Der Übergang zu IPv6 steht in allen Unternehmen früher oder später an. An dieser Tatsache kommt die IT nicht vorbei. Über einen gewissen Zeitraum müssen in den Netzwerken neben den klassischen IPv4-Protokollen auch die die IPv6-Protokolle bereitgestellt werden. In diesem Artikel werfen wir einen Blick auf die wichtigsten Migrationsaspekte und -Funktionen.
Die Experten verkünden seit Mitte der 1990er Jahre das Ende der IPv4-Netzwerkadressen und die IT-Welt weiß seit damals das sich das 32-Bit-Adressierungsschema von IPv4 nicht unendlich ausdehnen lässt. Als ultimative Antwort auf die prognostizierte Adressknappheit wurde die neue Version des Internet-Protokolls entworfen. IPv6 verwendet einen 128-Bit-Adressraum (2128) und kann theoretisch auf jeden Quadratmeter Erdoberfläche genügend IP-Adressen bereitstellen, damit wir zukünftig nie mehr Mangel erleiden.
So weit die Theorie, aber in der Praxis sind IPv6 und IPv4 nicht rückwärtskompatibel. Dies bedeutet, dass ein Netzbetreiber nur über eine Dual-Stack-Lösung zum Ziel gelangt. Dabei wird über einen längeren Zeitraum IPv4 und IPv6 parallel im Netzwerk betrieben. Dieser Dual Stack-Migrationsprozess muss quasi entlang der gesamten Kommunikationskette (Ende zu Ende) realisiert werden. Das bedeutet, dass im Prinzip die IPv6-Mechanismen von allen Hard- und Softwareanbietern im Netzwerkbereich, von allen Carriern, von allen Internet Service und Content und auf allen Endpunkt aktiviert sein müsste. Da es keinen wirtschaftlichen Anreiz gibt in die Modernisierung der Protokollwelt zu investieren, warten viele Netzbetreiber und Service-Provider auf den Zeitpunkt an dem der IPv6-Betrieb wirtschaftlich Sinn macht.
Der IPv6-Verkehr steigt nur langsam an
Jedes Jahr steigt der Anteil von IPv6 am gesamten Internet-Verkehr ein wenig mehr an. Aber die Kurve der IPv6-Verkehre steigt nur in sehr kleinen Schritten an. Im Januar 2016 überstieg der IPv6-Datenverkehr in den Netzwerken von Google erstmals die Marke von 10 Prozent. Aktuell kommen die höchsten IPv6-Verkehrszuwächse aus der entwickelten Welt, wobei mit derzeit mit 41,8 Prozent die Statistiken anführt. Die Schweiz, Deutschland, Griechenland und Portugal liegen in den Bereichen zwischen 20 bis 25 Prozent. Die USA liegt gemäß den von Akamai veröffentlichten Zahlen mit 18,6 Prozent noch hinter Luxemburg (19,6 Prozent), aber noch vor Ecuador, Estland, Malaysia, Österreich und Japan.
Die Einführung von IPv6 bietet die Gelegenheit, etablierte Vorgehensweisen und Konzepte zu überprüfen und anzupassen, um auf diese Weise die Sicherheit im Netz durch eine modernisierte Architektur grundlegend zu verbessern. Eine der wichtigsten Voraussetzungen, um die neuen Möglichkeiten von IPv6 für eine sicherere Netzwerkarchitektur zu nutzen, ist eine systematische Übersicht über die bestehende Netz- und Rechnerarchitektur. Insbesondere ist es wichtig zu wissen, an welchen Stellen der bestehenden Architektur in der Vergangenheit „Hilfskonstruktionen“ eingesetzt wurden, um IPv4-bedingte Einschränkungen zu umgehen. Beispiele hierfür können „Nicht-Standard-Netzmasken“ oder die Verwendung von NAT zwischen verschiedenen internen Teilnetzen sein, in denen private IPv4-Adressen aus demselben Adressbereich verwendet werden
Eine weitere wichtige Maßnahme, die Probleme bei der Einführung von IPv6 zu vermeiden hilft, ist eine Übersicht über den Stand der IPv6-Unterstützung bei der eingesetzten Hard- und Software. Ohne dieses Wissen ist es unmöglich, ein entsprechendes Projekt zu planen und umzusetzen. In allen Situationen, in denen Komponenten ersetzt oder aktualisiert werden müssen, muss bei der Beschaffung konsequent darauf geachtet werden, dass das betreffende Produkt IPv6 unterstützt. Dabei ist es empfehlenswert, Angaben der Hersteller zu hinterfragen und gegebenenfalls durch eigene Tests zu verifizieren.
Die Mitarbeiter, die an der Einführung von IPv6 arbeiten sollen, müssen rechtzeitig an entsprechenden Schulungen teilnehmen. Grundlagen sollten so frühzeitig vermittelt werden, dass für die Planungs- und Vorbereitungsphase das notwendige allgemeine Wissen vorhanden ist. Tiefer gehende Schulungen sollten nicht zu lange vor der eigentlichen Einführung eingeplant werden, damit das notwendige Detailwissen dann noch parat ist.
Sowohl für die Durchführung von Tests als auch zur Festigung des in Schulungen erlernten Wissens durch praktische Anwendung ist es empfehlenswert, eine Testumgebung einzurichten.
Planung der Einführung
Die Planung zur Einführung von IPv6 sollte vom Backbone ausgehen. In diesem Bereich müssen über einen längeren Zeitraum sowohl IPv4 als auch IPv6 nebeneinander betrieben werden. Da die Adressstruktur von IPv6 nicht mehr den bisher genutzten IPv4-Adresskonzepten entspricht, ist der IPv6 Backbone ausschließlich anhand der IPv6-Anforderungen zu planen. Entsprechend dieser Herangehensweise müssen auch für IPv6 die entsprechenden Sicherheitsanforderungen erarbeitet werden, welche die Sicherheitsmerkmale des IPv6 Backbones definiert. Bei der Planung können die folgenden weiteren Punkte zur Orientierung herangezogen werden:
- IPv6 sollte im Unternehmen schrittweise eingeführt werden. Damit werden die Auswirkungen unerwarteter Sicherheits- und Inkompatibilitätsprobleme minimiert. Eine Sicherstellung des Regelbetriebs ist gegeben, da zuerst nur IPv4/IPv6-fähige Anwendungen migriert werden sollten. Die an der Migration beteiligten Mitarbeiter haben dadurch die Möglichkeit ihre notwendigen Erfahrungen mit IPv6 in ihrer Umgebung zu sammeln. Nach Möglichkeit sollte mit der IPv6-Einführung in weniger kritischen Bereichen des Backbones begonnen werden.
- Da es sich bei der geplanten Dual Stack-Lösung um eine Übergangstechnik handelt, sollten die Anzahl der Subnetze und Geräte, bei denen IPv4 und IPv6 parallel betrieben werden, so gering wie möglich gehalten werden. Dadurch wird gewährleistet, dass die durch Dual Stack entstehende Komplexität reduziert wird. Clients sollten so weit wie praktikabel entweder nur unter IPv4 oder nur unter IPv6 betrieben werden.
- Sollen aus IPv4-Netzen heraus IPv6-Dienste genutzt werden oder umgekehrt, so sollte zunächst geprüft werden, ob die Nutzung über einen geeigneten Proxy-Server ermöglicht werden kann. Ist eine Nutzung über einen Proxy nicht möglich, so kommt als weitere mögliche Lösungsvariante die Nutzung von virtualisierten Clients mit der „passenden“ IP-Version infrage, die über eigene VLANs angebunden sind.
Technische Aspekte der Migration und des IPv6-Betriebs
Angemessene Sicherheitsvorkehrungen sind für eine erfolgreiche IPv6-Integration zwingend erforderlich, dazu gehören:
- Upgrade auf IPv6-fähige Geräte: Viele Internetzugangsgeräte, Layer 2 Switches, Router, Load Balancer, Firewalls und Intrusion Prevention Systeme sind nicht oder nur bedingt IPv6-fähig. Daher nutzen Kriminelle IPv6 schon länger um Trojanische-Pferde und andere Exploits um dadurch versteckte Datenpakete aus dem Netzwerk heraus zu transportieren. Die Aktivierung des IPv6-Protokoll parallel zum bisherigen IPv4-Protokoll bringt jedoch einige Implikationen mit sich:
- Im verfügbaren Memory der Komponenten müssen zukünftig mehr Routen und Regeln abgelegt werden. Reicht das Memory bzw. die Tabellen zur Bearbeitung der zu erwartenden IPv4 bzw. IPv6 Einträge aus?
- Da zwei parallele Protokolle abgearbeitet werden müssen, kann dies Auswirkungen auf die Leistung der CPU bzw. die vorhandene Hardware-Plattform haben.
- Die IPv4/IPv6 Router/Layer 3 Switches verfügen über zwei separate Control Planes. Diese dürfen keine Abhängigkeiten von einander aufweisen und müssen eigenständig für das jeweilige Protokoll agieren.
- Die Performance (Forwarding-Funktionen) der Koppelkomponenten wird durch den parallelen Betrieb zweier Protokolle beeinflusst. Welche Durchsatzzahlen sind zu erreichen bzw. welche Performance ist unter Hochlastbedingungen für die jeweiligen Protokolle noch zu erwarten? Beeinflusst der parallele Betrieb von IPv4/IPv6 Routingprotokollen den Durchsatz?
- Die Quality of Service (QoS) Mechanismen müssen auf der Ebene 2 sowohl für die IPv4 als auch für IPv6 VLANs eingerichtet werden. Für die jeweiligen VLANs müssen die entsprechenden Queues eingerichtet werden. Hierbei ist die Anzahl der vom jeweiligen Gerät unterstützten Queues (Kapazität) zu überprüfen.
- Die Quality of Service (QoS) Mechanismen müssen sowohl für IPv4 als auch für IPv6 eingerichtet werden. Die IPv4 und IPv6 QoS Features sind im Wesentlichen identisch (RFC 2460/3697), denn beide Protokollvarianten benutzen zur Layer 3 QoS-Markierung die DSCP-Bits. Für das jeweilige Protokoll müssen die Queues entsprechend den protokollspezifischen Anforderungen (IPv6 hat einen höheren Protokoll-Overhead) eingerichtet werden. Hierbei ist die Anzahl der vom jeweiligen Gerät unterstützten Queues (Kapazität) zu überprüfen.
- Da bisher die Flow Labels von IPv6 noch keine Anwendung finden, müssen diese vorerst noch nicht bei der QoS-Planung berücksichtigt werden. Bei neuen Anwendungen können diese Werte jedoch genutzt zur Kennzeichnung der spezifischen Verkehrscharakteristiken genutzt werden.
Eine eingehende Sicherheitsüberprüfung der Dual Stack Hosts ist Voraussetzung für einen sichereren Betrieb. Es gelten folgende Aspekte:
- In einem Dual-Stack-Netzwerk sind IPv4 und IPv6 gleichzeitig aktiv und auf angeschlossenen Hosts müssen dementsprechend beide Protokolle installiert sein. Ein Protokoll wird in dieser Konfiguration immer bevorzugt benutzt und immer dann verwendet, wenn es verfügbar ist. Diese Vorgehensweise ist benutzerfreundliche, birgt jedoch Risiken. Viele Netzwerke werden außerdem eine Koexistenz beider Protokolle für einen langen Zeitraum, vielleicht über Jahrzehnte, bereitstellen müssen. Das Hauptrisiko bei einem derartigen Vorgehen besteht darin, zu verhindern, dass Angriffe über ein Protokoll die Restriktionen des anderen umgehen können.
Ein Dual-Stack gehört zu den bevorzugten Mechanismen für eine IPv6-Integration, findet sich in jedem aktuellen Betriebssystem und ist fast immer standardmäßig aktiviert. Er bietet jedoch eine größere Angriffsfläche mit mindestens verdoppelter Anzahl an Schwachstellen (zusätzliche Schachstellen durch kombinierte Angriffe sind ebenfalls möglich). Somit lautet die Regel für Dual Stack Hosts: Die Sicherheit des Rechnersystems ist nur so stark wie der Protokoll-Stack mit der geringsten Sicherheit. - Neue Rechner werden bereits mit einer Dual Stack Variante ausgeliefert. Meist sind beide Protokolle (per Default) aktiviert. Wird auf einem solchen Rechner nur die IPv4-Protokolle genutzt (und somit gegen Angriffe geschützt), dann können Viren, Würmer und Trojaner unbemerkt über IPv6 in das Rechnersystem eingeschleust werden.
Darüber hinaus lassen sich IPv6 Stacks in den Rechnern durch falsche Router Advertisements manipulieren bzw,. umkonfigurieren. - IPv6-Header und die Erweiterungsheader: Im Gegensatz zu IPv4 verfügt IPv6 über mehrere Header, den Basis- und die Erweiterungsheader. Die Struktur des neuen IPv6-Basis-Headers ist minimiert und vereinfacht worden und soll über das Next Heade“-Feld die Erweiterbarkeit und Flexibilität für nachkommende Generationen sicherstellen.
Aus Sicht der Netzwerksicherheit ist es äußerst bedenklich, dass mit dem Typ 0 Routing-Header von IPv6 eine erweiterte Version der IPv4-Optionen „Strict Source Routing“ und „Loose Source Routing“ in den Standard aufgenommen wurde. Da gemäß den IPv6-Spezifikation (RFC 2460) alle Knoten (egal ob Router oder Hosts) den Routing-Header verarbeiten müssen, stellt der Typ 0 Routing Header ein großes Problem der Netzwerksicherheit dar.
Bei IPv4 werden schon lange keine derartigen Funktionen mehr genutzt, da das Angriffspotential dieser Optionen hinreichend bekannt ist. An dieser Tatsache hat sich auch mit IPv6 nichts geändert.
Die möglichen Seiteneffekte einer Nutzung des Typ 0 Routing-Headers von IPv6 sind gegenüber der ganzen Infrastruktur so problematisch, dass mit dem RFC 5095 „Deprecation of Type 0 Routing Headers in IPv6“ im Dezember 2007 ein „Proposed Standard“ veröffentlicht wurde, welcher die Ursprungsspezifikation des Internet Protokolls ins Version 6 aktualisiert und das Typ 0 Routing-Header-Problem weitestgehend gelöst hat.
Linux, Mac OS X, Windows XP SP2, Vista und die Windows Server-Varianten ignorieren IPv6-Routing-Header vom Typ 0 standardmäßig, die BSD-Varianten haben inzwischen auch mit entsprechenden Patches nachgezogen.
Es existiert noch ein weiterer Routing Header, welcher unbedingt benutzt und verarbeitet werden sollte. Der Typ 2 Routing-Header ist für das Mobile IPv6 notwendig und im Gegensatz zu Typ 0 Routing-Header sicherheitsunkritisch und sollte daher immer weitergeleitet und verarbeitet werden, auch falls derzeit noch keine Nutzung dieses Header geplant ist. Es ist hierfür jedoch notwendig, dass in älteren Router- und Host-Betriebssystemen nicht alle Routing-Header pauschal die Administratoren geblockt werden, statt selektiv nur Typ 0 Routing-Header zu filtern und auf Hosts nicht zu verarbeiten - First Hop Security Die Endknoten sind unter IPv6 einer Reihe unterschiedlicher Gefahren ausgesetzt:
- Manipulation der Adresskonfigurationsparameters (Address initialization: Denial of address insertion, Address stealing)
- Falsches Propagieren des Default Gateways durch falsche oder unberechtigte Router
- Mitlesen der über das Netz propagierten Neighbor Reachability Meldungen
Der First Hop bei IPv6 lässt sich durch folgende Maßnahmen absichern:
- Ausschließliche Nutzung von Secure Neighbor Discovery (SeND)
- NDP Inspection
- ND Cache Limits
- Schutzmechanismen gegen Router Advertisements
- Überwachung des ICMPv6-Verkehrs
- Port ACLs
- Deep Packet Inspection
- DNS fällt in IPv6-Umgebungen eine noch wichtigere Rolle zu, als sie es bisher schon war. Sicherlich sind viele IPv6-Adressen aufgrund der abkürzenden Schreibweise bedeutend kürzer als ihre IPv4-Äquivalente, jedoch ist der Großteil der Adressen um einiges länger und für Menschen wesentlich schwieriger zu lesen. Die Verfügbarkeit und natürlich die Authentizität von DNS-Servern stellt daher in Zukunft eine der größten Gefahren für die Netzwerksicherheit dar, da die Abhängigkeit vom DNS auch aufgrund der zu erwartenden Mobile IPv6 Nutzung steigt. In Zukunft werden viel mehr mobile Geräte, aufgrund von dort laufenden Diensten, permanent über DNS erreichbar sein müssen. Jedoch entsteht aus dem eben genannten Umstand auch ein Problem:
- Mobile IPv6 erfordert in besonderem Maße Datenschutzerweiterungen, welche das DNS zusätzlich belasten.
- Monitoring und (wenn möglich) Kontrolle jeglichen Datenverkehrs über IPv6-in-IPv4-Tunnel
- Abstellen von in vielen Applikationen eingebauten, potentiell gefährlichen Transitionsmechanismen:
- Anwendungen die das automatische Tunneling benutzen können beispielsweise Firewalls umgehen und das Netzwerk so für Angreifer öffnen.
Fazit bei der Sicherheitsbetrachtung
IPv6 ist weder sicherer noch unsicherer ist als IPv4. Debatten bezüglich eventueller Sicherheitsvorteile auf der IPv4- oder der IPv6-Seite sind oft sehr auf einen konkreten Einsatz im Netzwerk fokussiert. Viele der heute bekannten IPv6-Sicherheitsprobleme haben nur mit Fehleranfälligkeit von individuellen Produkten zu tun und nichts mit dem IPv6-Protokoll selbst zu tun. Die Basismechanismen der Protokolle und die implementierte Sicherheit ist bei beiden jedoch größtenteils identisch, weshalb sich auch die möglichen Sicherheitsangriffe sehr ähneln.
Das zweite Fazit lautet, dass nur mangelndes Detailwissen aufgrund der Fülle an Know-how ein Problem für die Netzwerksicherheit darstellt, da letztendlich der schwächste Punkt immer der Mensch ist, welcher eine Technik einsetzt. Nicht zuletzt deswegen, weil Cracker und Hacker sich wesentlich früher und intensiver mit IPv6 beschäftigt haben als dies bei den meisten Sicherheitsexperten der Fall war. Diese Diskrepanz liegt vornehmlich in der mangelnden Akzeptanz von IPv6 und der damit einhergehenden fehlenden Auseinandersetzung mit den spezifischen IPv6-Mechanismen. Problematisch ist im diesem Zusammenhang die Tatsache, das bisher noch weitaus weniger Sicherheitsprodukte für IPv6 als für das alte IP-Protokoll vorhanden sind.
Andere Sicherheits-Best-Practices für IPv6 umfassen:
- Sorgfalt bei der Implementierung von Datenschutzerweiterungen
- Filterung der intern verwendeten IPv6-Adressen in den Enterprise-Border-Routern
- Filterung nicht genutzter Dienste in der Firewall
- Selektive Filterung von ICMPv6
- Pflege der Host- und Anwendungssicherheit
- Bestimmen, welche Erweiterungs-Header durch das Zugangskontrollsystem zugelassen werden sollen
- Bestimmen, welche ICMPv6-Nachrichen nötig sind
- Wenn möglich, verweigern von fragmentierten IPv6-Paketen, die für Geräte im Internet bestimmt sind
- Adäquate Filterungsmöglichkeiten für IPv6-Fragmentation sicherstellen
- Verschlüsselung in allen kritischen Bereichen konsequent einsetzen
- Statische „Neighbor“ Einträge für wichtige Systeme
- Implementierung von Ingress Filtering von Paketen mit einer IPv6 Multicast Quell-Adresse
- Nutzen traditioneller Authentisierungsmechanismen auf BGP und IS-IS
- IPv6 Hop-Limits zur Sicherung von Netzwerkhardware nutzen
Die Privatsphäre kann auch mit dem neuen Protokoll gewährleistet werden. Datenschutzerweiterungen schaffen jedoch neue (teilweise ungelöste) Probleme und sind vor allem eine Herausforderung an das DNS und Firewalls.
Mit IPv6 bewegt sich die IT-Sicherheit weg vom derzeitigen „physikalischen“ Sicherheitsmodell (bestehend aus Firewalls und Penetration Prevention-Technologien an den Netzgrenzen) hin zu einem von Richtlinien getriebenen Modell. Nur durch Richtlinienmodelle ist in der Lage, die Kommunikation auf einer Ende-zu-Ende-Basis zu realisieren, in welcher sich individuelle Geräte oder ganze Klassen von Geräten auf eine mobile Art und Weise oder ad-hoc mit dem Netz verbinden und dabei eine Vertrauensbeziehung zum Netzwerk aufbauen. Diese baut auf Richtlinienkriterien, wie Berechtigungsnachweise, Virenschutz und Authentifizierung auf. Darüber hinaus müssen Sicherheitsrichtlinien immer die Koexistenz von IPv4 und IPv6 berücksichtigen, da diese wahrscheinlich eine sehr lange Zeit bestehen wird. Dies muss protokollspezifisch funktionieren, um bereits bekannte Gefahren unter IPv4, wie auch neue IPv6-Gefahren abwehren zu können.
Das neue Internet-Protokoll IPv6 bietet vor allem durch den enorm gewachsenen Adressraum die Möglichkeit, die Sicherheit des internen Netzes durch eine angepasste Architektur deutlich zu verbessern. Allerdings stellen die neuen Möglichkeiten von IPv6 auch neue Herausforderungen für die Sicherheitsverantwortlichen dar, da aus der IPv4-Welt gewohnte Denkweisen nicht ohne weiteres auf IPv6-Netze übertragbar sind. IPv6-Netze alleine mit IPv4-Konzepten und Denkweisen zu betrachten, würde nicht nur die neuen Möglichkeiten, die IPv6 bietet, verschenken, sondern würde nahezu zwangsläufig zu einer insgesamt schwächeren Sicherheit führen.
Die Grundarchitektur, bei der das interne Netz durch Sicherheits-Gateway in den jeweiligen Sicherheitszonen getrennt wird, bleibt auch für IPv6 im Wesentlichen unverändert.
Die wichtigste Aufgabe für Netzwerk- und Sicherheitsverantwortliche im Zusammenhang mit der Einführung von IPv6 ist es, rechtzeitig die Grundlagen dafür zu schaffen, dass IPv6 in geordneter Art und Weise mit einem klaren Konzept eingeführt werden kann. Hierfür müssen zunächst die entsprechenden Fachkenntnisse erworben bzw. vermittelt werden, anschließend muss ein realistischer Plan für die Einführung ausgearbeitet werden. Sind die notwendigen Grundlagen und eine entsprechende Planung vorhanden, kann die Einführung von IPv6 schrittweise und im Rahmen der normalen Lebens- bzw. Update-Zyklen der IT-Infrastruktur durchgeführt werden. Dabei ist es wichtig, bereits jetzt darauf zu achten, dass Hard- und Software-Komponenten sämtliche benötigten Features unter IPv6 in einer zu IPv4 funktional äquivalenten Weise unterstützen. (mh)