DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Sicher­heits­me­cha­nismen von IPv6

Diese Folge beschreibt die Sicher­heits­ei­gen­schaften, die IPv6 bietet. Dabei ergibt sich ein gemischtes Bild: IPv6 ist nicht auto­ma­tisch sicherer als IPv4, obwohl IPv6 dieser Ruf vor­auseilt. Aber IPv6 bietet wichtige Ansatz­punkte, um Sicherheit wirksam zu ver­ankern.

Den Ruf eines sicheren Pro­to­kolls hat IPv6 auf­grund der Ent­wicklung von IPsec, einer Sammlung von Mecha­nismen für gesi­cherte Kom­mu­ni­kation. IPsec kann ein­ge­setzt werden, um die Authen­ti­zität von Daten sicher­zu­stellen und um Daten zu ver­schlüsseln. IPsec steht für IPv4 und für IPv6 zur Ver­fügung. Eine Zeitlang hat man erwogen, die Ver­wendung von IPsec bei IPv6 ver­bindlich vor­zu­schreiben und dadurch alle Kom­mu­ni­ka­ti­ons­ver­bin­dungen abzu­si­chern, was sich aller­dings als zu komplex und nicht pra­xis­tauglich erwiesen hat. Die Nutzung von IPsec ist also wei­terhin eine Option, auf die ins­be­sondere bei der Ver­wendung von VPNs zurück­ge­griffen werden sollte. Ent­spre­chende Pro­dukte und freie Software sind ver­fügbar.

Die For­derung nach IPsec ist  gut in den ent­spre­chenden Internet-Stan­­dards nach­voll­ziehbar: Es gibt eine lesens­werte Zusam­men­fassung dazu, welche IPv6-Stan­­dards eine IPv6-Net­z­­kom­­po­­nente unter­stützen muss. Diese „IPv6 Node Requi­re­ments“ wurden im April 2006 unter der Nummer RFC 4294 ver­öf­fent­licht. Hier heißt es im Abschnitt “Sicherheit” knapp und ein­deutig, dass IPsec unter­stützt werden muss: Security Archi­tecture for the Internet Pro­tocol [RFC-4301] MUST be sup­ported. In der aktu­ellen Version des Doku­ments, RFC 6434 vom Dezember 2011, beginnt der Absatz zur Sicherheit mit der Bemerkung „Achieving security in practice is a complex under­taking.  – ganz so einfach ist die Praxis eben doch nicht. Die Anfor­de­rungen an IPv6-Geräte wurden gelo­ckert, sie müssen kein IPsec mehr unter­stützen, sollten es aber tun.

Sichere Auto­kon­fi­gu­ration

Als ein großer Vorteil von IPv6 wurde schon die Mög­lichkeit der auto­ma­ti­schen Kon­fi­gu­ration von Rechnern dar­ge­stellt. Der Arbeits­er­leich­terung bei der Admi­nis­tration von großen Netzen steht aber auch ein Miss­brauchs­po­tenzial gegenüber. Aller­dings findet die Auto­kon­fi­gu­ration nor­ma­ler­weise in einem lokalen Netzwerk statt, also in einer kon­trol­lier­baren Umgebung. Trotzdem darf es nicht pas­sieren, dass plötzlich ein fremder Router im lokalen Netz bekannt wird und den Verkehr an sich zieht. Diese Her­aus­for­de­rungen, „First Hop Security“ genannt, sind natürlich für IPv6 bekannt und es wird wei­terhin an ver­bes­serten Lösungen gear­beitet.

Eine mög­liche Lösung ist die Ver­wendung des SEND-Pro­­­to­­kolls (Secure Neighbor Dis­covery), das Pro­to­koll­me­cha­nismen bei der Auto­kon­fi­gu­ration absi­chert. Damit wäre es dann nicht mehr einfach möglich, eine unau­to­ri­sierte Kom­po­nente in ein lokales Netz ein­zu­bringen. In der Praxis sind aller­dings noch nicht aus­rei­chend viele Imple­men­tie­rungen bzw. Pro­dukte ver­fügbar, die SEND unter­stützen.

IPv6-Adres­s­­typen                                        

IPv6 unter­scheidet als wich­tigen Sicher­heits­bau­stein ver­schiedene Gül­tig­keits­be­reiche von Adressen. In der Praxis sind die ver­schie­denen Adress­typen an den ersten Ziffern einer IPv6-Adresse zu unter­scheiden (Über­sicht IPv6-Adres­s­­be­­reiche.

Drei wichtige Adress­typen sollen hier kurz vor­ge­stellt werden:

  • Link-Local-Adressen – diese Adressen werden zur auto­ma­ti­schen Kon­fi­gu­ration von IPv6 genutzt und sind nur in einem Netz­werk­segment gültig. Sie werden nicht geroutet und daher nicht in der Kom­mu­ni­kation über Netz­grenzen hinweg ver­wendet.
  • Global-Unicast-Adressen – „normale“, ein­deutige IP-Adressen, die eine welt­weite Erreich­barkeit garan­tieren.
  • Unique-Local-Adressen – ver­gleichbar mit den pri­vaten IPv4-Adressen, aller­dings wird sicher­ge­stellt, dass die Adressen mit hoher Wahr­schein­lichkeit ein­malig sind. Es werden daher Pro­bleme bei einer mög­lichen spä­teren Zusam­men­legung von Netzen ver­mieden. Gültig sind diese Adressen nur innerhalb einer Orga­ni­sation, sie werden nicht ins Internet geroutet.

Wis­senswert ist, dass nur der Bereich von Link-Local-Adressen auf Basis der Netz­in­fra­struktur ein­deutig ver­ankert ist, dieser Gül­tig­keits­be­reich ist durch die ein­ge­setzte Netz­werk­tech­no­logie (z. B. Ethernet) ein­deutig und damit ver­lässlich defi­niert. Andere Gül­tig­keits­be­reiche von Adressen sind Ver­ein­ba­rungen, deren Ein­haltung im Zweifel über­prüft werden muss bzw. durch eigene Fil­ter­regeln in Fire­walls unter­stützt werden kann.

Ein wesent­licher Sicher­heits­bau­stein ist die Auf­teilung des Fir­men­netzes in ver­schiedene Adress­be­reiche. Die Grundlage ist dabei die Erstellung eines Adress­plans (Pre­paring an IPv6 Address Plan). Dieser ver­folgt ein ein­heit­liches, auf die jeweilige Situation vor Ort ange­passtes Konzept der IPv6-Adres­s­­vergabe und ver­schafft dem Netz­werk­ad­mi­nis­trator die not­wendige Über­sicht. Ent­halten sollte dieser Adressplan die logi­schen Teil­netze (Arbeits­plätze, interne Server, externe Server, usw.), zuge­ordnete Sicher­heits­zonen, vor­ge­se­hener IPv6-Adresstyp, IPv6 und IPv4-Adres­s­­be­­reiche, ggf. Angaben zu VLANs oder zur Zugriffsteuerung zwi­schen den Teil­netzen. Gerade die gemeinsame Dar­stellung von IPv6- und IPv4-Adres­s­­be­­reichen in einer Dar­stellung sorgt in der Über­gangs­phase (Dual-Stack-Betrieb) dafür, dass Fil­ter­regeln über­sichtlich und kon­sistent bleiben.

Lesen Sie mehr:

Sichere Ein­führung von IPv6 (Teil 1): Warum Unter­nehmen auf IPv6 umstellen sollten

Sichere Ein­führung von IPv6 (Teil 2) Erste Schritte für Ihr Unter­nehmen

Sichere Ein­führung von IPv6 (Teil 3) Eigen­schaften von IPv6

Bild:  © Günther Menzl / Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Jens Tiemann, Fraun­hofer FOKUS

Jens Tiemann arbeitet als wis­sen­schaft­licher Mit­ar­beiter im Kom­pe­tenz­zentrum Öffent­liche IT (ÖFIT), dem Think Tank für  Öffent­liche IT am Fraun­hofer-Institut FOKUS. Seine beson­deren For­schungs­schwer­punkte liegen im Bereich des Internet-Zugangs, Future Internet und selbst­or­ga­ni­sie­render Systeme. Ziel seiner Arbeit ist die Ent­wicklung von Roadmaps für die sicher­heits­be­zogene Kon­so­li­dierung gewach­sener Netz­in­fra­struk­turen und Tech­no­logien im öffent­lichen Raum.

Jens Tiemann hat an der TU Berlin Elek­tro­technik stu­diert. Er ist Co-Autor des IPv6-Migra­ti­ons­leit­fadens und des IPv6-Profils für die öffent­liche Ver­waltung der Bun­des­stelle für Infor­ma­ti­ons­technik (BIT) im BVA, außerdem ver­tritt er das Fraun­hofer FOKUS im Deut­schen IPv6-Rat.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.