IPv6 ist weit sicherer als IPv4

Provisorien halten bekanntlich etwas länger. Diese alte Weisheit gilt auch für die Version 4 des Internet-Protokolls (IPv4).

Provisorien halten bekanntlich etwas länger. Diese alte Weisheit gilt auch für die Version 4 des Internet-Protokolls (IPv4). Zwar sind die Konzepte für den Nachfolger IPv6 schon längst einsatzbereit, in Europa und den USA (anders als in Asien) wird die Version 6 des Internet-Protokolls aber noch kaum eingesetzt. Der Grund ist klar: Europa und Nordamerika haben sich seinerzeit bei der Vergabe der IPv4-Adressblöcke gegenüber dem asiatischen Wirtschaftsraum den Löwenanteil am verfügbaren 32-Bit-Adressraum des IPv4-Netzes gesichert.
Dadurch besteht wenig Leidensdruck. Die Neigung, in den riesigen 128-Bit-Adressraum des IPv6-Protokolls zu migrieren, ist demnach gering, zumal diese mit erheblichem administrativen Aufwand verbunden ist. Vor allem aber ist es mit Hilfe diverser Adress-Übersetzungsverfahren (Network Address Translation, Classless-Inter-Domain-Routing NetworkAddress-Port-Translation) möglich, eine fast beliebige Zahl privater IP-Adressen hinter einer einzigen global erreichbaren IP-Adresse zu installieren. Durch diesen Kunstgriff stehen ausreichend Adressen auch innerhalb des IPv4-Protokolls zur Verfügung. Und nicht zuletzt machen diese Konstrukte selbst eine Migration nach IPv6 zu einem administrativen Großereignis, das viel Zeit und Geld kostet.

Nur mit IPv6 lässt sich das ursprüngliche Internet-Konzept realisieren

Dennoch gibt es gute Gründe, nach IPv6 zu wechseln. Nicht der schlechteste Grund sind Überlegungen zur Sicherheit. Während bei der ursprünglichen Konzeption von IPv4 die Sicherheit kaum eine Rolle spielte, sondern erst nachträglich implantiert worden ist, waren bei der Planung von IPv6 Sicherheitsaspekte von Anfang an im Zentrum der Überlegungen. Mit dem Sicherheitsprotokoll ‘IPSec’ (IP Security) wird die IPv6-Kommunikation schon auf der Netzwerk-Ebene 3 abgesichert. Ebene 3 im OSI-Modell ist bekanntlich die so genannte Vermittlungsschicht (Network Layer), die für IP-Pakete eine Leitung zwischen Absender und Empfänger schaltet. Bei IPv4 greifen dagegen viele Sicherheitsmechanismen, beispielsweise die Verschlüsselung, erst auf Netzwerk-Ebene 7 (Anwendungsschicht), wodurch weitaus mehr Spielraum für Einbruchstraftaten gegeben ist.

Vor allem lässt sich mit IPv6 die ursprüngliche Idee der flachen Hierarchie innerhalb des Internets wieder verwirklichen, also Verbindung eines jeden Client zu jedem anderen Client. Nur eine solche flache Hierarchie macht den durchgängigen Einsatz von IP-Sicherheit, konkret des IPsec-Protokolls, überhaupt möglich. Mit NAT-Boxen oder ähnlichen Konstrukten wird dagegen die Sicherheit unterbrochen. An solchen Stellen müssen die Pakete nämlich “ausgepackt”, also entschlüsselt und dann wieder neu verschlüsselt werden. Derartige Umladestellen bilden immer potenzielle Sicherheitslecks.

Im Wust der Network Address Translation (NAT) ist die Idee der flachen Hierarchien weitgehend verloren gegangen. Mehr noch: Viele Anwender halten den Notbehelf NAT für eines der wesentlichen Sicherheitsmerkmale in IPv4, weil es viele private IP-Adressen hinter einer öffentlichen Adresse verbirgt. Dazu schreiben Autoren des deutschen IPv6-Referenzzentrums an der Uni Münster: “NAT ist nicht gleichbedeutend mit Sicherheit. Aber der Fehler ist leicht verständlich, da in der Regel eine NAT-Box auch mit einer Firewall ausgestattet ist. Diese schützt die Box vor Angriffen und damit auch das Netz dahinter. Wäre diese Firewall nicht da und würde die NAT-Box erfolgreich angegriffen, wäre es auch um die Sicherheit für die Rechner im Netz geschehen.”

Firewalls müssen IPv6-Spezifika berücksichtigen

Gleichwohl benötigen auch Verbindungen unter dem IPv6-Protokoll ausgeklügelte Firewall-Strukturen. Das muss hier deshalb explizit gesagt werden, weil es immer wieder Stimmen gibt, die glauben machen, dass IPv6 ohne Firewalls auskommen kann. Beispielsweise wird ein Mitarbeiter der dem Pentagon nahestehenden DARPA-Institution dahingehend zitiert, dass “neben der Network Address Translation auch Firewalls komplett verschwinden müssen, wenn die Möglichkeiten von IPv6 wirklich ausgenutzt werden sollen”.

Dazu sagt Wolfgang Fritsche, Manager Advanced IP Services bei IABG, einem der Bundeswehr und anderen NATO-Armeen nahestehenden Beratungs- und Systemhaus: “Auch bei IPv6 werden nach wie vor Firewalls benötigt. Diese sind in der Grundfunktionalität den IPv4-Firewalls ähnlich, müssen jedoch in ihrem Regelwerk die IPv6-Spezifika berücksichtigen, wie die intensivere Verwendung von ICMP (Internet Control Messaage Protocol), den Wegfall von Broadcasting und die empfohlene Fragmentierung der IP-Pakete schon beim Absender und nicht erst am Router.”

Es ist kein Zufall, dass derzeit die Militärs in den NATO-Armeen am meisten die Entwicklung von IPv6 vorantreiben. Im Rahmen der weltweiten neuen Beweglichkeit müssen nicht zuletzt die Mobilfunksysteme neu aufgesetzt werden. Und im Mobilfunkbereich sind die Vorteile von IPv6 am besten zu erkennen. “Bei IPv4 lässt sich die sichere Mobilkommunikation nur durch das ineffiziente Relais des jeweiligen Heimnetzes bewerkstelligen, bei IPv6 gibt es dagegen genügend Adressen für direkte Client-Client-Verbindungen”, sagt Axel Clauberg, Leiter Consulting Engineering bei Cisco in Deutschland.

Dementsprechend wurde besonders viel Aufwand in die Absicherung dieser Mobilfunkverbindungen investiert, sagt IABG-Mann Fritsche. So sei beispielsweise die Lücke des Tracings von Mobilfunkgeräten, das durch die Verwendung eines festen, auf der MAC-Adresse basierenden Identifiers möglich ist, bereits geschlossen worden. Mittlerweile könne dieses Identifizierungselement auch auf sich ändernden Zufallswerten beruhen (RFC 3041).

Des weiteren würden für die Absicherung der lokalen Hosts (Neighbour Discovery Problem), bei denen die Sicherheit von IPSec nicht greifen könne, durch die Secure Neighbour Discovery Working Group (SEND) “gerade entsprechende Sicherheitslösungen entwickelt”. Ein Knackpunkt in diesem Szenario ist laut Fritsche aber die bisherige Nicht-Umsetzung der IPv6-Security-Festlegungen in den gängigen Mobilfunkstandards. Auch in der gegenwärtigen UMTS-Version ist IPv6 nicht vorgesehen, erst in der künftigen Version 6, die aber “noch weit entfernt ist”,  wie Wolfgang Fritsche mutmaßt.

Viren und Würmer werden ausgebremst

Jenseits spezifischer Sicherheitsinstallationen bietet schon der große Adressraum als solcher in IPv6 einen natürlichen Schutz. Diese Tatsache provoziert sicher auch das oben zitierte Missverständnis, dass “in IPv6 keine Firewalls mehr notwendig sind”. Richtig ist aber zweifellos, dass der riesige Adressraum ein Scannen von Adressen zu einem langwierigen Unterfangen macht. Viren und Würmer zum Beispiel, beides Erscheinungen auf der Anwendungs-Ebene, werden bei Verwendung von IPv6 zwar nicht beseitigt, aber doch in ihrer Ausbreitung quasi auf natürliche Weise ausgebremst.

Der Übergang von IPv4 nach IPv6 wird sicher nicht schlagartig erfolgen können. Institutionen und Unternehmen, die umstellen, werden wohl längere Zeit (viele Jahre?) einen Zweiprotokoll-Betrieb fahren wollen und müssen. Das ist nichts neues, gab es doch auch lange Zeit vielerorts einen Dual-Stack-Betrieb von IP und IPX. Was allerdings die auf dem Markt erhältlichen IPv4-IPv6-Tunnelbroker betrifft, so ist höchste Vorsicht geboten. Diese Broker steuern aus der Ferne bestimmte Konfigurationen auf einem IPv6-Client. Das ist sicherheitstechnisch mehr als delikat. “Hier sollte es zumindest eine Authentisierung des Tunnel-Brokers gegenüber dem Client geben”, sagt dazu IPv6-Spezialist Wolfgang Fritsche von der IABG. Axel Clauberg von Cisco hält solche Broker für hochproblematisch: “Die Pakete, die durch den Tunnelbroker gehen, lassen sich nicht mehr filtern. Das können Firmen nie zulassen”.

Der Übergang von IPv4 nach IPv6 dürfte denn auch die eigentlichen Sicherheitsprobleme um die IPv6-Migration herum generieren, nicht irgendwelche generische Probleme von IPv6 selbst. Doch wo keine Probleme sind, werden manchmal welche “hineingeheimnist”. Solches tut beispielsweise der Wissenschaftsjournalist Simson Garfinkel, wenn er argumentiert, dass “jeder neue Nameserver, Webserver, Browser etc., der im Zuge der IPv6-Umstellung installiert werden muss, neuen Code benötigt. Und in diesem Code stecken neue Sicherheitslücken”. Eine solche Aussage ist natürlich für jeden neuen Code richtig. Kaum jemand würde aber wohl aus dieser letztlich trivialen Feststellung den Schluss ziehen, mit der Programmiererei ganz aufzuhören.