Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Bringt IPv6 mehr Sicherheit?

Das IP Protokoll in der Version 4 wurde 1981 standardisiert, eine Zeit, in der die Tragweite der heutigen Netzwerksicherheit noch nicht erahnt werden konnte. Demzufolge hat die Protokollimplementation auch diverse Schwachstellen und konnte nur durch unabhängige Erweiterungen auf höheren Ebenen an die Problemstellungen der modernen Netzwerkanwendungen angepasst werden. IPv6 ist seit längerem in aller Munde und wir bereiten uns langsam ernsthaft darauf vor, unsere Netzwerke und Internetanbindungen auf dieses neue Protokoll umzustellen. Natürlich erwartet man beim Eintauchen in die neue IP-Welt, dass nebst dem akuten, primären Problem des limitierten IPv4-Adressraums, auch innovative Antworten auf unsere modernen Sicherheitsanforderungen geliefert werden. Aber Moment – ist IPv6 denn überhaupt so neu? Kurz nachgeschlagen lernt man die ernüchternde Tatsache kennen, dass die Internet Task Force den Standard von IPv6 bereits im Jahr 1998 festgelegt hat, IPv6 feiert also nächstes Jahr sein zwanzigjähriges Jubiläum! Etwas ernüchtert von dieser Tatsache, schauen wir uns nun zur Klärung unserer Titelfrage einige Schwerpunkte an, was das neue IP-Protokoll wirklich in Sachen Sicherheit im Herzen trägt. Beginnen wir bei einer einfachen aktuellen Sicherheitsmassnahme, die in vielen Fällen im Einsatz ist; die Network Address Translation (NAT). Sauber implementiert und konfiguriert bietet NAT zusammen mit einem Paketfilter eine gute Baseline zum Abschotten des eigenen Netzwerks vom Internet. IPv6 kann NAT obsolet machen; es gibt bei dem riesigen Adressraum von IPv6 keinen Grund mehr, eine öffentliche IP-Adresse unter vielen Clients zu teilen, jeder Netzwerkteilnehmer, jede Netzwerkteilnehmende kann sich problemlos eine öffentliche Adresse aneignen – es hat genug für alle. Da beim Weglassen von NAT das Augenmerk komplett auf ein sauberes Firewall-Setup an der Netzwerkgrenze gelegt werden muss, kann auch verhindert werden, dass bei einem laschen Einsatz von NAT von einer falschen Sicherheit ausgegangen wird. Man kann hier also von einer Vereinfachung ausgehen, was eine klare, konzeptorientierte Implementierung von Sicherheitsregeln fördert. Durch den Dual-Stack-Betrieb zusammen mit IPv4 wird vorläufig jedoch ein NAT-Setup auch für IPv6 verbreitet Verwendung finden. Um beim Einsatz von IPv4 die Themen Integrität und Vertraulichkeit zu adressieren, wird normalerweise zu einer separaten Implementation von IPsec gegriffen, die dem IPv4-Protokoll draufgepfropft werden muss. Die Konfiguration über die vielen Herstellergrenzen hinaus ist dadurch komplex und fehleranfällig. Die Erwartung liegt deshalb nah, dass IPv6 hier einen klaren Standard vorgibt. In der Tat wurden Authentication Headers (AH, Integrität) und Encrypted Security Payload (ESP, Vertraulichkeit) für jede IPv6-Implementation als Pflicht deklariert. Daher kann hier auf eine standardisierte Funktionalität aufgebaut werden. Um innerhalb einer Broadcast Domain die entsprechende Hardware-Adresse eines Trägers einer IPv4-Adresse zu ermitteln, wird das Address Resolution Protokoll (ARP) verwendet, ein auf Broadcast ausgelegtes Protokoll, an dessen Kommunikation sich alle Netzwerkteilnehmenden ohne Authentifikation beteiligen können. Durch einfache Tricksereien können so Adressauflösungen gefälscht und Datenströme umgelenkt werden. Was hat hier IPv6 zu bieten? Neighbor Discovery Protocol (NDP) heisst für diese Zwecke die Implementation von IPv6. Diese ist per se nicht sicherer, weshalb 2012 per RFC 6494 eine Erweiterung namens Secure Neighbor Discovery (SEND) eingeführt wurde. Diese Erweiterung implementiert die Authentizität der ICMPv6 Nachrichten von NDP anhand einer Ressource Public Key Infrastructure (RPKI). Ein indirektes Sicherheitsproblem sollte schlussendlich noch genannt werden: IPv6 ist in allen modernen Betriebssystemen aktiviert und muss ab diesem Moment an die Zügel genommen werden. Wird dies versäumt, kann eine unkontrollierte IPv6-Konfiguration Einfallstore schaffen, mit denen Angreifer an den noch so sorgfältig gepflegten, IPv4-relvanten Sicherheitsmassnahmen und ACLs vorbeipfeifen. Es ist also wichtig, dass jeder Admin sich spätestens jetzt fundiertes Know-how zu IPv6 aneignet, wenngleich er noch in IPv4-Adressen badet und keinen direkten Bedarf am grösseren Namensraum hat. Zusammengefasst kann man beim Einsatz von IPv6 nicht unbedingt auf Gratis-Sicherheit hoffen und solange IPv6 zusammen mit IPv4 im Netzwerk um die Wette routen, gilt doppelte Wachsamkeit. IPv6 bietet jedoch mit den Extension Headers eine flexible Erweiterbarkeit und hat so Potential für stetige Verbesserungen und Anpassungen. Durch eine rasche und tiefgreifende Ausbildung der Netzwerkfachleute können für IPv6 Best Practices geschaffen werden, wie mit IPv6 mehr Sicherheit im Netz umgesetzt werden kann.

---

Blogpost wurde erstellt im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.