Netzwerkbasistechniken: IPv6: IPv6-Tunneling-Protokolle: Anwender sollten die Risiken kennen

Mit dem steigendem Einsatz von IPv6 wird auch die Nutzung von Tunneling-Protokollen zunehmen. Das ist laut Ben April, Advanced-Threat-Researcher bei der IT-Security-Firma Trend Micro, gut für die Verbreitung von IPv6, aber schlecht für die Sicherheit.

Nach jahrelangem Zögern beginnen Internet-Service-Provider, Firmen, Behörden und andere Organisationen, ihre Netzwerke von IPv4 auf die IPv6 umzustellen. Nach Angaben der Internet Society unterstützten Ende vergangenen Jahres etwa 12 Prozent aller Host-Systeme IPv6. Etwa 10 Prozent des IP-Datenverkehrs basiert demnach auf dem neuen Protokoll.

Einer der Hauptvorteile von IPv6: Es stehen deutlich mehr Adressen zur Verfügung als bei IPv4. (Bild: Cisco Systems)

Beschleunigt wird die Umstellung auf Version 6 des Internet-Protokolls durch den Druck von Regierungen, etwa in China, Japan und Europa (Europäische Union). Auch die Tatsache, dass nach Schätzung der Internet Engineering Task Force (IETF) und der Internet-Registrare voraussichtlich im Jahr 2013 die letzte verfügbare IPv4-Adresse vergeben wird, fördert den Umstieg. Ein weiterer Punkt: Windows Vista und Windows 7 sind für IPv6 präpariert.

Allerdings birgt IPv6 auch Gefahren, so Ben April von Trend Micro. Speziell die Tunneling-Verfahren, die bei IPv6 eingesetzt werden, sind laut April unter Sicherheitsgesichtspunkten bedenklich. Dies gilt in erster Linie für das Verfahren 6to4. Er sollte nicht mit 6in4 und Teredo-Protokollen verwechselt werden. Ein direkter Tunnel zu den IPv6-Systemen des eigenen Providers verursacht nicht dieselben Probleme und Risiken wie öffentliche Protokolle.

Beide Protokolle – sowohl 6to4 als auch Teredo – sind darauf ausgerichtet, den Übergang zu IPv6 zu erleichtern. Keines der beiden gibt vor, einen besonderen Schutz zu bieten.

Nur mithilfe von Kunststücken durch NAT-Gateways

Im Gegenteil, der Teredo-RFC (Request for Comment) geht sogar so weit, sich selbst als »IPv6-Provider des letzten Auswegs«« zu bezeichnen. Der Grund sind die »Kunststücke«, die erforderlich sind, um erfolgreich die vielen NAT-Gateways zu passieren. Es lohnt sich aber, auch andere Faktoren zu bedenken. Ein ganzer RFC für 6to4 ist ausschließlich Sicherheitsüberlegungen gewidmet.

Das 6to4-Tunnelverfahren erlaubt es, IPv6-Adressen durch Netze mit IPv4- und IPv6-Unterstützung zu transportieren. (Quelle: Hewlett-Packard)

Nach Angaben des Trend-Micro-Spezialisten sollte man sollte nicht vergessen, dass IPv4-Firewall-Regeln den IPv6-Verkehr nicht berücksichtigen. 6to4-Tunneling setzt voraus, dass sich der Benutzer-Endpunkt in einem öffentlich Routing-fähigen IP-Raum befindet und von jedem 6to4-Servicegerät direkt zu erreichen ist.

Als Vorteil dabei gilt, dass Anwender mehr als ein 6to4-Gateway nutzen können. Die Kehrseite der Medaille aber ist, dass sie dem Verkehr von jeder Adresse aus trauen müssen, die vorgibt, das Protokoll zu unterstützen.

IPv4-Adresse wird bekannt

6to4 kann auch Netzwerkrouten hinter dem Endpunkt unterstützen. Die Endpunkte erhalten eine IPv6-Adresse vom Präfix 2002::/16. Die 4 Bytes direkt hinter 2002: stellen die in hexadezimale Darstellung übersetzte IPv4-Adresse des Endpunkts dar.

Somit würde 192.168.25.200 der Darstellung 2002:c0a8:19c8::/48 entsprechen (RFC 1918 IP wird nur exemplarisch verwendet und ist für den tatsächlichen Betrieb ungültig). Es ist nur vernünftig, beim Aufsetzen eines Servers und dem Publizieren im IPv6-Internet diesen sowohl gegen IPv4- als auch gegen IPv6-Bedrohungen abzusichern. Ein Nebeneffekt beim Publizieren einer 2002::/16 IPv6-Adresse besteht nämlich darin, dass man dann auch die IPv4-Adresse des Endpunkts kennt.

Tunnel zum Host als Risiko

Teredo ist darauf ausgerichtet, mit den Remote-Endpunkten hinter einem oder mehreren NAT-Gateways zu funktionieren. Anders als im Fall von 6to4 kann es lediglich einen Host hinter dem Endpunkt geben.

Anwender müssen sich daher von Anfang an Gedanken über das Tunneling vom öffentlichen Internet zu einem Host innerhalb einer NAT-Umgebung machen. Ist der Host nicht gut geschützt, so braucht man nicht weiter zu gehen.

Anwender müssen sich auch mit Adressdurchlässigkeit auseinandersetzen. Teredo geht noch weiter als 6to4 und codiert sowohl die IPv4-Austrittspunkte am NAT-Gateway als auch den UDP-Port für die externe NAT-Session und die IPv4-Adresse des Tunnel-Endpunkts des Clients.

Auch Teredo ist ein IPv4-/v6-Tunneling-Protokoll. Es durchbohrt gewissermaßen die NAT-Systeme (Quelle: Microsoft).

Eine gewisse Verschleierung wird zwar verwendet, XOR-ing UDP-Port und NAT IP mit 1s. Diese Tatsache ist in entsprechenden Kreisen jedoch hinlänglich bekannt und schützt lediglich vor Leuten, die Angst vor Wikipedia haben.

Wie April betont, sollten sich Anwender durch den Hinweise auf Sicherheitsrisiken nicht davon abhalten lassen, IPv6 auszuprobieren. »Im Gegenteil, ich rate jedem, das Protokoll jetzt zu testen und es zu kennen und sicher anwenden zu können, wenn ICANN bekannt gibt, dass die IPv4-Pools ausgeschöpft sind«, so der Fachmann.