#Security: IPv6 – ein unbeliebtes IT-Thema feiert Jubiläum

17. Juni 2022, 11:30
  • kolumne
  • switch
  • #security
  • ipv6
image

Die Version 6 des Internetprotokolls wurde vor 5 Jahren als Internetstandard definiert und soll damit als Basis für die Digitalisierung dienen. Ein wichtiges Thema für IT-Betreiber und Sicherheitsverantwortliche.

Vor fünf Jahren – im Juli 2017 – hat die internationale Internet Engineering Task Force (IETF) das "neue" Internetprotokoll IPv6 im RFC 8200 als Internetstandard erklärt. Die Geschichte reicht allerdings deutlich weiter zurück: Der Draft Standard von IPv6 (RFC 2460) datiert bereits aus dem Jahr 1998. Die Hauptmotivation war es bereits damals, das Problem des beschränkten Internetadressraums des Vorgängers IPv4 zu lösen.
Für die zu dieser Zeit – neun Jahre vor dem Launch des ersten iPhones – bereits absehbare explosionsartige Entwicklung der Zahl internetfähiger Geräte, reichten die etwa 4 Milliarden IP-Adressen von IPv4 bei weitem nicht aus. Heute – bald ein viertel Jahrhundert später – ist die Migration zu IPv6 lange noch nicht abgeschlossen, weite Teile des Internets laufen weiterhin über IPv4 – und die Adressen reichen schon lange nicht mehr. Abhilfe verschafft ein – eigentlich als Übergangslösung erdachter – Mechanismus (Network Address Translation, NAT), der es ermöglicht, eine IP-Adresse auf viele Geräte aufzuteilen. Solange man mit diesen Geräten einfach nur "im Internet surfen" möchte, funktioniert das gut. Probleme gibt es aber, wenn jedes Gerät mit jedem dezentral kommunizieren können soll, was im "Internet of Things" oder allgemein der "Digitalisierung" keine untypische Anforderung ist.

IPv6 ist oft ungemanaged im Firmennetz

Im "geNATteten" IPv4-Netz müssen dafür komplexe Workarounds erdacht werden. Digitalisierungs-Anwendungen müssen um die bestehenden Beschränkungen designed werden, statt auf der Basis eines modernen Ende-zu-Ende-fähigen Netzwerks entstehen zu können. Parallel dazu läuft aber natürlich auch IPv6 in den Netzen. Laut Google haben etwa 36% der Internetnutzer weltweit IPv6-Konnektivität (Schweiz: 32%), vor 5 Jahren waren es 17%. Trotzdem hängen viele IT-Verantwortliche an IPv4 – und zahlen pro IP-Adresse mittlerweile etwa 50 Dollar (vor 5 Jahren 15 Dollar). Die Gründe dafür sind vielfältig. Was heisst die aktuelle Situation aber für die IT-Sicherheit?
Wo das Thema IPv6 nicht systematisch angegangen wird, herrscht oftmals die Vorstellung vor, dass man sich auch nicht um die Sicherheit von IPv6 kümmern muss. Das ist aus verschiedenen Gründen ein Trugschluss. Denn viele Organisationen haben IPv6 latent und ungemanaged in ihren Netzen – und sind darüber angreifbar. Die Betriebssysteme bringen schon seit langem IPv6 mit und können per Autokonfiguration (SLAAC) von aussen aktiviert werden. Geräte, die keine IPv6-Konnektivität im Netz vorfinden, können sich diese über Tunnelmechanismen selber herstellen und damit potentiell Firewalls und Security-Monitoring umgehen, zum Beispiel um Daten zu exfiltrieren oder eine Hintertür in das Unternehmensnetz zu etablieren.

1.4 Millionen offene SQL-Server

Neue Dienste werden möglicherweise bewusst oder unbewusst über beide Protokolle bereitgestellt – beispielsweise in der Cloud –, ohne aber für beide die gleichen Sicherheitsfeatures implementiert zu haben: Access Control Lists und Blacklists, die für IPv4 gut gepflegt werden, können per IPv6 möglicherweise umgangen werden. Sicherheitseinrichtungen, wie beispielsweise DDoS-Protection, ist teilweise nur für IPv4 scharf gestellt. Das Scannen eigener Ressourcen wird ausschliesslich per IPv4 gemacht und man übersieht die eigene Verwundbarkeit über IPv6. So hat beispielsweise die Shadowserver Foundation kürzlich 1.4 Millionen offene SQL-Server über IPv6 gefunden.
Die genannten Beispiele zeigen, dass es IT-Betreiber heute real mit einer Multi-Protokoll-Umgebung zu tun haben. Ein IPv4-Mindset aus vergangenen Tagen schadet von Jahr zu Jahr mehr. Mit dem stetig steigenden Prozentsatz an IPv6-Nutzern, aktuellen und zukünftigen Digitalisierungs-Anforderungen, sowie immanenten Security-Problemen setzt man sein Unternehmen zunehmend Risiken aus, wenn man IPv6 links liegen lässt. Was kann man stattdessen empfehlen?

 

Richtiger Umgang mit IPv6

1. Das Thema richtig verorten
Wie wir gesehen haben, ist IPv6 weit weg von einem reinen Netzwerkthema, sondern liegt in der Gesamt-IT-Verantwortung sowie IT-Security-Verantwortung für eine zukunftsgerichtete, sichere und effiziente IT. Es kann daher sinnvoll sein, einen "IPv6-Officer" zu benennen, der die IPv6-Aspekte aller IT-Vorhaben überblickt, ganz gleich, ob es ums neue Data Center, den Cloud-Provider, das SOC-Outsourcing, Firewallprojekt oder Toolanforderungen geht.
2. Know-how aufbauen
Wer in Ihrer Organisation braucht welches Level an IPv6-Know-how? Die Antwort darauf ist nicht einfach, ein Ausbildungsplan sinnvoll, und wirklich lernen tut man vor allem in überschaubaren Umsetzungsprojekten. Auch ist es sehr sinnvoll, sich mit anderen zu vernetzen und Erfahrungen auszutauschen. Werden Sie aktiv! Eine Anlaufstelle ist beispielsweise das Swiss IPv6 Council.
3. Eine Security Gap-Analyse durchführen
Mit Blick auf die verschiedenen IPv6-spezifischen Sicherheitsrisiken sollten Sie analysieren, ob und wo sich gegebenenfalls Angriffsmöglichkeiten aufgetan haben, die unter Ihrem Radar geblieben sind – und diese mitigieren.
4. Anforderungen für neue Produkte und Projekte definieren
Nutzen Sie den Lifecycle von neuen Applikationen und Produkten dafür, diese IPv6-fit zu machen. Andernfalls holen Sie sich neue Legacy ins Haus, die Sie dann wieder über Jahre begleitet und mit der Zeit zunehmend behindert und den Betrieb massiv verteuert.
5. Es geht nur mit dem Management
Alle genannten Punkte brauchen Unterstützung vom Management. Hier gilt es, Verständnis zu schaffen – siehe Punkt 1 – und sich gemeinsam mit den Stakeholdern an einen Tisch zu setzen und belastbare Grundsatzentscheidungen zu treffen, die dann beispielsweise in einer Unternehmensrichtlinie die Basis für alle Detailentscheidungen darstellen kann.

Über den Autor

Frank Herberg arbeitet seit 2012 bei Switch und ist als Head of Switch-CERT (Commercial Sectors) verantwortlich für die Kundensektoren Banken, Industrie und Logistik sowie Energie. Er ist Autor des FIRST IPv6 Security Trainings. Frank Herberg twittert als @frankherberg.

Loading

Mehr zum Thema

image

Die IT-Woche: In unruhigen Gewässern

Bei Avaya scheint eine Krise auf die nächste zu folgen. Turbulenzen gab es auch bei Axsana, der Armee und der Bundeskanzlei.

publiziert am 12.8.2022
image

Parldigi direkt: E-ID – beim dritten Anlauf klappt’s!

Grünen-Nationalrat Gerhard Andrey war bei den Diskussionen um die E-ID an vorderster Front involviert. In unserer Kolumne schreibt er über die Chancen des neuen Projekts.

publiziert am 10.8.2022
image

Von Hensch zu Mensch: Mit Layla in die "Brass"

Der Stellenmarkt und die Berufswelt verändern sich grad rasend schnell. Wie passen wir uns an?

publiziert am 9.8.2022
image

Die IT-Woche: Im Hü und Hott des Alltags

Geld bewegt die Welt, Bussen auch und sogar die Zentralschweiz…

publiziert am 5.8.2022