IPv6

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

IPv6 ist der Nachkomme der derzeitig im Internet verwendeten IP-Adressen. Bedingt durch das damals noch nicht vorhersehbare Wachstum des Internets sind diese Adressen nun aufgebraucht.

Grundlagen

Mit IPv6 werden die derzeit verwendenten IP-Adressen (z.B. 209.85.135.104 für Weblink zu google.de) noch kryptischer (z.B. 2001:0db8:0000:1337:0000:0000:0000:0017). Verschärft wird dieses Problem durch eine zugelassene Kurzschreibweise (im Beispiel 2001:db8:0:1337::17), die Konfigurationsfehler wahrscheinlicher macht. Dabei besteht eine IPv6-Adresse (2x64Bit) aus einem sogenannten Präfix-Teil (der vom Provider zugewiesen wird) und dem Interface Identifer (erzeugen die Geräte im lokalen Netzwerk normalerweise selbst und verknüpfen diesen mit dem Präfix zu einer vollständigen IPv6-Adresse).

IPv6 ist bereits in den 90-iger Jahren des vorigen Jahrtausends entwickelt worden, technisch gesehen also schon sehr alt. Jeder Host generiert seine Adressen selbst, sobald er die entsprechende Routing-Aufforderung dazu erhält. Dies wirft in Zusammenhang mit DNS viele Probleme auf. Die Verschlüsselung über IPSec ist bei IPv6 eigentlich nicht mehr optional, wird aber wohl kaum überall eingesetzt werden (z.B. nicht im LAN bzw. nur zur Absicherung kritischer Systeme).

IPv6 erlaubt auch kein NAT (Network Address Translation) mehr, da dies durch den fast unbegrenzten Adressraum als überflüssig erschien. Allerdings wird damit auch die derzeitig durch NAT mögliche Sicherheitsfunktion, dass ein Client im internen Netz nicht direkt aus dem Internet ansprechbar ist, ebenfalls gestrichen. Obwohl dieser Mechanismus durch moderne Angriffe überwunden werden kann, hilft er doch, die vielen einfachen Internet-Angriffe auf Scriptkiddie-Niveau automatisch abzuwehren. Abhilfe schafft hier die Vergabe von 2 Adressen pro Gerät, wobei eine Adresse dann für den internen LAN-Verkehr und die zweite für das Internet verwendet wird. Mit dem neuen NAT64-Protokoll (ggf. mit DNS64) sollen NAT-Funktionalitäten in IPv6 hinübergerettet werden.

Prinzipiell kann man bei IPv6 fast die selben Angriffe fahren wie beim derzeit gebräuchlichen IPv4-Protokoll (z.B aus "ARP Spoofing" wird - nach Wegfall des ARP-Protokolls - das "Neighbor Discovery Spoofing", aus "ICMPv4 Redirect Spoofing" wird "ICMPv6 Redirect Spoofing"). Aber auch neue Angriffe sind möglich (z.B. vermeintliche Belegung aller Adressen bei der automatischen Selbstgenerierung der IP-Adresse per SLAAC, Verbindungsumleitung per gefälschter Router Advertisments). Obwohl IPv6 grundsätzlich einfacher aufgebaut als das IPv4, machen Erweiterungsheader für Zusatzprotokolle und Protokollerweiterungen im Rahmen von ICMP das IPv6-Protokoll in der Endkonsequenz doch wieder komplex und damit fehleranfällig. Sicherheitsexperten raten deshalb vorerst vor einem Einsatz im LAN ab, bis IPv6 im größeren Maßstab produktiv im Weitverkehrsnetz eingesetzt wird und sich Implementierungsfehler reduzieren. Die Mehrzahl der derzeit bekannten IPv6-spezifischen Angriffe funktioniert sowieso nur im LAN.

Allerdings wird von IPv6 auch eine Enspannung bei den ständigen (automatisierten) unauthorisierten Netzwerk-Scans aus dem Internet erwartet, da der zu untersuchende Adressraum schlicht zu groß wird. Bezüglich der Weiterentwickung der Spam-Problematik unter IPv6 sind die Meinungen geteilt, natürlich wirkt auch hier Vervielfachung des Adressraumes einschränkend bei der Ausbreitung der beim Spamming vielfach verwendeten Botnetze. Allerdings wird es auch schwieriger, einen infizierten Botnetz-Rechner in den Weiten des IPv6-Adressraumes zu lokalisieren. Zudem werden Blacklists bei E-Mail-Servern wirkungslos, da Angreifer nun riesige Adressräume nutzen können.

Datenschützer bemängeln, dass mit IPv6 (und damit ohne NAT) eine "unverschleierte" Nutzer-Identifikation inklusive Bewegungs- und Nutzungsprofile möglich wird (siehe auch Verhältnis IP-Adresse zu personenbezogenen Daten), da diese sich von der MAC-Adresse des Netzwerk-Interface ableitet. Ein regelmäßiger Wechsel (Option "Privacy Extentions") ist technisch zwar möglich, muss aber bei einigen Betriebssytemen (Linux, Mac OS X bis Version 10.7) manuell eingeschalten werden, bei vielen Smartphones (Android bis Version 4.0, iOS bis Version 4.3) fehlt sogar dieser Schalter. Windows-Betriebssyteme ab der Vista-Version realisieren dagegen automatisch diese Einstellung. Auch wird kritisiert, dass einige Hersteller von Smartphone-Software die weltweite eindeutige Hardware-Kennung der Geräte als Bestandteil der IP-Adresse verwenden. Dabei darf man nicht verkennen, dass mit dem Setzen der Option "Privacy Extentions" lediglich der Interface Identifer-Teil der IP-Adresse verschleierbar ist, über den Präfix-Teil ist der Internetanschluss (analog der heutigen IPv4-Adresse) und damit auch der Nutzer weiterhin identifizierbar. Die Telekom hat deshalb angekündigt, die letzten 8 Bit des Präfix-Teils als variabel an die Kunden weiterzureichen, die dann ihrerseits diesen Teil des Präfix erzeugen können. Leider ist die derzeit im Home-Bereich verwendete Technik (z.B. Fritzboxen der Fa. AVM) nicht oder nur schwer in dieser Hinsicht erweiterbar, lediglich mittels Eigenbau und OpenSource (z.B. OpenWRT) kann eine Lösung aufgebaut werden.

Zudem sollten aus Datenschutzsicht die Netzwerkkomponenten und Anwendungen alle Sicherheitsfunktionen von IPv6 (insbesondere IPSec) in vollem Umfang nutzen.


Dual-Stack-Problem

Die Einführung von IPv6 wird schrittweise erfolgen, zunächst werden erste Netzknoten umgestellt. Insgesamt ist von einem langjährigen Parallelbetrieb mit IPv6 und den derzeitig verwendeten IP-Adressen auszugehen.

Hier besteht zum einen durch dieses Dual-Stack-Problem während der Übergangsphase ein erhöhtes Sicherheitsrisiko, da der IPv6-Netzwerkstack-Teil bei fast allen IT-Systemen bereits vorhanden und sich zunächst normalerweise im Schlummermodus befindet. Sobald irgendwo im lokalen Netzwerk (insbesondere bei Windows-Netzwerken) IPv6 aktiviert wird, werden über automatisch generierte Routing-Informationen alle am Netzwerk angeschlossenen Systeme informiert mit der Folge, dass diese sich plötzlich und ungewollt auch über IPv6 "unterhalten". In einem privaten Heimnetzwerk vielleicht noch als "AHA"-Effekt durchgehend, kann dies in Firmennetzwerken bei ungewollter Internet-Firewall-Beteiligung riesige Sicherheitslöcher aufreißen.

Zum anderen muss dafür gesorgt werden, dass bei dem übergangsweise Parallelbetrieb die Datenverbindungen ins Internet mittels IPv6 auf oder vor der Firewall terminiert werden. Teilweise können derzeitige kommerzielle Firewalls einen IPv6-Tunnel (z.B. über Teredo, 6to4) nur dann kontrollieren.

Soll IPv6 per Tunnel ins Internet verhindert werden, sollten der UDP-Zielport 3544 (Teredo) und das IP-Protokoll 41 (ISATAP, 6to4) auf der Firewall blockiert werden. Schon jetzt kann man über normale Verbindungsanfragen (beispielsweise http://IPv6.google.com.IPv4.sixxs.org) auf Basis des gegenwärtigen IP-Protokolls die Wirksamkeit von Webfiltern ausgehebeln und Protokollierungen verschleiern.

Umgekehrt sollten alle Teredo- und sonstigen IPv6-Tunnel abgeschaltet sein sowie unverlangter eingehender Datenverkehr aus dem Internet verworfen werden.


IPv6 in Firmennetzwerken

Werden Firmen-LANs doch schon jetzt auf IPv6 migriert, sollten bereits in der Topologie Sicherheitsaspekte mit berücksichtigt werden. IT-Geräte, die keine direkte Internetverbindung benötigen, können durch die Vergabe von „Link-Local Adresses" (für ein einzelnes Subnetz) oder „Unique Local Adresses" (für kleine Firmennetze) mit im Internet nicht routbaren Adressen versorgt werden, so dass ein ähnlicher Schutzmechanismus wie NAT bei IPv4 erreichbar ist. Managementadressen plaziert man dagegen am besten in einem eigenen Management-VLAN. Abzuwägen ist weiterhin die sequenzielle Vergabe von Adressen gegenüber der Verwendung der „Privacy Extension", die eine ständig wechselnde Adresse erzeugt. Die Verwendung der „Privacy Extension" steigert zwar die Anonymität der Nutzer und schützt vor Netzwerkscans, verkompliziert die Fehlersuche und Sicherheitsanalyse erheblich. Auch ohne die Verwendung dieser Option ist ein kompletter Netzscan (z.B. zum Aufspüren illegal angeschlossener Rechner) in einem normalen Subnetz kaum noch möglich (30 Jahre bei einer Millarde IP-Adesssen pro Sekunde), hier müssen andere "intelligente" Suchverfahren zum Einsatz kommen.

Hinsichtlich der Absicherung des Internet-Zugangs ist mit einer großen Vielfalt an neuen Protokolloptionen und Zusatzprotokollen zu rechnen. Deshalb ist man gut beraten, eine kommerzielle Firewall einzusetzen. Allerdings haben kommerzielle Firewalls noch Schwächen bei der Filterung von Paketfragmenten, DDoS-Angriffen beim Überlaufen interner Adresstabellen und beim TCP-Flooding. Zudem filtern derzeit alle kommerziellen Firewalls bei dem Erweiterungsheader nur das, was bekanntermaßen als gefährlich eingestuft ist. Hier wiederholt sich die Geschichte der Firewalls, die in Anfangszeiten zunächst auch nur mit Verbotsfiltern arbeiteten, bis sich nach der ersten Internet-Euphorie die Prokokollvielfalt auf die wichtigsten Dienste reduzierte und Erlaubt-Filter und Proxys sich durchsetzen konnten.

Zusätzlich sollte man zur Firewall-Verstärkung ein IDS-System einsetzen. Sofern dies nicht möglich ist, sollte man zumindest die "Neighbor Caches" in den Routern auf unauthorisierte Endgeräte absuchen. Zur Sicherung des verwendeten "Neighbor Discovery Protocols" sollte die kryptografische Variante (Secure Neighbor Discovery) eingesetzt werden, um Spoofing-Angriffe zu verhindern. Zudem sollten die Router Advertisments auf Switches-Ports, an denen nur Endgeräte angeschlossen sind, gefiltert werden.


World IPv6 Day

Word IPv6 Launch Day

Am 08.Juni 2011 wurde der erste weltweite Feldtest zu IPv6 durchgeführt. Der Organisator des World IPv6 Day war die Internet Society (ISOC), beteiligt waren u.a. die großen Internet-Firmen Google, Facebook und Yahoo! (ingesamt ca. 700 000 Domänen). Dabei wurde nicht vom gegenwärtigen IP-Protokoll (IPv4) auf das neue IPv6 umgeschalten, sondern IPv6 wurde zusätzlich aktiviert. Es gab keine größeren Probleme, nur eine Web-Seite musste auf den reinen IPv4-Betrieb zurückgefahren werden.

Im Jahr 2012 fand am 06. Juni der Word IPv6 Launch Day statt.


Weblinks


Siehe auch



Diese Seite wurde zuletzt am 18. Mai 2016 um 16:09 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl und Markus Albert.

Anzeigen