15 Jahre alt ist IPv6 nun schon – und 2011 beginnt nun wirklich der Einsatz im Internet. Experten, Institutionen und Regierungen werben schon seit Jahren für das neue Protokoll, aber erst seitdem großen Providern die IP Adressen ausgehen, passiert wirklich etwas. In diesem Jahr werden nun die ersten IPv6 DSL und Firmenanbindungen geschaltet, Ende des Jahres folgen voraussichtlich die Mobilfunkanbieter. Doch was bedeutet der Einsatz von IPv6 – gerade im Bereich der IT-Sicherheit?

Drei Experten – vier Meinungen

Die Expertenmeinungen gehen beim Thema Sicherheit von IPv6 auseinander. Die einen verweisen auf die großen Adressbereiche, die es Angreifern und Würmer schwer machen ihre Ziele zu finden, oder die Vollverschlüsselung mit IPSEC, welche standardmäßig in jeder IPv6 Implementierung enthalten sind. Die anderen verweisen auf die hohe Zahl von Sicherheitsproblemen in der Implementierung die in den letzten Jahren entdeckt wurden – und dass die Problematiken in IPv4 auch gänzlich in IPv6 enthalten sind. Zeit also, den Mythen über die Sicherheit und Unsicherheit von IPv6 auf den Grund zu gehen.

1. "Durch die großen Subnetze können Angreifer und Würmer keine Zielsysteme mehr finden"

Das ist teilweise richtig. Jedes einzelne Subnetz ist 72 Billiarden Mal (2^26) größer als das eines normalen IPv4 Subnetzes. Aber nur wenn die Adressen zufällig gewählt werden ist dies ein Schutz. Nach aktuellen Statistiken sind jedoch 2/3 der Systeme dermaßen konfiguriert, dass sie sehr leicht zu entdecken sind. Zudem gibt es eine Vielzahl von Angriffen die auf Clients ausgerichtet sind, die z.B. auf eine Webseite surfen. Letztendlich gilt es die IPv6 Adressen zufällig zu wählen und für Clients die sogenannte „Privacy" Option zu aktivieren, bei der die öffentliche Adresse regelmäßig geändert wird, und sich nicht auf diesen Schutz der Subnetzgröße – denn als solcher war diese Funktionalität nie gedacht – zu verlassen.

2. „IPv6 hat die gleichen Unsicherheiten wie IPv4"

Auch das ist teilweise richtig. Die alten Kinderkrankheiten von IPv4 wie ARP und DHCP Spoofing oder Source Routing hat IPv6 geerbt. Einige unnötige Funktionalitäten sind weggefallen, und somit die Risiken, dafür sind viele neue Funktionalitäten hinzugekommen – und damit neue Risiken. Hierzu zählen z.B. Router Erkennung, die sich ebenfalls vortäuschen lässt um Netzwerkverkehr umzulenken oder Angriffe auf Multicast Protokolle, welche das Rückgrat der neuen Funktionalitäten darstellen.

Die gute Nachricht dabei: Fast alle Angriffe sind nur im lokalen Netz möglich, und es werden Anstrengungen unternommen, durch das neue Sicherheitsprotokoll SeND diese Probleme in den Griff zu bekommen. Ob sich SeND allerdings durchsetzt bleibt abzuwarten, denn weder die Implementierung in die Systeme, noch die Ausrollen im Unternehmen scheinen einfach zu werden.

3. „Die Implementierung von IPv6 in den Systemen ist sicher"

Das ist leider ein Wunschdenken. Zwar haben die Entwickler in den Unternehmen viele Jahrzehnte Erfahrung mit IPv4 gesammelt, jedoch wurden die Erkenntnisse anscheinend nicht genutzt. In den letzten fünf Jahren wurden im Durchschnitt jedes Jahr 15 Sicherheitsprobleme in den Implementierungen entdeckt, dazu gibt es die übliche Dunkelziffer von Sicherheitslücken die zwar Behoben aber nicht veröffentlicht werden. Wenn man bedenkt dass IPv6 noch nicht im großen Stil eingeführt, genutzt und auf Sicherheit durchgetestet ist lässt sich erahnen was in der Zukunft noch kommen kann.

4. „IPv6 erlaubt kein NAT – interne Firmen Systeme können nicht mehr durch Firewalls geschützt werden"

NAT war niemals eine Sicherheitsfunktionalität, auch wenn sie von Netzwerkadministratoren gerne als solche gesehen wurde. Es ist richtig, dass die IPv6 Spezifikationen vorschreiben, dass keine Komponente die Datenpakete zwischen zwei IPv6 Systemen manipulieren darf, und auch bestimmte ICMPv6 Nachrichten zwischen den Systemen durchlassen muss. Wenn allerdings die Filterregeln der Firewalls streng konfiguriert sind und Funktionaltäten wie die Privacy Option genutzt werden entsteht kein höheres Risiko durch den Wegfall von NAT.

5. „IPv6 hat ein gutes und ausgereiftes Design und ist stabil für den produktiven Einsatz"

Das wäre schön – doch leider steckt IPv6 teilweise noch in den Kinderschuhen. Als IPv6 designt wurde, vergaßen die Entwickler, dass DNS Server Adressen bekannt gegeben werden müssen. Doch statt eine Lösung dafür zu finden wurden drei unterschiedliche vorgeschlagen – und keine davon ist für Hersteller vorgeschrieben. Ähnlich ist es mit Multicast. Es soll das Rückgrat der Funktionalitäten von IPv6 werden, noch ist allerdings nicht vollständig klar welches Routingprotokoll dafür verwendet werden soll, und noch gibt es dafür kaum Implementationen.
Grundsätzlich ist das Problem von IPv6, dass es eine sehr große Anzahl von Funktionalitäten beinhaltet, es jedoch keine Richtlinie gibt, die vorschreibt, welche Funktionalitäten mindestens unterstützt werden müssen.

6. „Die Einführung von IPv6 ist schwierig und langwierig"

Bislang hat sich noch kaum eine Firma an die vollständige Einführung von IPv6 gewagt. Die Berichte sind gespalten, von „es war sehr einfach" bis zu „wir haben es wegen Produktionsausfällen abbrechen müssen" findet sich alles. Letztendlich steht und fällt der Erfolg mit den eingesetzten Applikationen. Unterstützen die meisten und wichtigsten IPv6 ist die Einführung machbar, ansonsten gleicht ein solches Projekt der Büchse der Pandora. IT Leiter sollten sich daher kritisch mit Erfolgsgeschichten und Berichten von Niederlagen auseinandersetzen.

Hersteller und Beratungshäuser reiben sich derweil schon die Hände – es ist abzusehen, dass die nächsten 5 Jahre so viel Geld zu machen ist wie mit dem Jahr 2000 Problem. Viel Hardware wird ausgetauscht – allen voran Multifunktionsgeräte und Netzwerkkomponenten, jede Menge Software neu gekauft, und jede Menge externes Know-How wird eingekauft werden müssen.

Fazit

Der Blick auf IPv6 ergibt ein gemischtes Bild. Vorteile ergeben sich durch den Einsatz kaum, die Risiken sind teilweise noch unklar – und doch muss es nun eingeführt werden.

Es rächt sich, dass durch das Herauszögern des Unvermeidlichen – eine hohe Kunst des Menschen solange es nicht um Sex geht – nun wenig Zeit vorhanden ist, um die Probleme anzugehen. Der Einsatz bei den Internet Provider muss aber schon vollem Gange sein – und die großen Firmen müssen dieses Jahr zumindest für ihre angebotenen Internet Dienste folgen. Wer es sich leisten kann noch mit dem Einsatz – gerade im internen Firmennetz – noch zu warten, sollte dies tun. Allerdings darf dies nicht tatenlos sein, sondern bei jeglichen Anschaffungen ist darauf zu achten, dass alle Komponenten vollständig IPv6 unterstützen. (Marc Heuse für derStandard.at)

Der WebStandard auf Facebook