Abo
  • Services:

NAT auch in IPv6 unerlässlich

Gont argumentiert, dass NAT-Netzwerke nicht nur einzelne Hosts verschleiern und so für Sicherheit sorgen, sondern auch gesamte Netzwerktopologien verstecken. Zudem können Unternehmen ihre eigene IP-Adressen-Infrastruktur unabhängig von einem Internetprovider umsetzen. Dazu kann in einem internen Netzwerk die Unique-Local-IPv6-Unicast-Adresse verwendet werden, die dann bei einem Wechsel des Providers nicht geändert werden müsste.

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. Lidl Digital, Neckarsulm

Ein weiterer Grund für den Einsatz herkömmlicher Technologie sei der parallele Einsatz von IPv4 und IPv6, sagt Gont. Da bei IPv4 nicht auf NAT verzichtet werden kann, müssen Werkzeuge wie NAT64 für die Übersetzung zwischen IPv4 und IPv6 sorgen, damit reine IPv6-Knoten auch mit reinen IPv4-Knoten kommunizieren können. Beim parallelen Einsatz von IPv4 und IPv6 wird deshalb zunächst verstärkt auf NAT gesetzt. Das werde dazu führen, dass Administratoren auch später auf NATs nicht verzichten würden, sagt Gont.

Gefahren im Parallelbetrieb

Außerdem birgt der parallele Einsatz von IPv4 und IPv6 weitere Gefahren. Ein Beispiel dafür ist der Einsatz des Teredo-Protokolls, das IPv6 über UDP durch NATs tunnelt. Dabei können NATs, die als Firewall eingesetzt werden, ausgehebelt und die interne Netzwerkinfrastruktur offenbart werden. Außerdem lassen sich Teredo-Tunnel für DoS-Angriffe nutzen, was allerdings einfach zu verhindern ist. Zudem müssen Spamfilter für den Einsatz mit IPv6 umgerüstet werden.

Gont sieht auch die Gefahr von Brute-Force-Angriffen trotz größeren Adressraums bei IPv6 nicht gebannt. Zum einen sind lokale Scans auch über Funktionen wie Neighborhood Discovery möglich. Zum anderen werden IPv6-Adressen nicht wie vorgesehen einheitlich verteilt, sondern folgen bestimmten Mustern, die beispielsweise aus der Vergabe durch die Stateless-Auto-Konfigurationen (SLAAC) oder die Verwendung von Werkzeugen für IPv4 und IPv6 resultieren. Solche erkennbaren Muster können genutzt werden, um dezidierte Angriffe zu starten. Zwar könne hier die Verwendung von privaten Adressen nach RFC 4941 genutzt werden, um eindeutige IP-Adressen zu verschleiern, eine zusätzliche Firewall sei aber unerlässlich, sagt Gont.

Mangelhafte Umsetzung von IPSec

Ferner werden Brute-Force-Angriffe im IPv4-Netzwerk deshalb verwendet, weil sie bequem und wegen des begrenzten Adressraums effektiv sind. Das bedeute aber nicht, dass Angreifer in Zukunft nicht speziellere Verfahren für IPv6 entwickeln werden. Außerdem könnten Angreifer stattdessen aktive IP-Adressen beispielsweise aus E-Mail-Headern auslesen.

Schließlich soll IPv6 deshalb sicherer sein als IPv4, weil Sicherheit bereits bei der Planung des Protokolls berücksichtigt worden ist, etwa bei der verbindlichen Implementierung von IPSec. NAT und IPSec kämen sich allerdings in die Quere, so dass sich einige Hersteller bereits dafür aussprächen, IPSec nicht mehr erforderlich zu machen, sagt Gont. Da sämtliche IPSec-Funktionen bereits für IPv4 verfügbar sind, aber nicht universal verwendet werden, liege der Verdacht nahe, dass IPSec auch in IPv6 nicht umgesetzt werde. Dass sich IPSec nicht durchsetze, liege aber beispielsweise auch an der mangelnden Umsetzung der Public-Key-Infrastruktur, die für IPSec notwendig ist.

Dass es Probleme mit der Sicherheit in IPv6 gibt, liegt nicht an dem Protokoll, fasst Gont zusammen. Unterschiedliche Faktoren wie mangelnde Umsetzung in Geräten für Sicherheit, etwa Firewall-Applikationen oder unzureichend geschultes Personal, könnten bei der Implementierung von IPv6 noch große Probleme bereiten. Erst als das Problem des Adressmangels unter IPv4 akut wurde, haben sich die Hersteller dem IPv6-Protokoll intensiver gewidmet - viel zu spät, wie Gont bemängelt.

 Sicherheit: IPv6 ist noch nicht genügend getestet
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 4,99€
  3. (-56%) 10,99€
  4. 13,49€

ClausWARE 10. Aug 2016

Grundsätzlich hast Du mit deinen Ausführungen soweit natürlich recht. Aber: Wird in den...

SoniX 02. Dez 2011

Nicht von alten? Geh mal in den Markt und kauf dir dort n Duzend Router. Da brauchst du...

Casandro 02. Dez 2011

...so hätten längst mehr Leute IPv6 und die Probleme wären längst gefunden und gelöst.

nn.max 02. Dez 2011

Dieses Video ist ein must see!

markFreak 01. Dez 2011

Bei 2:02 im Video spricht Gont von "kernel memory", im deutschen Untertitel ist jedoch...


Folgen Sie uns
       


Vier drahtlose Gaming-Headsets im Test

Zu oft stolpert Golem.de beim Spielen über nervende Kabel. Deshalb testen wir vier Headsets, die auf Kabel verzichten, aber sehr unterschiedlich sind. Von vibrierenden Motoren bis zu ungewöhnlich gutem Sound ist alles dabei. Wir haben auch einen Favoriten.

Vier drahtlose Gaming-Headsets im Test Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

    •  /