© saicle/Shutterstock.com
Schwachstellen erkennen und beheben

Risiko IPv6


Angriffe über IPv6 bleiben oft unbemerkt, weil Sicherheitslösungen wie Firewalls und Intrusion Detection bzw. Prevention Systeme (IDS/IPS) oder auch Netzwerkmanagementtools das Protokoll zwar unterstützen, die übertragenen Daten aber ganz oder teilweise ignorieren.

Solange die lokalen Netze nur IPv4 verwenden, scheint eine Überwachung des IPv6-Netzwerkverkehrs überflüssig zu sein. Denn den kann es ja eigentlich gar nicht geben. Also müssen weder Firewall noch IDS oder IPS darauf achten, was darüber übertragen wird. Genauso wenig müssen Admins Managementtools verwenden, die IPv6 berücksichtigen. Denn es kann ja nicht sein, was nicht sein soll. Nur stört das die Angreifer ja nun bekanntlich überhaupt nicht, ganz im Gegenteil. Die nutzen IPv6 einfach – und unterlaufen damit die vorhandenen Schutz- und Überwachungsmaßnahmen ganz einfach. Darum nehme ich einen Teil des Fazits schon mal vorweg: Wenn Sie noch nicht über komplett IPv6-fähige Firewalls, IDS/IPS und Netzwerkmanagementtools verfügen, besorgen Sie sich welche. Und wenn Ihre Geräte und Tools zwar IPv6 unterstützen, die zugehörigen Überwachungsfunktionen aber bisher ausgeschaltet waren, dann schalten Sie sie jetzt ein. Denn die Angreifer können IPv6 auch über IPv4 tunneln, und ohne IPv6-fähige Sicherheitslösungen werden die Inhalte dieses getunnelten Netzwerkverkehrs nicht kontrolliert.

IPv6 ist nicht böse

IPv6 ist erst mal weder sicherer noch unsicherer als IPv4 – zumindest in der Theorie. In der Praxis gibt es immer mal wieder ein Problem oder eine Schwachstelle, an die anfangs niemand gedacht hat. Das liegt einfach daran, dass IPv4 schon viel länger gereift ist: Es hat nicht nur seine Kinderkrankheiten hinter sich, sondern auch schon die eine oder andere „Erwachsenenkrankheit“. IPv6 dagegen ist damit verglichen maximal im jugendlichen Alter.

Die bisher bekannten IPv6-basierten Angriffe und Schwachstellen sind auf Fehler im Code, Designschwächen im Protokoll, schlechte Implementierungen und mangelhafte Administration zurückzuführen.

Workaround: IPv6 einfach ausschalten

Da die meisten neu installierten Rechner inzwischen per Default IPv6 unterstützen, sind sie darüber auch angreifbar. Daher kann in reinen IPv4-Netzen bis zur Anschaffung bzw. Konfiguration von IPv6-basierten Schutzmaßnahmen als Workaround die IPv6-Unterstützung der Clients ausgeschaltet werden, sodass sie für die Angreifer darüber nicht mehr erreichbar sind.

Leider ist das leichter gesagt als getan, denn das Deaktivieren des IPv6-Sta...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang