Sie sehen keine Notwendigkeit, das Netzwerk Ihres Unternehmens auf das neue Internetprotokoll IPv6 umzustellen? Vielleicht läuft ein Teil Ihrer IT aber ohne Ihr Wissen bereits über IPv6, jedoch unkontrolliert und ungeschützt. Wir haben eine Checkliste für Sie zusammengestellt, anhand derer Sie Ihr Netzwerk absichern und einen kontrollierten Übergang zu IPv6 vorbereiten können.

IPv4 und IPv6

Da die Internetadressen nach altem Standard (IPv4) sehr endlich sind und damit vorhersehbar langsam knapp werden, hat die Internet Engineering Task Force (IETF) bereits 1998 ein neues Protokoll, nach dem Internetadressen vergeben werden können, standardisiert: IPv6. Nach dem IPv6-Standard können 128 Bit mächtige IP-Adresse vergeben werden, womit etwa 3,4028236692093846346337460743177 x 1038 eindeutige Adressen möglich sind. Wenn man berücksichtigt, dass nur die Hälfte der Adresslänge für die Netzwerkkennung vorgesehen ist, verbleiben noch immer 18.446.744.073.709.551.616 verschiedene IP-Adressen. Plastischer beschrieben: Man könnte jedem Quadratzentimeter der Erdoberfläche zwischen drei und vier Adressen zuweisen – ein schier gigantischer Adressraum.

Am 6. Juni 2012 war World IPv6 Launch Day. Etwa 2900 Inhalte-Anbieter haben dauerhaft den IPv6-Betrieb aufgenommen. Viele Betriebssysteme und Netzwerkhardware die privat oder in Unternehmen eingesetzt werden, unterstützen bereits IPv6. Die Umstellung ist aber noch lange nicht vollständig umgesetzt – geschweige denn abgeschlossen. IPv4 funktioniert nach wie vor und wird auch weiterhin in Netzwerken verwendet. Dies wird auch aus rein praktischen Gründen in naher Zukunft so bleiben müssen. Viele IT-Anlagen sowie andere Netzkomponenten (Router, Hardwarefirewalls) werden daher vorübergehend im Dual Stack Betrieb gefahren, d.h. sie verfügen sowohl über eine herkömmliche IPv4-Adresse, als auch bereits über eine IPv6-Adresse. Eine Adressierung (Ansprache) der Rechner und Netzkomponenten ist über beide Adressen möglich.

Hier entsteht ein neues Problem: Die Implementierung von IPv6-Schutzkomponenten ist bisher nicht in allen Unternehmen/Behörden erfolgt oder abgeschlossen. Während die IPv4-Infrastruktur oft über verschiedenste Schutzkomponenten verfügt, sind etwa vorhandene Intrusion Detection Systeme auf Angriffe über IPv6-basierte Verbindungen kaum vorbereitet. Ähnlich sieht es bei DHCP-Snooping, DHCP-Protection und Dynamic ARP Protection aus.

Über die neuerdings aktivenIPv6-Verbindungen könnte also unbemerkt Schadsoftware in das Unternehmensnetzwerk eingebracht werden, ohne dass die lediglich auf die IPv4-Architektur geeichten Sicherungsinstrumente ansprechen.

Sicher wird IPv6 zukunftsweisende Adressierungsinfrastruktur sein; ebenso sicher wird es aber noch eine längere Zeit dauern, bis die letzte IPv4-Komponente vom Netz genommen wird. Es ist wichtig, in dieser Phase der Umstellung also beide Welten im Blick zu behalten, um Sicherheitslücken zu vermeiden.

Das BSI hat im Rahmen der ISi-Reihe einen Leitfaden für eine sichere IPv6-Netzwerkarchitektur (ISi-L) erarbeitet. Wir haben hieraus eine IPv6 Checkliste entwickelt, anhand derer sie prüfen können, ob sie bereits sicher im Hinblick auf IPv6 aufgestellt sind:
Checkliste IPv6-Nutzung im UnternehmenDownload Checkliste IPv6-Nutzung im Unternehmen
 

Verwandte Themen:
So funktioniert sichere Internettelefonie mit Skype & Co
Bring Your Own Device und Datenschutz
Smartphones und Profilbildung
Online Datenschutz-Schulung für Mitarbeiter
Was tun im Datenschutz-Notfall?
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.