Abo
  • Services:

NAT auch in IPv6 unerlässlich

Gont argumentiert, dass NAT-Netzwerke nicht nur einzelne Hosts verschleiern und so für Sicherheit sorgen, sondern auch gesamte Netzwerktopologien verstecken. Zudem können Unternehmen ihre eigene IP-Adressen-Infrastruktur unabhängig von einem Internetprovider umsetzen. Dazu kann in einem internen Netzwerk die Unique-Local-IPv6-Unicast-Adresse verwendet werden, die dann bei einem Wechsel des Providers nicht geändert werden müsste.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. Bremer Rechenzentrum GmbH, Bremen

Ein weiterer Grund für den Einsatz herkömmlicher Technologie sei der parallele Einsatz von IPv4 und IPv6, sagt Gont. Da bei IPv4 nicht auf NAT verzichtet werden kann, müssen Werkzeuge wie NAT64 für die Übersetzung zwischen IPv4 und IPv6 sorgen, damit reine IPv6-Knoten auch mit reinen IPv4-Knoten kommunizieren können. Beim parallelen Einsatz von IPv4 und IPv6 wird deshalb zunächst verstärkt auf NAT gesetzt. Das werde dazu führen, dass Administratoren auch später auf NATs nicht verzichten würden, sagt Gont.

Gefahren im Parallelbetrieb

Außerdem birgt der parallele Einsatz von IPv4 und IPv6 weitere Gefahren. Ein Beispiel dafür ist der Einsatz des Teredo-Protokolls, das IPv6 über UDP durch NATs tunnelt. Dabei können NATs, die als Firewall eingesetzt werden, ausgehebelt und die interne Netzwerkinfrastruktur offenbart werden. Außerdem lassen sich Teredo-Tunnel für DoS-Angriffe nutzen, was allerdings einfach zu verhindern ist. Zudem müssen Spamfilter für den Einsatz mit IPv6 umgerüstet werden.

Gont sieht auch die Gefahr von Brute-Force-Angriffen trotz größeren Adressraums bei IPv6 nicht gebannt. Zum einen sind lokale Scans auch über Funktionen wie Neighborhood Discovery möglich. Zum anderen werden IPv6-Adressen nicht wie vorgesehen einheitlich verteilt, sondern folgen bestimmten Mustern, die beispielsweise aus der Vergabe durch die Stateless-Auto-Konfigurationen (SLAAC) oder die Verwendung von Werkzeugen für IPv4 und IPv6 resultieren. Solche erkennbaren Muster können genutzt werden, um dezidierte Angriffe zu starten. Zwar könne hier die Verwendung von privaten Adressen nach RFC 4941 genutzt werden, um eindeutige IP-Adressen zu verschleiern, eine zusätzliche Firewall sei aber unerlässlich, sagt Gont.

Mangelhafte Umsetzung von IPSec

Ferner werden Brute-Force-Angriffe im IPv4-Netzwerk deshalb verwendet, weil sie bequem und wegen des begrenzten Adressraums effektiv sind. Das bedeute aber nicht, dass Angreifer in Zukunft nicht speziellere Verfahren für IPv6 entwickeln werden. Außerdem könnten Angreifer stattdessen aktive IP-Adressen beispielsweise aus E-Mail-Headern auslesen.

Schließlich soll IPv6 deshalb sicherer sein als IPv4, weil Sicherheit bereits bei der Planung des Protokolls berücksichtigt worden ist, etwa bei der verbindlichen Implementierung von IPSec. NAT und IPSec kämen sich allerdings in die Quere, so dass sich einige Hersteller bereits dafür aussprächen, IPSec nicht mehr erforderlich zu machen, sagt Gont. Da sämtliche IPSec-Funktionen bereits für IPv4 verfügbar sind, aber nicht universal verwendet werden, liege der Verdacht nahe, dass IPSec auch in IPv6 nicht umgesetzt werde. Dass sich IPSec nicht durchsetze, liege aber beispielsweise auch an der mangelnden Umsetzung der Public-Key-Infrastruktur, die für IPSec notwendig ist.

Dass es Probleme mit der Sicherheit in IPv6 gibt, liegt nicht an dem Protokoll, fasst Gont zusammen. Unterschiedliche Faktoren wie mangelnde Umsetzung in Geräten für Sicherheit, etwa Firewall-Applikationen oder unzureichend geschultes Personal, könnten bei der Implementierung von IPv6 noch große Probleme bereiten. Erst als das Problem des Adressmangels unter IPv4 akut wurde, haben sich die Hersteller dem IPv6-Protokoll intensiver gewidmet - viel zu spät, wie Gont bemängelt.

 Sicherheit: IPv6 ist noch nicht genügend getestet
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. jetzt bei Apple.de bestellbar
  3. (reduzierte Überstände, Restposten & Co.)

ClausWARE 10. Aug 2016

Grundsätzlich hast Du mit deinen Ausführungen soweit natürlich recht. Aber: Wird in den...

SoniX 02. Dez 2011

Nicht von alten? Geh mal in den Markt und kauf dir dort n Duzend Router. Da brauchst du...

Casandro 02. Dez 2011

...so hätten längst mehr Leute IPv6 und die Probleme wären längst gefunden und gelöst.

nn.max 02. Dez 2011

Dieses Video ist ein must see!

markFreak 01. Dez 2011

Bei 2:02 im Video spricht Gont von "kernel memory", im deutschen Untertitel ist jedoch...


Folgen Sie uns
       


Huawei P20 Pro - Hands on

Huaweis neues Smartphone P20 Pro kommt mit drei Hauptkameras und einer Reihe von KI-Funktionen. Wir haben uns das Gerät in einem ersten Hands on angeschaut.

Huawei P20 Pro - Hands on Video aufrufen
Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle
Facebook-Anhörung
Zuckerbergs Illusion von der vollen Kontrolle

In einer mehrstündigen Anhörung vor dem US-Senat hat Facebook-Chef Mark Zuckerberg sein Unternehmen verteidigt. Doch des Öfteren hinterließ er den Eindruck, als wisse er selbst nicht genau, was er in den vergangenen Jahren da geschaffen hat.
Eine Analyse von Friedhelm Greis

  1. Facebook Messenger Zuckerbergs Nachrichten heimlich auf Nutzerkonten gelöscht
  2. Böswillige Akteure Die meisten der zwei Milliarden Facebook-Profile ausgelesen
  3. DSGVO Zuckerberg will EU-Datenschutz nicht weltweit anwenden

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

    •  /