Start Empfohlen Shields down – IPv6 ist nicht angriffsbereit

Shields down – IPv6 ist nicht angriffsbereit

6
0


Machen Sie sich bereit für die Informationsautobahn der Zukunft, eine mit 2128 Bahnen.

Es ist Welt-IPv6-Tag, ein Tag, an dem wir alle unsere Bereitschaft für die nächste Version von IP oder Internet Protocol, dem Internet-Layer-Protokoll des Internets und fast aller Netzwerke heutzutage, überprüfen sollen. IPv6 ist natürlich eine alte Geschichte, da wir schon vor langer Zeit erkannten, dass der Adressraum von IPv4 zur Neige gehen würde, und wir sind fast am Ziel. Der IPv6-Adressraum ist, wie ich bereits geschrieben habe, so groß, dass wir ihn auf die ersten Planeten, die wir besiedeln, mitnehmen können.

Aber die Einführung von IPv6 in der realen Welt war, um es freundlich auszudrücken, wirklich wirklich langsam. Die IPv6-Unterstützung tauchte erstmals 1996 im Linux-Kernel auf. Andere UNIces lieferten sie in den nächsten Jahren aus. Windows-Endbenutzer erhielten es 2002 und Macs 2003 bei Panther. Viele dieser Systeme boten nicht nur IPv6-Unterstützung, sondern schalteten sie standardmäßig ein.

Natürlich brauchen Sie einen Ort, mit dem Sie kommunizieren können. Es gibt viele beliebte Websites, die IPv6 zumindest teilweise unterstützen. Google war in dieser Hinsicht relativ aggressiv. Viele andere Websites und Dienste sind es nicht. Sie benötigen außerdem einen Internetdienst, der IPv6-Datenverkehr weiterleitet. High-End-Business-Services unterstützen dies. aber nur sehr wenige Verbraucher-ISPs tun dies.

Aus diesem Grund und trotz jahrelanger Lobbyarbeit und Regierungsaufträgen bleibt IPv6-Datenverkehr laut nur ein kleiner Prozentsatz des Gesamtdatenverkehrs eine aktuelle Studie von Arbor Networks. Sie haben sich sechs Monate lang sechs große Dienstleister in Nordamerika und Europa angesehen. Der gesamte IPv6-Datenverkehr lief normalerweise in der Nähe von 0,15 Prozent mit kurzen Spitzen von bis zu 0,3 Prozent. Die große Mehrheit dieses Verkehrs ist getunnelter Verkehr, der Übergangsprotokolle wie 6to4 oder Teredo verwendet, aber der getunnelte Verkehr überstieg nie 0,05 Prozent des Gesamtverkehrs und machte normalerweise viel weniger aus.

IPv6-Verkehr

Bild mit freundlicher Genehmigung von Arbor Networks

IPv6 ist also bisher ein Fehlschlag. Aber wir wissen, was zu tun ist, und so ist der World IPv6 Day der nächste in einer Reihe von Advocacy-Veranstaltungen, um die Menschen für IPv6 und das Testen ihrer Produkte zu begeistern. Der Punkt an diesem Tag ist Interoperabilität. Aber ich bin ein Sicherheitsmann, also betrachte ich diese Dinge immer aus Sicherheitsgründen. Und das Ermutigendste, was ich aus Sicherheitsgründen an IPv6 sehe, ist, dass es in der realen Welt wirklich schwer zu finden ist.

Hier ist ein interessantes Zitat aus dem Arbor-Bericht:

P2P dominiert weiterhin bei mehr als 60 % des gesamten IPv6-Datenverkehrs. … Im Gegensatz zu IPv4 P2P legen die Daten nahe, dass die meisten IPv6 P2P-Anwendungen wenig Aufwand betreiben, um zufällige Ports zu verschlüsseln oder zu verwenden. Dieses IPv6-P2P-Verhalten kann dem relativen Mangel an IPv6-fähigen Firewall- und Verkehrsmanagementlösungen entsprechen. An zweiter und dritter Stelle liegen Web und SSH im Durchschnitt bei 4,6 % des IPv6-Datenverkehrs.

Fazit solcher Beobachtungen ist, dass IPv6 in der Entwicklung noch nicht einmal in den Kinderschuhen steckt. Es ist eher wie ein Fötus. Und obwohl eindeutig viel Nachdenken und Erfahrung in das Sicherheitsdesign von IPv6 eingeflossen sind, ist nichts von Natur aus sicher. Es ist eine grundsolide Gewissheit, dass wir ernsthafte Sicherheitsprobleme damit finden werden, da wir praktische Erfahrungen mit IPv6 sammeln und böswillige Akteure Anreize finden, es zu erforschen und anzugreifen. Wir haben heute praktisch keine dieser Erfahrungen, und der Welt-IPv6-Tag wird nicht dazu beitragen, da es nur um Interoperabilität geht.

Ron Meyran, Direktor für Sicherheitsmarketing bei Radware, hat mir diese Idee vorgestellt, und er hat Recht. Die Übergangszeit zu IPv6 wird laut Meyran besonders gefährlich, weil die Sicherheitsprodukte auf keinen Fall ausgereift genug sein werden, um mit der Umgebung umzugehen. Ein weiteres gutes Beispiel dafür ist die Übergangsfrist. Jeder hat schon immer gewusst, dass die Übergangszeit keinen großen Schalter umlegen und von IPv4 auf IPv6 umsteigen würde. Es gibt Tunneling-Schemata, bekannt als Teredo und 6to4, die es Benutzern ermöglichen, IPv4- und IPv6-Netzwerke und -Dienste zu kombinieren und anzupassen. Leider erhöhen diese die Komplexität der Mischung, und mit der Komplexität erhalten Sie immer Sicherheitsprobleme.

Zweifellos schätzen große ISPs, Sites und Unternehmen diesen Catch-22 und dies erklärt viel für die Zurückhaltung, mehr als nur einen Zeh in IPv6-Gewässer zu stecken.

Als ein Beispiel für die unbeabsichtigten Folgen hat John Levine vor einigen Monaten darauf hingewiesen, wie Die umfangreichen Netzwerkzuweisungen, die mit dem IPv6-Dienst verbunden sind, machen eine IP-Blacklisting zum Zwecke der Spam-Blockierung fast unmöglich. Meyran stimmt Levine zu.

Die letzte große Ironie von Meyran in Bezug auf IPv6 ist, dass es sehr wenige IPv6-Angriffswerkzeuge gibt. Manche Leute würden dies für eine gute Sache halten, aber in Wirklichkeit macht es IPv6 weniger sicher, weil legitime Forscher und Kunden die Schwachstellen nicht feststellen können.

Interoperabilität ist natürlich wichtig, aber im Fall von IPv6 ist sie bei weitem nicht ausreichend. Wir stehen hier vor der Mutter aller Henne-und-Ei-Probleme: Kunden werden IPv6 nicht übernehmen und sollten es nicht übernehmen, bis es ausgereift genug ist, um als sicher angesehen zu werden. Und es wird nicht sicher, wenn es niemand benutzt. Kein schönes Bild.

Larry SeltzerLarry Seltzer ist freiberuflicher Autor und Berater und beschäftigt sich hauptsächlich mit Sicherheitsfragen. Er hat kürzlich für Infoworld, eWEEK, Dr. Dobb’s Journal geschrieben und ist Mitherausgeber des PC Magazine und Autor deren Security Watch-Blog. Er hat auch für Symantec Authentication (ehemals VeriSign) geschrieben und Intelligente Whitelisting-Site von Lumension.

Anmerkung des Herausgebers: Diese Geschichte wurde ursprünglich am 7. Juni 2011 um 12:52 Uhr EDT veröffentlicht.



Vorheriger ArtikelBeta dies! Android-Sicherheitssoftware von BitDefender und ESET
Nächster ArtikelHolen Sie sich jetzt Google Chrome 12!

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein