Fraud4Life
01.12.2011, 17:59
---
IPv6 ist noch nicht genügend getestet
Da fast keine IPv4-Adressen mehr vorhanden sind, muss IPv6 schleunigst umgesetzt werden. Allerdings ist IPv6 noch nicht reif für den täglichen Einsatz, denn seine Sicherheit ist noch nicht gewährleistet, sagt der Netzwerkexperte Fernando Gont.
IPv6 wird zwar schon seit einigen Jahren parallel zu IPv4 eingesetzt, allerdings haben Hardware- und Softwarehersteller das neue Internetprotokoll nicht genügend auf Sicherheit geprüft oder bislang mangelhaft umgesetzt. Außerdem fehlt es weiterhin an qualifiziertem Personal. Das sagt Netzwerkspezialist Fernando Gont. Gont hat für das britische National Infrastructure Security Co-ordination Centre (NISCC) eine Reihe von Sicherheitstests an Netzwerkprotokollen durchgeführt. Das Resultat: Vor allem bei der Implementierung von IPv6 könnte es noch unentdeckte Sicherheitslücken geben.
Trotz jahrelanger Nutzung von IPv6 wurde die Umsetzung des Protokolls nur zögerlich geprüft und die enthaltenen Sicherheitsmechanismen nur unzureichend umgesetzt. Hardware- und Softwarehersteller werden bei IPv6 stattdessen sogar auf herkömmliche IPv4-Technologien setzen, die laut Internet Engineering Task Force (IETF) gar nicht für IPv6 gedacht sind.
Aufweichung des End-to-End-Prinzips
Ein Beispiel ist die Verwendung von NAT in IPv6. Die Übersetzung von IP-Adressen ist in IPv6 nicht vorgesehen. Stattdessen sollte das neue Protokoll das ursprünglich angedachte End-to-End-Prinzip im Internet wiederherstellen, bei dem jedes Einzelgerät eine global erreichbare Internetadresse erhält. NAT-Netzwerke gelten als fragil, da beim Ausfall eines NAT-Servers das gesamte Netzwerk dahinter nicht mehr erreichbar ist. Außerdem erschwert NAT die Entwicklung von Netzwerkanwendungen wie P2P-Applikationen, die auf das End-to-End-Prinzip setzen.
Inzwischen werden die Rufe nach NAT für IPv6 aber immer lauter, denn Experten wie Gont sehen darin eine Sicherheitskomponente, um Endpunkte in einem internen Netzwerk zu verschleiern. Ursprünglich wurde NAT für IPv4 eingeführt, um den absehbaren Engpass bei IP-Adressen abzumildern. Inzwischen ersetzt es mancherorts die Firewall. Eine entsprechende NAT-Umsetzung für IPv6 gibt es bereits, etwa NAT66 auf Sourceforge, und entsprechende Patches für Netfilter unter Linux gibt es ebenfalls bereits. Zwar existieren bereits Lösungen, die zum Beispiel die zweite Hälfte der IP-Adresse verschlüsseln, um den Host nicht eindeutig identifizierbar zu machen, sie sind aber nicht Pflicht.
NAT auch in IPv6 unerlässlich
Gont argumentiert, dass NAT-Netzwerke nicht nur einzelne Hosts verschleiern und so für Sicherheit sorgen, sondern auch gesamte Netzwerktopologien verstecken. Zudem können Unternehmen ihre eigene IP-Adressen-Infrastruktur unabhängig von einem Internetprovider umsetzen. Dazu kann in einem internen Netzwerk die Unique-Local-IPv6-Unicast-Adresse verwendet werden, die dann bei einem Wechsel des Providers nicht geändert werden müsste.
Ein weiterer Grund für den Einsatz herkömmlicher Technologie sei der parallele Einsatz von IPv4 und IPv6, sagt Gont. Da bei IPv4 nicht auf NAT verzichtet werden kann, müssen Werkzeuge wie NAT64 für die Übersetzung zwischen IPv4 und IPv6 sorgen, damit reine IPv6-Knoten auch mit reinen IPv4-Knoten kommunizieren können. Beim parallelen Einsatz von IPv4 und IPv6 wird deshalb zunächst verstärkt auf NAT gesetzt. Das werde dazu führen, dass Administratoren auch später auf NATs nicht verzichten würden, sagt Gont.
Gefahren im Parallelbetrieb
Außerdem birgt der parallele Einsatz von IPv4 und IPv6 weitere Gefahren. Ein Beispiel dafür ist der Einsatz des Teredo-Protokolls, das IPv6 über UDP durch NATs tunnelt. Dabei können NATs, die als Firewall eingesetzt werden, ausgehebelt und die interne Netzwerkinfrastruktur offenbart werden. Außerdem lassen sich Teredo-Tunnel für DoS-Angriffe nutzen, was allerdings einfach zu verhindern ist. Zudem müssen Spamfilter für den Einsatz mit IPv6 umgerüstet werden.
Gont sieht auch die Gefahr von Brute-Force-Angriffen trotz größeren Adressraums bei IPv6 nicht gebannt. Zum einen sind lokale Scans auch über Funktionen wie Neighborhood Discovery möglich. Zum anderen werden IPv6-Adressen nicht wie vorgesehen einheitlich verteilt, sondern folgen bestimmten Mustern, die beispielsweise aus der Vergabe durch die Stateless-Auto-Konfigurationen (SLAAC) oder die Verwendung von Werkzeugen für IPv4 und IPv6 resultieren. Solche erkennbaren Muster können genutzt werden, um dezidierte Angriffe zu starten. Zwar könne hier die Verwendung von privaten Adressen nach RFC 4941 genutzt werden, um eindeutige IP-Adressen zu verschleiern, eine zusätzliche Firewall sei aber unerlässlich, sagt Gont.
Mangelhafte Umsetzung von IPSec
Ferner werden Brute-Force-Angriffe im IPv4-Netzwerk deshalb verwendet, weil sie bequem und wegen des begrenzten Adressraums effektiv sind. Das bedeute aber nicht, dass Angreifer in Zukunft nicht speziellere Verfahren für IPv6 entwickeln werden. Außerdem könnten Angreifer stattdessen aktive IP-Adressen beispielsweise aus E-Mail-Headern auslesen.
Schließlich soll IPv6 deshalb sicherer sein als IPv4, weil Sicherheit bereits bei der Planung des Protokolls berücksichtigt worden ist, etwa bei der verbindlichen Implementierung von IPSec. NAT und IPSec kämen sich allerdings in die Quere, so dass sich einige Hersteller bereits dafür aussprächen, IPSec nicht mehr erforderlich zu machen, sagt Gont. Da sämtliche IPSec-Funktionen bereits für IPv4 verfügbar sind, aber nicht universal verwendet werden, liege der Verdacht nahe, dass IPSec auch in IPv6 nicht umgesetzt werde. Dass sich IPSec nicht durchsetze, liege aber beispielsweise auch an der mangelnden Umsetzung der Public-Key-Infrastruktur, die für IPSec notwendig ist.
Dass es Probleme mit der Sicherheit in IPv6 gibt, liegt nicht an dem Protokoll, fasst Gont zusammen. Unterschiedliche Faktoren wie mangelnde Umsetzung in Geräten für Sicherheit, etwa Firewall-Applikationen oder unzureichend geschultes Personal, könnten bei der Implementierung von IPv6 noch große Probleme bereiten. Erst als das Problem des Adressmangels unter IPv4 akut wurde, haben sich die Hersteller dem IPv6-Protokoll intensiver gewidmet - viel zu spät, wie Gont bemängelt.
---
Quelle: http://www.golem.de/1112/88043.html
Video-Interview: http://video.golem.de/internet/6452/fernando-gont-interview-zur-sicherheit-in-ipv6.html?q=medium
IPv6 ist noch nicht genügend getestet
Da fast keine IPv4-Adressen mehr vorhanden sind, muss IPv6 schleunigst umgesetzt werden. Allerdings ist IPv6 noch nicht reif für den täglichen Einsatz, denn seine Sicherheit ist noch nicht gewährleistet, sagt der Netzwerkexperte Fernando Gont.
IPv6 wird zwar schon seit einigen Jahren parallel zu IPv4 eingesetzt, allerdings haben Hardware- und Softwarehersteller das neue Internetprotokoll nicht genügend auf Sicherheit geprüft oder bislang mangelhaft umgesetzt. Außerdem fehlt es weiterhin an qualifiziertem Personal. Das sagt Netzwerkspezialist Fernando Gont. Gont hat für das britische National Infrastructure Security Co-ordination Centre (NISCC) eine Reihe von Sicherheitstests an Netzwerkprotokollen durchgeführt. Das Resultat: Vor allem bei der Implementierung von IPv6 könnte es noch unentdeckte Sicherheitslücken geben.
Trotz jahrelanger Nutzung von IPv6 wurde die Umsetzung des Protokolls nur zögerlich geprüft und die enthaltenen Sicherheitsmechanismen nur unzureichend umgesetzt. Hardware- und Softwarehersteller werden bei IPv6 stattdessen sogar auf herkömmliche IPv4-Technologien setzen, die laut Internet Engineering Task Force (IETF) gar nicht für IPv6 gedacht sind.
Aufweichung des End-to-End-Prinzips
Ein Beispiel ist die Verwendung von NAT in IPv6. Die Übersetzung von IP-Adressen ist in IPv6 nicht vorgesehen. Stattdessen sollte das neue Protokoll das ursprünglich angedachte End-to-End-Prinzip im Internet wiederherstellen, bei dem jedes Einzelgerät eine global erreichbare Internetadresse erhält. NAT-Netzwerke gelten als fragil, da beim Ausfall eines NAT-Servers das gesamte Netzwerk dahinter nicht mehr erreichbar ist. Außerdem erschwert NAT die Entwicklung von Netzwerkanwendungen wie P2P-Applikationen, die auf das End-to-End-Prinzip setzen.
Inzwischen werden die Rufe nach NAT für IPv6 aber immer lauter, denn Experten wie Gont sehen darin eine Sicherheitskomponente, um Endpunkte in einem internen Netzwerk zu verschleiern. Ursprünglich wurde NAT für IPv4 eingeführt, um den absehbaren Engpass bei IP-Adressen abzumildern. Inzwischen ersetzt es mancherorts die Firewall. Eine entsprechende NAT-Umsetzung für IPv6 gibt es bereits, etwa NAT66 auf Sourceforge, und entsprechende Patches für Netfilter unter Linux gibt es ebenfalls bereits. Zwar existieren bereits Lösungen, die zum Beispiel die zweite Hälfte der IP-Adresse verschlüsseln, um den Host nicht eindeutig identifizierbar zu machen, sie sind aber nicht Pflicht.
NAT auch in IPv6 unerlässlich
Gont argumentiert, dass NAT-Netzwerke nicht nur einzelne Hosts verschleiern und so für Sicherheit sorgen, sondern auch gesamte Netzwerktopologien verstecken. Zudem können Unternehmen ihre eigene IP-Adressen-Infrastruktur unabhängig von einem Internetprovider umsetzen. Dazu kann in einem internen Netzwerk die Unique-Local-IPv6-Unicast-Adresse verwendet werden, die dann bei einem Wechsel des Providers nicht geändert werden müsste.
Ein weiterer Grund für den Einsatz herkömmlicher Technologie sei der parallele Einsatz von IPv4 und IPv6, sagt Gont. Da bei IPv4 nicht auf NAT verzichtet werden kann, müssen Werkzeuge wie NAT64 für die Übersetzung zwischen IPv4 und IPv6 sorgen, damit reine IPv6-Knoten auch mit reinen IPv4-Knoten kommunizieren können. Beim parallelen Einsatz von IPv4 und IPv6 wird deshalb zunächst verstärkt auf NAT gesetzt. Das werde dazu führen, dass Administratoren auch später auf NATs nicht verzichten würden, sagt Gont.
Gefahren im Parallelbetrieb
Außerdem birgt der parallele Einsatz von IPv4 und IPv6 weitere Gefahren. Ein Beispiel dafür ist der Einsatz des Teredo-Protokolls, das IPv6 über UDP durch NATs tunnelt. Dabei können NATs, die als Firewall eingesetzt werden, ausgehebelt und die interne Netzwerkinfrastruktur offenbart werden. Außerdem lassen sich Teredo-Tunnel für DoS-Angriffe nutzen, was allerdings einfach zu verhindern ist. Zudem müssen Spamfilter für den Einsatz mit IPv6 umgerüstet werden.
Gont sieht auch die Gefahr von Brute-Force-Angriffen trotz größeren Adressraums bei IPv6 nicht gebannt. Zum einen sind lokale Scans auch über Funktionen wie Neighborhood Discovery möglich. Zum anderen werden IPv6-Adressen nicht wie vorgesehen einheitlich verteilt, sondern folgen bestimmten Mustern, die beispielsweise aus der Vergabe durch die Stateless-Auto-Konfigurationen (SLAAC) oder die Verwendung von Werkzeugen für IPv4 und IPv6 resultieren. Solche erkennbaren Muster können genutzt werden, um dezidierte Angriffe zu starten. Zwar könne hier die Verwendung von privaten Adressen nach RFC 4941 genutzt werden, um eindeutige IP-Adressen zu verschleiern, eine zusätzliche Firewall sei aber unerlässlich, sagt Gont.
Mangelhafte Umsetzung von IPSec
Ferner werden Brute-Force-Angriffe im IPv4-Netzwerk deshalb verwendet, weil sie bequem und wegen des begrenzten Adressraums effektiv sind. Das bedeute aber nicht, dass Angreifer in Zukunft nicht speziellere Verfahren für IPv6 entwickeln werden. Außerdem könnten Angreifer stattdessen aktive IP-Adressen beispielsweise aus E-Mail-Headern auslesen.
Schließlich soll IPv6 deshalb sicherer sein als IPv4, weil Sicherheit bereits bei der Planung des Protokolls berücksichtigt worden ist, etwa bei der verbindlichen Implementierung von IPSec. NAT und IPSec kämen sich allerdings in die Quere, so dass sich einige Hersteller bereits dafür aussprächen, IPSec nicht mehr erforderlich zu machen, sagt Gont. Da sämtliche IPSec-Funktionen bereits für IPv4 verfügbar sind, aber nicht universal verwendet werden, liege der Verdacht nahe, dass IPSec auch in IPv6 nicht umgesetzt werde. Dass sich IPSec nicht durchsetze, liege aber beispielsweise auch an der mangelnden Umsetzung der Public-Key-Infrastruktur, die für IPSec notwendig ist.
Dass es Probleme mit der Sicherheit in IPv6 gibt, liegt nicht an dem Protokoll, fasst Gont zusammen. Unterschiedliche Faktoren wie mangelnde Umsetzung in Geräten für Sicherheit, etwa Firewall-Applikationen oder unzureichend geschultes Personal, könnten bei der Implementierung von IPv6 noch große Probleme bereiten. Erst als das Problem des Adressmangels unter IPv4 akut wurde, haben sich die Hersteller dem IPv6-Protokoll intensiver gewidmet - viel zu spät, wie Gont bemängelt.
---
Quelle: http://www.golem.de/1112/88043.html
Video-Interview: http://video.golem.de/internet/6452/fernando-gont-interview-zur-sicherheit-in-ipv6.html?q=medium