Abo
  • Services:

NAT auch in IPv6 unerlässlich

Gont argumentiert, dass NAT-Netzwerke nicht nur einzelne Hosts verschleiern und so für Sicherheit sorgen, sondern auch gesamte Netzwerktopologien verstecken. Zudem können Unternehmen ihre eigene IP-Adressen-Infrastruktur unabhängig von einem Internetprovider umsetzen. Dazu kann in einem internen Netzwerk die Unique-Local-IPv6-Unicast-Adresse verwendet werden, die dann bei einem Wechsel des Providers nicht geändert werden müsste.

Stellenmarkt
  1. Stadtwerke Bonn GmbH, Bonn
  2. TÜV SÜD Gruppe, München

Ein weiterer Grund für den Einsatz herkömmlicher Technologie sei der parallele Einsatz von IPv4 und IPv6, sagt Gont. Da bei IPv4 nicht auf NAT verzichtet werden kann, müssen Werkzeuge wie NAT64 für die Übersetzung zwischen IPv4 und IPv6 sorgen, damit reine IPv6-Knoten auch mit reinen IPv4-Knoten kommunizieren können. Beim parallelen Einsatz von IPv4 und IPv6 wird deshalb zunächst verstärkt auf NAT gesetzt. Das werde dazu führen, dass Administratoren auch später auf NATs nicht verzichten würden, sagt Gont.

Gefahren im Parallelbetrieb

Außerdem birgt der parallele Einsatz von IPv4 und IPv6 weitere Gefahren. Ein Beispiel dafür ist der Einsatz des Teredo-Protokolls, das IPv6 über UDP durch NATs tunnelt. Dabei können NATs, die als Firewall eingesetzt werden, ausgehebelt und die interne Netzwerkinfrastruktur offenbart werden. Außerdem lassen sich Teredo-Tunnel für DoS-Angriffe nutzen, was allerdings einfach zu verhindern ist. Zudem müssen Spamfilter für den Einsatz mit IPv6 umgerüstet werden.

Gont sieht auch die Gefahr von Brute-Force-Angriffen trotz größeren Adressraums bei IPv6 nicht gebannt. Zum einen sind lokale Scans auch über Funktionen wie Neighborhood Discovery möglich. Zum anderen werden IPv6-Adressen nicht wie vorgesehen einheitlich verteilt, sondern folgen bestimmten Mustern, die beispielsweise aus der Vergabe durch die Stateless-Auto-Konfigurationen (SLAAC) oder die Verwendung von Werkzeugen für IPv4 und IPv6 resultieren. Solche erkennbaren Muster können genutzt werden, um dezidierte Angriffe zu starten. Zwar könne hier die Verwendung von privaten Adressen nach RFC 4941 genutzt werden, um eindeutige IP-Adressen zu verschleiern, eine zusätzliche Firewall sei aber unerlässlich, sagt Gont.

Mangelhafte Umsetzung von IPSec

Ferner werden Brute-Force-Angriffe im IPv4-Netzwerk deshalb verwendet, weil sie bequem und wegen des begrenzten Adressraums effektiv sind. Das bedeute aber nicht, dass Angreifer in Zukunft nicht speziellere Verfahren für IPv6 entwickeln werden. Außerdem könnten Angreifer stattdessen aktive IP-Adressen beispielsweise aus E-Mail-Headern auslesen.

Schließlich soll IPv6 deshalb sicherer sein als IPv4, weil Sicherheit bereits bei der Planung des Protokolls berücksichtigt worden ist, etwa bei der verbindlichen Implementierung von IPSec. NAT und IPSec kämen sich allerdings in die Quere, so dass sich einige Hersteller bereits dafür aussprächen, IPSec nicht mehr erforderlich zu machen, sagt Gont. Da sämtliche IPSec-Funktionen bereits für IPv4 verfügbar sind, aber nicht universal verwendet werden, liege der Verdacht nahe, dass IPSec auch in IPv6 nicht umgesetzt werde. Dass sich IPSec nicht durchsetze, liege aber beispielsweise auch an der mangelnden Umsetzung der Public-Key-Infrastruktur, die für IPSec notwendig ist.

Dass es Probleme mit der Sicherheit in IPv6 gibt, liegt nicht an dem Protokoll, fasst Gont zusammen. Unterschiedliche Faktoren wie mangelnde Umsetzung in Geräten für Sicherheit, etwa Firewall-Applikationen oder unzureichend geschultes Personal, könnten bei der Implementierung von IPv6 noch große Probleme bereiten. Erst als das Problem des Adressmangels unter IPv4 akut wurde, haben sich die Hersteller dem IPv6-Protokoll intensiver gewidmet - viel zu spät, wie Gont bemängelt.

 Sicherheit: IPv6 ist noch nicht genügend getestet
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 24,99€
  2. 4,99€
  3. (-66%) 3,40€

ClausWARE 10. Aug 2016

Grundsätzlich hast Du mit deinen Ausführungen soweit natürlich recht. Aber: Wird in den...

SoniX 02. Dez 2011

Nicht von alten? Geh mal in den Markt und kauf dir dort n Duzend Router. Da brauchst du...

Casandro 02. Dez 2011

...so hätten längst mehr Leute IPv6 und die Probleme wären längst gefunden und gelöst.

nn.max 02. Dez 2011

Dieses Video ist ein must see!

markFreak 01. Dez 2011

Bei 2:02 im Video spricht Gont von "kernel memory", im deutschen Untertitel ist jedoch...


Folgen Sie uns
       


Xiaomi Mi 9 - Hands on (MWC 2019)

Xiaomi bringt das Mi 9 nach Europa. Der Europastart wurde auf dem Mobile World Congress 2019 in Barcelona verkündet. Das Topsmartphone hat eine Triple-Kamera mit bis zu 48 Megapixeln. Es liefert für einen Preis ab 450 Euro eine sehr gute technische Ausstattung.

Xiaomi Mi 9 - Hands on (MWC 2019) Video aufrufen
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. Nvidia Turing OBS unterstützt Encoder der Geforce RTX
  2. Geforce GTX 1660 Ti im Test Nvidia kann Turing auch günstig(er)
  3. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März

Zotac Geforce GTX 1660 Ti im Test: Gute 1440p-Karte für unter 300 Euro
Zotac Geforce GTX 1660 Ti im Test
Gute 1440p-Karte für unter 300 Euro

Die Geforce GTX 1660 Ti von Zotac ist eine der günstigen Grafikkarten mit Nvidias Turing-Architektur, dennoch erhalten Käufer ein empfehlenswertes Modell: Der leise Pixelbeschleuniger rechnet praktisch so flott wie übertaktete Modelle, braucht aber weniger Energie.
Ein Test von Marc Sauter

  1. Grafikkarte Chip der Geforce GTX 1660 Ti ist überraschend groß
  2. Deep Learning Supersampling Nvidia will DLSS-Kantenglättung verbessern
  3. Metro Exodus im Technik-Test Richtiges Raytracing rockt

Operation 13: Anonymous wird wieder aktiv
Operation 13
Anonymous wird wieder aktiv

Mehrere Jahre wirkte es, als sei das dezentrale Kollektiv Anonymous in Deutschland eingeschlafen. Doch es bewegt sich etwas, die Aktivisten machen gegen Artikel 13 mobil - auf der Straße wie im Internet.
Von Anna Biselli


      •  /