IPv6 – ein unbeliebtes IT-Thema feiert Jubiläum

Die Version 6 des Internetprotokolls (IPv6) wurde vor fünf Jahren als Internetstandard definiert und soll damit als Basis für die Digitalisierung dienen. Ein wichtiges Thema für IT-Betreiber und Sicherheitsverantwortliche.

Text: Frank Herberg, publiziert am 04.07.2022

Vor fünf Jahren – im Juli 2017 – hat die internationale Internet Engineering Task Force (IETF) das «neue» Internetprotokoll IPv6 im RFC 8200 als Internetstandard erklärt. Die Geschichte reicht allerdings deutlich weiter zurück: Der Draft Standard von IPv6 (RFC 2460) datiert bereits im Jahr 1998. Die Hauptmotivation war es bereits damals, das Problem des beschränkten Internetadressraums des Vorgängers IPv4 zu lösen.

Für die zu dieser Zeit – neun Jahre vor dem Launch des ersten iPhones – bereits absehbare explosionsartige Entwicklung der Zahl internetfähiger Geräte, reichten die etwa 4 Milliarden IP-Adressen von IPv4 bei weitem nicht aus. Heute – bald ein viertel Jahrhundert später – ist die Migration zu IPv6 lange noch nicht abgeschlossen, weite Teile des Internets laufen weiterhin über IPv4 – und die Adressen reichen schon lange nicht mehr. Abhilfe verschafft ein – eigentlich als Übergangslösung erdachter – Mechanismus (Network Address Translation, NAT), der es ermöglicht, eine IP-Adresse auf viele Geräte aufzuteilen. Solange man mit diesen Geräten einfach nur «im Internet surfen» möchte, funktioniert das gut. Probleme gibt es aber, wenn jedes Gerät mit jedem dezentral kommunizieren können soll, was im «Internet of Things» oder allgemein der «Digitalisierung» keine untypische Anforderung ist.

IPv6 ist oft ungemanaged im Firmennetz

Im «geNATteten» IPv4-Netz müssen dafür komplexe Workarounds erdacht werden. Digitalisierungs-Anwendungen müssen um die bestehenden Beschränkungen designed werden, statt auf der Basis eines modernen Ende-zu-Ende-fähigen Netzwerks entstehen zu können. Parallel dazu läuft aber natürlich auch IPv6 in den Netzen. Laut Google haben etwa 36% der Internetnutzer weltweit IPv6-Konnektivität (Schweiz: 32%), vor 5 Jahren waren es 17%. Trotzdem hängen viele IT-Verantwortliche an IPv4 – und zahlen pro IP-Adresse mittlerweile etwa 50 USD (vor 5 Jahren 15 USD). Die Gründe dafür sind vielfältig. Was heisst die aktuelle Situation aber für die IT-Sicherheit?

Wo das Thema IPv6 nicht systematisch angegangen wird, herrscht oftmals die Vorstellung vor, dass man sich auch nicht um die Sicherheit von IPv6 kümmern muss. Das ist aus verschiedenen Gründen ein Fehlschluss. Denn viele Organisationen haben IPv6 latent und ungemanaged in ihren Netzen – und sind darüber angreifbar. Die Betriebssysteme bringen schon seit langem IPv6 mit und können per Autokonfiguration (SLAAC) von aussen aktiviert werden. Geräte, die keine IPv6-Konnektivität im Netz vorfinden, können sich diese über Tunnelmechanismen selber herstellen und damit potentiell Firewalls und Security-Monitoring umgehen, z.B. um Daten zu exfiltrieren oder eine Hintertür in das Unternehmensnetz zu etablieren.

1.4 Millionen offene SQL-Server

Neue Dienste werden möglicherweise bewusst oder unbewusst über beide Protokolle bereitgestellt – beispielsweise in der Cloud –, ohne aber für beide die gleichen Sicherheitsfeatures implementiert zu haben: Access Control Lists und Blacklists, die für IPv4 gut gepflegt werden, können per IPv6 möglicherweise umgangen werden. Sicherheitseinrichtungen, wie z.B. DDoS-Protection, ist teilweise nur für IPv4 scharf gestellt. Das Scannen eigener Ressourcen wird ausschliesslich per IPv4 gemacht und man übersieht die eigene Verwundbarkeit über IPv6. So hat beispielsweise die Shadowserver Foundation kürzlich 1.4 Millionen offene SQL-Server über IPv6 gefunden.

Die genannten Beispiele zeigen, dass es IT-Betreiber heute real mit einer Multi-Protokoll-Umgebung zu tun haben. Ein IPv4-Mindset aus vergangenen Tagen schadet von Jahr zu Jahr mehr. Mit dem stetig steigenden Prozentsatz an IPv6-Nutzern, aktuellen und zukünftigen Digitalisierungs-Anforderungen, sowie immanenten Security-Problemen setzt man sein Unternehmen zunehmend Risiken aus, wenn man IPv6 links liegen lässt. Was kann man stattdessen empfehlen?

Richtiger Umgang mit IPv6

Wie wir gesehen haben, ist IPv6 weit weg von einem reinen Netzwerkthema, sondern liegt in der Gesamt-IT-Verantwortung sowie IT-Security-Verantwortung für eine zukunftsgerichtete, sichere und effiziente IT. Es kann daher sinnvoll sein, einen «IPv6-Officer» zu benennen, der die IPv6-Aspekte aller IT-Vorhaben überblickt, ganz gleich, ob es ums neue Data Center, den Cloud-Provider, das SOC-Outsourcing, Firewallprojekt oder Toolanforderungen geht.

Wer in Ihrer Organisation braucht welches Level an IPv6-Know-how? Die Antwort darauf ist nicht einfach, ein Ausbildungsplan sinnvoll, und wirklich lernen tut man vor allem in überschaubaren Umsetzungsprojekten. Auch ist es sehr sinnvoll, sich mit anderen zu vernetzen und Erfahrungen auszutauschen. Werden Sie aktiv! Eine Anlaufstelle ist beispielsweise das Swiss IPv6 Council.

Mit Blick auf die verschiedenen IPv6-spezifischen Sicherheitsrisiken sollten Sie analysieren, ob und wo sich gegebenenfalls Angriffsmöglichkeiten aufgetan haben, die unter Ihrem Radar geblieben sind – und diese mitigieren. 

Nutzen Sie den Lifecycle von neuen Applikationen und Produkten dafür, diese IPv6-fit zu machen. Andernfalls holen Sie sich neue Legacy ins Haus, die Sie dann wieder über Jahre begleitet und mit der Zeit zunehmend behindert und den Betrieb massiv verteuert.

Alle genannten Punkte brauchen Unterstützung vom Management. Hier gilt es, Verständnis zu schaffen – siehe Punkt 1 – und sich gemeinsam mit den Stakeholdern an einen Tisch zu setzen und belastbare Grundsatzentscheidungen zu treffen, die dann beispielsweise in einer Unternehmensrichtlinie die Basis für alle Detailentscheidungen darstellen kann.

Über den Autor
Frank   Herberg

Frank Herberg

Frank Herberg arbeitet seit 2012 bei SWITCH und ist als Head of SWITCH-CERT (Commercial Sectors) verantwortlich für die Kundensektoren Banken, Industrie & Logistik sowie Energie.

E-Mail

#Security

Dieser Artikel wurde erstmals bei inside-it.ch und inside-channels.ch im Rahmen der #Security-Kolumne von SWITCH publiziert. Die Kolumne erscheint sechs Mal jährlich. Expertinnen und Experten von SWITCH äussern unabhängig ihre Meinung zu Themen rund um Politik, Technik und Awareness der IT-Sicherheit.

Weitere Beiträge