Umstieg auf IPv6 bedeutet Security-Neuland Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


24.06.2011 Edmund E. Lindau

Umstieg auf IPv6 bedeutet Security-Neuland

So unspektakulär – weil erfolgreich – der Welt-IPv6-Tag im Juni auch verlief, so gefährlich kann der Umstieg werden.

Am Welt-IPv6-Tag testeten IT-Spezialisten aus aller Welt neue Systeme, mit denen Netzwerke und Anwendungen künftig reibungslos miteinander interagieren und in IPv6-Plattformen integriert werden können. Die globalen Tests verliefen für die Teilnehmer überaus zufriedenstellend. In den Spitzenbelastungszeiten versechsfachte sich der sonst übliche IPv6-Datenanteil, und zusätzliche Supportanfragen hielten sich allerorts in Grenzen.

Doch abseits dieses ersten Erfolges wirft die Einführung von IPv6 sowohl für Provider wie auch für Enterprise-Netze und Privatkunden eine Vielzahl neuer Security-Fragen auf. Zunächst wurde IPv6 entwickelt, weil das Kontingent weltweit verfügbarer IP-Adressen auf Basis von IPv4 zur Neige ging. Dabei wurden zwar von Beginn an bereits Sicherheits-Features zur Authentifizierung, Datenübertragung und Datenintegrität eingebunden. Jedoch sind Probleme bei der Service-Verfügbarkeit und Sicherheit, die durch die Migration zu IPv6 entstehen können, bislang kaum berücksichtigt worden. Auch müssen mögliche Fehlerquellen und Schwachstellen, die von Hackern ausgenutzt werden könnten, zuerst einmal gefunden, und dann schnellstens beseitigt werden.

NEUE ANGRIFFSFLÄCHEN Grundsätzlich gilt: wird ein weiteres Kommunikationsprotokoll in Netzwerken eingesetzt, so eröffnet es einem Angreifer zusätzliche Möglichkeiten, ein Netzwerk zu kompromittieren. Dabei handelt es sich zum einen um Abarten bereits bestehender Angriffsarten, zum anderen reißt der Umstieg auf IPv6 neue Sicherheitslücken auf. Um ein IPv6-Netzwerk zu schützen, muss neben diesen grundlegenden Sicherheitsfragen geklärt werden, ob die bislang verwendeten Komponenten wie Firewalls, Proxys oder Intrusion Prevention Systems überhaupt für IPv6 ausgerüstet sind. Dabei ergeben sich eine Reihe von entscheidenden Fragen: Wie wird eine Migration aus Sicht der Security richtig durchgeführt? Was ändert sich nach dem Wegfall von NA(P)T durch die permanente Erreichbarkeit durch öffentliche Adressen? Welche Lücken entstehen durch Tunnelmechanismen wie Teredo in neueren Betriebssystemen (Windows 7)?

Da mit IPv6 auch die nur als Notlösung gedachte Network Adress Translation (NAT) abgeschafft wird, kann prinzipiell jeder Rechner eine echte Internet-Adresse erhalten. Die bisher durch einen Nebeneffekt von NAT erhaltene Privatheit der Rechner hinter einem DSL-Router muss in Zukunft also durch Firewall-Regeln gewährleistet werden. Denn dadurch wird mit IPv6 die Anzahl der global erreichbaren Rechner im Internet eher zu- denn abnehmen. Damit stehen tendenziell noch mehr potenziell schlecht gewartete oder ungepatchte Rechner den Angreifern und Betreibern von Botnetzen zur Verfügung. Damit wird demnach der Bedarf nach gut funktionierenden IPv6-Firewalls steigen.

Die größte Gefahr liegt laut Expertenmeinung in den unterschiedlichen, teilweise noch unreifen Implementierungen des Protokolls. Es gibt vor allem zwei potenzielle Sicherheitslücken: Die erste besteht darin, dass in Router, Switches und auf Servern nicht genug Speicher für die längeren Adressen zur Verfügung stehen kann. IPv4 verwendet 32 Bit lange Adressen, IPv6 128-Bit-Kennungen. Dies könnten Angreifer nutzen, um auf Systemen einen Buffer Overflow des Arbeits- oder Cache-Speichers zu provozieren und sich dadurch letztlich Zugang zu diesen Geräten und den daraufliegenden Daten zu verschaffen. Eine weitere Gefahr liegt in der Fehlkonfiguration von Systemen. Vor allem kleinere Unternehmen haben meist nur eine kleine, häufig überlastete IT-Abteilung. Außerdem verzichten diese in der Regel auf Systemmanagement-Tools, welche die Umstellung auf IPv6 unterstützen. Die Umkonfiguration von Hand ist dagegen extrem fehlerträchtig.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • MIC – managing international customs & trade compliance

    MIC – managing international customs & trade compliance Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr

Hosted by:    Security Monitoring by: