Vor fünf Jahren – im Juli 2017 – hat die internationale Internet Engineering Task Force (IETF) das «neue» Internetprotokoll IPv6 im RFC 8200 als Internetstandard erklärt. Die Geschichte reicht allerdings deutlich weiter zurück: Der Draft Standard von IPv6 (RFC 2460) datiert bereits im Jahr 1998. Die Hauptmotivation war es bereits damals, das Problem des beschränkten Internetadressraums des Vorgängers IPv4 zu lösen.
Für die zu dieser Zeit – neun Jahre vor dem Launch des ersten iPhones – bereits absehbare explosionsartige Entwicklung der Zahl internetfähiger Geräte, reichten die etwa 4 Milliarden IP-Adressen von IPv4 bei weitem nicht aus. Heute – bald ein viertel Jahrhundert später – ist die Migration zu IPv6 lange noch nicht abgeschlossen, weite Teile des Internets laufen weiterhin über IPv4 – und die Adressen reichen schon lange nicht mehr. Abhilfe verschafft ein – eigentlich als Übergangslösung erdachter – Mechanismus (Network Address Translation, NAT), der es ermöglicht, eine IP-Adresse auf viele Geräte aufzuteilen. Solange man mit diesen Geräten einfach nur «im Internet surfen» möchte, funktioniert das gut. Probleme gibt es aber, wenn jedes Gerät mit jedem dezentral kommunizieren können soll, was im «Internet of Things» oder allgemein der «Digitalisierung» keine untypische Anforderung ist.
IPv6 ist oft ungemanaged im Firmennetz
Im «geNATteten» IPv4-Netz müssen dafür komplexe Workarounds erdacht werden. Digitalisierungs-Anwendungen müssen um die bestehenden Beschränkungen designed werden, statt auf der Basis eines modernen Ende-zu-Ende-fähigen Netzwerks entstehen zu können. Parallel dazu läuft aber natürlich auch IPv6 in den Netzen. Laut Google haben etwa 36% der Internetnutzer weltweit IPv6-Konnektivität (Schweiz: 32%), vor 5 Jahren waren es 17%. Trotzdem hängen viele IT-Verantwortliche an IPv4 – und zahlen pro IP-Adresse mittlerweile etwa 50 USD (vor 5 Jahren 15 USD). Die Gründe dafür sind vielfältig. Was heisst die aktuelle Situation aber für die IT-Sicherheit?
Wo das Thema IPv6 nicht systematisch angegangen wird, herrscht oftmals die Vorstellung vor, dass man sich auch nicht um die Sicherheit von IPv6 kümmern muss. Das ist aus verschiedenen Gründen ein Fehlschluss. Denn viele Organisationen haben IPv6 latent und ungemanaged in ihren Netzen – und sind darüber angreifbar. Die Betriebssysteme bringen schon seit langem IPv6 mit und können per Autokonfiguration (SLAAC) von aussen aktiviert werden. Geräte, die keine IPv6-Konnektivität im Netz vorfinden, können sich diese über Tunnelmechanismen selber herstellen und damit potentiell Firewalls und Security-Monitoring umgehen, z.B. um Daten zu exfiltrieren oder eine Hintertür in das Unternehmensnetz zu etablieren.
1.4 Millionen offene SQL-Server
Neue Dienste werden möglicherweise bewusst oder unbewusst über beide Protokolle bereitgestellt – beispielsweise in der Cloud –, ohne aber für beide die gleichen Sicherheitsfeatures implementiert zu haben: Access Control Lists und Blacklists, die für IPv4 gut gepflegt werden, können per IPv6 möglicherweise umgangen werden. Sicherheitseinrichtungen, wie z.B. DDoS-Protection, ist teilweise nur für IPv4 scharf gestellt. Das Scannen eigener Ressourcen wird ausschliesslich per IPv4 gemacht und man übersieht die eigene Verwundbarkeit über IPv6. So hat beispielsweise die Shadowserver Foundation kürzlich 1.4 Millionen offene SQL-Server über IPv6 gefunden.
Die genannten Beispiele zeigen, dass es IT-Betreiber heute real mit einer Multi-Protokoll-Umgebung zu tun haben. Ein IPv4-Mindset aus vergangenen Tagen schadet von Jahr zu Jahr mehr. Mit dem stetig steigenden Prozentsatz an IPv6-Nutzern, aktuellen und zukünftigen Digitalisierungs-Anforderungen, sowie immanenten Security-Problemen setzt man sein Unternehmen zunehmend Risiken aus, wenn man IPv6 links liegen lässt. Was kann man stattdessen empfehlen?
