2011 könnte das Jahr von IPv6 werden - Unsicherheiten im Protokoll sorgen für Unsicherheit bei Firmen und Anwendern
15 Jahre alt ist IPv6 nun schon - und 2011 beginnt nun wirklich der Einsatz im Internet. Experten, Institutionen und Regierungen werben schon seit Jahren für das neue Protokoll, aber erst seitdem großen Providern die IP Adressen ausgehen, passiert wirklich etwas. In diesem Jahr werden nun die ersten IPv6 DSL und Firmenanbindungen geschaltet, Ende des Jahres folgen voraussichtlich die Mobilfunkanbieter. Doch was bedeutet der Einsatz von IPv6 - gerade im Bereich der IT-Sicherheit?
Drei Experten - vier Meinungen
Die Expertenmeinungen gehen beim Thema Sicherheit von IPv6 auseinander. Die einen verweisen auf die großen Adressbereiche, die es Angreifern und Würmer schwer machen ihre Ziele zu finden, oder die Vollverschlüsselung mit IPSEC, welche standardmäßig in jeder IPv6 Implementierung enthalten sind. Die anderen verweisen auf die hohe Zahl von Sicherheitsproblemen in der Implementierung die in den letzten Jahren entdeckt wurden - und dass die Problematiken in IPv4 auch gänzlich in IPv6 enthalten sind. Zeit also, den Mythen über die Sicherheit und Unsicherheit von IPv6 auf den Grund zu gehen.
1. "Durch die großen Subnetze können Angreifer und Würmer keine Zielsysteme mehr finden"
Das ist teilweise richtig. Jedes einzelne Subnetz ist 72 Billiarden Mal (2^26) größer als das eines normalen IPv4 Subnetzes. Aber nur wenn die Adressen zufällig gewählt werden ist dies ein Schutz. Nach aktuellen Statistiken sind jedoch 2/3 der Systeme dermaßen konfiguriert, dass sie sehr leicht zu entdecken sind. Zudem gibt es eine Vielzahl von Angriffen die auf Clients ausgerichtet sind, die z.B. auf eine Webseite surfen. Letztendlich gilt es die IPv6 Adressen zufällig zu wählen und für Clients die sogenannte „Privacy" Option zu aktivieren, bei der die öffentliche Adresse regelmäßig geändert wird, und sich nicht auf diesen Schutz der Subnetzgröße - denn als solcher war diese Funktionalität nie gedacht - zu verlassen.
2. „IPv6 hat die gleichen Unsicherheiten wie IPv4"
Auch das ist teilweise richtig. Die alten Kinderkrankheiten von IPv4 wie ARP und DHCP Spoofing oder Source Routing hat IPv6 geerbt. Einige unnötige Funktionalitäten sind weggefallen, und somit die Risiken, dafür sind viele neue Funktionalitäten hinzugekommen - und damit neue Risiken. Hierzu zählen z.B. Router Erkennung, die sich ebenfalls vortäuschen lässt um Netzwerkverkehr umzulenken oder Angriffe auf Multicast Protokolle, welche das Rückgrat der neuen Funktionalitäten darstellen.
Die gute Nachricht dabei: Fast alle Angriffe sind nur im lokalen Netz möglich, und es werden Anstrengungen unternommen, durch das neue Sicherheitsprotokoll SeND diese Probleme in den Griff zu bekommen. Ob sich SeND allerdings durchsetzt bleibt abzuwarten, denn weder die Implementierung in die Systeme, noch die Ausrollen im Unternehmen scheinen einfach zu werden.
3. „Die Implementierung von IPv6 in den Systemen ist sicher"
Das ist leider ein Wunschdenken. Zwar haben die Entwickler in den Unternehmen viele Jahrzehnte Erfahrung mit IPv4 gesammelt, jedoch wurden die Erkenntnisse anscheinend nicht genutzt. In den letzten fünf Jahren wurden im Durchschnitt jedes Jahr 15 Sicherheitsprobleme in den Implementierungen entdeckt, dazu gibt es die übliche Dunkelziffer von Sicherheitslücken die zwar Behoben aber nicht veröffentlicht werden. Wenn man bedenkt dass IPv6 noch nicht im großen Stil eingeführt, genutzt und auf Sicherheit durchgetestet ist lässt sich erahnen was in der Zukunft noch kommen kann.
4. „IPv6 erlaubt kein NAT - interne Firmen Systeme können nicht mehr durch Firewalls geschützt werden"
NAT war niemals eine Sicherheitsfunktionalität, auch wenn sie von Netzwerkadministratoren gerne als solche gesehen wurde. Es ist richtig, dass die IPv6 Spezifikationen vorschreiben, dass keine Komponente die Datenpakete zwischen zwei IPv6 Systemen manipulieren darf, und auch bestimmte ICMPv6 Nachrichten zwischen den Systemen durchlassen muss. Wenn allerdings die Filterregeln der Firewalls streng konfiguriert sind und Funktionaltäten wie die Privacy Option genutzt werden entsteht kein höheres Risiko durch den Wegfall von NAT.
5. „IPv6 hat ein gutes und ausgereiftes Design und ist stabil für den produktiven Einsatz"
Das wäre schön - doch leider steckt IPv6 teilweise noch in den Kinderschuhen. Als IPv6 designt wurde, vergaßen die Entwickler, dass DNS Server Adressen bekannt gegeben werden müssen. Doch statt eine Lösung dafür zu finden wurden drei unterschiedliche vorgeschlagen - und keine davon ist für Hersteller vorgeschrieben. Ähnlich ist es mit Multicast. Es soll das Rückgrat der Funktionalitäten von IPv6 werden, noch ist allerdings nicht vollständig klar welches Routingprotokoll dafür verwendet werden soll, und noch gibt es dafür kaum Implementationen. Grundsätzlich ist das Problem von IPv6, dass es eine sehr große Anzahl von Funktionalitäten beinhaltet, es jedoch keine Richtlinie gibt, die vorschreibt, welche Funktionalitäten mindestens unterstützt werden müssen.
6. „Die Einführung von IPv6 ist schwierig und langwierig"
Bislang hat sich noch kaum eine Firma an die vollständige Einführung von IPv6 gewagt. Die Berichte sind gespalten, von „es war sehr einfach" bis zu „wir haben es wegen Produktionsausfällen abbrechen müssen" findet sich alles. Letztendlich steht und fällt der Erfolg mit den eingesetzten Applikationen. Unterstützen die meisten und wichtigsten IPv6 ist die Einführung machbar, ansonsten gleicht ein solches Projekt der Büchse der Pandora. IT Leiter sollten sich daher kritisch mit Erfolgsgeschichten und Berichten von Niederlagen auseinandersetzen.
(Vortrag von Marc Heuse am Chaos Communication Congress 2011)
Hersteller und Beratungshäuser reiben sich derweil schon die Hände - es ist abzusehen, dass die nächsten 5 Jahre so viel Geld zu machen ist wie mit dem Jahr 2000 Problem. Viel Hardware wird ausgetauscht - allen voran Multifunktionsgeräte und Netzwerkkomponenten, jede Menge Software neu gekauft, und jede Menge externes Know-How wird eingekauft werden müssen.
Fazit
Der Blick auf IPv6 ergibt ein gemischtes Bild. Vorteile ergeben sich durch den Einsatz kaum, die Risiken sind teilweise noch unklar - und doch muss es nun eingeführt werden.
Es rächt sich, dass durch das Herauszögern des Unvermeidlichen - eine hohe Kunst des Menschen solange es nicht um Sex geht - nun wenig Zeit vorhanden ist, um die Probleme anzugehen. Der Einsatz bei den Internet Provider muss aber schon vollem Gange sein - und die großen Firmen müssen dieses Jahr zumindest für ihre angebotenen Internet Dienste folgen. Wer es sich leisten kann noch mit dem Einsatz - gerade im internen Firmennetz - noch zu warten, sollte dies tun. Allerdings darf dies nicht tatenlos sein, sondern bei jeglichen Anschaffungen ist darauf zu achten, dass alle Komponenten vollständig IPv6 unterstützen. (Marc Heuse für derStandard.at)
Der Spanier José Ramón Carbajosa ist der neue Chef des EU-Verbands der Elektro- und Elektronikrecycler. Elektronikabfälle sind nicht nur ein Umweltproblem, sie haben auch strategische Bedeutung, sagt er zu Jan Marot
Aktuelles zu IPv6 in heise ct 5 13.2.2012 Seite 183
Absatz: Henne und Ei
Zitat: In vielen Ländern setzen regulatorische Vorschriften IPv6 bei Behörden voraus und manche Regierungen versuchen mit IPv6 die Infrastruktur für den Ausbau IP-basierter Dienste zu schaffen /Zitat
Die Funktionalität bezeichnet in der Technik und in der Informatik die Fähigkeit eines Produktes oder einer Komponente, eine bestimmte Funktion oder Gruppe von Funktionen zu erfüllen.
stellt zwar fest dass es mal in.. Netz Urzeiten eine 1:1 Beziehung aller IP- Internetteilnehmer gab,
diese aber schnell erkannt haben dass dies allein völliger Unsinn ist, und daraufhin das
Domain Name System entwickelt haben.
DNS ein Asymmetrisches System, mit einerseits sich deklarierenden (Server Betreibern), und andererseits anonymen Teilnehmern (Nutzern).
IPv6 für alle Netzteilnehmer ist daher ein bereits im Kern völlig falscher Ansatz, die notdürftige Reparatur mit den "Privacy Extensions" belegt diesen falschen Entwicklungsansatz,
UND! es gibt derzeit keine Garantie dafür dass diese "Privacy Reparatur" der angebliche Anonymisierung mittels "Zufallszahl" nicht doch einen trojanischen Kern enthält.
also ich habe mal testweise mit dem IIS einen kleinen Webserver betrieben (auf Win7_64_ultimate) und der war problemlos über seine ipv4 als auch die ipv6 Adresse erreichbar, da ich keinen DC hatte und auch keine domain, konnte ich nur PNRP (also meineKiste.pnrp.net) verwenden und DynDNS-ähnliche Dienste für ipv6, lief aber, und wenn man die Notation beachtete, sogar direkt über die Adresse, also etwa http://[2001:ABCD:FFFF::2]/ Wie das bei "richtigen" Servern aussieht ... keine Ahnung aber es gibt genug Zeug im Internet welches nur über ipv6 erreichbar ist ...
Noch blöder gehts kaum. im Dualbetrieb sind nachwievor viele DNS überfordert, wenn der Testbetrieb klappt, wunderbar, aber empirisch ist leider was andres.
aber ich fände es besser immer die eigenen Erfahrungen wieder zu geben und in meinem Fall sind die ipv6 Erfahrungen wesentlich besser als immer so behauptet wird. Ausserdem: wir sind in einer Übergangsphase und den dualStack wirds irgendwann mal net mehr geben. Von DC zu AC war auch Übergangsphase (wir brauchen keinen Wechselstrom,Gleichstrom is ja gut genug) usw usw. Es verzögert nur unnötig eine längst überfällige Entwicklung, wenn man gegen ipv6 ist!
Wie schön hier in der Überschrift Albtraum geschrieben wurde. Danke Standard, setzt diesem Alptraum-Wahn ein Ende. Schließlich fürchten wir uns ja nicht vor den Alpen.
in der V6 Welt ist dann jedes Elektronik Gerät von außen erreichbar, gleich als ob einer der in vordem unter v4 in einer Wohnung mit Stahltüre lebt, nun sein Wohnzimmer auf die offene Straße stellt, dort seine Möbel von EDV Gurus bewachen lässt.
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.
Alle Rechte vorbehalten. Nutzung ausschließlich für den privaten Eigenbedarf. Eine Weiterverwendung und Reproduktion über den persönlichen Gebrauch hinaus ist nicht gestattet.
Bitte geben Sie eine E-Mail-Adresse an.
Aktualisierung Ihrer E-Mail-Adresse
Ihre aktuelle und korrekte E-Mail-Adresse ist Voraussetzung für alle Benachrichtigungen, die Sie von derStandard.at erhalten (z.B. Antworten auf Ihre Postings, Hilfe bei vergessenem Passwort). Zusätzlich werden Sie Ihre E-Mail-Adresse künftig für das Login benötigen.
Daher bitten wir Sie um eine kurze Überprüfung und Bestätigung Ihrer E-Mail-Adresse. Ihre E-Mail-Adresse wird dadurch nicht für Dritte sichtbar!
Die von Ihnen angegebene E-Mail-Adresse ist bereits mit einem anderen Account verknüpft. Bitte geben Sie eine andere E-Mail-Adresse an.
Diese E-Mail-Adresse ist leider ungültig. Bitte verwenden Sie eine dauerhafte E-Mail-Adresse!
Eine E-Mail-Adresse kann nicht für mehrere Accounts verwendet werden!
Aktualisierung Ihrer E-Mail-Adresse
Danke für die Bestätigung Ihrer E-Mail-Adresse. Es wurde ein Bestätigungslink an die angegebene Adresse gesendet.
Aktualisierung Ihrer E-Mail-Adresse
Ein unbekannter Fehler ist aufgetreten. Die E-Mail konnte nicht gesendet werden. Bitte versuchen Sie es noch einmal.
