Sicherheit: Die Angst vor dem Unbekannten

Native IPv6-Umgebungen sind schwer zu realisieren. Wegen der großen Affinität aller Betriebssysteme und Applikationen zu IPv4 ist es schwer, wenn nicht gar unmöglich, IPv4 permanent abzustellen. Der Admin müsste ja regelmäßig überprüfen, ob die Infrastruktur noch homogen ist, um aus einem Dual Stack resultierende Sicherheitslücken auszuschließen. Es ist wesentlich klüger, sich für die nächsten Jahre gleich auf eine Dual-Stack-Umgebung einzustellen. Völlig verschwinden wird IPv4 wohl nicht so schnell.

Grundsätzlich sind alle IPv4-Sicherheitseinstellungen für IPv6 belanglos und umgekehrt. Der Admin muss beide Welten zum Beispiel bei Firewall-Regeln gesondert verwalten, als ob es die Nachbarwelt nicht gäbe. Das ist in der Praxis einfacher als man denkt. Gerade weil IPv6 noch nicht sehr verbreitet ist, bekommt man es in eine Firewall mit wenigen Regeln und einer IPv6-Clean-Up-Regel am Ende leicht in den Griff. Gleiches gilt für Access-Listen auf Routern. Man muss jedoch zumindest so mutig sein, der IPv6-Implementierung von Firewalls genauso zu vertrauen wie der IPv4-Variante.

Lücken im Puzzle

Der Traum von IPv6 weist zurzeit noch einige Lücken im auf. Das größte Problem ist das mangelnde Engagement der Internet Service Provider, was den Gebrauch von IP-Tunneln (Tunnel Brokern) notwendig macht. Für produktive Netzwerke ist das ein Showstopper. Vorschläge zur Unterstützung von DNS bei der Autokonfiguration sind schon seit Jahren im Entwurfstadium und kommen nicht weiter. Auch das Equipment großer Netzwerkausrüster zeigt bei der IPv6-Unterstützung im Spitzenbereich noch so manche Kinderkrankheit. So gab es im Test bei zwei großen Herstellern zum Beispiel Probleme mit dem ICMPv6 Neighbour Discovery Protocol (das IPv6-Gegenstück zu ARP). Das wurde zwar behoben, aber man bekommt als Kunde beim Support noch öfter Sätze zu hören wie "Danach hat noch nie ein Kunde gefragt". Alles in allem betrachtet sind das aber Kleinigkeiten, die IPv6 mittelfristig nicht aufhalten werden.

Kommentare

Recycing lebt vom Mittmachen ;-) Wo wurde der Artikel denn ausgegraben? (kT)

kein Text

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023