IPv6 ist da

IPv6Das Kabel spricht jetzt auch IPv6

Seit langer Zeit ist klar, das Internet-Adressen der Form 1.2.3.4 zur Neige gehen. Der Grund: Es gibt viel mehr Geräte auf der Welt als mit der maximal möglichen Anzahl an Adressen abgedeckt werden können. Verfahren wie NAT (Network Address Translation) und die damit verbundene interne Nutzung von  Adressen der Bereiche 192.168.x.y oder 10.x.y.z konnten den Prozess nur verlangsamen.

Die Alternative dazu ist klar. Ein neues Adressierungsschema wurde diskutiert und bereits 1998 verabschiedet. Mit IPv6 sind nicht „nur“ knapp 4 Milliarden Adressen (4,3·109) nutzbar, sondern ungefähr 340 Sextillionen (3,4·1038). Das sollte für eine ziemliche Weile reichen, selbst wenn man die Besiedlung des Mondes und dessen Internetanbindung mit berücksichtigt.

Mit IPv6 kommen neue Herausforderungen auf uns alle zu

Neben dem vergrößerten Adressraum sind einige hilfreiche Dinge bei IPv6 integriert worden. Aus gegebenem Anlass möchte ich auf eine Funktion besonders hinweisen: es wurde nämlich eine automatische Adresszuteilung mit in die Standardisierung aufgenommen.

Bei den heutigen NAT-Verfahren auf Routern werden per DHCP im internen Netzwerk IP-Adressen verteilt, die nur im internen LAN vermittelt werden. Ein Rechner mit so einer „privaten“ IP-Adresse kann als nicht aus dem Internet angesprochen werden, da diese von den Providern nicht vermittelt werden.

Eine automatisierte Adressverteilung direkt auf Protokollebene zu definieren, ist eigentlich ein kluger Schachzug. Hiermit muss man sich der Netzwerk-Administrator nämlich nicht mehr um eigenständige Prozesse wie einen DHCP-Server im Netzwerk kümmern. Gerade bei der aktuellen Entwicklung, bei der auch Kühlschränke offenbar eine IP-Adresse brauchen.

Dieser Automatismus birgt unter IPv6 eine Gefahr in sich

Das Verfahren sieht vor, dass Geräte wie die Router der Provider bei der Einwahl automatisch nicht nur eine einzige IP-Adresse bekommen, sondern einen ganzen Netzwerkbereich, den sie frei nach an die intern angeschlossenen Geräte weitergeben.

Das bedeutet, das die internen Geräte eines privaten Netzwerks nicht mehr per NAT vor Zugriffen von außen „geschützt“ sind. Die Geräte bekommen jetzt eigene IPv6-Adressen und sind aus dem Internet erreichbar!

(Anmerkung: NAT war nie als Schutzfunktion gedacht, sondern lediglich als Möglichkeit, die vorhandenen IPv4-Adressen möglichst lange zu schonen. Dadurch das NAT-Adressen aus den privaten Pools nicht im Internet ansprechbar waren, hat sich das aber leider als Sicherheitsfunktion in die Köpfe geschlichen…)

Netzwerkadministratoren sollten dringend prüfen und im Bedarfsfall handeln

Machen Sie doch einfach mal einen kleinen Test. Unter der URL http://wieistmeineip.de kann jeder selbst prüfen, mit welcher IP-Adresse der eigene Rechner im Internet unterwegs ist. Seit einiger Zeit prüft die Website auch, ob man eine IPv6-Adresse zugeteilt bekommt.

In der Standardinstallation ist ab Windows 7 und MacOS 10.7 IPv6 standardmäßig aktiv. Die Rechner bekommen also, sofern Router und Provider IPv6 unterstützen, eine im Internet erreichbare Adresse zugeteilt.

Wenn Sie also mit IPv6 im Internet unterwegs sind, gilt ganz klar die Firewall-Regeln der Router zu überprüfen. Eine abgeschaltete Firewall des Rechners und/oder Freigaben auf dem Rechner ermöglichen unter Umständen einen Zugriff.

(Nur als ergänzender Hinweis: Die Telekom rollt mittlerweile bei den IP-basierten Anschlüssen IPv6 aus. Und die neueren Router, die mitgeliefert werden, können alle IPv6 und verteilen die Adressen munter im internen LAN.)

Solange also IPv6 nicht aktiv in den Sicherheitsregeln eines Netzwerks berücksichtigt wird, ist es aus meiner Sicht angeraten, IPv6 zu deaktivieren. Das erfordert je nach Betriebssystem 5-10 Mausklicks. Sprechen Sie hierzu aber auch Ihren Systemadministrator an, denn der sollte auch für diese Veränderung sensibilisiert werden!

IPv6Unter Windows bei den Netzwerk- und Freigabeeinstellungen links die erweiterten Adaptereinstellungen auswählen und beim LAN- oder WLAN-Adapter das Transportprotokoll IPv6 deaktivieren.

Am Mac unter der Systemeinstellung „Netzwerk“ einfach das IPv6 Protokoll von „Automatisch“ auf „Aus“ umstellen.

Es ist dringend an der Zeit, bestehende Netze auch im Hinblick auf IPv6-Sicherheit zu prüfen!

 

Stichworte: ,,

Mein Autorenprofil bei Google
IT-Beratung - IT-Betrieb - Technologieberatung - IT-Risikobewertung - Vorträge und Weiterbildung zu IT-Themen