IPv6 kommt: Was Firmen jetzt unternehmen müssen

„IPv4 wurde ursprünglich als Protokoll entwickelt, um Verbindungen herzustellen, Sicherheit stand dabei nicht im Mittelpunkt. Bei IPv6 ist das anders: Da sind viele Sicherheitsfeatures schon in das Protokoll eingebaut, etwa IPSec“, sagt Symantec-Experte Olaf Mischkovsky. Aber: „Bei IPv4 sind Möglichkeiten, Grenzen und Schwachstellen bekannt, bei IPv6 wurden diese noch nicht so intensiv erkundet.“

Das gibt auch Ron Meyran, Security Spezialist bei Radware zu bedenken: „IPv6 ist ein neuer Protokoll-Stack. Es gibt erst wenig Erfahrungen mit dem Praxiseinsatz – obwohl es das Protokoll inzwischen schon einige Jahre gibt. Bei jeder neuen Software ist aber mit Angriffsmöglichkeiten und Bugs zu rechnen.“ Kritisch sieht er auch einige neue Features des Protokolls, etwa die Autokonfiguration oder virtuelle Router. Sie seien zwar hilfreich, um die Verwaltung zu vereinfachen, könnten möglicherweise aber auch für Angriffe missbraucht werden. Außerdem, so Meyran weiter, gäbe es für Penetrationstests bei IPv4-Sicherheitsinfrastruktur zwar ausreichend Tools – für IPv6-Tests derzeit aber noch so gut wie keine.

Handelt es sich dabei um rein theoretische, oder in naher Zukunft praxisrelevante Bedenken? Mischkovsky will sich da nicht endgültig festlegen, weist aber auf die jüngsten Ausgaben des Symantec Threat Reports hin, sozusagen den quartalsweisen Tätigkeitsberichten der Labors des Anbieters. Demnach nutzen die allermeisten Angriffe heute Lücken in Applikationen aus, nicht im Protokoll – Tendenz abnehmend.

Schwierige Übergangsphase

Das liegt aber vielleicht auch daran, dass Angriffe auf Protokollebene umständlicher und mit mehr Aufwand verbunden sind, etwa eine Man-in-the-Middle-Attacke oder ein DDos-Angriff. Eine Rolle mag auch spielen, dass IPv4 kaum noch Schwachstellen aufweist. IPv6 dagegen hat die Feuertaufe im Web noch nicht hinter sich. Derzeit ist der mögliche Lohn für Hacker zu gering, da es zu wenig Nutzer gibt. Mit zunehmender Verbreitung mag sich das ändern – und eventuell nimmt dann auch der Anteil der Angriffe auf Protokollebene wieder zu.

Der Dienstleister Orange empfiehlt bei der Beschäftigung mit IPv6, rund um das Thema Sicherheit besonders gut aufzupassen. „Das betrifft beispielsweise die unkontrollierte Einführung von IPv6, die Vermeidung von IPv6 via IPv4 Tunneling zu externen Systemen, IPv6-Richtlinien, und so weiter. Es wäre außerdem für laufende oder neue Entwicklungen empfehlenswert, dass IPv6 Teil der funktionalen Spezifikation ist“, so Orange-Chef Müller-Dott.

„IPv6 ist per se weder sicherer noch unsicherer als IPv4“ argumentiert Unisys-Experte Wöhrle. „Sicherheitsstrategien und -richtlinien werden sich durch die Einführung von IPv6 nicht grundlegend ändern. Beispielsweise gelten Vorschriften zur Zugriffssicherung auf Netzkomponenten protokollunabhängig und damit gleichermaßen für IPv4 und IPv6.“ Er räumt jedoch auch ein, dass noch Schwächen in den Protokollspezifikationen selbst korrigiert werden müssen – etwa durch Änderungen oder Erweiterungen des Standards und die „Implementationen noch reifen müssen“.

Weiterhin sei zu bedenken, dass Schutzmechanismen auf Infrastrukturebene, welche für IPv4 schon lange zur Verfügung stehen und ausgiebig genutzt werden, für IPv6 noch gar nicht angeboten werden. Als Beispiele nennt Wöhrle DHCPv6-Snooping oder die Absicherung von neuen Protokollspezifikationen wie RA Guard, die noch nicht voll ausgereift sind. In dieselbe Richtung argumentiert auch Orange: „Eine der größten Herausforderungen hinsichtlich IPv6-Sicherheit ist sind das fehlende Wissen und die mangelnde Erfahrung. IPv4 ist momentan erschlossenes Terrain, IPv6 hingegen bringt alternative Formen bekannter Attacken und neue Angriffe, die auf spezifische Bereiche abzielen, beispielsweise die Koexistenz von IPv4/IPv6 sowie Transition- und Tunnelling-Techniken“.

„Ich würde IPv6 zunächst nur da einsetzen, wo es nicht anders geht“, fasst Christoph Becker von D-Link zusammen. Er sieht auch die Einbindung von IPSec in IPv6 mit gemischten Gefühlen: „Mit IPSec kommt die Authentifizierung zwar gleich in das Protokoll hinein. Wenn man sie vernünftig nutzen will, bedeutet das aber auch, eine Public-Key-Infrastruktur aufzubauen. Und das hat in der Vergangenheit schon manchem Administrator schlaflose Nächte beschert.“ Auch Müller-Dott hat Bedenken: „Erst einmal kann IPSec nicht einfach für alle IP-Ströme implementiert werden. Es ist komplex in Bezug auf Management und Administration sowie hinsichtlich der Skalierbarkeit. Außerdem sollte die Sicherheitsinfrastruktur bestimmte IPv6-Ströme filtern können und diese dürfen daher nicht unlesbar sein. Deshalb sollte man IPSec nur einsetzen, wo es wirklich passt.“

Ein gute Nachricht hat Müller-Dott noch: Seiner Ansicht nach werden sich Viren und E-Mail-Würmer mit IPv6 nicht verändern. „Das Schema der Attacken wird gleich bleiben: Erkundung, Entdeckung, Systemausbeutung, Zugangsaufrechterhaltung, Spurenbeseitigung, Nutzung des Zugangs. Jedoch wird die Erkundung nicht mehr über Scanning erfolgen, einfach, weil die eine immense Anzahl an v6-IP-Adressen gescannt werden müssten.“ Die schlechte Nachricht: „Aber hier wird es neue Methoden geben, die beispielsweise auf Systeme wie DNS abzielen, die wichtige Informationen enthalten.“

Flache Netzwerkstruktur mit IPv6?

Olaf Mischkovsky, Technikspezialist bei Symantec in Mitteleuropa (Bild: Symantec).

Mit IPv6 bekommt quasi jedes Gerät eine öffentliche IP-Adresse. Das ist praktisch, um es von überall her anzusprechen und macht beispielsweise bei Diensten wie Videokonferenzen oder Telefonie einiges leichter, da es endlich Ende-zu-Ende-Kommunikation ermöglicht. Manch einer überlegt schon, warum man nach der Einführung von IPv6 noch Network Adress Translation benötigt und inwieweit sich die Segmentierung und die hierarchische Struktur von Netzwerken auflösen lässt. Schließlich wurde die zwar teilweise aus Sicherheitsgründen eingeführt, teilweise aber eben auch, um mit dem Adressmangel umzugehen.

Solchen Überlegungen erteilen die Experten aber eine klare Absage. „Segmentierung ist nachweislich eine der effektivsten Maßnahmen, um die Ausbreitung von Malware zu unterbinden“, sagt Mischkovsky. Der Symantec-Techniker empfiehlt, Zonen auf alle Fälle durch Firewalls oder Router zu trennen. Das verhindert zwar eine Infektion nicht, begrenzt aber den möglichen Schaden und hilft, gezielte Gegenmaßnahmen zu ergreifen.

Dazu tragen nach Ansicht von Becker auch VLANs bei – obwohl er sie nicht nur wegen der Sicherheit, sondern auch der Stabilität der Netzwerkstrukturen empfiehlt. Und schließlich sei es vielfach auch aus Netzwerksicht vorteilhafter, ein strukturiertes statt ein flaches Netzwerk zu haben. Für Network Adress Translation sieht er jedoch in Unternehmen auf lange Sicht kaum noch Verwendungszwecke.