Cybersecurity: Sicherheit und Schwachstellen von IPv6
Bringt IPv6 die Lösung für bestehende Sicherheitsrisiken im Netzwerk?
In Bezug auf mögliche neue Schwachstellen gilt es bei IPv6 dem Extension Header, der unbewussten Aktivierung, den Übergangsszenarien wie auch den Möglichkeiten zum Tunneling besondere Beachtung zu schenken. Dennoch ist die Sicherheit in IPv6 Netzwerken im Vergleich zu IPv4 nicht grundlegend anders gestaltet, denn viele bekannte Angriffsszenarien lassen sich gleichermassen über IPv6 durchführen.
Risiken von IPv6
Aus des Angreifers Blickwinkel bietet IPv6 nicht nur einen neuen Angriffskanal, sondern dank der Vielzahl verfügbarer Adressen auch die Möglichkeit zu umfangreicheren Angriffsszenarien. Durch die Erweiterung des Adressformats auf 128Bits (3,4 x 1038 Adressen) bietet IPv6 einen Adressumfang, wo zwar das Schwachstellen-Scanning aufwendiger wird, sich aber Netzaktivitäten besser verbergen lassen.
Bei vielen Betriebssystemen ist IPv6 standardmässig aktiviert und wird gegenüber IPv4 bevorzugt. Entsprechend empfiehlt sich eine kritische Betrachtung, da unbeachteter Netzverkehr stets ein potentielles Risiko darstellt. Ob im Netzwerk IPv6 Traffic vorhanden ist, lässt sich aus Trace-Files mittels Filterung auf 0x86DD im MAC-Header (nativ IPv6) sowie auf Protocol 41 im IPv4-Header (Tunnelpakete) herauslesen.
Ergänzende Tunnelmethoden erlauben den Transport von IPv6- über IPv- Netze, was jedoch auch zur Umgehung von bestehenden Sicherheitsmassnahmen führen kann. Ein sicherheitskritisches Tunnelverfahren stellt beispielsweise der Toredo-Tunnel dar, welcher ohne weitere Konfiguration versucht über UDP (Port 3544) einen Tunnel zu teredo.ipv6.microsoft.com aufzubauen und in der Lage ist, selbst NAT-Gateways zu durchdringen.
Chancen von IPv6
Dank dem viel grösseren Adressraum bietet sich unter IPv6 ein Netzdesign an, welches dem Konzept der «kleinen Netze» folgt und somit Subnetze dediziert dem Schutzbedarf wie auch der Aufgabenstellung von Anwendungen oder Geräten optimal Rechnung tragen.
Mit IPv6 wird das Ende-zu-Ende-Paradigma im Netzdesign wiederhergestellt, welches z.B. die verschlüsselte End-zu-End Kommunikation inkl. Authentisierung eines Absenders auf Netzwerkebene erlaubt. Der Kommunikationsschutz verlagert sich somit vom Netz vermehrt aufs Endgerät.
Mechanismen unter IPv6
Das IPSec (Internet Protocol Security) ist integraler Bestandteil von IPv6. Im Kern besteht IPSec aus Mechanismen der Verschlüsselung, zur Gewährleistung der Vertraulichkeit, plus sicheren Checksummen, zur Sicherstellung der Integrität. Der umsichtige Einsatz von IPSec bildet die Basis für einen sicheren Betrieb von IPv6. Die korrekte Verschlüsselung des Datenverkehrs findet aber dennoch erst nach dessen bewusster Konfiguration statt.
Das NDP (Neighbor Discovery Protocol) vereint unter IPv6 die Funktionen ARP, RARP und IGMP aus IPv4, wodurch sich der Netzverkehr deutlich verringert. NDP weist ohne IPsec Authentication vergleichbare Schwachstellen auf wie ARP in IPv4. Denkbar sind z.B. Redirect, Denial of Service oder Flooding Attacken.
ICMPv6 (Internet Control Message Protocol) wird zum Versand von NDP-Nachrichten (z.B. Router Discovery, Neighbor Discovery) verwendet. Während ICMPv4 meist mittels Firewalls generell geblockt wurde, ist ICMPv6 wesentlich bedeutungsvoller und muss daher granular behandelt und zumindest teilweise zugelassen sein.
Koexistenz von IPv4 und IPv6
Da die beiden IP-Sprachen nicht direkt miteinander kommunizieren, gilt es zur Überbrückung dieser Barriere einzelne Geräte im Dual-Stack, d.h. mit IPv4 und IPv6 parallel zu betreiben. Auf diese Weise können z.B. Server im Dual-Stack mit Clients aus beiden Sprachen interagieren. Durch den Einsatz von Dual-Stack addieren sich jedoch die protokollbezogenen Sicherheitslücken und die Fehleranfälligkeit nimmt aufgrund der erhöhten Komplexität zu. Es gilt ferner zu beachten, dass zudem auch Firewall-Regeln dediziert für IPv6-Verkehr zu implementieren sind.
Letztlich lässt sich das Potential von IPv6 erst dann voll ausschöpfen, wenn zumindest Teile des Netzes als IPv6-only also ohne IPv4 betrieben werden. Geräte, die kein IPv6 unterstützen, werden in einem separaten IPv4-Segment für Altlasten gekapselt. Spezifischen Geräten kann zudem IPv4 über einen Tunnel dediziert bereitgestellt werden.
Identifizierbarkeit und Datenschutz bei IPv6
Im Grundkonzept von IPv6 wird der Device Identifier automatisiert aus der MAC- Adresse erzeugt, wodurch sich ein Gerät eindeutig identifizieren lässt. Dies ist aus Datenschutzüberlegungen jedoch nicht in jedem Fall sinnvoll. Daher bietet IPv6 zur Verbesserung des Datenschutzes die Privacy Extensions. Dabei wird der letzte Teil des Adressblock mittels eines Algorithmus erzeugt, wodurch eine temporäre, von der MAC-Adresse unabhängige, IPv6-Adresse generiert wird. Da das Präfix jedoch davon nicht betroffen ist und bestehen bleibt, ist ein Identifikation dennoch unter gewissen Umständen denkbar.
Fazit
IPv6 bietet einen geeigneten Rahmen, Etabliertes zu überdenken und neu zu konzeptionieren. Dabei gilt es die Chance zu nutzen, beim IPv6-Design einfach und transparent zu gestalten, um somit Komplexität und mögliche Fehlkonfigurationen zu verringern. Auf diese Weise kann IPv6 effektiv dazu beitragen, die Sicherheit ganzheitlich zu verbessern.
Literaturquellen
BSI Empfehlung zur Konzeption von IPv6-Netzen, BSI-CS 057, Version 2.0, 2018
BSI Leitlinie IPv6, BSI-CS 133, Version 1.1, 2020
BSI Abschlussbericht zum Internetprotokoll Version 6 (IPv6), BSI, 2012,
BSI Leitfaden für eine sichere IPv6-Netzwerkarchitektur, BSI ISi-L-IPv6, Version 1.1, 2012, www.bsi.bund.de
BSI Leitfaden für eine sichere IPv6-Netzwerkarchitektur, BSI ISi-LANA, Version 2.1, 2014, www.isi-reihe.de
IPv6, Grundlagen–Funktionalität–Integration, Silvia Hagen, Sunny Edition, 3. Auflage, 2016
Links
BSI-Standards zur Internet-Sicherheit (ISi-Reihe): https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Reihe_node.html [21. Januar 2021], zuletzt geprüft 24. Januar 2021.
BSI Empfehlung zur Konzeption von IPv6-Netzen v2.0: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS/BSI-CS_057.html [21. Januar 2021], zuletzt geprüft 24. Januar 2021.
IETF (Internet Engineering Task Force) Übersicht zu IPsec Standards: https://datatracker.ietf.org/wg/ipsecme/documents/ [21. Januar 2021], zuletzt geprüft 24. Januar 2021.
IETF RFC Index: https://tools.ietf.org/rfc/index [21. Januar 2021], zuletzt geprüft 24. Januar 2021.
IANA (Internet Assigned Numbers Authority) Protocol Registries: http://www.iana.org/protocols [21. Januar 2021], zuletzt geprüft 24. Januar 2021.
Autor:
Marco Roth
https://www.linkedin.com/public-profile/in/marco-roth-22709648
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)
Kommentare
Keine Kommentare erfasst zu Cybersecurity: Sicherheit und Schwachstellen von IPv6