Aachen: IPv6 und der Feind in Deinem Netz

Aachen: IPv6 und der Feind in Deinem Netz

Für die meisten Unternehmen ist IPv6 Zukunftsmusik. Doch was viele nicht wissen: Das Protokoll ist oft bereits aktiv - und verletzt dadurch die Compliance.

Der offizielle Umstieg von IPv4 auf IPv6 liegt für die meisten Unternehmen noch in ferner Zukunft. Das belegen auch Statistiken von Google die zeigen, dass Ende April 2012 lediglich 0,19 Prozent aller Besucher aus Deutschland über IPv6 auf die Website www.google.com zugegriffen haben. Befragt man die IT-Verantwortlichen in Unternehmen, so zeichnet sich ein ähnliches Bild: IPv6 ist - nach vielen dringenderen Projekten - in der Regel ein Thema für das Jahr 2014 und darüber hinaus.

Doch selbst wenn der Umstieg auf IPv6 noch in ferner Zukunft liegt, haben die Hersteller von IT-Komponenten das Thema schon länger aktiv im Fokus. Und genau hier liegt das Problem. Denn dadurch sind zumindest Teile der IT-Infrastruktur von Unternehmen bereits heute voll IPv6-fähig. Das wiederum bedeutet, dass IPv6-Verkehr im IPv4-Unternehmens-LAN und auch darüber hinaus möglich ist - und zwar auch dann, wenn die eigene IT-Strategie dies eigentlich noch gar nicht vorsieht.

Was heißt das konkret? Windows Server 2008 und Windows 7 unterstützen IPv6 heute komplett und nativ. Apple hat IPv6 seit Mac OS X 10.1 implementiert, standardmäßig aktiviert ist das Protokoll seit OS X 10.3. iPhones und iPad sprechen seit Juni 2010 dank iOS 4 fließend IPv6. Und auch Android unterstützt seit der Version 2.3.4 aus dem Jahr 2011 das Internetprotokoll der nächsten Generation. Switches, Router und Firewalls der bekannten Hersteller unterstützen meist grundsätzlich IPv6, wobei sich die Implementierung einzelner Features laufend erweitert.

Ist IPv6 auf Servern, PCs, Macs, Smartphones und Tablets nicht explizit deaktiviert, können diese Endgeräte über IPv6 miteinander kommunizieren. Unterstützen dann auch noch Firewall, WAN-Gateway und der ISP IPv6, so sind auch Verbindungen in das Internet möglich. Besonders pikant ist, dass die Geräte dabei in der Regel über ihre öffentliche IPv6-Adresse direkt aus dem Internet heraus erreichbar sind.

Besagt eine Richtlinie, dass IPv6 erst ab 2014 offiziell unterstützt wird, und findet sich bereits heute IPv6-Verkehr im Unternehmensnetz, so ist dies ein Verstoß gegen die Compliance mit dieser Vorgabe. Können Endgeräte über IPv6 ungehindert an der Firewall vorbei auf das Internet zugreifen, so ist dies ein Verstoß gegen Sicherheitsrichtlinien. Spätestens wenn auch noch Malware IPv6 nutzt, um ausgespähte Daten unbemerkt an ihre Heimatserver zu übermitteln, wird jedem CIO klar, dass unkontrolliertes IPv6 ein ernsthaftes Sicherheitsproblem darstellt.

Um wieder die Kontrolle über potentiellen IPv6-Verkehr im eigenen Netzwerk zu erhalten, müssen Unternehmen zuallererst das Protokoll in ihren Netzen sichtbar machen. Dazu sollte der IT-Verantwortliche folgende Fragen beantworten können: Habe ich IPv6-Verkehr in meinem Netz? Wieviel? Welche Geräte, Anwendungen und Anwender sind dafür verantwortlich? Und was bedeutet das für mein Unternehmen?

Bei der Auswertung des eigenen Netzwerkverkehrs helfen dabei Appliances, die als transparente Bridge vor dem Internet-Gateway sämtlichen durchlaufenden Datenverkehr analysieren - und auf Wunsch dort auch blockieren. Geräte wie beispielsweise der Blue Coat PacketShaper 9.1 erkennen neben unzähligen IPv4-Anwendungen heute mehr als 35 IPv6-basierte Applikationen und ermöglichen die Erstellung und Durchsetzung entsprechender IPv6-Richtlinien. Denn letztlich gilt: Nur wer Einblick in seinen kompletten Netzwerkverkehr hat und diesen auch kontrollieren kann, kann sicher sein, dass keine IPv6-Schattennetze die Compliance des Unternehmens gefährden. (mhr)


Mehr zum Thema IPv6:
Prominente Provider steigen auf IPv6 um
IPv6-Migration - Vor- und Nachteile
Wie Sie von IPv4 auf IPv6 migrieren

© IDG / In Zusammenarbeit mit computerwoche.de

Mehr von Aachener Zeitung