Independent Competence Platform
for Integrated Security in Switzerland.

11.06.2012
by: Torsten Jüngling; Stonesoft

Zehn Tipps für die sichere Implementierung von IPv6

Die Umstellung auf das Internetprotokoll IPv6 stellt Unternehmen auch vor neue Sicherheitsanforderungen, auf die viele noch nicht ausreichend vorbereitet sind. Stonesoft (www.stonesoft.de), weltweiter Anbieter integrierter Lösungen für Netzwerksicherheit, hat zehn Tipps für CISOs und Netzwerkmanager zusammengestellt, mit denen sie den Überblick behalten und Prioritäten richtig setzen können.

Dazu erklärt Torsten Jüngling, Country Manager DACH von Stonesoft: „Viele Anwender denken, dass es zwischen dem Schutz von IPv6- und IPv4-Traffic kaum Unterschiede gibt. Zu dieser Fehleinschätzung kommt, dass Unternehmen oft noch unsicher sind, was wann getan werden muss. Irreführende Aussagen von Herstellern über die Leitsungsfähigkeit ihrer Lösungen in IPv6-Netzwerken tun dann das Übrige.“ Stonesoft hat bereits zahlreiche Kunden weltweit bei der sicheren und effizienten Implementierung von IPv6 unterstützt und seine Erfahrung aus den Projekten in nachfolgenden Hilfestellungen zusammengefasst.

1. IPv4-Netzwerk auf IPv6 vorbereiten

Das heißt aufräumen, entsorgen und aufrüsten. Unternehmen sollten veraltete und überholte Features aus dem Netzwerk entfernen oder diese aktualisieren. Sie müssen sicherstellen, dass verbleibende Komponenten auf den höchstmöglichen Level aktualisiert sind. Mit einem „aufgeräumten“ Netzwerk gestaltet sich die Implementierung von IPv6 viel einfacher – und sicherer. Unternehmen ersparen sich so eine Menge Ärger und mögliche Probleme.

2. Umstellung Schritt für Schritt
Unternehmen sollten IPv6 in Etappen einführen. So können sie sicherstellen, dass das Protokoll in ihrer zuvor auf den Stand der Technik gebrachten IPv4-Infrastruktur auch funktioniert, und gleichzeitig ihr Budget besser im Blick behalten. So arbeitet beispielsweise die US-amerikanische Sozialversicherungsbehörde (Social Security Administration) bereits seit mehr als fünf Jahren mit IPv6. Die umfassende Implementierung wird jedoch erst nach drei weiteren Etappen in den nächsten sechs Jahren abgeschlossen sein. Zwar müssen sich Unternehmen nicht so viel Zeit nehmen, aber eine schrittweise Vorgehensweise hat sich auch in anderen Praxisprojekten bewährt.

3. Dual-Stack bietet Vorteile
Ein Dual-Stack-Ansatz bietet zahlreiche Vorteile bei der IPv6-Implementierung, auch wenn dafür eventuell Router-Upgrades erforderlich sind, um genügend Speicherkapazität und Leistung für die parallele Ausführung von IPv4 und IPv6 bereitzustellen. Ein Dual-Stack-Ansatz lässt sich einfach implementieren und ermöglicht es, System-Anwendungen parallel zu nutzen, die IPv6 noch nicht unterstützen. Durch Dual-Stack können meist auch Tunnel verhindert werden, die sich unter Sicherheitsaspekten als bedenklich erwiesen haben.

4. Tunnel überwachen
In seinem Leitfaden für die sichere Implementierung von IPv6 (Guidelines for the Secure Deployment of IPv6) empfiehlt das US-amerikanische National Institute of Standards and Technology, Tunnel genauso wie externe Verknüpfungen mit größter Vorsicht zu behandeln. Zunächst sollte dabei jedes einzelne ein- und ausgehende Datenpaket des Tunnel-Traffics genau überprüft werden. Dazu gehört die Analyse des gesamten IPv6-Traffics einschließlich der IPv6-Daten innerhalb von IPv4-Paketen – und zwar mit derselben Genauigkeit und systematischen Vorgehensweise wie bei allen anderen Daten. Dafür werden die üblichen Anti-Viren- und Intrusion-Detection-Tools, Netzwerk-Ingress- und Paketfilter sowie Anwendungsproxys empfohlen. Unternehmen sollten die Tunnel-Endpunkte zudem durch weitere robuste Sicherheitsmaßnahmen schützen, zum Beispiel durch den Einsatz von Authentifizierungsverfahren.

5. Achtung vor Hackern
Hacker haben sich schneller auf IPv6 eingestellt als auf andere Neuentwicklungen zuvor. Unternehmen sollten die Gefahren durch Router-Advertisements und Man-in-the-middle-Angriffe stets im Hinterkopf behalten. Manche Attacken dringen bereits tief in das Netzwerk ein, bevor sie überhaupt bemerkt werden – und können dadurch enorme Schäden anrichten. Diese und ähnliche Angriffe werden oft über sehr einfache Skripte gesteuert. Es existieren bereits zahlreiche Angriffsmethoden und täglich kommen neue hinzu.

6. Auf eine zertifizierte Firewall aufrüsten
Aussagen über die IPv6-Fähigkeit von Produkten sind kritisch zu hinterfragen. Verlassen Sie sich nur auf die Zertifizierung und Bestätigung der IPv6-Kompatibilität einer Lösung durch unabhängige Testinstanzen und Zertifizierungsstellen. Hersteller-eigene Tests sind meist nicht hinreichend. Deshalb sollten Unternehmen ausschließlich Produkte mit Drittanbieter-Zertifizierung wählen. Denn unabhängige Institute wenden praxisnahe, allgemein anerkannte Test- und Bewertungsmethoden für die Beurteilung der Leistungsfähigkeit einer Sicherheitslösung an.

7. Authentifizierungsverfahren einführen
Eine leistungsfähige Authentifizierung ist heute wesentlich wichtiger, dabei aber auch einfacher umzusetzen als je zuvor. Für den Zugang zum Internet für die Nutzer empfiehlt Stonesoft den Einsatz eines HTTP/HTTPS-Proxys zu prüfen. Wenn die Nutzer sich authentifizieren müssen, um ins Internet zu gelangen, verringert das die Gefahr des unberechtigten Zugriffs erheblich.

8. Umfassend informieren
Unternehmen sollten sich umfassend mit der IPv6-Syntax auseinandersetzen. Sie ist der IPv4-Syntax zwar sehr ähnlich, weist aber einige grundlegende Unterschiede in der Ausgestaltung auf. Die genaue Kenntnis der IPv6-Syntax ermöglicht eine schnellere Reaktion bei Sicherheitsvorfällen und die schnellere Implementierung der erforderlichen Gegenmaßnahmen. IPv6 existiert seit mehr als zehn Jahren und ist umfassend dokumentiert.

9. Den „Aus“-Knopf drücken
Deaktivieren Sie IPv6-Funktionen, die Sie nicht nutzen. Das klingt einfach, ist es aber nicht unbedingt. Denn eine Reihe von Programmen wurde bereits für die Ausführung unter IPv6 konfiguriert. Viele starten das Protokoll auch einfach automatisch per Standardeinstellung. Stellen Sie sicher, dass IPv6 nur dann aktiviert ist, wenn es auch genutzt wird. Dafür kann auch eine automatischer Mechanismus eingerichtet werden.

10. Eindringlingen keine Chance bieten
Selbst wenn IPv6 in großen Teilen des Netzwerks deaktiviert ist, ist die Gefahr von IPv6-Angriffen nicht vollständig gebannt. Für den Fall der Fälle sollten Unternehmen wissen, wie sie Eindringlinge unschädlich machen können, bevor diese sich weiter ausbreiten. Hier erweist sich die Kenntnis der IPv6-Syntax – insbesondere was die Einrichtung effektiver Firewalls und Traffic-Filter angeht – als äußerst wichtig. Durch die Einrichtung von Filtern lässt sich genau definieren, welche Datenpakete Zugang zum Netzwerk erhalten und welche nicht. Und sie können sicherstellen, dass sie für den Einsatz von IPv6 wirklich bereit sind.

Quelle: www.stonesoft.com


Security-Finder Schweiz: Newsletter