SWITCH Security-Blog

SWITCH-CERT IT-Security Blog

IPv6 für (Security-)Manager – Teil 1

2 Comments


Über IPv6 – dem Nachfolger des Internet-Protokoll-Standards IPv4 – wird nun seit 15 Jahren gesprochen. In dieser Zeit ist das Thema jedoch ohne grössere Auswirkungen auf die produktive IT der meisten Organisationen geblieben. Daher wundert es nicht, wenn sich viele IT-Manager daran gewöhnt haben, IPv6 entweder zu ignorieren, oder als eine niedrigpriorisierte und vielleicht auch eher technische Angelegenheit einzuordnen.

Auch wenn dieser Umgang mit dem Thema in der Vergangenheit oft ohne grössere Risiken möglich war, kann man heute davon ausgehen, dass dies für die Zukunft nicht mehr in gleichem Masse gilt. Es lohnt sich also, einen frischen Blick auf den “Fall IPv6” zu werfen:

Wie gross ist der Aufwand?

Wir wissen heute: IPv6 kommt, ist da, es gibt auf absehbare Zeit keine Alternative dazu. Ereignisse wie der World IPv6 Launch, oder auch die neuen RIPE NCC-Bedingungen zum Beziehen der verbliebenen IPv4-Adressen im vergangenen Jahr haben eine gewisse Signalwirkung erzielt. Die Erkenntnis, dass wir um dieses Thema nicht drumherum kommen, setzt sich langsam durch.

Was vielen IT-Managern jedoch nicht bewusst ist, ist dass es sich bei der IPv6-Integration in die eigene Organisation nicht um ein “Netzwerkthema” im Rahmen eines typischen IT-Projekts handelt, sondern vielmehr um ein Querschnittsthema, das sich durch die gesamte IT-Organisation zieht: Von den Geschäftsanwendungen über die gesamte IT-Infrastruktur – inklusive z.B. Datacenter-Virtualisierung, Netzwerk-Management und Monitoring – bis zu den Printern oder den Schnittstellen zu Outsourcing-Partnern. Alle diese Bereiche sind – in unterschiedlichem Ausmass – betroffen, denn alle Komponenten kommunizieren über das Internetprotokoll.

Wichtig dabei: Wo in Ihrer Organisation die Brennpunkte liegen, welche Zeit und Aufwände einzuplanen sind und was für Sie ein geeignetes Transition-Procedere ist, finden Sie erst durch ein sorgfältiges Assessment heraus. Auch wenn Sie sich entscheiden, das neue Protokoll so lange wie möglich, möglichst weit aus Ihrer internen IT herauszuhalten, müssen Sie sich über die Schnittstellen im Klaren sein und mögliche Auswirkungen rechtzeitig einschätzen können.

Security-Implikationen kennen!

Auch Ihre IT-Security ist vom Thema IPv6 in hohem Masse betroffen: Alle technischen Sicherheits-Einrichtungen, egal ob Firewalls, Intrusion Prevention, Monitoring oder auch das Identity- and Access-Management müssen im Rahmen der IPv6-Thematik berücksichtigt werden. Auch hier ist es erforderlich, sich jede Komponente anzuschauen und hinsichtlich der IPv6-Readiness qualifiziert zu beurteilen.

Der verständliche Impuls, sich diesen Elefanten vielleicht doch lieber nicht so bald noch zusätzlich auf den Teller zu legen, käme hier allerdings zu spät. Denn IPv6 ist schon lange durch die Hintertür in Ihrem Unternehmen angekommen. Alle gängigen Betriebssysteme – gleich ob Clients oder Server – haben IPv6 bereits an Bord, aktiviert und für die Autokonfiguration übers Netz eingerichtet. Damit besteht neben dem – gut bekannten und entschärften – IPv4-Einfallstor ein weiteres. Angreifer werden nicht warten, bis Ihre Crew IPv6-Trainings absolviert hat und das Monitoring modernisiert wurde. Hacker sind Early Adopter!

Cloud Computing, XaaS, BYOD? IPv6!

Auch aus anderen Richtungen “drückt” das Thema IPv6 künftig in Ihre IT. Egal ob Cloud Computing, XaaS oder BYOD-Trends, viele der Themen, die Sie vermutlich auf der Roadmap haben, implizieren den Bedarf für eine skalierende und flexible Internet-Adressierung. Sicherlich wird man je nach Umfeld noch einige Jahre gut mit IPv4-only und IPv4-Inseln leben können. Die geeignete Frage lautet aber nicht: “Wie lange komme ich mit meinen IPv4-Adressen noch hin?”, sondern vielmehr “Wie soll mein Geschäft und damit meine IT in 2, 3 oder 5 Jahren aussehen?”. Entsprechend muss IPv6 als Teil der IT-Strategie in den Anforderungen für neue oder laufende IT-Projekte vorkommen und heute schon in den Einkaufsrichtlinien neuer Komponenten berücksichtigt werden.

Fazit

IPv6 ist ein Management-Thema. In der Vergangenheit konnten wir zwar gut ohne IPv6 leben, für zukünftige IT-Vorhaben wird das Protokoll jedoch eine immer grösser werdende Bedeutung haben. Von der geringen Sichtbarkeit und der fehlenden Deadline für eine IPv6-Integration darf man sich dabei nicht täuschen lassen: Der Aufwand und die benötigte Zeit unter Berücksichtigung bestehender Erneuerungs-Zyklen wird erst mit einem Assessment über die gesamte IT sichtbar. Wenn dieser Überblick fehlt, besteht die Gefahr, dass man sich später mit unnötig hohen Kosten bzw. Machbarkeitsproblemen konfrontiert sieht. Zusätzlich lauern Risiken im Bereich IT-Security, die beurteilt und mitigiert werden müssen.

In den kommenden Teilen dieser Artikel-Serie schauen wir etwas genauer hin: Wie sieht das Big Picture zu IPv6 aus, was sind mögliche Treiber und wie kann man IPv6 in der eigenen Organisation auf den Weg bringen, ohne dass die IT-Security dabei vernachlässigt wird. In weiteren Folgen beleuchten wir dann einige Sicherheitsaspekte rund um IPv6 genauer.