NAT auch in IPv6 unerlässlich

Gont argumentiert, dass NAT-Netzwerke nicht nur einzelne Hosts verschleiern und so für Sicherheit sorgen, sondern auch gesamte Netzwerktopologien verstecken. Zudem können Unternehmen ihre eigene IP-Adressen-Infrastruktur unabhängig von einem Internetprovider umsetzen. Dazu kann in einem internen Netzwerk die Unique-Local-IPv6-Unicast-Adresse verwendet werden, die dann bei einem Wechsel des Providers nicht geändert werden müsste.

Ein weiterer Grund für den Einsatz herkömmlicher Technologie sei der parallele Einsatz von IPv4 und IPv6, sagt Gont. Da bei IPv4 nicht auf NAT verzichtet werden kann, müssen Werkzeuge wie NAT64 für die Übersetzung zwischen IPv4 und IPv6 sorgen, damit reine IPv6-Knoten auch mit reinen IPv4-Knoten kommunizieren können. Beim parallelen Einsatz von IPv4 und IPv6 wird deshalb zunächst verstärkt auf NAT gesetzt. Das werde dazu führen, dass Administratoren auch später auf NATs nicht verzichten würden, sagt Gont.

Gefahren im Parallelbetrieb

Außerdem birgt der parallele Einsatz von IPv4 und IPv6 weitere Gefahren. Ein Beispiel dafür ist der Einsatz des Teredo-Protokolls, das IPv6 über UDP durch NATs tunnelt. Dabei können NATs, die als Firewall eingesetzt werden, ausgehebelt und die interne Netzwerkinfrastruktur offenbart werden. Außerdem lassen sich Teredo-Tunnel für DoS-Angriffe nutzen, was allerdings einfach zu verhindern ist. Zudem müssen Spamfilter für den Einsatz mit IPv6 umgerüstet werden.

Gont sieht auch die Gefahr von Brute-Force-Angriffen trotz größeren Adressraums bei IPv6 nicht gebannt. Zum einen sind lokale Scans auch über Funktionen wie Neighborhood Discovery möglich. Zum anderen werden IPv6-Adressen nicht wie vorgesehen einheitlich verteilt, sondern folgen bestimmten Mustern, die beispielsweise aus der Vergabe durch die Stateless-Auto-Konfigurationen (SLAAC) oder die Verwendung von Werkzeugen für IPv4 und IPv6 resultieren. Solche erkennbaren Muster können genutzt werden, um dezidierte Angriffe zu starten. Zwar könne hier die Verwendung von privaten Adressen nach RFC 4941 genutzt werden, um eindeutige IP-Adressen zu verschleiern, eine zusätzliche Firewall sei aber unerlässlich, sagt Gont.

Mangelhafte Umsetzung von IPSec

Ferner werden Brute-Force-Angriffe im IPv4-Netzwerk deshalb verwendet, weil sie bequem und wegen des begrenzten Adressraums effektiv sind. Das bedeute aber nicht, dass Angreifer in Zukunft nicht speziellere Verfahren für IPv6 entwickeln werden. Außerdem könnten Angreifer stattdessen aktive IP-Adressen beispielsweise aus E-Mail-Headern auslesen.

Schließlich soll IPv6 deshalb sicherer sein als IPv4, weil Sicherheit bereits bei der Planung des Protokolls berücksichtigt worden ist, etwa bei der verbindlichen Implementierung von IPSec. NAT und IPSec kämen sich allerdings in die Quere, so dass sich einige Hersteller bereits dafür aussprächen, IPSec nicht mehr erforderlich zu machen, sagt Gont. Da sämtliche IPSec-Funktionen bereits für IPv4 verfügbar sind, aber nicht universal verwendet werden, liege der Verdacht nahe, dass IPSec auch in IPv6 nicht umgesetzt werde. Dass sich IPSec nicht durchsetze, liege aber beispielsweise auch an der mangelnden Umsetzung der Public-Key-Infrastruktur, die für IPSec notwendig ist.

Dass es Probleme mit der Sicherheit in IPv6 gibt, liegt nicht an dem Protokoll, fasst Gont zusammen. Unterschiedliche Faktoren wie mangelnde Umsetzung in Geräten für Sicherheit, etwa Firewall-Applikationen oder unzureichend geschultes Personal, könnten bei der Implementierung von IPv6 noch große Probleme bereiten. Erst als das Problem des Adressmangels unter IPv4 akut wurde, haben sich die Hersteller dem IPv6-Protokoll intensiver gewidmet - viel zu spät, wie Gont bemängelt.