Daher ist es höchste Zeit sich über eine Migration auf IPv6 Gedanken zu machen. Es gibt die unterschiedlichsten Migrationsszenarien, doch betrachten die Mehrzahl der Konzepte die Auswirkungen auf die Sicherheit nicht.

Das IPv6 legt zwar die Grundlage für einige Sicherheitserweiterungen (beispielsweise die Verschlüsselung), aber stellt auf der reinen IP-Ebene wenig bis gar keine Sicherheitsmechanismen zur Verfügung. Dies entspricht der veralteten Sichtweise, dass nur verschlüsselte Informationsströme sicher übermittelt werden können, hat im heutigen Internet nur noch wenig Bedeutung. Bedenkt man das Tempo und die Raffinesse mit der die unterschiedlichsten Verschlüsselungsmechanismen geknackt werden, dann reicht die Verschlüsselung als einziger Sicherheitsmechanismus bei weitem nicht aus. Bisher wurde eine Diskussion über dieses Thema im Zusammenhang mit IPv6 vermieden und es gilt noch immer der Grundsatz: Die im IPv6-Standard integrierte IPSec-Verschlüsselung löst alle Sicherheitsprobleme. Dabei wissen die Autoren der jeweiligen IPv6-RFCs seit langem:

• dass die Unterstützung von IPSec im IPv6 zwar zwingend vorgeschrieben ist, aber dessen Nutzung den jeweiligen Netzadministratoren obliegt (siehe hierzu RFC 4301).

• dass bei IPv4 nur ein geringer Teil der Datenströme per IPSec übermittelt wird. Dies hat ihre Ursachen in der Skalierbarkeit, der Interoperabilität und der Komplexität der verfügbaren Lösungen. Da die Grundprobleme der sicheren IP-Kommunikation nicht in naher Zukunft gelöst sein werden, steht zu befürchten, dass diese Fragestellungen auch nach einer Migration auf IPv6 -Raum wieder auftauchen.

• dass IPSec mehrere Verschlüsselungs-Algorithmen unterstützt und dadurch  die Komplexität der Produkte erheblich erhöht.

Auch sind viele Unternehmen der Meinung, dass sie durch ihre bisherige Verweigerung, sich mit IPv6 in der Praxis auseinanderzusetzen, gegen Bedrohungen und Sicherheitslücken aus dem IPv6-Bereich gefeit sind. Dies ist ein Missverständnis und verkennt die Tatsachen in den Unternehmensnetzwerken. In den meisten Unternehmen läuft bereits versteckter IPv6-Datenverkehr auf den Netzen. Nur wenige Netzadministratoren sind in der Lage, diesen Verkehr zu erkennen bzw. zu verhindern. Heute werden alle Betriebssysteme mit einem standardmäßig aktivierten IPv6-Stack ausgeliefert. Klassische IPv4-basierten Security-Appliances und Netzwerk-Monitoring-Tools sind nicht in der Lage, den IPv6-Verkehr im Netzwerk zu kontrollieren bzw. zu blockieren. Auch bedroht das Tunneln von IPv6-Datenverkehr über ein IPv4-Netzwerk die Sicherheit der Netze:

• Toredo (RFC 4380) bezeichnet eine Tunneling-Technik zur Übermittlung von IPv6-Datenverkehr über IPv4-NATs. Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4 Router vollständig ausgehebelt werden können. Auf Basis von Teredo werden IPv6-Pakete in IPv4-basierte UDP-Nachrichten verpackt und damit transparent über IPv4-NAT-Komponenten übermittelt. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen Paketfilter wirkungslos bleiben. Teredo ist standardmäßig auf Windows Vista aktiviert. In Windows Server 2008 Umgebungen muss dieser Mechanismus vom Server-Administrator konfiguriert und aktiviert werden. Den Administratoren wird daher empfohlen, bis zur Verfügbarkeit entsprechender Firewalls den durch Teredo benutzten UDP-Port 3544 komplett zu sperren.

• Auf Basis des 6to4-Systems (RFC 3056) werden IPv6-Pakete über ein IPv4-Netzwerk (in der Regel das IPv4-Internet) getunnelt. Der Administrator muss hierfür keinen expliziten Tunnel konfigurieren. Über festgelegte Routen können 6to4-Hosts direkt mit Rechnern in IPv6-Netzen kommunizieren. Der 6to4 Lösungsansatz kann sowohl für die Kommunikation einzelner Rechner als auch  für ein gesamtes IPv6-Netzwerk genutzt werden. Beim Einsatz auf einem einzelnen Rechner muss dieser über eine weltweit gültige IPv4-Adresse verfügen. Der Rechner ist für die Kapselung der ausgehenden IPv6-Pakete bzw. für den Empfang von 6to4-Paketen verantwortlich. Viele Betriebssysteme unterstützen diesen Mechanismus über eine Pseudo-6to4-Schnittstelle. Wird der 6to4-Mechanismus von einem lokalen Netzwerk genutzt, benötigt das gesamte lokale Netzwerk nur eine einzige IPv4-Adresse. Innerhalb dieses Netzwerks lernen die Rechner ihre IPv6-Adressen und Routen über die Router Discovery-Mechanismen.

• Das Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) gemäß  RFC 5214) wurde speziell für die Migration von IPv4 auf IPv6 entwickelt. Mit Hilfe eines einzigen Dual-Stack-Rechners in einem IPv4-Netzwerk lassen sich IPv6-Pakete an andere Netzknoten übertragen. Im Gegensatz zum älteren 6over4 Mechanismus nutzt ISATAP das IPv4 als einen virtuellen Non Broadcast Multiple-Acces  (NBMA) Data Link Layer. ISATAP definiert eine Methode zum Erzeugen einer Link-Local IPv6-Adresse auf Basis einer IPv4-Adresse und ein Mechanismus zur Umsetzung der Neighbor Discovery-Funktionen innerhalb des IPv4 Stacks.

Die IPv6 Tunnelbroker wurden ursprünglich für die problemlose Migration von IPv4 auf IPv6 entwickelt. Diese werden jedoch von Hackern für Angriffe auf klassische IPv4-Netze missbraucht. Die Realisierung der Tunnelbroker auf den Clients (6to4 auf MACs oder Teredo auf Windows) wandelt die Clients zu nicht authentifizierten, unverschlüsselten, nicht-registrierten und weltweit erreichbaren IPv6-Gateways. Dadurch ist auch ein unmittelbarer Zugriff auf die angeschlossenen IPv4 Netzressourcen möglich. Aus diesem Grund sollte das IPv6-Tunneling nur nach eingehender Prüfung zum Transport von wichtigen Daten genutzt werden.
Die im IPv6 erweiterte Netzwerk-Discovery-Funktion ermöglicht die gezielte Festlegung von Übertragungswegen. Diese gut gemeinte Funktion hat jedoch eine negative Auswirkung auf die Sicherheit. Wurde ein IPv6-Netzwerk bereits erfolgreich angegriffen, ermöglicht das Netzwerk-Discovery dem Angreifer einen problemlosen Zugang zu allen vorhandenen Netzwerken.

Natürlich fragt man sich, wo die Hersteller/Anbieter sind, die uns vor diesen Angriffen schützen bzw. etwas gegen IPv6-Sicherheitslücken unternehmen? Die Antwort auf diese Frage ist nicht sehr befriedigend. Wie immer in der IT-Branche, wird auch die Sicherheit von monetären Aspekten bestimmt. Da momentan nicht die Migration auf IPv6 im Vordergrund steht, wurden die meisten Entwicklungsressourcen auf andere Bereiche verlagert. Das Entwicklungstempo, die Interoperabilität und die Einhaltung grundlegender Sicherheitsfunktionen bestimmt immer noch der Kunde. Da die spezifischen IPv6-Umsätze ausbleiben, erhält dieser Bereich auch nur noch sehr wenig Aufmerksamkeit Seitens der Entwickler.

Welche Vorteile kann die Hacker-Community aus der verzögerten IPv6-Einführung ziehen? Die zögerliche Migration auf IPv6 hat Probleme im Bereich der Interoperabilität zur Folge. Die fehlende IPv6-Erfahrung der Netzadministratoren öffnet in den Anwendung und auf der Gerätebene gewisse Hintertüren und Schlupflöcher für Angreifer. Auch mit vielen Patches und Updates ist diesem Problem nicht grundlegend beizukommen.

Was die Netzadministratoren benötigen ist (unabhängig von Ihrem bisherigen IPv4 Know-how) eine schnelle Migration auf IPv6. Diese müssen erkennen, dass es sich bei IPv6 um mehr als nur größere IP-Adressblöcke handelt. IPv6 ist ein eigenständiges „neues“ Protokoll! Wie bei IPv4 ist auch die Lernkurve für IPv6 steil und mühsam. Mit einem einfachen Patchen der Windows-Anwendungen ist es nicht getan. Mit der notwendigen Ausbildung des Personals sollte zu einem möglichst frühen Zeitpunkt begonnen werden. Viele der bisher bei IPv4 grundlegenden Funktionen (Routing, DNS, QoS, Multicast- und IP-Adressen) haben sich bei IPv6 verändert und die Administratoren müssen die gültigen Regeln neu erlernen. Auch im Bereich der Sicherheit sind bestimmte IPv4-Sicherheits-Features (Spam-Kontrolle oder Schutz vor Denial of Service (DOS) Angriffen) nutzlos, da die IPv6-Protokolle andere Angriffsszenarien kennt.

Daher ist es wichtig, dass die Administratoren mit den bereits vorhandenen IPv6-Implementationen in den Geräten auseinander setzen und die von diesen Angriffspunkten ausgehenden Bedrohungen beseitigen.

Mathias Hein, freier Journalist

Foto: Quelle-Fotolia.com

• Verwandte Themen
• Herausforderungen durch Echtzeitanwendungen in Unternehmensnetzen
• NAT bringt keine Sicherheit
• IPv6-Gefahr in IPv4-Netzwerken