Tagged: ipv6

Die grössten Risiken in IPv6

IPv6 hat, wie jedes andere Protokoll, seine Schwachstellen. Diese Schwachstellen offenbaren sich hauptsächlich im lokalen Netzwerk. Das Problem an IPv6 ist die Tatsache, dass das Protokoll auf den meisten Systemen aktiv ist. Die meisten Administratoren sind sich dessen aber nicht bewusst.

  • Versteckter IPv6 Traffic

Wenn Sie IPv6 nicht verwenden, blockieren Sie IPv6 auf Ihrer Firewall in beide Richtungen. Die meisten Firewalls haben in Bezug auf IPv6 immer noch gewisse bis massive Nachteile gegenüber IPv4. (Kleiner Werbespot: Fortinet unterstützt IPv6 sehr gut.)

  • IPv6 Tunnels

Teredo, 6to4 und ISATAP erlauben es, IPv6 Traffic in IPv4 zu kapseln. Für den Administrator sieht es aus wie normaler IPv4 Traffic. So ist es einem Angreifer möglich, unerlaubte Daten am IPS Systemen vorbei zu schleusen. Teredo kann auch unerwünschte Tunnels von innen ins Internet aufbauen.

  • Router und Duplicate Address Detection Spoofing

Im produktiven Einsatz können im IPv6 Umfeld relativ einfach Router Spoofing und Duplicate Address Detetction Spoofing durchgeführt werden. Ähnliches ist auch unter IPv4 mit ARP möglich. Durch das fehlende Wissen im Bereich IPv6 sind diese Attacken aber besonders wirkungsvoll.

  • Rogue Router

Die meisten Geräte haben IPv6 eingeschaltet. Alle Geräte warten nur darauf, dass ein Router ein Advertisement sendet. Dieses Advertisement ist für jedes Gerät der Auslöser, sich eine IP Adresse zu setzen. Wenn jemand einen „Rogue Router“ in Ihrem Netz platziert, führt das unweigerlich zu Chaos in Ihrem Netz.

IPv6 zu ignorieren, ist die grösste Gefahr. Auch wenn Sie noch keine IPv6 Internet Anbindung haben, IPv6 ist trotzdem da. Es ist nicht etwas, dass irgendwann in ferner Zukunft einmal kommt.

Wollen IPv6 nicht verwenden, dann verwenden Sie es bewusst nicht und schalten es auch explizit aus.

Was ist IPv6

Für die meisten Leute ist es nicht nachvollziehbar, was der Wechesel von IPv4 auf IPv6 wirklich bedeutet. Es ist eigentlich ganz einfach. IP Adressen sind wie Telefon Nummern.

Vor 100 Jahren gab es ein Telefon in einem Ort. Die Anzahl der benötigten Rufnummern war deshalb massiv kleiner als heute, wo jeder eine Festnetz-Nummer und eine Mobil-Nummer hat. Auch bei der Telefonie wurde der Nummern-Kreis immer wieder einmal vergrössert. Genau das gleiche passiert jetzt mit IPv6. Im wesentlichen wird der Nummern-Kreis vergrössert.

IP wurde vor langer Zeit entwickelt. Klar gab es im Laufe der Zeit immer wieder Änderungen und Anpassungen. Im wesentlichen ist das Protokoll aber etwa 30 Jahre alt. Nebst des vergrösserten Address-Raumes verbessert IPv6 auch einige Punkte, des in die Jahre gekommenen IPv4 Protokolles.

Schaut man sich die Computer Kommunikation an, besteht die im wesentlichen aus 4 Schichten:

  • Link Layer
  • Network Layer
  • Transport Layer
  • Application Layer

Der Link Layer ist der physikalische Teil der Verbindung. Vereinfacht gesagt, es ist das Kabel. Man könnte auch sagen, es ist das Strassen Netz.

Der Network Layer ist für die Adressierung zuständig. Man könnte den Network Layer mit der Post vergleichen. Sende ich einen Brief an die Fantasy Road 22 in Houston, Texas, übergebe ich den Brief mit der Adresse der Post. Die wissen dann schon, wo es hingeht. Irgendwann kommt der Brief in Houston im Briefkasten an. Ich selbst muss nicht wissen, wo die Fantasy Road in Houston ist. Das erledigt die Post oder eben, der Network Layer für mich.

Der Network Layer ist nur für die Geräte Adressierung zuständig. Der Transport Layer adressiert die einzelnen Dienste. Diese werden über Ports bestimmt. An der Fantasy Road 22 in Houston gibt es mehrere Personen. Der Transport Layer ist bestimmt nun die Person, die den Brief erhalten soll. Also Mr. Miller.

Die oberste Schicht ist der Application Layer. Im Application Layer wird bestimmt, was für Informationen ausgetauscht werden. Ist der Brief eine Rechnung, eine Bestellung. Im Netzwerk Umfeld kann das DNS, SMTP, SSH oder HTTP Traffic sein.

Mit der Umstellung von IPv4 auf IPv6 wird nun der Network Layer ausgetauscht. Die restlichen 3 Layer bleiben gleich. Natürlich gibt es am Transport und am Application Layer kleine Anpassungen. Die wesentliche Umstellung ist aber nur im Network Layer.

Application LayerDNS SSH SMTPHTTP IMAP ….
Transport LayerTCPUDP
Network Layer IP(v4) IP(v6)
Link Layer Ethernet PPP Fiber DSL