DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Sicherer Betrieb von IPv4-Alt­­sys­­temen in einer IPv6-Umgebung

In dieser Reihe wird die IPv6-Ein­­führung nach dem Dual-Stack-Ver­­­fahren betrachtet: In ein bestehendes IPv4-Netz wird das neue Pro­tokoll IPv6 ein­ge­führt. Bestehende wie neue Netz­kom­po­nenten und End­geräte nutzen eines der beiden Pro­to­kolle, je nach Ver­füg­barkeit in den Netzen und der Nutzung in den Anwen­dungen. Da bei diesem Vor­gehen die bisher funk­tio­nie­rende Kom­mu­ni­kation über IPv4 immer noch ver­fügbar ist, muss man sich ver­gleichs­weise wenig Gedanken um das Funk­tio­nieren seiner Infra­struktur und seiner Anwen­dungen machen. Aller­dings ist diese Phase auch mit einem höheren Aufwand ver­bunden: Ins­be­sondere Firewall-Regeln müssen sowohl für IPv4 als auch für IPv6 gepflegt werden. In den Netzen gibt es immer zwei Kom­mu­ni­ka­ti­ons­pfade, das erschwert sowohl die Über­sicht als auch die Mög­lichkeit der Nach­ver­folgung und ist so unter dem Aspekt der Sicherheit nicht optimal.

Dual-Stack ist ein gutes Ver­fahren, wenn nicht alle Abhän­gig­keiten zwi­schen den eigenen Sys­temen bekannt sind, da die Systeme auto­ma­tisch zwi­schen den Pro­to­kollen IPv4 und IPv6 wählen können. Aller­dings sollte man diese Betriebs­phase mög­lichst kurz oder in der Aus­dehnung in den lokalen Netzen begrenzt halten. In Firmen gibt es aber oft ein­zelne, wichtige Systeme, die sich nicht pro­blemlos von IPv4 auf IPv6 umstellen lassen. Bei­spiele sind  eine Software, die noch im Einsatz ist, aber schon längst nicht mehr von ihrem Her­steller unter­stützt wird oder ein Steu­er­rechner für eine Maschine, die einen wesentlich län­geren Lebens­zyklus hat als in der kurz­le­bigen IT-Branche üblich. Auch der umge­kehrte Fall tritt, aller­dings sel­tener, auf: Warum nicht bei einer Neu­in­ves­tition schon auf IPv6 setzen, obwohl man noch weit­gehend IPv4-Systeme nutzt? In beiden Fällen müssen die beiden Welten von IPv4 und IPv6 mit­ein­ander ver­bunden werden, da die Pro­to­kolle nicht direkt mit­ein­ander kom­mu­ni­zieren können. Hierzu gibt es ver­schiedene Mög­lich­keiten, die kurz vor­ge­stellt werden sollen.

Pro­to­koll­um­setzung

Schon auf­grund des extrem unter­schied­lichen Adress­um­fangs (schon der IPv6-Adressteil Interface Iden­tifier umfasst ein Viel­faches des IPv4-Adres­s­­raums) kann es keine uni­ver­selle, direkte Umsetzung zwi­schen IPv4 und IPv6 auf Netz­wer­kebene geben. Man könnte aber z. B. einen Adress­be­reich fest­legen oder andere Annahmen für eine Umsetzung treffen, aller­dings wäre die Umsetzung dann nicht mehr uni­versell und unkom­pli­ziert nutzbar.

Alter­nativ kann die Umsetzung zwi­schen den beiden Welten auf der Anwen­dungs­ebene geschehen – aus Sicht der Anwendung ist die Ver­wendung von IPv4 oder IPv6 fast immer gleich. Ver­wendet man nur wenige Pro­to­kolle, bspw. nur das http-Pro­­­tokoll zur Nutzung eines Web­servers und seiner mög­li­cher­weise umfang­reichen Dienste, so kann man eine Pro­to­koll­um­setzung auf Anwen­dungs­ebene vor­nehmen. Ein Proxy oder Gateway wird auf der einen Seite über IPv4 und auf der anderen Seite über IPv6 ange­bunden und erledigt die Pro­to­koll­um­setzung neben seiner eigent­lichen Aufgabe, also quasi „nebenbei“. Auf diese Weise lassen sich bspw. ältere IPv4-Geräte mit ihren Web-Ober­­flächen von IPv6-PCs steuern.

Einsatz von Tunnel

Wenn man den Einsatz von IPv4 und IPv6 räumlich trennen kann (also Netze iden­ti­fi­zieren kann, in denen nur IPv4 oder IPv6 ver­wendet wird), so kann man die dabei ggf. ent­ste­hende Inseln mittels Tun­nel­tech­niken ver­binden. Auf diese Weise lassen sich ver­streut ein­ge­setzte Alt­geräte zusam­men­fassen und der Aufwand für den Anschluss kann in einem Punkt kon­zen­triert oder bestehende Infra­struktur mit­ge­nutzt werden.

Viele Arten von Tunnel sind hier denkbar, dies reicht von unver­schlüs­selten IP-in-IP-Tunneln zum reinen Transport in internen Netzen bis zur Nutzung eines VPN (Virtual Private Network), das den Verkehr zusätzlich ver­schlüsselt. Beim Einsatz von Tunneln ist zu beachten, dass man mit einem Tunnel ggf. auch Sicher­heits­geräte durch­tunnelt und diese damit wir­kungslos werden. Über Tunnel ange­schlossene End­geräte werden zu Teilen eines internen Netzes, auch wenn sie phy­sisch weit ent­fernt sind und sich damit in einer poten­tiell unkon­trol­lierten Umgebung befinden.

Nutzung von Vir­tua­li­sierung

Vir­tua­li­sierung ist ein pro­bates Mittel zur Kon­so­li­dierung von Infra­struk­turen. Die benö­tigte Anwen­dungs­software wird dabei in einer idealen Ein­satz­um­gebung aus pas­sendem Betriebs­system und Hilfs­pro­grammen auf einer vir­tu­ellen Maschine instal­liert. Auch die Nutzung von vir­tu­ellen Schnitt­stellen und damit die Ver­wendung von IPv4 ist in dieser Umgebung möglich, so dass die instal­lierte Software nicht IPv6-fähig sein muss. Eine Anbindung an die Umgebung kann nach den oben dar­ge­stellten Ver­fahren innerhalb oder außerhalb der Vir­tua­li­sie­rungs­um­gebung vor­ge­nommen werden.

Mehr Infor­ma­tionen zur Ein­führung von IPv6, zu IPv6-Ein­­sat­z­s­ze­­narien und Über­gangs­tech­niken findet man im „IPv6-Migra­­ti­on­s­­lei­t­­faden für die öffent­liche Ver­waltung“, den man beim Bun­des­ver­wal­tungsamt kos­tenlos her­un­ter­laden kann (Anmerkung: Der Autor dieses Bei­trags ist Mit­autor des Migra­ti­ons­leit­fadens).

Mit diesem Beitrag ist eine kurze Reihe zur Ein­führung von IPv6 beendet. Ziel war es, einen breiten Über­blick über ver­schiedene Aspekte zu geben und auf wei­ter­füh­rende Infor­ma­tionen zu ver­weisen. Ein letzter Blick soll noch einmal auf die Ver­breitung von IPv6 in Deutschland gerichtet sein: Im ersten Beitrag wurde auf die IPv6-Nutzung bei Google ver­wiesen, die im August 2013 bei knapp 4 % lag – inzwi­schen, im Januar 2014 sind es schon über 6 %. Es wird Zeit, sich mit IPv6 zu beschäf­tigen.

Sichere Ein­führung von IPv6 (Teil 1): Warum Unter­nehmen auf IPv6 umstellen sollten

Sichere Ein­führung von IPv6 (Teil 2) Erste Schritte für Ihr Unter­nehmen

Sichere Ein­führung von IPv6 (Teil 3) Eigen­schaften von IPv6

Sichere Ein­führung von IPv6 (Teil 4) Sicher­heits­me­cha­nismen von IPv6

Sichere Ein­führung von IPv6 (Teil 5) Daten­schutz bei der Nutzung von IPv6

Sichere Ein­führung von IPv6 (Teil 6) Woher bekommt man IPv6?

Bild:  © Günther Menzl / Fotolia.com

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Jens Tiemann, Fraun­hofer FOKUS

Jens Tiemann arbeitet als wis­sen­schaft­licher Mit­ar­beiter im Kom­pe­tenz­zentrum Öffent­liche IT (ÖFIT), dem Think Tank für  Öffent­liche IT am Fraun­hofer-Institut FOKUS. Seine beson­deren For­schungs­schwer­punkte liegen im Bereich des Internet-Zugangs, Future Internet und selbst­or­ga­ni­sie­render Systeme. Ziel seiner Arbeit ist die Ent­wicklung von Roadmaps für die sicher­heits­be­zogene Kon­so­li­dierung gewach­sener Netz­in­fra­struk­turen und Tech­no­logien im öffent­lichen Raum.

Jens Tiemann hat an der TU Berlin Elek­tro­technik stu­diert. Er ist Co-Autor des IPv6-Migra­ti­ons­leit­fadens und des IPv6-Profils für die öffent­liche Ver­waltung der Bun­des­stelle für Infor­ma­ti­ons­technik (BIT) im BVA, außerdem ver­tritt er das Fraun­hofer FOKUS im Deut­schen IPv6-Rat.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.