Da inzwischen zunehmend PDAs, Mobiltelefone aber auch in PKWs eingesetzte Multimedia-Systeme sowie Bordcomputer und verschiedene in Privathaushalten vorhandene Geräte auf das Internet zugreifen, reicht der unter IPv4 bereitstehende Adressraum trotz Lösungsansätzen wie NAT auf die Dauer nicht aus.
Diese Entwicklung war bereits Anfang der 90er Jahre absehbar und man begann mit der Arbeit am Internet-Protokoll der Zukunft IPv6. Im Gegensatz zur Vorgängerversion, die nur Adressen mit einer Länge von 32 Bit unterstützte, kommt IPv6 mit einer Adresslänge von 128 Bit zurecht. Dadurch entsteht ein Adressraum, der mehrere Billionen Adressen umfasst.
Obwohl IPv6 auf dem IP-Sicherheitsstandard IPsec aufbaut und dementsprechend Verschlüsselungsmechanismen integriert sind, kann die Umstellung auf das neue Protokoll Sicherheitsprobleme verursachen. Beispielsweise gilt die hierfür häufig zum Einsatz kommende „6to4“-Tunneltechnik als risikobehaftet. Sowohl Distributed-Denial-of-Service-Attacken, unberechtigte Zugriffe auf den über IPv6-in-IPv4-Tunnel transportierten Datenverkehr oder gar der Zugang und die Steuerung von Systemen oder gesamten Netzwerken über eine so genannte Backdoor sind nicht auszuschließen.
IT-Verantwortliche müssen lernen
Die größte Gefahr sieht Internet Security Systems darin, dass der Kenntnisstand über IPv6 bei IT-Verantwortlichen und Cyber-Kriminellen weit auseinander klafft. Oftmals genügt IPv4 den derzeitigen Unternehmensanforderungen. Netzwerkadministratoren sehen sich daher nicht in der Pflicht, sich mit dem neuen Protokoll auseinander zu setzen.
Sie ignorieren zum einen, dass IPv6 bereits in vielen Infrastrukturen Einzug gehalten hat. Zum anderen fehlt ihnen die Erfahrung und die Expertise, das Protokoll richtig zu handhaben. Dies ist insofern ein Risikofaktor, da heute rund um den Globus bereits viele produktive Netzwerke auf IPv6 aufbauen - Tendenz steigend.
Hinzu kommt, dass die meisten modernen Connectivity-Produkte bereits IPv6 unterstützen. Somit ist es ein Trugschluss, zu glauben, dass die eigene auf dem Vorgängerprotokoll basierte Infrastruktur keinerlei Risiken ausgesetzt ist. Vielmehr ist es durchaus möglich, dass bereits bösartiger IPv6-Datenverkehr unentdeckt über IPv4-Infrastrukturen verläuft und Schäden anrichtet.
Hacker wissen mehr
Im Gegensatz zu einer großen Zahl an IT-Verantwortlichen in Unternehmen kennen sich Cyber-Kriminelle bereits bestens mit IPv6 aus. Gerade von der Hackergemeinde ist bekannt, dass sie für den Austausch von Informationen bereits seit geraumer Zeit „IPv6 only“ Internet-Relay-Chat-Systeme und -Server nutzt. Gleiches gilt für den Betrieb von IPv6-Web- und FTP-Seiten.
Dank dieses Wissensvorsprungs sind sie mit Schwachstellen und deren Ausnutzung bestens vertraut und können die mangelnden Kenntnisse ihrer Gegenspieler, der Netzwerkverantwortlichen in den Unternehmen, Gewinn bringend nutzen.
Der aktuelle Threat IQ Report ist ab sofort im Internet abrufbar und beschäftigt sich umfassend mit dem Internet-Protokoll Version 6. Nach einem einleitenden kurzen Abriss zur Entstehung von IPv6 und den maßgeblichen Faktoren, welche die Verabschiedung des neuen Protokolls vorantrieben, werden Vorteile, aber auch Mängel und Schwachstellen ausführlich dargestellt. Ein weiterer Schwerpunkt liegt darüber hinaus auf Empfehlungen, wie sich Sicherheitsrisiken bei der Umstellung von IPv4 auf IPv6 vermeiden lassen. (mha)
|
Literatur zum Thema IT-Sicherheit |
Titelauswahl |
|---|---|
|
Titel von Pearson Education |
|
|
PDF-Titel (50 % billiger als Buch) |