Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Eigenschaften von IPv6
Das IPv6-Protokoll ist eine Neuentwicklung, wobei vor dem Hintergrund der Erfahrungen mit IPv4 „aufgeräumt“ wurde: Der IPv6-Header enthält neben den längeren Adressfeldern z. B. keine Prüfsumme mehr, da man davon ausgehen kann, dass eine Prüfsumme sowohl in der darunter- als auch in der darüberliegenden Protokollschicht vorhanden ist. Eingeführt wurde die Option der Autokonfiguration: Nach dem Verbinden mit dem Netzwerk ist ein Rechner sofort für die Datenkommunikation bereit, ohne dass weitere Eingriffe notwendig sind. Dies sind nur zwei Beispiele für die Vielzahl an Veränderungen.
Mit Fachkenntnis im bisherigen IPv4-Protokoll kann man sich leicht in IPv6 einarbeiten. Wichtige Änderungen sollte man allerdings kennen, um die Möglichkeiten und Grenzen von IPv6 richtig einzuschätzen. Eine kurze, übersichtliche Beschreibung von IPv6-Eigenschaften findet sich in dem BSI-Dokument „Leitfaden für eine sichere IPv6-Netzwerkarchitektur (ISi‑L)” auf der Seite Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) des Bundesamtes für Sicherheit in der Informationstechnik.
Dieser Beitrag skizziert kurz sicherheitsrelevante Eigenschaften von IPv6:
- Steuerung der Protokollmechanismen
- automatische Adresskonfiguration
- … und natürlich die IPv6-Adressen
Steuerung von Protokollmechanismen
Der Einsatz von ICMPv6 (bekannt vom “ping”-Kommando) ist ein Beispiel dafür, wie das IPv6-Protokoll logisch vereinfacht wurde. Bei IPv6 spielt das ICMP-Protokoll eine größere Rolle zur Steuerung der Kommunikation als bei IPv4, u. a. bei der unten beschriebenen Autokonfiguration. Die Herausforderungen für die Netzwerksicherheit liegen darin, dass das ICMP-Protokoll im Netz für wichtige Operationen unbedingt erforderlich ist und nicht einfach von Firewalls blockiert werden darf, wie es teilweise bei IPv4 der Einfachheit halber gemacht wurde. Daher muss der Betrieb von IPv6 gut verstanden werden, um ihn fehlerfrei und ohne Sicherheitslücken zu ermöglichen. Im Bereich der Protokollmechanismen (zu erwähnen sind hier auch die Extension Header von IPv6, die flexible und effiziente Erweiterungen des Protokolls erlauben) sind auf jeden Fall noch Herausforderungen für die Netzwerksicherheit zu erwarten. Daher sollte man mit aktueller IPv6-Dokumentation arbeiten und im Auge behalten, dass sich einige Gebiete von IPv6 immer noch substanziell weiterentwickeln.
Adresskonfiguration
Zuerst erfolgt eine automatische Adresskonfiguration, die dafür sorgt, dass jedes Endsystem sofort eine IPv6-Adresse bekommt. Diese ist allerdings nur im lokalen Netzwerksegment gültig und wird dort zur weiteren Konfiguration des Endsystems genutzt. Mittels dieser Adresse werden Nachbarsysteme und zuständige Router gefunden (Neighbor Discovery). Die automatische Konfiguration bedeutet eine große Arbeitserleichterung bei der Betreuung von Rechnern. Ebenso wird dadurch der Einsatz von netzbasierten Komponenten in neuen Einsatzgebieten ermöglicht oder erleichtert, man denke bspw. an die großflächige Verteilung von Sensoren, deren manuelle Konfiguration entfallen kann.
Bisher galt, dass eine IPv4-Adresse einem Gerät zugeordnet wird. Im Gegensatz dazu ist bei IPv6 die IP-Adresse einer Netzwerkschnittstelle zugeordnet. Man geht davon aus, dass ein Gerät mehrere Schnittstellen haben kann und diese Schnittstellen können wiederum mehrere IPv6-Adressen haben.
Nach dieser ersten Link-lokalen IPv6-Adresse kann also eine weitere IPv6-Adresse zugewiesen werden, die dann für die Kommunikation innerhalb von größeren lokalen Netzen oder zur direkten Kommunikation über das Internet genutzt werden kann. Diese Adressen können entweder lokal auf dem Rechner erzeugt werden (und sind dann trotzdem im Netz eindeutig) oder werden über den schon bekannten Mechanismus DHCP bezogen. Da ein Rechner normalerweise noch weitere Informationen über verschiedene Dienste in der Infrastruktur benötigt (bspw. zur Namensauflösung, Zeitsynchronisation, usw.), werden auch diese im Kontext der Autokonfiguration übertragen.
Es verwirrt etwas, dass es gleich mehrere Mechanismen zur automatischen Konfiguration gibt, die sich teilweise sogar überlappen. Konkret sollte in Firmennetzen trotz der Möglichkeit zur lokalen Adressvergabe (Autokonfiguration) weiterhin die Adressvergabe über zentrale Mechanismen wie DHCP aufgrund der besseren Kontrollmöglichkeiten und Übersicht genutzt werden.
IPv6-Adressraum
Eine der bekanntesten Eigenschaften ist die große Anzahl von möglichen Adressen, die IPv6 zur Verfügung stellt. IPv6-Adressen umfassen 128 Bits, damit stehen theoretisch 2128 Adressen zur Verfügung. Anders ausgedrückt: Der gesamte, weltweite IPv4-Adressraum passt schon vielfach in den Adressraum, den ein einfacher IPv6-Anwender von seinem Provider zur Verfügung gestellt bekommt. Dieser Adressraum lädt geradezu dazu ein, ihn ausgiebig zu nutzen und strukturiert zu vergeben.
Bei der Strukturierung des lokalen Netzes steht jetzt die logische Aufteilung nach Geräteklassen oder der Ortsbezug von Teilnetzen im Vordergrund, Beschränkungen aufgrund von Adressenmangel gibt es nicht mehr. Es gibt keinen Grund mehr für eine sparsame Verwendung von IP-Adressen und so kann sich die Aufteilung des lokalen Netzes unmittelbar nach Funktion und Sicherheitsbedarf von Teilnetzen richten. Dabei können gleiche Arbeitsplatzsysteme und zukünftig auch Sensoren in großen Teilnetzen zusammengefasst werden, um den Überblick zu behalten und die Zugriffssteuerung zu vereinfachen. Gleichzeitig ist es möglich, in sicherheitskritischen Bereichen auch weiterhin ganz kleine Netze zu bilden, um die Geräte gegeneinander zu isolieren.
Lesen Sie mehr:
Sichere Einführung von IPv6 (Teil 1): Warum Unternehmen auf IPv6 umstellen sollten
Sichere Einführung von IPv6 (Teil 2) Erste Schritte für Ihr Unternehmen
Bild: © Baran Özdemir / istockphoto.com
Jens Tiemann, Fraunhofer FOKUS

Jens Tiemann arbeitet als wissenschaftlicher Mitarbeiter im Kompetenzzentrum Öffentliche IT (ÖFIT), dem Think Tank für Öffentliche IT am Fraunhofer-Institut FOKUS. Seine besonderen Forschungsschwerpunkte liegen im Bereich des Internet-Zugangs, Future Internet und selbstorganisierender Systeme. Ziel seiner Arbeit ist die Entwicklung von Roadmaps für die sicherheitsbezogene Konsolidierung gewachsener Netzinfrastrukturen und Technologien im öffentlichen Raum.
Jens Tiemann hat an der TU Berlin Elektrotechnik studiert. Er ist Co-Autor des IPv6-Migrationsleitfadens und des IPv6-Profils für die öffentliche Verwaltung der Bundesstelle für Informationstechnik (BIT) im BVA, außerdem vertritt er das Fraunhofer FOKUS im Deutschen IPv6-Rat.

Neueste Kommentare