Fachartikel

Die Risiken von Shadow-IPv6

Der Wechsel von IPv4 zu IPv6 beschäftigt schon seit Jahren die IT-Experten in Unternehmen und Behörden. Doch trotz aller Diskussionen nutzen bislang nur vier Prozent aller internetfähigen Geräte eine IPv6-Adresse. Dennoch gibt es in zahlreichen Einrichtungen ein Schattennetzwerk aus IPv6-fähigen Geräten. Da dieses unbemerkt von den IT-Administratoren existiert, stellt es ein enormes Sicherheitsrisiko dar. Wir erläutern in diesem Beitrag, worauf es bei der Bekämpfung dieser Schattennetzwerke ankommt.
Unverwaltete IPv6-Geräte können ein Sicherheitsrisiko darstellen und sollten deshalb beim Netzwerkmanagement nicht unter den Tisch fallen.
Auch wenn die Umstellung auf IPv6 gemächlich verläuft – täuschen lassen sollten sich IT-Profis davon nicht, denn IPv6 ist wahrscheinlich auch ohne ihr Wissen im jeweiligen Unternehmen aktiviert und in Gebrauch. Das Ergebnis sind "Schattennetzwerke", bestehend aus nicht verwalteten IPv6-fähigen Geräten, die ein großes Sicherheitsrisiko darstellen. Die Frage lautet daher nicht, ab wann in der Zukunft sich IT-Profis um die Verwaltung von IPv6-Adressen kümmern sollten, sondern was sie schon jetzt dahingehend unternehmen können.

So entsteht ein inoffizielles IPv6-Netzwerk
Sie stellen sich vielleicht die Frage, wie in Ihrem Unternehmen ein inoffizielles IPv6-Netzwerk entstehen kann, wenn bei Ihnen die Umstellung noch gar nicht erfolgt ist. Tatsächlich ist IPv6 in vielen Netzwerkgeräten, die im Rahmen von Netzwerkerweiterungen, BYOD oder Systemerneuerungen ins Unternehmen gelangen, standardmäßig aktiviert. So kann es sein, dass IPv6 im Netzwerk aktiv ist, obwohl die IT-Abteilung den Wechsel von IPv4 offiziell noch gar nicht vollzogen hat. Diese nicht verwalteten IPv6-Adressen erhöhen das Sicherheitsrisiko ebenso wie offene TCP-Ports.

Das soll nicht heißen, dass IPv6 an sich ein Sicherheitsrisiko für Netzwerke darstellt – die ausbleibende Verwaltung von IPv6-Adressen hingegen schon. Sobald IPv6-fähige Geräte in einem Netzwerk vorhanden sind, müssen neue Prozesse und Kontrollmechanismen für das umfassende IP-Adressmanagement geschaffen werden  – und in Unternehmen, in denen die Umstellung noch nicht erfolgt ist, gibt es diese Prozesse und Mechanismen wahrscheinlich noch nicht. In diesem Fall können unerkannt Schlupflöcher entstehen, die möglicherweise zu heimlichen Schwachstellen des Netzwerks werden.
IPv6 schon jetzt verwalten und so Risiken vermeiden
Es gibt bereits mehrere Best Practices für die IT, damit auch inoffizielle IPv6-Adressen rechtzeitig in die Verwaltung aufgenommen werden, ehe es zu den damit verbundenen Sicherheitsproblemen kommt. So sollten IT-Profis das gesamte IP-Adressmanagement vereinfachen – sowohl für IPv4 als auch IPv6. So lassen sich Netzwerkkonflikte und -ausfälle verhindern, kritische Ressourcen überwachen, die Netzwerksicherheit gewährleisten und Berichte zu verschiedenen Parametern wie zum Beispiel dem IP-Adressstatus erstellen.

Hinsichtlich der Verwaltungsprozesse sollte die IT alle Geräte identifizieren und verzeichnen, die aktuell IPv6 unterstützen, und zudem alle verwendeten IPv4-Adressen und alle zu vergebenden IPv6-Adressen erfassen. Darüber hinaus sollten alle Geräte dokumentiert werden, die zur Ausweitung der IPv6-Unterstützung hinzugefügt oder ersetzt werden müssen. Ebenso wichtig ist die Identifizierung inoffizieller IPv6-Adressen im Netzwerk. Dazu hat die IT folgende Möglichkeiten:

  • Multicast: IPv6 unterstützt keine IPv4-Broadcast-Adressen, sondern erweitert den Multicast-Adressraum. Das Protokoll bietet zudem weitere Funktionen wie Serviceanfragen und Adressauflösung. Daraus ergibt sich, dass nicht öffentliche Ressourcen wie kritische Kerngeräte oder Anwendungsserver über bekannte Multicast-Adressen sichtbar gemacht und so zum Ziel von Angreifern werden können. Um dies zu verhindern, müssen IT-Profis Multicast-Konfigurationen und die zugehörigen Protokolle und Services sorgfältig verwalten und sollten sie nur bei Bedarf aktivieren.

  • Zustandslose, automatische Adresskonfiguration (Stateless Address Auto-Configuration, SLAAC): IPv6 verfügt über eine automatisierte Standardmethode zur Ermittlung einer IP-Adresse durch den IPv6-Host, bei der weder manuelles Konfigurieren noch die Interaktion mit einem DHCP-Server nötig ist. Auf diese Weise kann ein Gerät unerkannt im Netzwerk vorhanden sein. Um das mit dieser Methode verbundene Risiko zu minimieren, sollten Sie SLAAC deaktivieren und stattdessen DHCPv6 verwenden. So bleibt eine einzige Methode, mit der Transparenz und Kontrolle in der Zugangsverwaltung für das Netzwerk sichergestellt wird.

  • Sicherheitsmechanismen: Es kann auch sein, dass bestimmte Sicherheitsmechanismen (zum Beispiel Firewalls, Filter, NIDS et cetera) entweder IPv6 nicht unterstützen oder nicht dahingehend konfiguriert sind. Diese Lücke kann dazu führen, dass IPv6-Hosts unerkannt ins Netzwerk gelangen und ihr Datenverkehr dann dort auch nicht überwacht wird. Untersuchungen zeigen, wie Angreifer mit Hilfe von Malware IPv6-fähige Hosts aufspüren, die automatische IPv6-Konfiguration übernehmen und dann im IPv4-Netzwerk unerkannt IPv6-Datenverkehr hinein- und hinausschleusen können. Dieses Risiko lässt sich vermeiden, indem entweder die passenden IPv6-Sicherheitsmechanismen eingeführt oder der IPv6-Datenverkehr nach Bedarf streng gefiltert oder abgelehnt wird.

  • Schwachstellen: Viele Anbieter unterstützen IPv6 schon seit Jahren, doch völlig abgesichert sind diese Implementierungen immer noch nicht. Daraus folgt, dass neue Schwachstellen entdeckt und ausgenutzt werden können, um die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme zu kompromittieren.  Damit es nicht dazu kommt, muss die IT unbedingt risikobehaftete Hosts identifizieren und Sicherheits-Updates aktiv verwalten.
Es ist einfach Tatsache, dass IPv4 und IPv6 noch längere Zeit nebeneinander bestehen werden. Damit wachsen auch die Risiken, die Schattennetzwerke in sich bergen. Je mehr IP-fähige Geräte es gibt, desto wichtiger wird es, IPv6-Geräte zu identifizieren und nachzuverfolgen, IPv4- und IPv6-Adressblöcke sowie DHCP- und DNS-Dienste gleichzeitig zu verwalten, IPv4- und IPv6-Ressourcen und -Aufgaben zu überwachen sowie den Verwaltungsaufwand zu senken.

Fazit
Expandierende Netzwerke werden nur dann effizient unterstützt, wenn die Administratoren zentralen Einblick erlangen und zentrale Verwaltungs-Tools nutzen können. Auf diese Weise lassen sich IPv4 und IPv6 gleichzeitig im Netzwerk verwenden und die Umstellung am effektivsten vollziehen. IT-Profis müssen sich so schnell wie möglich mit dem Wissen, den Fähigkeiten und den Tools für den Umgang mit dieser Situation wappnen – nicht nur, damit sie auf die bevorstehende Umstellung auf IPv6 vorbereitet sind, sondern auch, damit sie das aktuelle Risiko inoffizieller IPv6-Adressen minimieren können.
3.02.2016/ln/Joel Dolisy, CIO & CTO bei SolarWinds

Nachrichten

Paketanalyse mit Wireshark-Funktionen [19.11.2019]

Allegro Packets rollt für seine Analyse- und Monitoring-Software "Allegro Network Multimeter" ein umfassendes Upgrade aus. Highlight der Firmware 2.5 ist laut Hersteller das Feature Webshark, das Funktionen von Wireshark direkt im Browser bereitstellt. [mehr]

Besser im Blick [18.10.2019]

Axis Communications, Anbieter netzwerkbasierter Video-, Audio- und Zutrittskontrolllösungen, kündigt mit der "AXIS Companion version 4" die neueste Version seiner Software zur Verwaltung von Sicherheitssystemen an. Das Produkt bietet einige erweiterte Funktionen, unter anderem lassen sich Warnmeldung direkt an ein mobiles Gerät senden und die Systemverwaltung per Fernzugriff tätigen. [mehr]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen