DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Eigen­schaften von IPv6

Das IPv6-Pro­­­tokoll ist eine Neu­ent­wicklung, wobei vor dem Hin­ter­grund der Erfah­rungen mit IPv4 „auf­ge­räumt“ wurde: Der IPv6-Header enthält neben den län­geren Adress­feldern z. B. keine Prüf­summe mehr, da man davon aus­gehen kann, dass eine Prüf­summe sowohl in der dar­­­unter- als auch in der dar­über­lie­genden Pro­to­koll­schicht vor­handen ist. Ein­ge­führt wurde die Option der Auto­kon­fi­gu­ration: Nach dem Ver­binden mit dem Netzwerk ist ein Rechner sofort für die Daten­kom­mu­ni­kation bereit, ohne dass weitere Ein­griffe not­wendig sind. Dies sind nur zwei Bei­spiele für die Vielzahl an Ver­än­de­rungen.

Mit Fach­kenntnis im bis­he­rigen IPv4-Pro­­­tokoll kann man sich leicht in IPv6 ein­ar­beiten. Wichtige Ände­rungen sollte man aller­dings kennen, um die Mög­lich­keiten und Grenzen von IPv6 richtig ein­zu­schätzen. Eine kurze, über­sicht­liche Beschreibung von IPv6-Eigen­­schaften findet sich in dem BSI-Dokument „Leit­faden für eine sichere IPv6-Net­z­­wer­k­ar­chi­­tektur (ISi‑L)” auf der Seite Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) des Bun­desamtes für Sicherheit in der Infor­ma­ti­ons­technik.

Dieser Beitrag skiz­ziert kurz sicher­heits­re­le­vante Eigen­schaften von IPv6:

  • Steuerung der Pro­to­koll­me­cha­nismen
  • auto­ma­tische Adress­kon­fi­gu­ration
  • … und natürlich die IPv6-Adressen

Steuerung von Pro­to­koll­me­cha­nismen

Der Einsatz von ICMPv6 (bekannt vom “ping”-Kommando) ist ein Bei­spiel dafür, wie das IPv6-Pro­­­tokoll logisch ver­ein­facht wurde. Bei IPv6 spielt das ICMP-Pro­­­tokoll eine größere Rolle zur Steuerung der Kom­mu­ni­kation als bei IPv4, u. a. bei der unten beschrie­benen Auto­kon­fi­gu­ration. Die Her­aus­for­de­rungen für die Netz­werk­si­cherheit liegen darin, dass das ICMP-Pro­­­tokoll im Netz für wichtige Ope­ra­tionen unbe­dingt erfor­derlich ist und nicht einfach von Fire­walls blo­ckiert werden darf, wie es teil­weise bei IPv4 der Ein­fachheit halber gemacht wurde. Daher muss der Betrieb von IPv6 gut ver­standen werden, um ihn feh­lerfrei und ohne Sicher­heits­lücken zu ermög­lichen. Im Bereich der Pro­to­koll­me­cha­nismen (zu erwähnen sind hier auch die Extension Header von IPv6, die fle­xible und effi­ziente Erwei­te­rungen des Pro­to­kolls erlauben) sind auf jeden Fall noch Her­aus­for­de­rungen für die Netz­werk­si­cherheit zu erwarten. Daher sollte man mit aktu­eller IPv6-Doku­­men­­tation arbeiten und im Auge behalten, dass sich einige Gebiete von IPv6 immer noch sub­stan­ziell wei­ter­ent­wi­ckeln.

Adress­kon­fi­gu­ration

Zuerst erfolgt eine auto­ma­tische Adress­kon­fi­gu­ration, die dafür sorgt, dass jedes End­system sofort eine IPv6-Adresse bekommt. Diese ist aller­dings nur im lokalen Netz­werk­segment gültig und wird dort zur wei­teren Kon­fi­gu­ration des End­systems genutzt. Mittels dieser Adresse werden Nach­bar­systeme und zuständige Router gefunden (Neighbor Dis­covery). Die auto­ma­tische Kon­fi­gu­ration bedeutet eine große Arbeits­er­leich­terung bei der Betreuung von Rechnern. Ebenso wird dadurch der Einsatz von netz­ba­sierten Kom­po­nenten in neuen Ein­satz­ge­bieten ermög­licht oder erleichtert, man denke bspw. an die groß­flä­chige Ver­teilung von Sen­soren, deren manuelle Kon­fi­gu­ration ent­fallen kann.

Bisher galt, dass eine IPv4-Adresse einem Gerät zuge­ordnet wird. Im Gegensatz dazu ist bei IPv6 die IP-Adresse einer Netz­werk­schnitt­stelle zuge­ordnet. Man geht davon aus, dass ein Gerät mehrere Schnitt­stellen haben kann und diese Schnitt­stellen können wie­derum mehrere IPv6-Adressen haben.

Nach dieser ersten Link-lokalen IPv6-Adresse kann also eine weitere IPv6-Adresse zuge­wiesen werden, die dann für die Kom­mu­ni­kation innerhalb von grö­ßeren lokalen Netzen oder zur direkten Kom­mu­ni­kation über das Internet genutzt werden kann. Diese Adressen können ent­weder lokal auf dem Rechner erzeugt werden (und sind dann trotzdem im Netz ein­deutig) oder werden über den schon bekannten Mecha­nismus DHCP bezogen. Da ein Rechner nor­ma­ler­weise noch weitere Infor­ma­tionen über ver­schiedene Dienste in der Infra­struktur benötigt (bspw. zur Namens­auf­lösung, Zeit­syn­chro­ni­sation, usw.), werden auch diese im Kontext der Auto­kon­fi­gu­ration über­tragen.

Es ver­wirrt etwas, dass es gleich mehrere Mecha­nismen zur auto­ma­ti­schen Kon­fi­gu­ration gibt, die sich teil­weise sogar über­lappen. Konkret sollte in Fir­men­netzen trotz der Mög­lichkeit zur lokalen Adress­vergabe (Auto­kon­fi­gu­ration) wei­terhin die Adress­vergabe über zen­trale Mecha­nismen wie DHCP auf­grund der bes­seren Kon­troll­mög­lich­keiten und Über­sicht genutzt werden.

IPv6-Adressraum

Eine der bekann­testen Eigen­schaften ist die große Anzahl von mög­lichen Adressen, die IPv6 zur Ver­fügung stellt. IPv6-Adressen umfassen 128 Bits, damit stehen theo­re­tisch 2128 Adressen zur Ver­fügung. Anders aus­ge­drückt: Der gesamte, welt­weite IPv4-Adressraum passt schon vielfach in den Adressraum, den ein ein­facher IPv6-Anwender von seinem Pro­vider zur Ver­fügung gestellt bekommt. Dieser Adressraum lädt geradezu dazu ein, ihn aus­giebig zu nutzen und struk­tu­riert zu ver­geben.

Bei der Struk­tu­rierung des lokalen Netzes steht jetzt die logische Auf­teilung nach Gerä­te­klassen oder der Orts­bezug von Teil­netzen im Vor­der­grund, Beschrän­kungen auf­grund von Adres­sen­mangel gibt es nicht mehr. Es gibt keinen Grund mehr für eine sparsame Ver­wendung von IP-Adressen und so kann sich die Auf­teilung des lokalen Netzes unmit­telbar nach Funktion und Sicher­heits­bedarf von Teil­netzen richten. Dabei können gleiche Arbeits­platz­systeme und zukünftig auch Sen­soren in großen Teil­netzen zusam­men­ge­fasst werden, um den Über­blick zu behalten und die Zugriffs­steuerung zu ver­ein­fachen. Gleich­zeitig ist es möglich, in sicher­heits­kri­ti­schen Bereichen auch wei­terhin ganz kleine Netze zu bilden, um die Geräte gegen­ein­ander zu iso­lieren.

Lesen Sie mehr:

Sichere Ein­führung von IPv6 (Teil 1): Warum Unter­nehmen auf IPv6 umstellen sollten

Sichere Ein­führung von IPv6 (Teil 2) Erste Schritte für Ihr Unter­nehmen


Bild:  © Baran Özdemir / istockphoto.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Jens Tiemann, Fraun­hofer FOKUS

Jens Tiemann arbeitet als wis­sen­schaft­licher Mit­ar­beiter im Kom­pe­tenz­zentrum Öffent­liche IT (ÖFIT), dem Think Tank für  Öffent­liche IT am Fraun­hofer-Institut FOKUS. Seine beson­deren For­schungs­schwer­punkte liegen im Bereich des Internet-Zugangs, Future Internet und selbst­or­ga­ni­sie­render Systeme. Ziel seiner Arbeit ist die Ent­wicklung von Roadmaps für die sicher­heits­be­zogene Kon­so­li­dierung gewach­sener Netz­in­fra­struk­turen und Tech­no­logien im öffent­lichen Raum.

Jens Tiemann hat an der TU Berlin Elek­tro­technik stu­diert. Er ist Co-Autor des IPv6-Migra­ti­ons­leit­fadens und des IPv6-Profils für die öffent­liche Ver­waltung der Bun­des­stelle für Infor­ma­ti­ons­technik (BIT) im BVA, außerdem ver­tritt er das Fraun­hofer FOKUS im Deut­schen IPv6-Rat.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.