP-Adressen (340 Sextillionen bzw. 3,4×1038). Und da in Kürze die letzten IPv4-Adressen vergeben sein werden, werden zukünftige Projekte, Anwendungsentwicklungen und Netzwerkumstellungen von IPv6 geprägt sein. Mit IPv6 ändert sich im Wesentlichen Folgendes:

 

Der Adressraum wächst von 32-Bit auf 128-Bit.

 

Der IP-Header wird vereinfacht.

 

Die Konfiguration von IPv6-Adressen kann automatisch durch das Endgerät erfolgen (Autoconfiguration).

 

IPSec ist fester Bestandteil des Protokolls und nicht länger optional wie bei IPv4.

 

In Asien sind bereits heute reine IPv6-Netzwerke möglich, und die meisten aktuellen Endgeräte unterstützen IPv6. Sobald sich ein Gerät mit Microsoft Windows 7, Windows Server 2008, Linux oder Mac OSX mit einem IPv6-Netzwerk verbindet, werden die Protokollmechanismen automatisch aktiv. Stateless Address Autoconfiguration generiert IP-Adressen, Routen werden durch empfangene Router-Advertisements gesetzt und automatische IP-Tunnel wie zum Beispiel Teredo (RFC 4380) werden aufgebaut. Doch weder die Infrastruktur noch die Endgeräte sind darauf vorbereitet: Es entsteht ein unkontrolliertes IPv6-Netzwerk. Häufig stehen dabei die Sicherheitskomponenten auf Bypass. Diese Voreinstellung wurde in den vergangenen Jahren häufig gewählt, um Problemen mit IPv6 aus dem Weg zu gehen. Mit der Verbreitung von IPv6 erweist sich dies nun als Sicherheitsproblem. Des Weiteren stellt sich die Frage nach der Sicherheit des Protokolls. Häufig findet man im Zusammenhang mit IPv6 die Aussage: „Sicherheit inklusive“. Im direkten Vergleich gibt es aber nur wenig, das diese Aussage unterstützt. Der Adressraum ist größer und damit zum Beispiel mit „nmap“ aufwändiger zu scannen. IPSec ist nicht mehr optional, sondern eine feste Funktion in jeder vollen IPv6-Implementierung. Aber bedeutet dies automatisch eine höhere Sicherheit von IPv6 gegenüber IPv4?

 

Wenn ein Unternehmen IPSec auch intern für jegliche Kommunikation (Ende-zu-Ende) verwenden würde, wäre die Sicherheit deutlich höher, denn IPSec garantiert Grundwerte der IT-Sicherheit, Vertraulichkeit und Integrität. Gleichzeitig brächte dies aber viele Probleme in internen Netzwerken, die bisher nur von WAN-Verbindungen bekannt sind.

 

IPSec kapselt im Tunnel-Modus die unverschlüsselten IP-Pakete, indem es das Paket verschlüsselt und einen neuen Header generiert. Der neue Header benötigt typischerweise zusätzliche 60 Byte. Dies verringert die effektive maximale Paketgröße (1.500 Byte) im Netzwerk und erfordert die Aushandlung einer kleineren MTU (Maximum Transmission Unit). Dieser Prozess resultiert in der Praxis häufig in höherer Fragmentierung, was zu Performance-Problemen führt.

 

Ein weiterer Aspekt ist die Verschlüsselung selbst. Für viele Funktionen im Netzwerk ist es erforderlich, die Pakete unverschlüsselt lesen zu können. Beispiele sind Quality of Service (QoS), WAN-Beschleunigung oder die Benutzung von Firewalls. Sind alle Pakete verschlüsselt, können Firewalls Applikationen nicht mehr unterscheiden und WAN-Beschleuniger die Payloads nicht mehr komprimieren. Eine praktische Nutzung von IPSec in internen Netzwerken ist daher nicht möglich. Der Adressraum ist groß, aber aufgrund von Abkürzungen (::) werden die Subnetze immer von unten aufgefüllt oder es finden einfach zu merkende Adressbestandteile Verwendung, die sich aus Hexadezimalzahlen bilden lassen, zum Beispiel 1234, cafe oder beaf. Durch geschicktes Ausprobieren und die Verwendung von Wörterbüchern lässt sich auch ein IPv6-Netzwerk schnell durchsuchen.

 

Zudem ist der IPv6-Stack unausgereift im Vergleich zu IPv4, das über viele Jahre kontinuierlich verbessert und um Schwachstellen bereinigt wurde. Es gibt eine Vielzahl neuer Protokolle rund um den Standard IPv6, die bisher kaum jemand in der Praxis getestet hat. zum Beispiel:

 

Router Advertisement/Solicitation

 

Stateless Address Autoconfiguration

 

DHCPv6

 

Neighbor Advertisement/Solicitation

 

Duplicate Adress Detection

 

Es wird viele Jahre dauern, bis diese Protokolle das Sicherheitsniveau von IPv4 erreichen. Betrachtet man die Transportprotokolle TCP und UDP, hat sich die Sicherheitslage gar nicht verändert. Diese Protokolle arbeiten in einem höheren Layer und funktionieren weitgehend unabhängig von der darunter verwendeten IP-Version. Dass es Schwachstellen bei IPv6 gibt, beweisen die bereits jetzt bekannten Sicherheitsprobleme, so unter anderem:

 

Duplicate Adress Detection DOS: Duplicate Adress Detection soll IP-Duplikate im Netzwerk verhindern. Behauptet ein Angreifer bei jeder Anfrage, die Adresse wäre verwendet, erhält der Benutzer nie eine Adresse und kann nicht kommunizieren.

 

Router Advertisement Flooding/Spoofing: Endgeräte generieren die Routing-Tabellen und IP-Adressen anhand von Router-Advertisements. Diese lassen sich einfach fälschen, wodurch eine Umleitung möglich wäre. Alternativ ist es möglich, Stacks durch Überflutung zum Absturz zu bringen.

 

Malware Tunneling: Die Verwendung von Teredo oder anderen IPv6-Tunnelmechanismen erlaubt die Umgehung bisheriger Sicherheitsinfrastruktur.

 

Zusammenfassend ist IPv6 nur unwesentlich sicherer als IPv4, und die Suche nach Schwachstellen hat gerade erst begonnen. Wie kann man diesen Problemen entgegen wirken? Die beste Möglichkeit besteht darin, IPv6 aktiv zu managen. Dies empfiehlt auch das US-CERT (United States Computer Emergency Readiness Team). Am besten beginnt man mit der Einführung von IPv6 am Perimeter, denn solange die Grenzen des Unternehmens nicht gesichert sind, sollte man IPv6 nicht in internen Netzwerken einführen. Zudem empfiehlt es sich, IPv6 stufenweise einzuführen und sich vom Perimeter zum Core (Edge-to-Core) vorzuarbeiten. Hier legt man den Fokus auf die Sicherheit, die Web-Anwendungen und die externe IPv6-Connectivity. Die Umsetzung von IPv6 am Perimeter des Unternehmens lässt sich in drei Phasen einteilen:

 

Projektstart: In dieser Phase sollte ein Unternehmen zuerst eine Netzwerkanalyse durchführen, darauf folgen die Netzwerkplanung und das IP-Adress-Management.

 

Entwicklungs- und Budgetphase: Ein Pilot dient dazu, die erforderlichen Security Policies zu erarbeiten und die Hardwareanforderungen zu bestimmen.

 

Implementierung: Während dieser Phase aktiviert das Projektteam die im Pilot vorbereiteten IPv6 Policies, setzt das externe IPv6 Routing auf, startet die Services (DNS, DHCPv6) und macht Anwendungen zum Beispiel per Translation (NAT-64) erreichbar.

 

Natürlich ist auch die Herstellerunterstützung ein wichtiges Kriterium. Auf was sollten Unternehmen hier achten? Im Bereich der Firewall ist es wichtig, auf Kriterien wie das Management von IPv6-Konfigurationen, NAT-64, Hochverfügbarkeit, IPSec VPN, Application Control und IPS zu achten. Alle Hersteller haben heute noch Probleme mit Remote Access unter IPv6. Beim Thema Migration rücken besonders NAT-64 und DNS-64 in den Vordergrund, da diese Protokolle eine Übergangsphase ideal unterstützen. DNS gewinnt mit IPv6 gegenüber IPv4 an Bedeutung, daher kombiniert man vielfach auch DNSSec mit IPv6-Projekten, um sicherzustellen, dass DNS-Antworten korrekt sind und nicht verfälscht wurden.

 

Die meisten Hersteller haben erkannt, dass IPv6 zunehmend ein Entscheidungskriterium für die Auswahl einer Firewall sein kann. Wichtig für Unternehmen ist vor allem, die richtigen Fragen zu stellen. Es reicht nicht aus zu hinterfragen, ob ein Hersteller IPv6 unterstützt. Zu fragen ist, was er konkret unterstützt und ob dies den eigenen Anforderungen entspricht.

 

Unternehmen müssen sich darüber bewusst sein, dass IPv6 nicht sicherer ist als IPv4. Das Gegenteil ist der Fall: IPv6 ist längst nicht so ausgereift wie sein Vorgänger. Die Einführung von IPv6 steht nicht mehr in Frage – sie ist nur noch eine Frage der Zeit. Insbesondere international ausgerichtete Unternehmen sollten sich daher bereits jetzt mit der Migration auf IPv6 beschäftigen. Ohne eine ausreichende Vorbereitung kann eine Umstellung auf IPv6 nicht erfolgen, die Umsetzung von IPv6-Business-Anforderungen kann sich sehr lange hinziehen. Die frühzeitige Planung der Migration auf IPv6 spart Kosten und bereitet das Unternehmen auf die kommenden Anforderungen vor.

Weitere Artikel zu Inocent Kessler GmbH