IPv6: Welche Sicherheitsprobleme die Umstellung bringen kann


    Tags: , ,

    IPv6Am 8. Juni stellten große Service-Provider und Internet-Firmen wie Google, Facebook und Yahoo ihre IT-Infrastruktur testweise auf Version 6 des Internet-Protokolls um. Der Test sollte unter anderem zeigen, inwieweit Router und Switches, aber auch Server-Systeme und Clients IPv6-tauglich sind. Das sollte – theoretisch – bei fast allen Geräten und Betriebssystemen der Fall sind. Seit Windows 7 setzt auch Microsoft auf IPv6.

    Der Test verlief nach Angaben der Beteiligten erfolgreich. Auch nach Ende des Tests sind viele Web-Sites immer noch sowohl über eine IPv4- als auch IPv6-Adresse erreichbar. Das heißt, etliche Service-Provider, Unternehmen und Organisationen behalten die "Dual-Stack"-Policy bei und verwenden beide Adressverfahren.

    Unreife Implementierungen

    Allerdings kann der Umstieg auf das neue Protokoll Sicherheitsprobleme mit sich bringen, so Amichai Shulman, Chief Technology Officer der Sicherheitsfirma Imperva. Das Unternehmen hat sich auf Cloud-Security-Lösungen spezialisiert.

    Die größte Gefahr liegt laut Shulman in den unterschiedlichen, teilweise noch unreifen Implementierungen des Protokolls. Es gibt vor allem zwei potenzielle Sicherheitslücken: Die erste besteht darin, dass in Router, Switches und auf Servern nicht genug Speicher für die längeren Adressen zur Verfügung stehen kann. IPv4 verwendet 32 Bit lange Adressen, IPv6 128-Bit-Kennungen. Dies könnte Angreifer nutzen, um auf Systemen einen Buffer Overflow des Arbeits- oder Cache-Speichers zu provozieren und sich dadurch letztlich Zugang zu diesen Geräten und den Daten darauf verschaffen.

    Die zweite Gefahr ist die Fehlkonfiguration von Systemen. Dies sei vor allem in kleineren Unternehmen eine Bedrohung. Diese haben meist nur eine kleine, häufig überlastete IT-Abteilung. Außerdem verzichten sie in der Regel auf Systemmanagement-Tools, welche die Umstellung auf IPv6 unterstützen. Die Umkonfiguration von Hand ist dagegen fehlerträchtig.

    Mögliche Angriffe

    Shulman sieht vor allem vier Arten von Angriffe, die sich im Rahmen der Umstellung häufen könnten. Die erste sind Denial-of-Service-Attacken (DoS), die zweite Remote-Ausführung von Schadcode, etwa über den Umweg des erwähnten Buffer Overflow. Dadurch ist es möglich, die Kontrolle über fremde Geräte zu erhalten.

    Hinzu kommt Spoofing, sprich ein Angreifer beziehungsweise dessen System gibt vor, Teil des Unternehmensnetzes zu sein und erhält so Zugang zu den Ressourcen im Corporate Network. Die vierte Gefahr sei schließlich, dass Firewalls falsch konfiguriert würden und daher den Zugang zum Netz erlauben.

    Andere Fachleute warnen vor speziellen Eigenschaften der IPv6-Adressen. Sie enthalten beispielsweise mehr Adressinformationen als IPv4-Adressen, etwa Daten über einen speziellen Pfad im Routing-Header der Pakete. Diese Informationen kann sich ein Angreifer zunutze machen, wenn er solche Pakete abfängt.

    Ausnutzung von Dupliacte Address Detection

    Die IPv6-Funktion "Duplicate Address Detection" wiederum lässt sich für DoS-Attacken "ausschlachten", wie ein Beitrag im Security-Blog SecurityVibes erläutert. DAD ermöglicht es einem Gerät, in einem Subnetz nachzufragen, ob andere Systeme dieselbe Adresse verwenden. Wenn ja, greift das System auf eine andere Adresse zu. Ein Angreifer könnte nun diese Neuvergabe von Adressen unterbinden, sodass neue Systeme keine IPv6-Kennung mehr erhalten.

    Eine weitere potenzielle Schwachstelle sind manipulierte Router Advertisements (RAs). RA-Pakete werden von einem Router in ein Subnet übermittelt. Sie dienen Hosts dazu, um die IPv6-Adresse und das Standard-Gateway zu ermitteln. Allerdings kommt es laut SecurityVibes speziell bei Verwendung von Windows Internet Connection Sharing (ICS) vor, dass auch andere Systeme im Netz RAs versenden und damit einen Host dazu bringen, eine neue IP-Adresse und ein anderes Standard-Gateway zu konfigurieren. Letztlich kann das dazu führen, dass Hosts keine Netzwerkverbindung mehr haben. Ein Angreifer wiederum kann die Tatsache ausnutzen, dass nicht nur Router RA-Pakete versenden, um eine "Man-in-the-Middle"-Attacke zu starten.

    Tipps für sicheres IPv6

    Andere Sicherheits- und Netzwerkfirmen wie beispielsweise F5 Networks und Infoblox sehen allerdings vor allem in der fehlerhaften Konfiguration von Netzwerksystemen und Clients das Hauptproblem. Ein weiteres sei, dass die meisten Organisationen und Firmen zumindest in der ersten Phase zweigleisig fahren: mit IPv4, häufig in Verbindung mit NAT (Network Address Translation), und IPv6. Das erhöht den Managementaufwand und die Gefahr von "menschlichem Versagen", weil zwei Arten von Adresslisten gepflegt werden müssen.

    Hier einige Tipps für Firmen, die IPv6 einsetzen wollen. Sie stammen von diversen IT-Sicherheitsexperten und -Unternehmen:

    • Für kritische IT-Systeme statische IP-Adressen verwenden;
    • IPv6-Verkehr in allen IPv4-Netzen blockieren;
    • IPv6-Adressen, die innerhalb eines Firmennetzes verwendet werden, nicht nach außen dringen lassen. Dies lässt sich mithilfe der Filtermechanismen eines Routers am Rand des Netzes bewerkstelligen;
    • überflüssige ICMPv6-Messages ausfiltern;
    • eine durchgängige Sicherheitsregelung sowohl für IPv4- als auchIPv6-Systeme erarbeiten und umsetzen;
    • IPsec einsetzen, um den Zugang zu IT-Ressourcen zu beschränken und nicht autorisierte Zugriffe zu blockieren;
    • die Firewall nur für absolut notwendige Services öffnen.

    Keine Kommentare